Windows权限维持中隐藏服务信息的技术详解<\/h1>

1. 技术背景<\/h2>
在红蓝对抗中，攻击者经常需要在目标Windows系统上建立持久化后门。常规的服务创建方法容易被安全检测工具发现，因此需要更隐蔽的技术来隐藏服务信息。<\/p>

2. 传统方法的局限性<\/h2>

常见的服务伪装方法包括：<\/p>

使用可信的服务名称（如伪装成杀毒软件服务）<\/li>

修改服务显示名称<\/li> <\/ul>

但这些方法存在明显缺陷：<\/p>

宽松的安全检查可能忽略，但严格检查仍会发现<\/li>

服务信息仍然可以通过常规工具查询到<\/li> <\/ul>

3. SDDL服务隐藏技术<\/h2>
Windows服务支持使用安全描述符定义语言(SDDL)来控制服务权限。通过修改服务的SDDL语法，可以实现完全隐藏服务的目的。<\/p>

3.1 SDDL基本概念<\/h3>

SDDL使用DACL和SACL组件中的ACE字符串来声明或控制权限。ACE字符串格式如下：<\/p>

ace_type;ace_flags;rights;object_guid;inherit_object_guid;account_sid;(resource_attribute)
<\/code><\/pre>
关键组件说明：<\/p>



成员<\/th>
含义<\/th>
<\/tr>
<\/thead>


ace_type<\/td>
标识ACE类型（A=允许，D=拒绝）<\/td>
<\/tr>

ace_flags<\/td>
标识ACE标志<\/td>
<\/tr>

rights<\/td>
标识由ACE控制的访问权限<\/td>
<\/tr>

object_guid<\/td>
对象类型GUID<\/td>
<\/tr>

inherit_object_guid<\/td>
继承对象类型GUID<\/td>
<\/tr>

account_sid<\/td>
目标用户\/组的SID<\/td>
<\/tr>

resource_attribute<\/td>
可选值<\/td>
<\/tr>
<\/tbody>
<\/table>
3.2 关键ACE权限说明<\/h3>
在服务隐藏场景中，主要使用以下权限控制：<\/p>



权限代码<\/th>
对应权限<\/th>
<\/tr>
<\/thead>


DC<\/td>
SERVICE_CHANGE_CONFIG (更改服务配置)<\/td>
<\/tr>

LC<\/td>
SERVICE_QUERY_STATUS (查询服务状态)<\/td>
<\/tr>

WP<\/td>
SERVICE_STOP (停止服务)<\/td>
<\/tr>

DT<\/td>
SERVICE_PAUSE_CONTINUE (暂停和继续服务)<\/td>
<\/tr>

SD<\/td>
DELETE (删除服务)<\/td>
<\/tr>
<\/tbody>
<\/table>
3.3 隐藏服务的SDDL配置<\/h3>
实现服务隐藏的SDDL配置示例：<\/p>
D:(D;;DCLCWPDTSD;;;IU)(D;;DCLCWPDTSD;;;SU)(D;;DCLCWPDTSD;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)
<\/code><\/pre>
这个配置：<\/p>

拒绝(D)交互式用户(IU)、系统用户(SU)和管理员组(BA)查询、修改、停止、删除服务的权限<\/li>
保留(A)必要的默认权限<\/li>
系统(S)部分设置审计规则<\/li>
<\/ol>
4. 实施步骤<\/h2>
4.1 隐藏服务<\/h3>
使用sc.exe工具修改服务的SDDL：<\/p>
sc.exe sdset 服务名<\/span> "D:(D;;DCLCWPDTSD;;;IU)(D;;DCLCWPDTSD;;;SU)(D;;DCLCWPDTSD;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"<\/span>
<\/span><\/span><\/code><\/pre>4.2 验证隐藏效果<\/h3>
隐藏后，以下命令都无法查询到服务信息：<\/p>
Get-Service -Name 服务名<\/span>
<\/span><\/span>Get-Service | Select-Object Name | Select-String -Pattern '服务名'<\/span>
<\/span><\/span>Get-WmiObject Win32_Service | Select-String -Pattern '服务名'<\/span>
<\/span><\/span>sc.exe query | Select-String -Pattern '服务名'<\/span>
<\/span><\/span><\/code><\/pre>4.3 检测隐藏服务的方法<\/h3>
虽然服务被隐藏，但可以通过尝试停止服务来检测是否存在：<\/p>

不存在的服务：返回InvalidOperationException<\/code><\/li>
存在但隐藏的服务：返回ServiceCommandException<\/code>(访问被拒绝)<\/li>
<\/ul>
4.4 恢复服务可见性<\/h3>
使用以下命令恢复服务可见性：<\/p>
sc.exe sdset 服务名<\/span> "D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"<\/span>
<\/span><\/span><\/code><\/pre>5. 技术特点<\/h2>

持久性<\/strong>：系统重启后隐藏效果仍然保持<\/li>
全面隐藏<\/strong>：所有常规服务查询工具都无法发现<\/li>
权限维持<\/strong>：服务仍能正常运行并保持权限<\/li>
<\/ol>
6. 防御建议<\/h2>

监控sc.exe对服务SDDL的修改操作<\/li>
定期使用低级别API检查服务列表，与常规工具结果对比<\/li>
对尝试停止不存在的服务的行为进行监控<\/li>
限制非管理员用户修改服务配置的权限<\/li>
<\/ol>
7. 参考资源<\/h2>

Microsoft SDDL文档<\/a><\/li>
Windows服务安全描述符<\/a><\/li>
ACE字符串格式说明<\/a><\/li>
<\/ol>

Windows权限维持中隐藏服务信息的技术详解<\/h1>

1. 技术背景<\/h2> 在红蓝对抗中，攻击者经常需要在目标Windows系统上建立持久化后门。常规的服务创建方法容易被安全检测工具发现，因此需要更隐蔽的技术来隐藏服务信息。<\/p>

3. SDDL服务隐藏技术<\/h2> Windows服务支持使用安全描述符定义语言(SDDL)来控制服务权限。通过修改服务的SDDL语法，可以实现完全隐藏服务的目的。<\/p>

4. 实施步骤<\/h2>

7. 参考资源<\/h2> Microsoft SDDL文档<\/a><\/li> Windows服务安全描述符<\/a><\/li> ACE字符串格式说明<\/a><\/li> <\/ol>

1. 技术背景<\/h2>
在红蓝对抗中，攻击者经常需要在目标Windows系统上建立持久化后门。常规的服务创建方法容易被安全检测工具发现，因此需要更隐蔽的技术来隐藏服务信息。<\/p>

3. SDDL服务隐藏技术<\/h2>
Windows服务支持使用安全描述符定义语言(SDDL)来控制服务权限。通过修改服务的SDDL语法，可以实现完全隐藏服务的目的。<\/p>

7. 参考资源<\/h2>

Microsoft SDDL文档<\/a><\/li>
Windows服务安全描述符<\/a><\/li>
ACE字符串格式说明<\/a><\/li> <\/ol>