shift快捷键
Windows的粘滞键------C:\windows\system32\sethc.exe,它本是为不方便按组合键的人设计的
Windows系统按5下shift后,Windows就执行了system32下的sethc.exe,也就是启用了粘滞键
在进程里面我们可以看到这个程序被系统运行了 不过是以我们自己的用户运权限行的
但是当我们未登陆系统(停留在登陆界面)的时候 系统还不知道我们将以哪个用户登陆,所以在这个时候连续按5次shift后的话系统将会以system用户(具有管理员级别的权限)来运行sethc.exe这个程序
后门原理
我们可以把cmd.exe这个程序更名称sethc.exe并且把原来的sethc.exe替换掉
在登陆界面的时候我们连续按下5吃shift键系统以system权限就会运行我们的CMD.exe
那么我们的cmd.exe就具有了管理员权限了 如此一来 我们只要利用CMD加一个管理员用户就可以登陆进去,实现隐藏后门
后门制作
其制作有很多种,下面介绍一种最简单的,可以明白其原理自己扩展
在命令行执行(需要一定的权限)
copy C:\WINDOWS\system32\cmd.exe C:\windows\system32\sethc.exe
防御
禁用该功能
C:\windows\system32\sethc.exe
C:\windows\system32\dllcache\sethc.exe
(dllcache目录是隐藏的,在文件夹选项里选择"显示所有文件和文件夹"把"隐藏受系统保护的操作系统文件"的选择取消才能看得到)
开始------->控制面板---->辅助功能选项------>设置----->取消快捷键
使用权限来约束这两个文件
就是让所有人用不了,而且直接删除sethc.exe文件,系统会自动找回
1.删除所有组的权限
右键属性,高级,有勾则去掉“允许父项的继承权限传播到该对象和所有子对象”的勾
2.添加一个everyone组,然后设置该组的所有权限都是“拒绝”
点击”添加“,在出现的选择用户和组中点击”立即查找“,在搜索结果中找到”Everoy“用户,并确定
继续确定,将”Everoy“用户的权限设置为全部拒绝
这样就禁止了安装和在此访问。当再次安装和访问时,就会出现拒绝访问
扫一扫
1384
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
