文章总结: 本文介绍了Windows系统中隐藏计划任务的创建与排查技术。文章演示了创建基础任务后,通过删除注册表SD值或删除任务目录文件来实现任务隐藏,使其绕过常规工具检测但仍保持运行。针对此类持久化后门,文章提供了排查建议,即通过检查特定注册表路径TaskCacheTree来发现并清理隐藏任务,对应急响应工作具有实用价值。 综合评分: 81 文章分类: 应急响应,红队,恶意软件,内网渗透
【应急响应基础】十、隐藏计划任务创建与排查
原创
攻防灯塔安全智库 攻防灯塔安全智库
攻防灯塔安全智库
2026年1月29日 11:29 四川
免责声明
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不承担任何法律及连带责任。
[ 简介 ]
隐藏计划任务创建与排查
计划任务是病毒与攻击者进行持久化权限维持的重要手段,但普通的计划任务极易被发现和清除,于是便出现了隐藏计划任务这类后门给排查和清除带来极大的困扰。本篇文章便对该类隐藏后门从创建到排查进行分析,本文参考文章 https://blog.csdn.net/Python84310366/article/details/148553636(Windows隐藏计划任务技术及排查方法)
| | | — | | |
| |
| — |
| 本期导读 一、隐藏计划任务创建与排查 |
隐藏计划任务创建与排查
混子Hacker
一、隐藏计划任务的创建
1.1创建计划任务
创建一个每分钟将当前时间写入文件的程序
计算机管理里面找到计划任务程序点击创建任务
配置好名称之后在触发器选择一次,重复任务间隔时间选择1分钟
在操作处配置自己的执行代码
计划任务每分钟会将当前时间输出到schtask.txt这个文件
1.2 隐藏计划任务
计划任务可以下面几个地方查看
计划任务目录:C:\windows\system32\Tasks计划任务管理命令行:schtasks注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Autoruns工具
1、删除注册表SD值
需要System权限,这里可以使用PsExe获取System权限
PsExe -s -i cmd #获取system权限# 删除Sd值reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\test" /v SD /f
此时在Autoruns工具无法查看到该计划任务
schtasks命令也无法查看
但是计划任务还在执行
2、删除计划任务目录文件
删除之后计划任务还在运行
此时该计划任务只能在注册表查看了
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\
1.3 排查处置
查询注册表
KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\
删除对应的项
| | | — | | 本专栏往期文章: 【应急响应基础】一、系统查询-Windows基础排查 【应急响应基础】一、系统查询-Windows基础排查2 【应急响应基础】二、Windows病毒排查-手动排查 【应急响应基础】三、主机排查-Linux基础排查 【应急响应基础】四、Linux病毒排查 【应急响应基础】五、入侵排查-Windows入侵排查 【应急响应基础】六、应急工具使用 【应急响应基础】七、勒索病毒排查 【应急响应基础】八、银狐病毒排查处置 【应急响应基础】九、网页篡改排查 |
<<< END >>>
原创文章|转载请附上原文出处链接
更多漏洞|关注作者查看
作者|混子Hacker
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:攻防灯塔安全智库 攻防灯塔安全智库 攻防灯塔安全智库《【应急响应基础】十、隐藏计划任务创建与排查》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论