.NET 任务计划隐藏与权限维持：注册表与 Wow64 文件系统重定向的结合应用

在渗透测试与权限维持的场景中，攻击者通常会利用任务计划来创建持久化后门，以确保恶意代码在系统重启后仍能自动执行。然而，常规的任务计划项可能会被安全工具检测到，因此攻击者需要隐匿任务计划，以规避安全监控。本文将探讨一种基于注册表修改与文件系统重定向绕过的任务计划隐藏技术。

01. 禁用32位重定向

Wow64DisableWow64FsRedirection 是 Windows 提供的一个 API，作用是临时禁用 32 位进程的文件系统重定向，这样 32 位应用访问真正的 System32 目录，而不是被重定向的 SysWOW64 目录。

1.1 函数的定义

[DllImport("kernel32.dll", SetLastError = true)]
public static extern int Wow64DisableWow64FsRedirection(ref IntPtr ptr);

ptr参数传递一个指针变量，用于存储重定向状态的句柄，后续可用于恢复重定向，成功时返回 非零值（TRUE）。

1.2 WOW64

Windows 允许在 64 位系统 上运行 32 位应用程序，这个机制叫 WOW64，比如 C:\Windows\System32 只有 64 位版本，Windows 采用了 文件系统重定向，让 32 位进