返回列表 发帖

[技术文章] [转帖]一个不容忽视的系统文件后门

一个不容忽视的系统文件后门
在此公布出来,希望广大管理员能够注意防范

windows启动或远程登陆到登陆界面
此时按5下shift将启动粘连键(进程名为:c:\windows\system32\sethc.exe)
如果我将粘连键的进程替换成别的呢?比如cmd的话
那么按5下shift将启动cmd,权限为system
如果换成explore.exe,按5下shift可以直接进桌面,连登陆都不需要!!

危害:
1.隐蔽性,一般管理员不会注意到辅助功能
2.服务器系统,比如2003,辅助功能默认为存在的,但没有显示
3.替换的cmd,notepad,explore都属于系统文件,不会被杀毒、防黑软件例入黑名单

利用方式:
1.黑客入侵服务器后利用此方法留下后门,因为是系统文件,不会受杀毒、防黑软件查杀
2.网站注入,比如sql,替换sethc.exe后,就可以直接访问3389了

扩展:
我可以用软件给cmd、explore、notepad加密,打造独一无二的系统后门
或者用软件修改sethc.exe,或者用软件编写一个假的,可以直接建管理员账户及密码

转自:http://www.leadbbs.com/a/a.asp?b=270&id=2686533
欢迎光临:逐梦论坛

不错。。。知道了

TOP

返回列表

Powered by Discuz! 7.2   论坛QQ群:逐梦论坛群

© 2001-2021 Comsenz Inc. 鲁公网安备 37120302000001号