Screensaver

屏幕保护程序 (Screensaver) 是在所配置的用户不活动时间后执行的程序，由扩展名为。scr 的可移植可执行 (PE) 文件组成。 Windows 屏幕保护程序 scrnsave.exe 以及基本 Windows 安装中包含的屏幕保护程序位于 C:\Windows\System32\。 以下屏幕保护程序设置存储在注册表内 (HKCU\Control Panel\Desktop\)，可以通过操作来实现持久化。 - SCRNSAVE.exe 设置为恶意 PE 路径 - ScreenSaveActive—设置为“1”以启用屏幕保护程序 - ScreenSaverIsSecure -设置为“0”不需要密码解锁 - ScreenSaverTimeout——设置执行屏幕保护程序用户不活动的超时时间。 攻击者可以使用屏幕保护程序设置来保持持久性，方法是在用户不活动的特定时间段后设置屏保运行恶意软件。

缓解

阻止从非标准位置执行 .scr 文件。 设置组策略以强制用户使用专用屏幕保护程序，其中本地更改不应覆盖设置以防止更改。 使用组策略禁用不必要的屏幕保护程序。

检测

监视 .scr 文件的进程执行和命令行参数。 监视注册表中可能与典型用户行为无关的屏幕保护程序配置更改。 诸如 Sysinternals Autoruns 之类的工具可用于检测注册表中屏幕保护程序二进制路径的更改。 可疑路径和 PE 文件可能标志网络中的合法屏幕保护程序的异常，应该进行调查。