系统服务: 合法服务伪装

合法服务伪装（Legitimate Service Camouflage）是攻击者通过仿冒合法系统服务属性实现恶意服务隐蔽注册的技术。该技术利用系统服务管理机制的特性，通过精确复制合法服务名称、显示名称、描述信息等元数据，并匹配标准服务启动类型（如自动延迟启动、触发启动），使恶意服务在服务控制管理器（SCM）中呈现为可信组件。同时采用合法的二进制路径劫持或DLL侧加载技术，确保服务文件签名验证通过，从而规避基于服务属性异常检测的防御机制。

该技术的匿迹效果源于服务元数据与行为模式的深度伪装。攻击者通过逆向分析目标系统服务清单，选择低活跃度或高权限服务作为仿冒对象，在注册表中构建具有相同Group、Description等字段的恶意服务项。为增强隐蔽性，采用三阶段注入策略：首先创建伪装的合法服务外壳，其次通过合法进程内存注入技术动态加载恶意代码，最后通过服务依赖链触发执行。技术实现中需解决服务元数据真实性验证（匹配厂商数字签名元规则）、服务启动时序控制（避免与真实服务冲突）以及日志伪造（篡改事件日志7031/7045）三大技术难点，最终形成与系统服务生态无缝融合的恶意实体，使基于服务白名单或元数据校验的防御体系失效。