服务排查脚本完善 | Windows 应急响应

文章预览

0x01 简介 大家好，我们是 NOP Team，在之前的应急响应相关的文章中，我们提到了服务的隐藏与排查，还有如何验证可执行文件是可靠的，在 《Windows 应急响应手册》中我们给出了进阶性排查的脚本，大概的排查方式就是将所有的服务对应的命令中的启动程序拿出来，检查该程序的签名是否为微软官方的有效签名。 在后期应急响应过程中，发现一个问题: Windows Server 2016 中这个服务对应命令字符串格式比较宽泛，但开发者的使用过程中并不一定遵守什么规范，就导致可能出现一些奇怪的格式，例如存在被双引号包裹的命令，也有没有被双引号包裹的，这部分在之前的脚本中已经特别处理了，真正遇到的问题是文件名称里带空格的，举个例子 这还只是文件名存在空格，更有甚者如下 遇到这类的服务命令，之前的脚本就会报错，今天这篇文章就是测试 ………………………………