SchTask 创建隐藏计划任务,权限维持,Bypass AV
| 类别 | 说明 |
|---|---|
| 作者 | AnonySec |
| 团队 | 0x727 未来一段时间将陆续开源工具 |
| 定位 | 权限维持,内存加载 |
| 语言 | C# |
| 功能 | 创建隐藏的计划任务,进行权限维持 |
什么是 SchTask ?
利用 Windows API,工具化创建隐藏的计划任务,同时绕过安全软件的阻断,达到持久控制。
实现原理 ?
Steps
- 选择主机随机进程名作为计划任务程序文件名
- 将计划任务程序文件复制到
%AppData%\Microsoft\Windows\Themes\中 - 创建的计划任务名取同一随机进程名
- 计划任务触发器以分钟为单位,无限期持续
- 更改 Index、删除 SD 的键值,隐藏计划任务对应的 XML 文件
删除已添加的计划任务
Articles
更多技术细节,请查看 Windows计划任务的进阶
开始体验
Git下载安装
$ git clone https://github.com/0x727/SchTask_0x727.git注:直接下载 Release 版本快速使用,已经将
Microsoft.Win32.TaskScheduler.dll打包到 SchTask.exe 中。
使用方法
SchTask.exe (.NET Framework 2.0)
C:\>SchTask.exe
___ _____ ____ _____
/ _ \__ _|___ |___ \___ |
| | | \ \/ / / / __)| / /
| |_| |> < / / / __/ / / https://github.com/0x727
\___//_/\_\/_/ |_____/_/ Author: AnonySec
Usage: SchTask.exe <File Path> <Minutes>
Eg: SchTask.exe C:\Windows\System32\cmd.exe 10
C:\>SchTask.exe C:\Windows\System32\cmd.exe 1
___ _____ ____ _____
/ _ \__ _|___ |___ \___ |
| | | \ \/ / / / __)| / /
| |_| |> < / / / __/ / / https://github.com/0x727
\___//_/\_\/_/ |_____/_/ Author: AnonySec
[*] Copy File location:
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Themes\SearchApp.exe
[*] Hidden task xml file:
C:\Windows\System32\Tasks\Microsoft\Windows\UPnP\SearchApp
[*] RegistryKey location:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\UPnP\SearchApp
[+] Successfully add scheduled task !
效果图
