在windows 2000/xp/vista下,按shift键5次,可以打开粘置,会运行sethc.exe,而且,在登录界面里也可以打开。这就让人联想到WINDOWS的屏保,将程序替换成cmd.exe后,就可以打开shell了。
参考McafeeAvertLabs:
http://feeds.feedburner.com/~r/McafeeAvertLabsBlog/~3/101149799/
XP:
将安装源光盘弹出(或将硬盘上的安装目录改名)
cd %widnir%\system32\dllcache
ren sethc.exe *...
关于粘贴键后门
1.删除C:\WINDOWS\system32\sethc.exe前,先删除C:\WINDOWS\system32\dllcache\sethc.exe,否则dllcache里的文件会还原
2.打开注册表,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe,hack可能会在这里做文件映射,那么就算删除了sethc.exe,后门还是一样存在的
***************************
另, C:\WINDO...