首先感谢这些优秀的开源项目。
https://github.com/0x727/SchTask_0x727
https://github.com/zha0gongz1/iscsicpl_bypassUAC/
原理:
选择主机随机进程名作为计划任务程序文件名
将计划任务程序文件复制到 %AppData%\Microsoft\Windows\Themes\ 中
创建的计划任务名取同一随机进程名
计划任务触发器以分钟为单位,无限期持续
更改 Index、删除 SD 的键值,隐藏计划任务对应的 XML 文件
插件需要按照以下顺序使用
上传到C:\Windows\Temp目录下,写死的。
如果是管理员权限,可直接维权。
普通用户需要bypassuac
把%AppData%\Microsoft\Windows\Themes\ 目录下生成的马删掉
计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\UPnP
C:\Windows\System32\Tasks\Microsoft\Windows\UPnP
