如果未正确配置Windows环境中的服务或这些服务可以用作持久性方法，则这些服务可能导致权限提升。创建一个新的服务需要管理员级别的特权，它已经不是隐蔽的持久性技术。然而，在红队的行动中，针对那些在威胁检测方面还不成熟的公司，可以用来制造进一步的干扰，企业应建立SOC能力，以识别在其恶意软件 ...

Windows操作系统包含各种实用程序，系统管理员可以使用它们来执行各种任务。这些实用程序之一是后台智能传输服务（BITS），它可以促进文件到Web服务器（HTTP）和共享文件夹（SMB）的传输能力。Microsoft提供了一个名为“ bitsadmin ” 的二进制文件 ...

安全支持提供程序（SSP）是Windows API，用于扩展Windows身份验证机制。LSASS进程正在Windows启动期间加载安全支持提供程序DLL。这种行为使红队的攻击者可以删除一个任意的SSP DLL以便与LSASS进程进行交互并记录该进程中存储的所有密码，或者直接用恶意的SSP ...

后台打印程序服务负责管理Windows操作系统中的打印作业。与服务的交互通过打印后台处理程序API执行，该API包含一个函数（AddMonitor），可用于安装本地端口监视器并连接配置、数据和监视器文件。此函数能够将DLL注入spoolsv.exe进程，并且通过创建注册表项，red team ...

Windows快捷方式包含对系统上安装的软件或文件位置（网络或本地）的引用。自从恶意软件出现之初，便已将快捷方式用作执行恶意代码以实现持久性的一种方法。快捷方式的文件扩展名是.LNK，它为红队提 ...

Windows操作系统提供了一个实用程序（schtasks.exe），使系统管理员能够在特定的日期和时间执行程序或脚本。这种行为可作为一种持久性机制被red team利用。通过计划任务执行持久性不需要管理员权限，但如果已获得提升的权限，则允许进一步操作，例如在用户登录期间或在空闲状态期间 ...

参考网址: https://blog.csdn.net/xylary/article/details/1737627 https://www.windows-commandline.com/con ...

在红队行动中在网络中获得最初的立足点是一项耗时的任务。因此，持久性是红队成功运作的关键，这将使团队能够专注于目标，而不会失去与指挥和控制服务器的通信。在Windows登录期间创建将执行任意负载的 ...