sethc.exe是Windows的迟滞键执行程序,即连续按下5次shift键之后,会弹出迟滞键弹窗:
这个迟滞键往往会被利用进行一些不安全的入侵操作,例如修改登录密码。利用“启动修复”功能,就可以将cmd.exe命令控制台程序替换成sethc.exe,这样在登录窗口就可以连续按下5次shift键,调出命令控制台,继而通过net user new_pass修改用户登录密码。
这类后门的原理是通过将cmd.exe重命名成其他快捷键等方式执行程序,例如上述例子说的,将cmd.exe重命名成sethc.exe来欺骗操作系统,调出命令控制台进而修改登录密码。所以应对方式就是禁用或者对一些快捷键进行权限配置,可以参考:https://baike.baidu.com/item/sethc.exe/249570
延伸阅读:迟滞键是谁发明的? 这里摘抄一部分:
“粘滞键是80年代初发明的,当时叫 1-Finger,顾名思义初衷是帮助只有「一根手指」的用户。比如键入「@」,需要同时按住 Shift 和 2,这时候粘滞键就可以起作用了。当然,这个功能帮助到的人群远不止「一根手指」。有个天生双臂缺失的大爷给我演示过,他是怎么用电脑的,粘滞键发明前他是怎么解决 Ctrl Shift 这些功能键的:他嘴里咬一根木棍儿,一头缠几圈橡皮筋——这是他操作电脑唯一的工具;然后他让家人帮他把5个一美分硬币摞在一起,用透明胶缠住,一坨硬币的一面再缠上一个小铁环,让木棍儿的橡皮头刚好可以穿过。需要按住 Shift 的时候,用木棍儿把一坨硬币吊到 Shift 上,重量刚好可以把键按下,再去按别的键,用完再把硬币吊走。”