权限维持及后门持久化技巧总结(4)

检测及清除：

从WMI数据库中删除条目的最简单方法，就是使用Autoruns。为此，我们不妨以管理员身份启动Autoruns，并选择WMI选项卡，这样就可以查找与WMI相关的持久性后门了。

2.8.2Bitsadmin(windows 自带用于创建上传或下载任务)

bitsadmin.exe是windows自带的可用于创建下载或上载作业并监视其进度，bistadmin可以指定下载成功之后要进行什么命令。

Bistadmin可以指定下载成功之后要进行什么命令。后门就是利用的下载成功之后进行命令执行。可绕过autorun、常见杀软检测。

如果任务未完成，支持在重新启动计算机或重新建立网络连接之后自动恢复文件传输。

无文件不落地后门

重启计算机：

重启计算机，发现弹出对话框，BITS 任务依然存在，如果我们想让任务完成，可以执行bitsadmin /complete test

检测及查杀：

使用bitsadmin列出所有任务

bitsadmin /list /allusers /verbose

准确来说进程注入不是后门技术或者权限维持技术，而是一种隐藏技术，以cobaltstrike为例，一般可以注入到像是lsass或者explorer这样的进程当中，相对比较隐蔽，较难排查

进程注入排查：

使用工具process explorer 、process monitor等均可