跳转至

时间提供者

对手可能会滥用时间提供者在系统启动时执行 DLL。Windows 时间服务 (W32Time) 使域内和域间的时间同步成为可能。(引用:Microsoft W32Time 2018 年 2 月)W32Time 时间提供者负责从硬件/网络资源检索时间戳并将这些值输出到其他网络客户端。(引用:Microsoft TimeProvider) 时间提供者实现为动态链接库 (DLL),注册在 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W32Time\TimeProviders\ 的子键中。(引用:Microsoft TimeProvider)时间提供者管理器由服务控制管理器指挥,在系统启动时和/或参数更改时加载并启动在此键下列出并启用的时间提供者。(引用:Microsoft TimeProvider) 对手可能会滥用此架构来建立持久性,具体方法是创建一个新的任意命名的子键,指向 DllName 值中的恶意 DLL。时间提供者注册需要管理员权限,但执行将在本地服务帐户的上下文中运行。(引用:Github W32Time 2017 年 10 月)