黑客通常在溢出得到Shell後,會使用諸如net.exe、、user.exe、query.exe、regedit.exe、regsvr32.exe等系統自帶的命令來達到進一步控制服務器的目的。這裡我們可以將這些命令程序刪除或者改名(注意:在刪除或改名時,應該先停掉文件復制服務或者先將 %windir%/system32/dllcache/下的對應文件刪除或改名,以免被系統自動還原)。
如果你覺得上面那樣做太麻煩,可以在注冊表中修改禁用命令提示符。通過修改注冊表,可以禁止用戶使用命令提示符和運行批處理文件。具體方法為,在注冊表中找到鍵根HKEY_CURRENT_USER/Software/Policies/ Microsoft/Windows/System/,然後新建一個名為“DisableCMD”的雙字節(REG_DWORD)鍵,並將其鍵值修改為1,這樣命令提示符和批處理文件就都不能被運行。鍵值修改為2,則只是禁止命令提示符的運行,反之將鍵值改為0,則表示可以執行命令提示符和批處理文件。Tw.wiNGWit.com
From:http://tw.wingwit.com/Article/Network/201309/974.html