hunting-for-persistence-mechanisms-in-windows
系统性地狩猎 Windows 终端中的攻击者持久化机制,涵盖注册表、服务、启动文件夹和 WMI 事件订阅。
Best use case
hunting-for-persistence-mechanisms-in-windows is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
系统性地狩猎 Windows 终端中的攻击者持久化机制,涵盖注册表、服务、启动文件夹和 WMI 事件订阅。
Teams using hunting-for-persistence-mechanisms-in-windows should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/hunting-for-persistence-mechanisms-in-windows/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How hunting-for-persistence-mechanisms-in-windows Compares
| Feature / Agent | hunting-for-persistence-mechanisms-in-windows | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
系统性地狩猎 Windows 终端中的攻击者持久化机制,涵盖注册表、服务、启动文件夹和 WMI 事件订阅。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 狩猎 Windows 持久化机制 ## 适用场景 - 针对潜伏后门进行定期主动威胁狩猎时 - 事件响应后,识别攻击者植入的所有持久化机制时 - 调查异常服务、计划任务或启动项时 - 威胁情报报告描述了新型在野持久化技术时 - 安全态势评估,识别未授权的持久化软件时 ## 前置条件 - 部署 Sysmon 并启用事件 ID 12/13/14(注册表)、19/20/21(WMI)、1(进程创建) - 转发 Windows 安全事件 4697(服务安装)、4698(计划任务) - 具备注册表和文件监控能力的 EDR - 启用 PowerShell 脚本块日志(事件 ID 4104) - 使用 Autoruns 或同类工具建立合法持久化条目基线 ## 工作流程 1. **枚举已知持久化位置**:整理 Windows 持久化点的完整清单(Run 键、服务、计划任务、WMI、启动文件夹、DLL 搜索顺序、COM 劫持、AppInit DLL、映像劫持选项)。 2. **收集终端数据**:使用 EDR、Sysmon 或 Velociraptor 从环境中的各终端收集当前持久化工件。 3. **建立合法持久化基线**:将收集的数据与已知正常基线对比(Autoruns 快照、GPO 部署条目、SCCM 配置)。 4. **识别异常**:标记持久化位置中偏离基线的新增、未签名或未知条目。 5. **调查可疑条目**:对每个异常,检查其指向的二进制文件、数字签名、文件哈希和创建时间戳。 6. **关联进程活动**:将持久化条目与进程执行、网络活动和用户登录事件关联。 7. **记录并修复**:记录发现结果,清除恶意持久化,更新检测规则。 ## 核心概念 | 概念 | 描述 | |------|------| | T1547.001 | 注册表 Run 键 / 启动文件夹 | | T1543.003 | Windows 服务(创建或修改) | | T1053.005 | 计划任务 | | T1546.003 | WMI 事件订阅 | | T1546.015 | 组件对象模型(COM)劫持 | | T1546.012 | 映像文件执行选项注入 | | T1546.010 | AppInit DLL | | T1547.004 | Winlogon 辅助 DLL | | T1547.005 | 安全支持提供程序 | | T1574.001 | DLL 搜索顺序劫持 | | TA0003 | 持久化战术 | | Autoruns | Sysinternals 工具,用于显示持久化条目 | ## 工具与系统 | 工具 | 用途 | |------|------| | Sysinternals Autoruns | 全面的持久化枚举 | | Velociraptor | 终端范围的持久化工件收集 | | CrowdStrike Falcon | 实时持久化监控 | | Sysmon | 注册表和 WMI 事件监控 | | OSQuery | 基于 SQL 的持久化查询 | | RECmd | 用于取证分析的注册表资源管理器 | | Splunk | SIEM 持久化事件关联 | ## 常见场景 1. **注册表 Run 键后门**:恶意软件在 `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` 中添加条目,指向 `%APPDATA%` 中的载荷。 2. **WMI 事件订阅**:攻击者创建 WMI 消费者/过滤器对,在系统启动时执行 PowerShell。 3. **恶意服务**:攻击者使用 `sc create` 创建指向后门二进制文件的 Windows 服务。 4. **COM 对象劫持**:合法 COM CLSID 的 InprocServer32 路径被替换为恶意 DLL。 5. **IFEO 调试器注入**:映像文件执行选项键设置调试器,指向针对常用工具的植入程序。 ## 输出格式 ``` 狩猎 ID:TH-PERSIST-[日期]-[序号] 持久化类型:[注册表/服务/任务/WMI/COM/其他] MITRE 技术:T1547.xxx / T1543.xxx / T1053.xxx 位置:[完整注册表键 / 服务名称 / 任务路径] 值:[二进制路径 / 命令行] 主机:[受影响终端] 已签名:[是/否] 哈希:[SHA256] 创建时间:[时间戳] 风险等级:[严重/高/中/低] 结论:[恶意/可疑/良性] ```
Related Skills
performing-windows-artifact-analysis-with-eric-zimmerman-tools
使用 Eric Zimmerman 的开源 EZ Tools 套件(包括 KAPE、MFTECmd、PECmd、LECmd、JLECmd 和 Timeline Explorer)执行全面的 Windows 取证制品分析,解析注册表 hive、预取文件、事件日志和文件系统元数据。
performing-threat-hunting-with-yara-rules
使用 YARA 模式匹配规则在文件系统和内存转储中狩猎恶意软件、可疑文件和入侵指标。 涵盖规则编写、yara-python 扫描以及与威胁情报源的集成。
performing-threat-hunting-with-elastic-siem
使用 KQL/EQL 查询、检测规则和 Timeline 调查在 Elastic Security SIEM 中执行主动威胁狩猎, 识别绕过自动检测的威胁。适用于 SOC 团队针对特定 ATT&CK 技术进行狩猎、调查异常行为, 或使用 Elasticsearch 和 Kibana Security 验证检测覆盖缺口。
performing-malware-persistence-investigation
系统性地调查 Windows 和 Linux 系统上的所有持久化机制,以识别恶意软件如何在重启后存活并维持访问。
hunting-living-off-the-land-binaries
检测 Windows 事件日志和 Sysmon 遥测数据中对离地攻击(Living Off The Land Binaries,LOLBAS)的滥用, 包括 certutil、wmic、mshta、regsvr32 和 rundll32 等工具。 通过将进程创建事件与 LOLBAS 项目数据库交叉比对来构建检测规则。 适用于针对无文件攻击技术的威胁狩猎或构建 SIEM 检测规则的场景。
hunting-for-webshells-in-web-servers
通过扫描高熵值文件、可疑的 PHP/JSP/ASP 模式(eval、base64_decode、system、passthru)、 Web 根目录中近期修改的文件以及异常文件大小,检测植入 Web 服务器的 Webshell(网页后门)。 使用香农熵(Shannon entropy)计算标记混淆载荷,并通过正则表达式模式匹配已知 Webshell 特征。
hunting-for-webshell-activity
通过分析 Web 目录中的文件创建行为、Web 服务器异常进程派生以及异常 HTTP 模式,狩猎面向互联网服务器上的 Webshell 部署。
hunting-for-unusual-service-installations
通过解析系统事件日志中的事件 ID 7045、分析服务二进制路径并识别持久化机制指标,检测可疑 Windows 服务安装(MITRE ATT&CK T1543.003)。
hunting-for-unusual-network-connections
通过分析出站流量模式、稀有目标地址、非标准端口和终端异常连接频率,狩猎异常网络连接。
hunting-for-supply-chain-compromise
狩猎供应链入侵指标,包括木马化软件更新、受损依赖项、未授权代码修改和被篡改的构建产物。
hunting-for-startup-folder-persistence
通过监控 Windows 启动目录中的可疑文件创建、分析 autoruns 条目以及使用 Python watchdog 进行实时文件系统监控,检测 T1547.001 启动文件夹持久化。
hunting-for-spearphishing-indicators
跨电子邮件日志、终端遥测和网络数据狩猎鱼叉式网络钓鱼活动指标,检测定向邮件攻击。