权限持久化—映像劫持检测（Shift后门）[通俗易懂]

大家好，又见面了，我是你们的朋友全栈君。

映像劫持说白了还是利用了windows的一些特性，当你点击可执行文件进行执行时，系统并不会直接就对可执行文件进行执行，而是首先对注册表的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options，这个路径下面如果存在和该程序名称完全相同的子键，就查询对应子健中包含的“Dubugger”键值名，并用其指定的程序路径来代替原始的程序，之后执行的是遭到“劫持”的虚假程序。

比较常用的是shift后门的用法。

在这个路径下，HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options，创建或者修改sethc.exe 如下图所示，那么可以在不登陆的情况下，点击5次shift时调出cmd

测试一下

貌似因为是系统给启动的，直接继承系统权限了。。。。

应急响应时排查HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options

这个下面有没有奇奇怪怪东西就可以了。

版权声明：本文内容由互联网用户自发贡献，该文观点仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容， 请发送邮件至 举报，一经查实，本站将立刻删除。

发布者：全栈程序员栈长，转载请注明出处：https://javaforall.cn/192385.html原文链接：https://javaforall.cn