三

　　Folder.htt与desktop.ini

　　将改写的Folder.htt与desktop.ini，还有你的木马或者是VBS或者是什么，放到对方管理员最可能浏览的目录下，觉得一个不够，可以多放几个

　　Folder.htt添加代码

　　但是后门和这两个文件必须要放到一块，有点问题，可以结合启动VBS，运行结束后，删除上传的后门.就是CODEBASE="shell.vbs".shell写法如上

　　四

　　replace

　　替换法，可以替换正在执行的文件。用这个几乎可以马上得到权限，但是我没有做过试验，可以试下，将对方正在执行的文件替换为和它文件名一样的，捆绑了木马的。为什么不直接替换木马呢?如果替换的是关键程序，那不是就直接挂了?所以还是捆绑好点 www.bitsCN.net网管博客等你来搏

　　格式

　　REPLACE [drive1:][path1]filename [drive2:][path2] [/A]

　　[/R] [/W]

　　REPLACE [drive1:][path1]filename [drive2:][path2]

　　[/R] [/S] [/W]

　　[drive1:][path1]filename 指定源文件。

　　[drive2:][path2] 指定要替换文件的

　　目录。

　　/A 把新文件加入目标目录。不能和

　　/S 或 /U 命令行开关搭配使用。

　　/P 替换文件或加入源文件之前会先提示您

　　进行确认。

　　/R 替换只读文件以及未受保护的

　　文件。

　　/S 替换目标目录中所有子目录的文件。

　　不能与 /A 命令选项

　　搭配使用。

　　/W 等您插入磁盘以后再运行。

　　/U 只会替换或更新比源文件日期早的文件。

　　不能与 /A 命令行开关搭配使用

　　这个命令没有试验过，看能不能替换不能访问的文件夹下的文件，大家可以试验下

　　五

　　脚本

　　编写一个启动/关机脚本配置文件scripts.ini，这个文件名是固定的，不能改变。内容如下：

　　[Startup]

　　0CmdLine=a.bat

　　0Parameters=

　　将文件scripts.ini保存到"C:\\winnt\\system32\\GroupPolicy\\Machine\\Scripts"

　　A.BAT的内容可以是NET USER yonghu mima

　　也可以是NET USER ADMINistrator XXX

　　这样可以恢复你想要得任意用户名的密码，也可以自己增加新的用户，但是要依赖重启，还有就是对SYSTEM32有写的权限

　　六

　　SAM

　　如果可以访问对方的SYSTEM32的话，删除对方的SAM文件，等他重启以后就是ADMIN用户密码为空

　　突然又有了想法，可以用REPLACE命令替换的吗，可以把你的SAM文件提取出来，上传到他的任意目录下，然后替换。不过不知道如果对SYSTEM32没有权限访问的话，能不能实现替换。