Certutil.exe是作为证书服务的一部分安装的命令行程序 我们可以使用此工具在目标计算机上执行恶意EXE文件,并获取meterpreter会话 补充说明:在高版本操作系统中,可以通过配置策略对進程命令行参数进行记录。日志策略开启方法:本地计算机策略>计算机配置>管理模板>系统>审核进程创建>在过程创建事件中加入命令行>启用同样也可以在低版本操作系统中部署sysmon,通过sysmon日志进行监控 #windows server 2008(不含2008)以上系统可以配置审核进程创建策略,达到记录命令行参数的效果通過命令行参数进行监控分析。 无具体检测规则可根据进程创建事件4688/1(进程名称、命令行)进行监控。本监控方法需要自行安装配置审核筞略/sysmon