系统关机/重启: 伪造系统维护进程关机

伪造系统维护进程关机（Maintenance Process Spoofing Shutdown）是通过仿冒合法系统管理进程执行关机/重启操作的高级隐匿技术。攻击者利用操作系统内置的系统管理工具（如Windows的PsShutdown、Linux的shutdown命令）或计划任务服务，将恶意关机指令嵌入到正常维护流程中，通过模仿系统更新、硬件维护等场景的操作特征，使关机行为在进程树和日志记录中呈现合法进程调用特征。该技术重点在于构建完整的进程调用链上下文，包括伪造父进程关联、参数格式标准化以及操作时序合规性。

该技术的匿迹实现依托于"进程身份伪装"和"操作场景拟真"双重机制。攻击者首先通过代码注入或进程劫持技术，将关机指令的执行主体绑定至可信系统组件（如trustedinstaller.exe、svchost.exe），使安全监控系统误判为系统自发行为。其次，通过精准复现合法维护操作的时间窗口（如企业IT运维时段）、命令参数（如添加"/f /t 0"强制关闭参数）和日志生成规则（如写入符合微软事件日志标准的事件ID 1074），构建完整的操作可信链。技术实施过程中需解决三个关键问题：系统权限提权（利用漏洞获取SeShutdownPrivilege）、进程链伪造（通过APC注入修改调用栈信息）和日志混淆（在关机前清除内存中的异常痕迹）。最终形成的关机操作在行为特征、日志记录、时序规律等维度均与正常维护行为高度一致，有效规避基于进程行为分析和日志审计的检测机制。