服务隐藏与排查 | Windows 应急响应

0x00 简介 攻击者通过创建服务进行权限维持过程中，常常会通过一些手段隐藏服务，本文主要演示通过配置访问控制策略来实现隐藏的方式以及排查方法的探索不包含通过修改内存中链表进行隐藏的方式0x01 创建服务 直接选择默认的 XblGameSave 服务，这个服务为 Xbox Live 可保存游戏同步保存数据。如果此服务被停止，游戏保存数据将不会上传至 Xbox Live 或从 Xbox Live 下载。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XblGameSavesc qc XblGameSave0x02 查询服务权限设置 sc sdshow "XblGameSave"D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)这是一段 安全描述符定义语言（Security Descriptor Definition Language | SDDL）具体含义可以参考https://learn.microsoft.com/zh-cn/windows/win32/secauthz/security-descriptor-string-formathttps://learn.micro ………………………………