|
 
|
一个不容忽视的系统文件后门
在此公布出来,希望广大管理员能够注意防范
windows启动或远程登陆到登陆界面
此时按5下shift将启动粘连键(进程名为:c:\windows\system32\sethc.exe)
如果我将粘连键的进程替换成别的呢?比如cmd的话
那么按5下shift将启动cmd,权限为system
如果换成explore.exe,按5下shift可以直接进桌面,连登陆都不需要!!
危害:
1.隐蔽性,一般管理员不会注意到辅助功能
2.服务器系统,比如2003,辅助功能默认为存在的,但没有显示
3.替换的cmd,notepad,explore都属于系统文件,不会被杀毒、防黑软件例入黑名单
利用方式:
1.黑客入侵服务器后利用此方法留下后门,因为是系统文件,不会受杀毒、防黑软件查杀
2.网站注入,比如sql,替换sethc.exe后,就可以直接访问3389了
扩展:
我可以用软件给cmd、explore、notepad加密,打造独一无二的系统后门
或者用软件修改sethc.exe,或者用软件编写一个假的,可以直接建管理员账户及密码
转自:http://www.leadbbs.com/a/a.asp?b=270&id=2686533 |
|
鲁公网安备 37120302000001号
