Windows—程序替换(shift后门)

实现原理

在权限维持技术中，shift后门算是这个是比较老的一种技术了，原理在windows中有一些辅助功能，它能在用户未登录系统之前可以通过组合键来启动它，类似的辅助功能有：

1. C:WindowsSystem32sethc.exe 粘滞键，启动快捷键：按五次shift键
2. C:WindowsSystem32utilman.exe 设置中心，启动快捷键：Windows+U键

当然，还有以下多个程序的快捷方式：

屏幕键盘：C:WindowsSystem32osk.exe
放大镜：C:WindowsSystem32Magnify.exe
旁白：C:WindowsSystem32Narrator.exe
显示切换器 C:WindowsSystem32DisplaySwitch.exe
应用切换器：C:WindowsSystem32AtBroker.exe

在低版本的windows中，我们可以直接把setch.exe替换成我们的后门程序，下面我们把setch.exe替换为cmd.exe

在低版本的windows中，我们可以简单地替换程序实现shift后门，但是在高版本的windows版本中替换的文件受到了系统的保护，我们使用的是另外一种技术叫映像劫持。

操作步骤

在Windows系统中，粘滞键的文件是"sethc.exe"，存放在"C:WindowsSystem32"。我们可以修改sethc.ex 为cmd.exe 即可。将其替换为系统的命令行执行文件"cmd.exe"，系统就会误为"cmd.exe"是粘滞键功能，当用户连续按5次Shift键时，系统会调用"cmd.exe"打开命令行。

需要注意的是，在Windows Vista及以上的系统中，修改"sethc.exe"文件需要TrustedInstaller权限。

1. 进入目录C:WindowsSystem32，找到文件"sethc.exe"和"cmd.exe"
2. 需要修改"sethc.exe"的所有者，否则无法更改文件。右键打开"sethc.exe"的属性，选择安全->高级，把给当前账户(此处为Administrator)设置为所有者；选择安全->编辑，给当前账户(此处为Administrator)所有权限：
3. 将"sethc.exe"更名为"sethc2.exe"，作备份用
4. 将"cmd.exe"更名为"sethc.exe"，完成后门插入

5. 此时，在系统任意时刻连续按下5次Shift键，都会弹出cmd

6、接下来，我们就可以添加账户或者dump 账户密码，或者执行远程加载木马等。

如何排查

1、查看C:WindowsSystem32下sethc程序是否被替换，其他替换程序同样。

2、按五次shift，查看是否正常，其他程序替换同样方法查询。

屏幕键盘：C:WindowsSystem32osk.exe
放大镜：C:WindowsSystem32Magnify.exe
旁白：C:WindowsSystem32Narrator.exe
显示切换器 C:WindowsSystem32DisplaySwitch.exe
应用切换器：C:WindowsSystem32AtBroker.exe

3、使用第三方工具排查。

进入控制面板->轻松使用设置中心->使键盘更易于使用，取消粘滞键功能：

 

 

 

 

原文始发于微信公众号（贝雷帽SEC）：Windows—程序替换(shift后门)