前言

　　在后渗透阶段，当我们获得了服务器shell，很多时候是通过使用一些可执行文件，比如msf和cobaltstrike生成的exe，或者捆绑的软件之类，来获得服务器的权限。

　　尽管这些会做过免杀，即使能躲过大部分杀软，但由于是运行在内存中，可能导致文件无法删除，因为很容易被发现，因此就需要更深入的进行下马。

　　既然运行的木马会被发现，那我们可以通过写入服务的方式来达到权限维持的目的，即在某个服务启动的时候，自动运行木马程序。

写入服务

　　首先在计算机上创建一个服务，将该服务与木马进行绑定

sc create "服务名"  binpath="最开始的木马路径"

　　当然这样还远远不行，我们还需要对该服务进行伪装，不然也会很明显被发现

sc description "服务名" "描述信息"

　　具体可以查看电脑上服务，参照修改

　　当然，还需要设置服务的自动启动

sc config "服务名" start=auto

　　然后启动该服务

net start "服务名"

　　此时，监听端就可以上线该服务器了。

　　并且，服务器每次开机，或者重启，由于设置了自动启动，都会一直上线。

　　一般来说，这样的伪装更具有迷惑性。大部分情况下对于一些不是很专业的人而言，并不会辨认我们自制的服务，从而木马更持久化的存在。