Windows 文件和目录权限修改

对手可能会修改文件或目录权限/属性，以规避访问控制列表（ACL）并访问受保护的文件。(引用: Hybrid Analysis Icacls1 June 2018)(引用: Hybrid Analysis Icacls2 May 2018) 文件和目录权限通常由文件或目录所有者或具有适当权限的用户通过ACL进行管理。文件和目录ACL的实现因平台而异，但通常明确指定哪些用户或组可以执行哪些操作（读取、写入、执行等）。 Windows 通过自主访问控制列表（DACL）实现文件和目录ACL。(引用: Microsoft DACL May 2018) 类似于标准ACL，DACL标识允许或拒绝访问可保护对象的帐户。当尝试访问可保护对象时，系统按顺序检查DACL中的访问控制条目。如果找到匹配的条目，则授予对对象的访问权限。否则，访问被拒绝。(引用: Microsoft Access Control Lists May 2018) 对手可以使用内置的Windows命令与DACL进行交互，例如icacls、cacls、takeown和attrib，这些命令可以授予对特定文件和文件夹的更高权限。此外，PowerShell提供了可以用来检索或修改文件和目录DACL的cmdlet。特定的文件和目录修改可能是许多技术的必要步骤，例如通过辅助功能、启动或登录初始化脚本建立持久性，或通过劫持执行流污染/劫持其他重要的二进制文件/配置文件。