hunting-for-persistence-mechanisms-in-windows

系统性地狩猎 Windows 终端中的攻击者持久化机制,涵盖注册表、服务、启动文件夹和 WMI 事件订阅。

9 stars

Best use case

hunting-for-persistence-mechanisms-in-windows is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

系统性地狩猎 Windows 终端中的攻击者持久化机制,涵盖注册表、服务、启动文件夹和 WMI 事件订阅。

Teams using hunting-for-persistence-mechanisms-in-windows should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/hunting-for-persistence-mechanisms-in-windows/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/hunting-for-persistence-mechanisms-in-windows/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/hunting-for-persistence-mechanisms-in-windows/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How hunting-for-persistence-mechanisms-in-windows Compares

Feature / Agenthunting-for-persistence-mechanisms-in-windowsStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

系统性地狩猎 Windows 终端中的攻击者持久化机制,涵盖注册表、服务、启动文件夹和 WMI 事件订阅。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 狩猎 Windows 持久化机制

## 适用场景

- 针对潜伏后门进行定期主动威胁狩猎时
- 事件响应后,识别攻击者植入的所有持久化机制时
- 调查异常服务、计划任务或启动项时
- 威胁情报报告描述了新型在野持久化技术时
- 安全态势评估,识别未授权的持久化软件时

## 前置条件

- 部署 Sysmon 并启用事件 ID 12/13/14(注册表)、19/20/21(WMI)、1(进程创建)
- 转发 Windows 安全事件 4697(服务安装)、4698(计划任务)
- 具备注册表和文件监控能力的 EDR
- 启用 PowerShell 脚本块日志(事件 ID 4104)
- 使用 Autoruns 或同类工具建立合法持久化条目基线

## 工作流程

1. **枚举已知持久化位置**:整理 Windows 持久化点的完整清单(Run 键、服务、计划任务、WMI、启动文件夹、DLL 搜索顺序、COM 劫持、AppInit DLL、映像劫持选项)。
2. **收集终端数据**:使用 EDR、Sysmon 或 Velociraptor 从环境中的各终端收集当前持久化工件。
3. **建立合法持久化基线**:将收集的数据与已知正常基线对比(Autoruns 快照、GPO 部署条目、SCCM 配置)。
4. **识别异常**:标记持久化位置中偏离基线的新增、未签名或未知条目。
5. **调查可疑条目**:对每个异常,检查其指向的二进制文件、数字签名、文件哈希和创建时间戳。
6. **关联进程活动**:将持久化条目与进程执行、网络活动和用户登录事件关联。
7. **记录并修复**:记录发现结果,清除恶意持久化,更新检测规则。

## 核心概念

| 概念 | 描述 |
|------|------|
| T1547.001 | 注册表 Run 键 / 启动文件夹 |
| T1543.003 | Windows 服务(创建或修改) |
| T1053.005 | 计划任务 |
| T1546.003 | WMI 事件订阅 |
| T1546.015 | 组件对象模型(COM)劫持 |
| T1546.012 | 映像文件执行选项注入 |
| T1546.010 | AppInit DLL |
| T1547.004 | Winlogon 辅助 DLL |
| T1547.005 | 安全支持提供程序 |
| T1574.001 | DLL 搜索顺序劫持 |
| TA0003 | 持久化战术 |
| Autoruns | Sysinternals 工具,用于显示持久化条目 |

## 工具与系统

| 工具 | 用途 |
|------|------|
| Sysinternals Autoruns | 全面的持久化枚举 |
| Velociraptor | 终端范围的持久化工件收集 |
| CrowdStrike Falcon | 实时持久化监控 |
| Sysmon | 注册表和 WMI 事件监控 |
| OSQuery | 基于 SQL 的持久化查询 |
| RECmd | 用于取证分析的注册表资源管理器 |
| Splunk | SIEM 持久化事件关联 |

## 常见场景

1. **注册表 Run 键后门**:恶意软件在 `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` 中添加条目,指向 `%APPDATA%` 中的载荷。
2. **WMI 事件订阅**:攻击者创建 WMI 消费者/过滤器对,在系统启动时执行 PowerShell。
3. **恶意服务**:攻击者使用 `sc create` 创建指向后门二进制文件的 Windows 服务。
4. **COM 对象劫持**:合法 COM CLSID 的 InprocServer32 路径被替换为恶意 DLL。
5. **IFEO 调试器注入**:映像文件执行选项键设置调试器,指向针对常用工具的植入程序。

## 输出格式

```
狩猎 ID:TH-PERSIST-[日期]-[序号]
持久化类型:[注册表/服务/任务/WMI/COM/其他]
MITRE 技术:T1547.xxx / T1543.xxx / T1053.xxx
位置:[完整注册表键 / 服务名称 / 任务路径]
值:[二进制路径 / 命令行]
主机:[受影响终端]
已签名:[是/否]
哈希:[SHA256]
创建时间:[时间戳]
风险等级:[严重/高/中/低]
结论:[恶意/可疑/良性]
```

Related Skills

performing-windows-artifact-analysis-with-eric-zimmerman-tools

9
from killvxk/cybersecurity-skills-zh

使用 Eric Zimmerman 的开源 EZ Tools 套件(包括 KAPE、MFTECmd、PECmd、LECmd、JLECmd 和 Timeline Explorer)执行全面的 Windows 取证制品分析,解析注册表 hive、预取文件、事件日志和文件系统元数据。

performing-threat-hunting-with-yara-rules

9
from killvxk/cybersecurity-skills-zh

使用 YARA 模式匹配规则在文件系统和内存转储中狩猎恶意软件、可疑文件和入侵指标。 涵盖规则编写、yara-python 扫描以及与威胁情报源的集成。

performing-threat-hunting-with-elastic-siem

9
from killvxk/cybersecurity-skills-zh

使用 KQL/EQL 查询、检测规则和 Timeline 调查在 Elastic Security SIEM 中执行主动威胁狩猎, 识别绕过自动检测的威胁。适用于 SOC 团队针对特定 ATT&CK 技术进行狩猎、调查异常行为, 或使用 Elasticsearch 和 Kibana Security 验证检测覆盖缺口。

performing-malware-persistence-investigation

9
from killvxk/cybersecurity-skills-zh

系统性地调查 Windows 和 Linux 系统上的所有持久化机制,以识别恶意软件如何在重启后存活并维持访问。

hunting-living-off-the-land-binaries

9
from killvxk/cybersecurity-skills-zh

检测 Windows 事件日志和 Sysmon 遥测数据中对离地攻击(Living Off The Land Binaries,LOLBAS)的滥用, 包括 certutil、wmic、mshta、regsvr32 和 rundll32 等工具。 通过将进程创建事件与 LOLBAS 项目数据库交叉比对来构建检测规则。 适用于针对无文件攻击技术的威胁狩猎或构建 SIEM 检测规则的场景。

hunting-for-webshells-in-web-servers

9
from killvxk/cybersecurity-skills-zh

通过扫描高熵值文件、可疑的 PHP/JSP/ASP 模式(eval、base64_decode、system、passthru)、 Web 根目录中近期修改的文件以及异常文件大小,检测植入 Web 服务器的 Webshell(网页后门)。 使用香农熵(Shannon entropy)计算标记混淆载荷,并通过正则表达式模式匹配已知 Webshell 特征。

hunting-for-webshell-activity

9
from killvxk/cybersecurity-skills-zh

通过分析 Web 目录中的文件创建行为、Web 服务器异常进程派生以及异常 HTTP 模式,狩猎面向互联网服务器上的 Webshell 部署。

hunting-for-unusual-service-installations

9
from killvxk/cybersecurity-skills-zh

通过解析系统事件日志中的事件 ID 7045、分析服务二进制路径并识别持久化机制指标,检测可疑 Windows 服务安装(MITRE ATT&CK T1543.003)。

hunting-for-unusual-network-connections

9
from killvxk/cybersecurity-skills-zh

通过分析出站流量模式、稀有目标地址、非标准端口和终端异常连接频率,狩猎异常网络连接。

hunting-for-supply-chain-compromise

9
from killvxk/cybersecurity-skills-zh

狩猎供应链入侵指标,包括木马化软件更新、受损依赖项、未授权代码修改和被篡改的构建产物。

hunting-for-startup-folder-persistence

9
from killvxk/cybersecurity-skills-zh

通过监控 Windows 启动目录中的可疑文件创建、分析 autoruns 条目以及使用 Python watchdog 进行实时文件系统监控,检测 T1547.001 启动文件夹持久化。

hunting-for-spearphishing-indicators

9
from killvxk/cybersecurity-skills-zh

跨电子邮件日志、终端遥测和网络数据狩猎鱼叉式网络钓鱼活动指标,检测定向邮件攻击。