#技塑人生# 经验:windows shift 粘滞键恶意修改案例分析
经验:windows shift 粘滞键恶意修改案例分析(粘滞键恶意弹出其他应用)
阿里云技术服务团队:蒋金城
问题场景:
当远程连接或者通过连接管理终端登录windows主机的时候,输入了5次Shift键,弹出的不是熟悉的粘滞键对话框,而是一个需要输入密码的对话框(如下图),这个已经代表该系统主机已经被入侵,并且已经留下了经典的后面:粘滞键。
问题分析:
说明下粘滞键的作用:Windows中的粘滞键是专为同时按下两个或多个键有困难的人设计的。粘滞键的主要功能是方便Shift、Ctrl、Alt与其他键的组合使用。在我们使用热键时,例如“CTRL+C”,用粘滞键就可以一次只按一个键来完成复制的功能(百科知识中有)。粘滞键能被利用当作后门主要一个原因,粘滞键即使没有登录windows系统主机,只要按5次Shift键就可以调用。
处理这个问题主要有两点:
1、 粘滞键程序被恶意修改
2、系统粘滞键调用的注册表被恶意修改
处理第一个:粘滞键被恶意替换
这个就需要windows的原ISO文件,从I386文件夹中将打包的文件展开替换系统当前的粘滞键。
阿里云云主机中已经将ISO文件放置在了C盘的根目录下,如windows 2003系统就存放在:c:\win2003_sys目录下。
打开命令提示框,切换到c:\windows\system32目录下,在使用命令:expand.exec:\win2003_sys\disc1\AMD64\SETHC.Ex_ c:\windows\system32\sethc.exe
处理第二个:系统粘滞键调用的注册表被恶意修改
打开注册表:找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options下的键值信息,默认情况下是不会存在sethc.exe的项,如下图就是说明已经被恶意修改,删除sethc.exe这个项就可以。
如果登录不了系统内部操作,直接可以通过PE光盘引导操作进行,操作方法一样。
阿里云官方微博互动地址:http://weibo.com/1644971875/BajyTAGYA?mod=weibotime
展开
收起
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
相关问答
