大体流程是这样的:
1.注册com对象到word
2.调用CreateDispatch(_T("Word.Application"))触发dump动作(因为只有这样才能做到悄无声息),生成注册表services里minipoc
3.驱动里修改了IE主页,当然,到驱动的就全过了
4.同时根据前段时间提的信息不对称检测漏洞,驱动启动的时候会自删除绕过扫描检测。而我又懒得再回写了,因此只在重启第一次的时候有效.
测试前最好先检查默认IE主页
想重复测试就手动删除systemroot/minipoc.sys