如何在Windows上设置静默挖矿？ （后台任务）

隐形采矿系统优化

1. 通过系统属性→高级→性能设置将视觉效果调整为“最佳性能”。这减少了 GUI 开销并释放了 CPU 周期。

2. 手动配置虚拟内存为16GB。导航到高级 → 性能 → 虚拟内存 → 更改，然后禁用自动管理并设置自定义大小。

3. 使用组策略编辑器 (gpedit.msc) 永久禁用 Windows 更新。转至计算机配置 → 管理模板 → Windows 组件 → Windows 更新 → 配置自动更新 → 选择“禁用”。

4. 将电源计划设置为“高性能”并将睡眠/休眠配置为“从不”。通过控制面板 → 硬件和声音 → 电源选项访问。

5. 通过在组策略编辑器中的计算机配置 → 管理模板 → Windows 组件 → Microsoft Defender 防病毒下启用“关闭 Windows Defender 防病毒”来关闭 Windows Defender。

进程隐藏技术

1. 重命名恶意二进制文件以模仿系统进程：svchost.exe、winlogon.exe、spoolsv.exe — 所有这些都放置在非标准目录中，例如 C:\Windows\daozai 或 C:\Windows\dell。

2.使用NSSM（Non-Sucking Service Manager）将挖掘可执行文件安装为Windows服务。这确保了重新启动后的持久性并隐藏合法服务主机下的进程祖先。

3. 通过分层批处理脚本启动挖掘二进制文件：run.bat 触发 run64.bat，后者使用包括层 URL 和钱包地址在内的混淆参数执行矿工。

4. 剥离调试信息并将 XOR 编码的字符串嵌入二进制文件中，以逃避端点检测工具的静态分析。

5. 使用启动脚本中嵌入的 wevtutil.exe 命令执行后清除事件日志，以清除初始访问的取​​证痕迹。

网络规避策略

1. 通过端口 5555 或 3333（通常与 Monero 和 Cryptonight 池相关）路由出站连接，以与传统挖矿流量模式融合。

2.硬编码IP地址而不是域名以避免DNS日志记录；离线解析池端点并将原始 IPv4 地址直接嵌入到配置文件中。

3. 实现与标准 HTTP 超时匹配的 TCP 保持活动间隔，以模仿良性后台同步行为而不是主动轮询。

4. 将每个连接的带宽使用量限制在 10KB/s 以下，以保持在数据泄露或 C2 活动的常见 IDS 阈值警报以下。

5. 连接到将流量转发到公共矿池的自定义代理中继时，使用带有自签名证书的 TLS 1.2，从而掩盖网络检查的最终目的地。

持久化机制

1. 使用随机字母数字名称注册计划任务，例如“AdobeFlashUpdate”或“JavaRuntimeCheck”，在系统启动或空闲时触发。

2. 使用 Base64 编码的命令字符串在 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下编写注册表 Run 项，以解码和启动基于 PowerShell 的加载程序。

3. 将 DLL 放入 %WINDIR%\System32\drivers 目录中，并将它们注册为旧版过滤器驱动程序，以便在用户模式初始化之前执行。

4. 每当发生特定系统事件时（例如，每次成功登录或服务启动时），滥用 WMI 事件订阅来生成新实例。

5. 将加密的有效负载存储在合法系统文件（例如 notepad.exe）的备用数据流 (ADS) 中，以绕过文件扫描启发式方法。

常见问题和直接答案

Q1：为什么沉默矿机启动后任务管理器消失了？一些矿工注入explorer.exe或挂钩任务管理器使用的Win32 API，导致UI失败或启动后立即终止。

Q2：run64.bat改名后杀毒软件还能检测到吗？是的——行为分析会标记从 cmd.exe 启动的异常子进程，并带有长长的神秘参数，无论文件名如何。

Q3：如果我从 C:\Windows\dell 中删除 svchost.exe 会发生什么？ NSSM 安装的服务失败，但父脚本可能会在几秒钟内重新生成它，除非计划任务或注册表项也被删除。

Q4：如何在不打开任务管理器的情况下验证进程是否正在挖矿？使用 PowerShell：获取进程 |哪里对象 {$_.CPU -gt 80} | ForEach-Object { $_.Id; (Get-WmiObject Win32_Process -Filter 'ProcessID=$($_.Id)').CommandLine }