5.2.2.2 启动项变更

文档摘要

5.2.2.2 启动项变更 5.2.2.2 启动项变更：当Windows的“自动开机清单”开始说谎——一次绕过注册表快照、直击WMI持久化后门的实战拆解凌晨两点十七分，某金融客户SOC平台弹出第7条告警：“主机WIN-DB8X9KZQ2R3上检测到非预期启动项变更”，附带一行冷冰冰的哈希值：。值班工程师点开详情——不是里的常规键值，也不是文件夹里的快捷方式；而是一条藏在类中的WMI永久事件订阅（Permanent Event Subscription），其字段指向一个伪装成PowerShell更新脚本的文件，路径为，但该文件在磁盘上早已被删除——它只存在于WMI存储库的二进制页中。这不是误报。这是攻击者在你眼皮底下，把Windows的“开机清单”改写成了可执行的《罗生门》。