持久化（Persistence）是一个攻击链周期中非常重要的环节，攻击者会利用各种技术确保恶意软件在系统上驻留的时间更加长久，即使在设备重启、凭据修改或其他可能破坏当前恶意活动的操作发生后，也能够重新拉起和保持恶意的行为。

建立持久化又分为持久化注入和持久化触发两个部分。持久化注入通常指植入恶意payload，通常包括进程注入、EXE文件注入、动态链接库（DLL）注入、HTML应用程序（HTA）注入、脚本注入等；而持久化触发则包括添加自启动项、服务、计划任务等。

国外安全研究人员在九月发布了一个用C#编写的持久化工具包SharPersist，主要用于实现Windows下的各类持久化操作，该项目的开源地址为：https://github.com/fireeye/SharPersist

SharPersist支持的持久化技术包括以下几种：

使用SharPersist实现持久化非常简单，命令行下添加参数即可实现指定的功能，会用到的参数表如下：

使用-h参数可以获取到非常详细的使用说明，下面用一些实例如何使用SharPersist实现持久化，例如，把notepad.exe添加到注册表自启动：

> SharPersist.exe -t reg -m add -k "hkcurun" -v "notepad" -c "C:\Windows\System32\cmd.exe" -a "/c notepad.exe"

将powershell命令添加到计划任务：

>SharPersist.exe -t schtask -m add -c "%SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe" -a "-e bypass C:\Windows\notepad.exe" -n notepad

SharPersist中实现的几项持久化功能都是比较容易识别的，实际上还有更多可被利用的持久化技术，MITRE ATT&CK给出了一份更为详细的列表：

随着对抗手段日益复杂化，持久化技术也将演变得更加隐蔽，想要在端点上识别出攻击者的持久化手段，就需要采集大量的数据进行分析判别，看起来简单的检测工作，在实际环境中面临着很多困难。

在真实环境中捕获有效恶意样本是一个难题，况且还要对采集到的样本进行确认和分类，好在很多渗透测试工具提供了能够实现持久化的功能，如本文提到的SharPersist，还有Metasploit以及Persistence Aggressor Script等，可以用于模拟各种常见的恶意软件持久化操作，以便安全研究人员从中提取特征。

实际应用中，仍然还会存在很多阻碍，如某些正常软件和运维工具，也可能会触发检测规则，要如何减少类似的误报；在采集和存储系统安全日志时，是否会影响到系统性能，并且在大量的日志中如何有效的进行检测，避免过度消耗资源，都是安全研究人员要面临的挑战。