|
|
我的绝招,一般人我不告诉别人。没办法为了一个精华贴,拼了!!!!绝对原创,我还准备去投稿呢。。。。。
很多人认为在系统里administrator的权限最大,用ntsd和taskkill这两个命令时,通过对PID值的控制,基本上可以结束任何进程,后面有一句话叫 除SYSTEM 进程外。 所以,拥有至高无上的特权的是system .那怎么样才能以system用户登录呢?
首先:结束当前账户的explorer 。有多种方法:
A.打开“任务管理器”,在“进程”一栏里找到EXPLORER.EXE,选择“结束进程”。
B.在运行对话框里输入taskkill /f /im explorer.exe /f 指定要强行终止的进程。/im 指定要终止进程的图像名。更多参数,可能输入taskkill /?进行查看。
C.在资源管理器里,打开进程这一栏,然后点“查看”--“选择列”。选择PID这一栏。记住explorer.exe 的PID值。在运行里输入ntsd -c q -p pid值。
以上三个方法都可以使用,A在一些情况下不能结束一些病毒程序,B和C就可以。个人感觉C更强大一些,不过他也还是不能结束SYSTEM的进程。
这个时候,我们进入主题。以SYSTEM用户登录。
我常用的步骤。。
1.打开“日期和时间属性”,方法是双击右下角的时间。可能有人会问为什么要找开这个窗口,不急往后面看。
2.通过“任务管理器”,用A方法结束EXPLORER.EXE进程。
3.点击“任务管理器”左上角的上“文件”选择“新建任务”
4.输入at 11:30 /interactivet %systemroot%\explorer.exe 注:11:30是你当前时间后的一点时间,上面不是有个“日期和时间属性”可以看到时间,如当前是11:29:20,这里输入11:30就很不错,%systemroot%表示我的c:\windows. /interactive 与当前用户进行交互。。。这个参数一定要,不然不行。
如没问题,到11:30的时候,系统就会以SYSTEM用户登录了。好怎么样才能知道呢,可以点桌面左下角的开始,在最上面显示的用户是SYSTEM。再就是在可以通过“任务管理器”查看你当前的进程的用户名。还有一种方法就是通过命令WHOIAM不过这个要装 XP SP2的工具包或者打上WindowsXP-KB838079-SupportTools-ENU.exe这个补丁包。
好么现在我们来看看实际应用。
1.不用说可以结束99.99%的进程。。
2.可以访问System Volume Information这个文件夹下的内容,还可以新建内容。这点大家应该知道,这个文件夹以管理员ADMINISTRATOR用户是也打不开,但我们在这种环境下可以打开,想想,如果你把你认为很私用的东东放在里面,呵呵。。。。这是不是一种很加密呢。
忘记说明了,FAT32格式下,管理员是可以访问的,在NTFS就不行。。。。。请注意楼下的贴子,有如何通过设置文件夹权限打开这个文件夹的,默认只有SYSTEM这个用户打开,只有在NTFS格式下,属性里才有这项。。。
3.大家知道,我们有的时候用VIST系统里面的高版本文件来替换系统文件上,会有一个文件保护的对话框,如果在我们这种环境下,呵。。。强!一个字
4.大家知道注册表里是有权限的,有一些键值,连ADMINISTRATOR用户也打不开,而这个东东病毒又会加载在里面,我们要删 的话,ADMINISTRATOR用户是删不掉的。在这个环境下,我们的SYSTEM就可派上用场了。。
对于第4点,我之前看到过对利用注册表的权限来防止病毒加载,如果我们以结合SYSTEM来实现,可以弥补利用注册表的权限来防止病毒加载的一些不足之处。
[ 本帖最后由 chinaheiyu 于 2008-1-7 13:55 编辑 ] |
评分
-
1
查看全部评分
-
|
发表于 2008-1-1 12:08:03
发表于 2008-1-2 22:03:20
有点乱,学不会!