1.WMI 持久化技术简介
WMI(WindowsManagement Instrumentation)事件订阅(Event Subscription)是一种常见的持久化技术,该技术需要管理员权限,但具有无文件的好处,这意味着无需接触磁盘。简而言之,WMI 事件订阅技术允许将特定操作(获取 shell)绑定到 Windows 事件。为了实现这一目标,需要做两件事。__EventFilter 查询,该查询创建一个过滤器,该过滤器为特定事件选择触发器,而 Event Consumer 类则设置触发事件时要执行的操作。事件过滤器确定执行触发器的条件,这可以使用 SQL 之类的名为 WQL 的查询语言来完成。
一个非常简单的 WQL 事件查询可能如下所示:
Select * From __InstanceCreationEvent Within 5 Where TargetInstance Isa “Win32_Process”
每次创建 win32 进程时都会触发此事件。出于测试目的,可以使用 Register-WMIEvent
cmdlet 安装触发器,启动新进程将导致 PowerShell 块执行。
更有用的使用,可以创建一个事件,该事件在创建特定进程时触发,例如 outlook.exe。
可以使用类似于以下内容的 C#安装此触发器:
作为恶意事件的一部分,我们需要的第二