помимо всего хорошего в Run key, часть 133
5 Марта,2021 Anti-Forensics, Autostart (Persistence)
Java-программы, скомпилированные в исполняемую форму с помощью launch4j, имеют несколько интересных особенностей.
что делает их хорошей мишенью как для Persistence, так и для LOLBIN-действий.

Когда исполняемый файл запускается, он проверяет среду на наличие Java Runtime.
Environment (JRE) и при этом проверяет несколько мест:
64-bit search: HKLM\SOFTWARE\JavaSoft\Java Runtime Environment
32-bit search: HKLM\SOFTWARE\JavaSoft\Java Runtime Environment
64-bit search: HKLM\SOFTWARE\JavaSoft\Java Development Kit
32-bit search: HKLM\SOFTWARE\JavaSoft\Java Development Kit
64-bit search: HKLM\SOFTWARE\JavaSoft\JRE
32-bit search: HKLM\SOFTWARE\JavaSoft\JRE
64-bit search: HKLM\SOFTWARE\JavaSoft\JDK
32-bit search: HKLM\SOFTWARE\JavaSoft\JDK
64-bit search: HKLM\SOFTWARE\IBM\Java Runtime Environment
32-bit search: HKLM\SOFTWARE\IBM\Java Runtime Environment
64-bit search: HKLM\SOFTWARE\IBM\Java2 Runtime Environment
32-bit search: HKLM\SOFTWARE\IBM\Java2 Runtime Environment
64-bit search: HKLM\SOFTWARE\IBM\Java Development Kit
32-bit search: HKLM\SOFTWARE\IBM\Java Development Kit
Переменная среда JAVA_HOME не используется.

Размещение вредоносной записи в любой из этих ветвей, например:
[HKEY_LOCAL_MACHINE\SOFTWARE\JavaSoft\Java Development Kit\1.8]
"JavaHome"="c:\test"
а затем запустить вредоносный файл c:\test\jre\bin\javaw.exe (заставит оригинальную программу
скомпилироваться с помощью launch4j 9) при запуске создастся вредоносный javaw.exe.
И в качестве небольшого бонуса,launch4j принимает эти аргументы командной строки отладки (или
использует эквивалентные значения переменных окружения, указанных в скобках):
-l4j-debug (или Launch4j=*debug*)
-l4j-debug-all (или Launch4j=*debug-all*)
При наличии любого из этих двух вариантов будет создан файл журнала launch4j.log, в котором будет содержаться вся
информацией, необходимой для устранения неполадок (второй вариант генерирует более подробную версию
файла журнала).