利用INF Script下载执行技术来进行绕过,免杀和持久化(二)

介绍

之前,已经介绍过了利用INF文件的下载执行远程SCT脚本来绕过的技术。总体来看,这些方法可以被用来绕过应用程序白名单策略(AWL)(比如Default AppLocker策略),阻止主机上安装的安全产品的拦截并且达到隐秘持久化的目的。另外,还提到了一些其他的下载并执行的技术,用来做环境探测,也提到了作为防御者应该考虑的一些方面。
如果你还没有阅读之前的一篇文章,我建议你先读一下,因为我们会在展示如下技术、方法前使用到前面文章中提到的技术:

  • InfDefaultInstall
  • IExpress
  • IEadvpack.dll (LaunchINFSection)
  • IE4uinit

复习下Setupapi.dll (InstallHinfSection) 和 Advpack.dll (LaunchINFSection)