Tasti permanenti su RDP

Si dice che malware / rootkit e altre tecniche dannose utilizzino la vecchia ma affidabile tecnica "sticky keys", in cui "sethc.exe" viene sovrascritto con una copia di "cmd .exe " per fornire accesso non autenticato durante l'accesso RDP, link , un esempio è Hikit Rootkit, link , Sappiamo anche che non possiamo sostituire sethc.exe con i privilegi di amministratore A meno che non otteniamo il privilegio Privilegio proprietario o Installer attendibile

I Criteri di gruppo non possono salvarci da questi attacchi dannosi poiché gli utenti malintenzionati spesso installano software dannoso e quindi hanno privilegi di programma di installazione di fiducia che possono facilmente cambiare registro e criteri di gruppo

Modifica

Protezione di Microsoft Windows Come la firma del codice che autentica il codice o l'app provengono da un editore affidabile, ovvero Microsoft impedisce l'alterazione dell'app poiché è firmata dal codice, Ulteriore file e Registry Virtualization e UAC impediscono al programma di installazione di scrivere in cartelle protette come System32, puoi vedere questo quando il tuo programma di installazione prova a scrivere su system32 o HKLM chiave di registro, le scritture vengono reindirizzate in posizioni diverse e l'installer crede di aver scritto su system32 che non ha, ricercando su questo sono giunto alla conclusione che Malware prima guadagni Debug privilegia in modo che sia autorizzato a iniettare il codice in applicazioni con privilegi elevati, quindi ottiene altri privilegi e anche il cambiamento di Manifest dell'applicazione è difficile come l'editore, cioè Microsoft lo firma ma dopo aver ottenuto privilegi come i privilegi di debug può fare qualsiasi cosa