这是一段 安全描述符定义语言(Security Descriptor Definition Language | SDDL
)
具体含义可以参考
https://learn.microsoft.com/zh-cn/windows/win32/secauthz/security-descriptor-string-format
https://learn.microsoft.com/zh-cn/windows/win32/secauthz/ace-strings
https://learn.microsoft.com/zh-cn/windows/win32/services/service-security-and-access-rights
可以通过一些 SDDL
解析工具进行查看
https://github.com/canix1/SDDL-Converter
是一个 powershell
脚本,右键执行
将 SDDL
放到其中进行解析
这样看起来比较直观
0x03 修改服务权限设置
sc sdset "XblGameSave" "D:(D;;DCLCWPDTSD;;;IU)(D;;DCLCWPDTSD;;;SU)(D;;DCLCWPDTSD;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
0x04 测试隐藏效果
1. services.msc
2. sc
sc queryex | findstr "XblGameSave"
sc query "XblGameSave"
可以看到,常规检查的时候,无法直接看到 XblGameSave
通过 sc query
指定名称查找显示的是 拒绝访问
通过 sc qc
指定名称查找能够显示出正常内容
如果常规方式看不到,应急响应人员也无法知晓该活动的名称,也就无法查询到
3. PowerShell
Get-Service | findstr "XblGameSave"
Get-Service -Name "XblGameSave"
指定名称查询都显示找不到任何服务
4. wmic
wmic service | findstr "XblGameSave"
wmic service where "Name='XblGameSave'" get Name, DisplayName, Description