如何在Windows上設定靜默挖礦？ （後台任務）

隱形採礦系統最佳化

1. 透過系統屬性→進階→效能設定將視覺效果調整為「最佳效能」。這減少了 GUI 開銷並釋放了 CPU 週期。

2. 手動配置虛擬記憶體為16GB。導航至進階 → 效能 → 虛擬記憶體 → 更改，然後停用自動管理並設定自訂大小。

3. 使用群組原則編輯器 (gpedit.msc) 永久停用 Windows 更新。前往電腦設定 → 管理範本 → Windows 元件 → Windows 更新 → 設定自動更新 → 選擇「停用」。

4. 將電源計畫設定為「高性能」並將睡眠/休眠配置為「從不」。透過控制面板 → 硬體和聲音 → 電源選項存取。

5. 透過在群組原則編輯器中的電腦設定 → 管理範本 → Windows 元件 → Microsoft Defender 防毒下啟用「關閉 Windows Defender 防毒」來關閉 Windows Defender。

進程隱藏技術

1. 重新命名惡意二進位檔案以模仿系統程序：svchost.exe、winlogon.exe、spoolsv.exe — 所有這些都放置在非標準目錄中，例如 C:\Windows\daozai 或 C:\Windows\dell。

2.使用NSSM（Non-Sucking Service Manager）將挖掘可執行檔安裝為Windows服務。這確保了重新啟動後的持久性並隱藏合法服務主機下的進程祖先。

3. 透過分層批次腳本啟動挖掘二進位檔案：run.bat 觸發 run64.bat，後者使用包含層 URL 和錢包位址在內的混淆參數執行礦工。

4. 剝離偵錯資訊並將 XOR 編碼的字串嵌入二進位檔案中，以逃避端點偵測工具的靜態分析。

5. 使用啟動腳本中嵌入的 wevtutil.exe 命令執行後清除事件日誌，以清除初始存取的證據痕跡。

網路規避策略

1. 透過連接埠 5555 或 3333（通常與 Monero 和 Cryptonight 池相關）路由出站連接，以與傳統挖礦流量模式整合。

2.硬編碼IP位址而非網域名稱以避免DNS日誌記錄；離線解析池端點並將原始 IPv4 位址直接嵌入至設定檔中。

3. 實作與標準 HTTP 逾時匹配的 TCP 保持活動間隔，以模仿良性後台同步行為而不是主動輪詢。

4. 將每個連線的頻寬使用量限制在 10KB/s 以下，以保持在資料外洩或 C2 活動的常見 IDS 閾值警報以下。

5. 連接到將流量轉送至公共礦池的自訂代理程式中繼時，使用具有自簽章憑證的 TLS 1.2，從而掩蓋網路檢查的最終目的地。

持久化機制

1. 使用隨機字母數字名稱註冊計劃任務，例如“AdobeFlashUpdate”或“JavaRuntimeCheck”，在系統啟動或空閒時觸發。

2. 使用 Base64 編碼的命令字串在 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下編寫註冊表 Run 項，以解碼並啟動基於 PowerShell 的載入程式。

3. 將 DLL 放入 %WINDIR%\System32\drivers 目錄中，並將它們註冊為舊版過濾器驅動程序，以便在用戶模式初始化之前執行。

4. 每當發生特定係統事件時（例如，每次成功登入或服務啟動時），濫用 WMI 事件訂閱來產生新實例。

5. 將加密的有效負載儲存在合法系統檔案（例如 notepad.exe）的備用資料流 (ADS) 中，以繞過檔案掃描啟發式方法。

常見問題和直接答案

Q1：為什麼沉默礦機啟動後任務管理器消失了？一些礦工注入explorer.exe或掛鉤任務管理器使用的Win32 API，導致UI失敗或啟動後立即終止。

Q2：run64.bat改名後防毒軟體還能偵測到嗎？是的－行為分析會標記從 cmd.exe 啟動的異常子進程，並帶有長長的神秘參數，無論檔案名稱為何。

Q3：如果我從 C:\Windows\dell 中刪除 svchost.exe 會發生什麼事？ NSSM 安裝的服務失敗，但父腳本可能會在幾秒鐘內重新產生它，除非計劃任務或註冊表項也被刪除。

Q4：如何在不開啟任務管理器的情況下驗證進程是否正在挖礦？使用 PowerShell：取得進程 |哪裡物件 {$_.CPU -gt 80} | ForEach-Object { $_.Id; (Get-WmiObject Win32_Process -Filter 'ProcessID=$($_.Id)').CommandLine }