sethc.exe后门的解决方法

现在很多客户都是以测试为借口, 要来测试机之后要么用来扫肉机, 要么用来做DDOS攻击, 或者做比如ARP攻击挂马等一些网络应用, 给机房的稳定性带来很大影响, 所以一般正规的IDC服务商是不允许测试的. 由于测试机一般都只是短时间的测试, 所以很多人拿到测试之后往往会在上边做上后门, 这样方便以后继续利用.

做后门的方法很多, 这样的黑客软件很数不胜数, 其中sethcexe入侵非常简单, 用copy命令将cmd.exe复制为sethc.exe,这样在登陆界面是连按五下左shift就可以调出我们可爱的cmd命令窗口shell(系统权限)了!----------------------copy cmd.exe sethc.exe , 最后重启后进入登陆介面...现在我们连续按五下左shift..出现了个cmd命令窗口,它是shell(系统权限).... 使用dos命令:net user administrator 123456 就可以把管理员密码成:123456了..试下使用123456就可以登陆了!..

比如也可以利用CMD替换掉logon.scr等待屏保获得CMDSHELL也一种方法!

知道了原理, 处理起来也是很简单的, 这里主要介绍两种方法:

第一种是直接删除c:\windows\system32和c:\windows\system32\dllcache这两个目录的sethc.exe文件,(注意:dllcache这个目录是隐藏的,要在文件夹选项里选择"显示所有文件和文件夹"把"隐藏受系统保护的操作系统文件"的选择取消才能看得到).

 

 

2.使用权限来约束这两个文件c:\windows\system32和c:\windows\system32\dllcache这两个目录的sethc.exe文件,(注意:dllcache这个目录是隐藏的,要在文件夹选项里选择"显示所有文件和文件夹"把"隐藏受系统保护的操作系统文件"的选择取消才能看得到). 在权限里设置为所有用户(Everyone)禁止运行.

 

 

以上的图片就不做详细说明了。大家应该知道的。删除不如直接禁止运行的好。这样可以防止再次被安装及覆盖




文章来自: 本站原创
引用通告: 查看所有引用 | 我要引用此文章
Tags:
相关日志:
评论: 0 | 引用: 0 | 查看次数: -
发表评论
昵 称:
密 码: 游客发言不需要密码.
内 容:
验证码: 验证码
选 项:
虽然发表评论不用注册,但是为了保护您的发言权,建议您注册帐号.