系统服务发现: 合法管理工具隐蔽调用

合法管理工具隐蔽调用（Legitimate Management Tool Stealth Invocation）是一种通过操作系统内置服务管理组件执行服务发现的高级隐蔽技术。攻击者通过调用系统原生命令解释器（如cmd.exe、powershell.exe）执行内置服务查询指令（如sc query、net start），利用系统白名单机制规避安全检测。该技术通过精确控制命令参数和输出处理，将服务发现行为伪装成系统管理员日常维护操作，规避基于进程行为特征的检测模型。

该匿迹技术的核心在于"合法工具武器化"与"操作行为拟态化"双重策略。攻击者深入分析目标系统管理员的日常操作模式，精确复现服务查询的命令语法、执行路径和参数组合，确保操作序列与正常维护行为在进程树结构、命令行特征、API调用链等维度完全一致。技术实现需解决三个关键问题：命令执行时序控制（匹配目标系统维护周期）、输出结果隐蔽回传（通过DNS隧道或内存暂存技术）、以及上下文环境适配（根据目标系统角色调整查询范围）。通过将恶意服务发现操作嵌入合法管理工具的运行时环境，有效规避了传统EDR对非授权进程创建和异常命令行参数的检测机制，实现了服务发现行为的"操作白化"。