之前，我们已经为大家介绍了有关系统服务的攻击手法以及其中的一种细分手法：Launchctl。今天，我们和大家一起聊聊另一种攻击手段：服务执行。

      敌人可能滥用Windows服务控制管理器来执行恶意命令或有效负载。Windows服务控制管理器(services.exe)是一个管理和操作服务的接口。用户可以通过GUI组件以及sc.exe和Net等系统工具访问服务控制管理器。

        PsExec也可以通过服务控制管理器API创建临时Windows服务来执行命令或有效负载。

        对手也可能利用一些机制来执行恶意内容，比较常见的是通过执行一个新的或修改服务来完成。这种技术在服务持久性或特权升级期间，与Windows Service一起使用。

完整列表请戳“阅读原文”

        对注册表项的更改，以及能够修改与已知软件、补丁周期等不相关的服务工具的命令行调用行为较为可疑。如果一个服务只用于执行二进制文件或脚本，而不具备持久性，那么它很可能在服务重启后不久就会被更改回原来的形式。这样服务就不会被破坏，就像普通管理员工具PsExec那样。

**参考来源：ATT&CK，胖头鱼编译，欢迎转载，转载请注明出处，非常感谢~~