现在很多客户都是以测试为借口, 要来测试机之后要么用来扫肉机, 要么用来做DDOS攻击, 或者做比如ARP攻击挂马等一些网络应用, 给机房的稳定性带来很大影响, 所以一般正规的IDC服务商是不允许测试的. 由于测试机一般都只是短时间的测试, 所以很多人拿到测试之后往往会在上边做上后门, 这样方便以后继续利用.
做后门的方法很多, 这样的黑客软件很数不胜数, 其中sethcexe入侵非常简单, 用COPY命令将cmd.exe复制为sethc.exe,这样在登陆界面是连按五下左SHIFT就可以调出我们可爱的CMD命令窗口SHELL(系统权限)了!----------------------copy cmd.exe sethc.exe , 最后重启后进入登陆介面...现在我们连续按五下左SHIFT..出现了个cmd命令窗口,它是shell(系统权限).... 使用DOS命令:net user administrator 123456 就可以把管理员密码成:123456了..试下使用123456就可以登陆了!..
比如也可以利用CMD替换掉logon.scr等待屏保获得CMDSHELL也一种方法!
知道了原理, 处理起来也是很简单的, 这里主要介绍两种方法:
第一种是直接删除C:/WINDOWS/system32和C:/WINDOWS/system32/dllcache这两个目录的sethc.exe文件,(注意:dllcache这个目录是隐藏的,要在文件夹选项里选择"显示所有文件和文件夹"把"隐藏受系统保护的操作系统文件"的选择取消才能看得到).
2.使用权限来约束这两个文件C:/WINDOWS/system32和C:/WINDOWS/system32/dllcache这两个目录的sethc.exe文件,(注意:dllcache这个目录是隐藏的,要在文件夹选项里选择"显示所有文件和文件夹"把"隐藏受系统保护的操作系统文件"的选择取消才能看得到). 在权限里设置为所有用户(Everyone)禁止运行.
以上的图片就不做详细说明了。大家应该知道的。删除不如直接禁止运行的好。这样可以防止再次被安装及覆盖
新闻热点
疑难解答
