卸载Wscript.Shell,FSO,stream等对象,防止被提权挂马
Wscript.Shell,FSO和stream对象
1、卸载(关闭)Wscript.Shell
regsvr32 /u %windir%\system32\wshom.ocx
2、卸载(关闭)FSO
regsvr32 /u %windir%\system32\scrrun.dll
3、卸载(关闭)Shell.application
regsvr32 /u %windir%\system32\shell32.dll
4、卸载(关闭)Wscript.network
regsvr32 /u %windir%\system32\Wshext.dll
恢复的话,去掉/u就行了
清除几种隐藏帐户的方法
1、添加“$”符号型隐藏账户
对于这类隐藏账户的检测比较简单。一般黑客在利用这种方法建立完隐藏账户后,会把隐藏账户提升为管理员权限。那么我们只需要在“命令提示符”中输入“net localgroup administrators”就可以让所有的隐藏账户现形。如果嫌麻烦,可以直接打开“计算机管理”进行查看,添加“$”符号的账户是无法在这里隐藏的。
2、修改注册表型隐藏账户
由于使用这种方法隐藏的账户是不会在“命令提示符”和“计算机管理”中看到的,因此可以到注册表中删除隐藏账户。来到“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names”,把这里存在的账户和“计算机管理”中存在的账户进行比较,多出来的账户就是隐藏账户了。想要删除它也很简单,直接删除以隐藏账户命名的项即可。
Continue reading