Помимо старого доброго Run key, часть 129
17 октября, 2020 Anti-Forensics, Autostart (Persistence)
Просматривая библиотеки Windows, я наткнулся на несколько с интригующим названием
функция, разрешаемая во время выполнения:DllBidEntryPoint.
Библиотеки, ссылающиеся на этот API:
msado15.dll
msadomd.dll
msadox.dll
msadrh15.dll
msadce.dll
msadco.dll
msadds.dll
msdaprst.dll
msdarem.dll
msdaora.dll
msdasql.dll
msdatl3.dll
oledb32.dll
sqloledb.dll
Как обычно, первым делом я зашел в Google и вскоре обнаружил, что это часть
документированного интерфейса трассировки, используемого SQL Server под названием Built-in Diagnostics (BID).

Можно использовать один из этих ключей:
HKLM\Software\Microsoft\BidInterface\Loader
HKEY_LOCAL_MACHINE\software\Wow6432Node\Microsoft\BidInterface\Loader
и добавьте имя значения ‘:Path’, указывающее на DLL, которая будет действовать как отслеживающая DLL.
Как обычно, связанный документ содержит все детали.