Window权限维持（八）：时间服务器.docxVIP

Windows操作系统正在利用时间提供者体系结构，以便从网络中的其他网络设备或客户端获取准确的时间戳。时间提供者以DLL文件的形式实现，该文件位于System32文件夹中。Windows

Windows操作系统正在利用时间提供者体系结构，以便从网络中的其他网络设备或客户端获取准确的时间戳。时间提供者以DLL文件的形式实现，该文件位于System32文件夹中。Windows启动期间将启动服务W32Time并加载w32time.dll。DLL加载是一种已知的技术，通常使红队攻击者有机会执行任意代码。

由于关联的服务会在Windows启动期间自动启动，因此可以将其用作持久性机制。但是，此方法需要管理员级别的特权，因为指向时间提供者DLL文件的注册表项存储在HKEY_LOCAL_MACHINE中。根据系统是用作NTP服务器还是NTP客户端，使用以下两个注册表位置。

该W32Time将运行在Windows环境作为本地服务，它是通过svchost的执行。

W32Time服务

恶意DLL已放入磁盘中，将执行有效负载。在命令提示符下，可以通过执行以下命令以指向任意DLL的位置来修改时间提供者注册表项。

regaddHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpCli