Update malware-tech_ref_and_memo.md

malware-tech_ref_and_memo.md

@@ -271,6 +271,24 @@ New-Object System.IO.Compression.DeflateStream([iO.mEmoRySTream] [sysTEM.ConVert
 - 様々なShell Backdoor(PHP/ASP)<br>
 [Shell Backdoor List - PHP / ASP Shell Backdoor List](https://www.kitploit.com/2020/01/shell-backdoor-list-php-asp-shell.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+PentestTools+%28PenTest+Tools%29)
 
+# Persistence
+## Registry
+- 利用されるWin32API
+    - RegSetValueA
+- 利用されるレジストリ
+    - HKCU\Software\Microsoft\Windows\CurrentVersion\Run
+    - HKLM\Software\Microsoft\Windows\CurrentVersion\Run
+    - HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
+    - HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
+    - HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
+    - HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
+    - HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
+    - HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
+    - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
+    - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
+    - HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
+    - HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
+
 # rootkit
 ## LKM rootkit
 - 動的にカーネルに組み込めるモジュールであるLKM(Loadable Kernel Module)を利用して，sys_call_tableの特定のカーネル関数のアドレスを任意の関数のアドレスへと書き換えることで，本来とは異なるカーネル関数であるrootkitのカーネル関数等が呼び出せるようになる(システムコールフック)