认证包

对手可能会滥用认证包在系统启动时执行DLL。Windows认证包DLL由本地安全机构（LSA）进程在系统启动时加载。它们为操作系统提供对多个登录进程和多个安全协议的支持。(引用: MSDN Authentication Packages) 对手可以使用LSA认证包提供的自动启动机制，通过在Windows注册表位置HKLM\SYSTEM\CurrentControlSet\Control\Lsa\中放置一个指向二进制文件的引用，并将键值设置为"Authentication Packages"=<target binary>来实现持久性。然后，当加载认证包时，系统将执行该二进制文件。