探索未知：利用Windows感知模拟服务实现横向移动的BOF项目

项目介绍

在网络安全领域，我们常常面临创新与挑战的交锋。今天，让我们聚焦一个名为"BOF - Lateral movement technique by abusing Windows Perception Simulation Service to achieve DLL hijacking"的开源项目——ServiceMove。由安全研究员Chris Au (@netero_1010) 创建，这个Proof-of-Concept（PoC）代码揭示了一种巧妙的横向移动技术，它通过利用Windows感知模拟服务来实现DLL劫持，从而达到在远程系统中以"NT AUTHORITY\SYSTEM"权限执行代码的效果。

项目技术分析

ServiceMove的核心在于非存在性DLL文件hid.dll。每次"Windows感知模拟服务"启动时，都会尝试加载该文件。测试者只需将一个特制的DLL放入"C:\Windows\System32\PerceptionSimulation"目录，并远程启动服务，即可实现代码执行。这种方法不易被发现，因为它不涉及一般横向移动技术常见的指标，如创建或修改服务、设置计划任务等，仅仅是向远程系统投放文件和启动服务。

应用场景

此技术适用于需要低调且高效横向移动的情景，例如在安全测试或红队操作中。它可以作为一个规避常规检测手段的有效工具，特别是在高度警戒的目标环境中。

项目特点

1. 不易被发现：由于没有典型的IOCs（Indicator of Compromise），使得这项技术较难被传统的安全监控系统察觉。
2. 效率：仅需部署一个文件并远程启动服务，就能触发系统级别的代码执行。
3. 灵活性：提供多种命令行选项，包括普通模式、强制模式（即使服务正在运行也能重启）以及清理模式（停止服务并删除DLL文件）。
4. 局限性：仅兼容Windows 10 1809及以上版本。

编译与使用

要编译项目，只需运行make命令。对于hid.dll所需的导出函数，可参考exports_function_hid.txt。项目提供的演示GIF清晰地展示了整个过程的工作原理。

如果你对低调而高效的横向移动技术感兴趣，或者想深入研究Windows系统的安全特性，那么ServiceMove绝对值得你一试。别忘了，任何这样的工具都应谨慎使用，并遵守合法的网络活动准则。

[查看原文链接]

安全之路永无止境，探索与学习是我们不断前行的动力。勇敢地打开新世界的大门，但请始终牢记责任与道德。