Windows backdoor之隐藏计划任务

我们首先创建一个测试计划任务CalcTest，每3分钟运行一次计算器：

schtasks /create /TN CalcTest /SC MINUTE /MO 3 /TR "c:windowssystem32calc.exe" /ST 22:39 /F

但默认情况下，很容易使用任务计划程序或者autoruns工具查看到：

此时我们可以通过删除注册表

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionScheduleTaskCacheTree

下的SD记录，隐藏计划任务。

但是如果直接使用命令reg delete删除这个值，会提示权限拒绝错误，我们需要system权限才能删除这个记录。

这里可以使用psexec获得一个system权限的cmd，然后执行删除操作。

psexec64.exe -i -s cmd.exe

reg DELETE "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionScheduleTaskCacheTreetest" /v SD /f

此时，有两个地方可以看到计划任务存在，一是在C:windowssystem32Tasks目录下会有计划任务的配置文件，如下：

二是在注册表中也能看到，在Tree下面对应计划任务的名称和ID，在Tasks下面为计划任务的实际配置信息：

1、查看恶意进程父进程是否为计划任务进程，计划任务进程一般为svchost.exe -k netsvcs：

2、查看日志文件Microsoft-Windows-TaskScheduler%4Operational.evtx中事件ID 200/201关于计划任务的执行和完成情况：

如果没有日志，可以在任务计划程序里面临时开启(应急完成后，如果不需要可以关掉，但建议开启)：

3、使用工具autoruns或者任务计划程序查看是否存在恶意计划任务，有的话提取相关证据后删除，没的话继续下一步：

4、检查在C:windowssystem32Tasks下是否存在执行恶意文件的计划任务配置文件，有的话提取相关证据后删除，如果没有，我们只能在注册表中进行搜索。

5、检查注册表如下2个键：

首先搜索我们发现的恶意计划任务的名称：

也可以在Tree下面找到恶意计划任务名称后，根据ID的值在TaskCacheTasks下面找实际的配置数据。提取相关证据后删除上面2个记录。

6、重启计划任务服务或者系统。如果要重启计划任务服务，需要以system权限操作，管理员无权限：

以管理员运行cmd，然后利用psexec打开一个system权限的cmd:

psexec -i -s cmd.exe

在系统或者服务重启后，将会完全清理计划任务。对于运行恶意exe的计划任务，也可以直接删除可执行程序，这样即使计划任务可以运行，但是进程也执行不了。但对于使用powershell 无文件运行恶意进程，只能通过重启服务或者系统实现完全清理。