当黑客通过各种方法成功侵入系统后,为了达到长期控制主机的目的,通常会在系统中安装各种木马程序,在系统中非法开启后门,从而达到远程控制的功能。但是,上述方法很容易被各种安全工具检测出来,通过清理后门程序,就可以封闭黑客人侵的通道。如果黑客“合理”的利用系统自身存在的某些漏洞,就无需费时费力的种植木马,同样可以达到悄无声息控制系统的功能。
Windows的粘贴建就是极有可能被黑客利用的工具,那么粘贴键究竟有哪些潜在的危险?如何才能彻底将其屏蔽呢?接下来就和危险漫步一起探个究竟吧。
在默认情况下,上述快捷键都处于激活状态。当触发按键时,系统会自动调用“c:\windows\syste32\setc.exe”程序,并弹出对应的确认窗体。
黑客侵入系统后,完全可以使用其它的程序(例如cmd.exe等)替换该程序,而Windows系统对“sehc.exe”文件并没有提供任何验证机制,只要使用者按下上述快捷键,就可以直接调用“sehc.exe”程序,这对系统存在着很大的伤害。例如黑客可以执行命令“coy/y%systmroot%\systm32\cm d.exe %systeroo t%\system3 2\s ethcexe”,使用“cmd.exe”程序来替换“ethc.exe”文件。当其再按下上述快捷键后,系统将直接调用“cmd.exe”程序,这就相当于开启了一个权限很大的Shell外壳程序。即使当前系统处于注销状态,也可以按照上述方法直接运行“cmd.exe”程序,此时使用者其实是以System用户的身份打开一个Shell界面,在其中仅仅需要执行“net uer myadin helo/ad”和“et loclgrup adinistrators myamin,add”命令,就可以创建一个名称为“myadmin”,密码为“hello”的管理员账户。还可以直接运行“explorer.exe”程序,打开Windows外壳程序,虽然System用户的桌面不会出现,但其任务栏和开始菜单是完全可用的,入侵者可队使用内置的管理工具,执行添加账户等非法操作。如果该机开启了远程桌面,终端服务的话,那么黑客可队不费吹灰之力掌控该机的使用权。避免上述风险的最好方法是关闭粘滞键,通常的方法是在控制面板中打开“辅助选项”程序,在弹出窗口。“键盘”面板中依次点击单个“设置”按钮,在弹出窗口中分别取消“使用快捷键”选项的选择状态。在“显示”和“鼠标”面板中分别点击“设置”按钮,在弹出窗口中分别取消“使用快捷键”选项的选择状态。这样看似上述快捷键就无法使用了。
上述方法似乎解除了粘滞键的威胁,实际上情况并非如此。当你注销当前账户后,在登录系统之前按下上述快捷键,就会发现Windows依然“执着”的运行“sethc.exe”程序,弹出对应的确认窗体。这是因为上述方法针对的是当前用户,而对System用户没有丝毫作用。在没有登录之前打开的进程具有System用户权限。即时您进入系统后取消了粘滞键,也不会对System用户发挥作用。最好的办法是趴System身份取消粘滞键,才可以彻底解除其威胁。这里我们就使用系统内置的“at.exe”程序来完成该任务。首先在服务管理器中保证“Taskcheduler"服务处于正常运行状态。之后使用管理员身份登录系统,在“开始”一“运行”菜单中执行命令“at 9:59/interactive cmd.exe”,注意其中的时间是假设的,假设当前的时间是“9:50分”,那么到达“9:59”后即可运行“cmd.exe”程序(预设时间和执行时间应该存在差异),您可以根据具体情况设置时间。稍后片刻后,“cmd.exe”程序就会自动运行,注意此时“cmd.exe”是以System用户身份启动的。在任务管理器中结束9“explorer.exe”程序,Win.dows桌面消失。接着在CMD窗口中执行“explorer.exe”程序,可以重新显示Wi_ndows桌面。之后进入控制面板,启动“辅助选项”程序,按照上述方法,将五个快捷键全部关闭即可。挂意,不要点击快捷键打开粘滞键设置窗口,否则修改仍旧失效。之后重新启动系统,危险的粘滞键就会彻底关闭了。
本文内容所提及均为本地测试或经过目标授权同意,旨在提供教育和研究信息,内容已去除关键敏感信息和代码,以防止被恶意利用。文章内提及的漏洞均已修复,作者不鼓励或支持任何形式的非法行为。