权限维持漫谈，合理利用本地环境

简介

windows权限维持一直作为红蓝对抗中一个非常敏感的技术，一直处于一个不断发掘然后被不断拦截封堵的过程，而且考虑到红队OPSEC,有些权限维持的手法，很容易触发告警，比如像最常用的计划任务。

（本文所述内容，不针对特定防护软件）

推荐一个查看当前系统所有的跟自启动相关的工具：

利用系统组件

计划任务其实也是系统组件，但是现在被拦截的很严重，被针对性的监控下，很多时候都不敢去用。那么还有没有类似的机制可以让系统来执行我们的想要的功能呢？

这里简单列举几个依赖系统组件来实现的效果：

1. windows Telemetry

这项功能是系统自带的数据遥测功能,它的触发机制是由系统 CompatTelRunner.exe 白名单来拉起，通过特定的注册表配置，不定时触发执行，被创建的进程会具有system权限。优点是操作简单，更改注册表即可，缺点是低版本操作系统不支持，比如win7。

2.CDPSvc

CDPSvc 是连接设备平台服务，默认启用，利用方式有点像DLL劫持，需要向特定路径放入dll模块文件，并命名为cdpsgshims.dll。参考链接https://www.a12d404.net/windows/2019/01/13/persistance-via-path-directories.html

3.利用通用 Windows 平台应用程序 (APPX)

这种方式是利用windows的APPX/UWP组件，比如Cortana，联系人,window10中默认自带很多会自动启动的APPX应用，Cortana只是其中一种，类似的还有yourphone，xbox等。参考链接:https://oddvar.moe/2018/09/06/persistence-using-universal-windows-platform-apps-appx/

系统组件权限维持所需要的权限都比较高，而且难度也比较大，并且对系统版本也存在一定的依赖性，可以用，但是也没那么好用就是了。

利用通用软件

这种方式需要你去跟踪软件的运行过程，查找可能的存在误配置，路径缺失等问题，用来做我们的自启动，这里拿卡巴斯基做一个演示，用来实现自启动,具体利用方式我会详细的放在下面交流圈：

推荐阅读：

部署属于自己的EDR对抗环境
让数字x60杀软核晶失效的自适应模式
对抗杀软的父进程检测
银狐木马：杀死核晶状态下的x60

更多干货文章工具等资源，欢迎加入下方交流圈👇：