添加SHIFT后门又一法 学习如何查找后门

隐蔽权限维持新思路：利用Shift粘滞键与映像劫持实现后门驻留

在渗透测试与攻防演练中，如何实现持久、稳定且隐蔽的权限维持，是每位安全研究员与攻防专家持续探索的课题。传统后门方法往往因为行为特征明显、易被安全软件或管理员排查而失效。近期，在构建红队测试环境时，我们深入挖掘了一种更加贴近Windows系统底层机制、隐蔽性极佳的权限维持方法，其核心正是利用了系统原生辅助功能触发机制——连续按五次Shift键。本文将系统性地阐述这一利用Windows映像文件执行选项（Image File Execution Options, IFEO）进行权限维持的技术细节。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

具体实现步骤详解

本方法的核心是利用Windows系统的注册表项“映像文件执行选项”，通过劫持系统辅助工具管理器（sethc.exe）的启动路径实现权限维持。整个过程无需复杂工具，仅需一个自制的INF文件和一条系统命令。以下是实现本地提权和建立隐蔽入口的具体操作流程。

首先，您需要创建并保存一个特殊的INF配置文件。请将下述代码复制到文本编辑器中，并将其保存为后缀名为.inf的文件，例如命名为i.inf。

[Version]
Signature="$WINDOWS NT$"

[DefaultInstall]
AddReg=My_AddReg_Name

[My_AddReg_Name]
HKLM,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution options\sethc.exe,debugger,0x00000000,c:\windows\system32\cmd.exe

这段INF配置文件的核心作用是在注册表路径`HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\`下，为系统自带的辅助工具（粘滞键）程序sethc.exe创建一个“Debugger”字符串值。该值的作用是在目标程序（sethc.exe）启动时，系统实际执行的是指定的调试器程序。在本配置中，我们将调试器路径设置为c:\windows\system32\cmd.exe，即系统命令提示符，从而实现对粘滞键程序的劫持。

部署与触发：实战操作

创建INF文件后，下一步是将其部署到目标主机并激活配置。请将保存好的i.inf文件上传到目标服务器上一个您具有写入和执行权限的目录。通常，选择系统临时目录如c:\windows\temp\是一个相对常见且隐蔽的选择。

随后，在目标主机上打开命令提示符（CMD）或通过其他命令行入口，执行以下关键命令：

rundll32.exe setupapi,InstallHinfSection DefaultInstall 128 c:\windows\temp\i.inf

这条命令通过调用系统自带的`rundll32.exe`和`setupapi.dll`，以静默方式（无需图形界面确认）加载并执行INF文件中的`DefaultInstall`节，从而将注册表修改指令写入系统。整个过程通常没有明显弹窗或进程告警，在系统日志中留下的记录也较为常规，具备一定的隐蔽性。

配置生效后，当您或任何用户通过远程桌面（RDP）、本地控制台等方式到达系统的登录界面或锁定界面时，只需像往常一样连续按下键盘上的Shift键五次。此时，系统将不再启动默认的“粘滞键”辅助功能对话框，而是直接弹出一个以**SYSTEM权限**（或当前最高权限）运行的命令提示符（CMD）窗口。这个窗口为您提供了一个全新的、不依赖常规用户认证的、高权限的后门入口。

技术原理与隐蔽性深度分析

我们之所以选择通过命令行调用RUNDLL32来加载INF文件，而非使用图形界面的“安装”选项，主要基于行为隐蔽性的深度考量。在真实的运维或攻防环境中，命令行操作是系统管理员和自动化脚本的日常行为，其产生的日志记录（如进程创建、命令行参数）更容易融入正常的后台管理活动噪音之中，降低了被安全监测工具基于异常行为模型检测出来的风险。相较之下，直接双击INF文件安装或在图形界面下执行特定脚本，其行为模式可能更为突兀。

当然，任何一项权限维持技术都有其特定的应用场景、检测方法和对抗手段。安全工程师可以通过检查`Image File Execution Options`注册表路径下的可疑项、监控`sethc.exe`等系统可信程序的启动路径是否被篡改、以及分析登录界面下的异常进程创建行为来进行防御和溯源。如何根据实际环境灵活运用、权衡利弊，并采取相应的规避或加固措施，是攻防技术的艺术所在。

（本文所述技术思路旨在用于安全研究、授权测试与防御能力建设，相关方法参考自业界安全研究交流。）