Plaktoets hack

In deze opdracht gaan we een achterdeur maken in Windows.
We gaan het plaktoets programma vervangen door een ander programma.
Je hebt hier de Windows herstel USB voor nodig.

Update 2018-09-18

NB. In de laatste update van Windows en Windows Defender zijn een aantal zaken veranderd waardoor:

  • De plaktoetsen niet meer werken op het logscherm.
  • Windows Defender detecteert het als sethc.exe is vervangen door een ander programma en blokkeert de aanval.

De plaktoets hack is nog steeds mogelijk, alleen moeten we wat extra stappen doen.  🙂
Deze stappen zijn hieronder toegevoegd.

Opdracht 1: wat zijn de plaktoetsen

Druk 5x achter elkaar op de shift toets.

Je krijgt dan de volgende melding op je scherm.

Klik op Nee om die venster te sluiten.

Opdracht 2: Wat is de bestandslocatie en naam van het plaktoets programma?

 

Open verkenner

En blader naar C: -> Windows -> System32

 

 

Opdracht 3: Kopie maken van sethc.exe

Voordat we het sethc.exe programma vervangen maken we een kopie zodat we onze wijzigingen ongedaan kunnen maken.

Klik rechts op sethc.exe en kies voor kopiëren.

En probeer het te plakken in dezelfde map. (C:\Windows\System32)

Dit mislukt als je niet voldoende rechten hebt op het systeem.

Als het niet lukt dan sla je een kopie op in Documenten.

Opdracht 3: probeer sethc.exe te verwijderen

Open verkenner

En blader naar C: -> Windows -> System32

Selecteer sethc.exe en druk op delete.

Je krijgt een foutmelding dat dit niet mogelijk is.

Opmerking: Als windows actief is kan je niet zomaar iets wijzigen in de map C:\Windows\System32
We hebben dus een truc / hack nodig om daar iets te kunnen wijzigen.

Opdracht 4: Uitloggen

Klik recht op de Windows start knop

En kies voor “Afsluiten of afmelden”-> “Afmelden”

Opdracht 5: Test plaktoets op het inlogscherm

De plaktoetsen werken niet meer op het loginscherm!

Je kan het nog wel testen als je ingelogd bent.

Druk 5 x op SHIFT.

Als het goed is verschijnt onderstaand plaktoets programma ook op het inlogscherm!

Opdracht 5: Computer opnieuw opstarten met USB Stick

We sluiten de computer af. (uit)

We stoppen onze Windows Herstel USB stick in de computer.

Onderstaande stappen kunnen verschillen per computer!
Als we van de USB stick willen opstarten in plaats van de harde schijf moeten we dat aanpassen in het boot menu of in het BIOS.

Als we de computer aanzetten moeten we of F2 of F12 drukken om in het BIOS of bootmenu te komen.

Daarna moeten we onze USB stick kiezen als optie om mee op te starten.

Als dit gelukt is verschijnt uiteindelijk onderstaande scherm

 

We kiezen Verenigde Staten

We kiezen Problemen oplossen

In het volgende scherm

kiezen we voor Geadvanceerde opties

Kies voor Opdrachtprompt

Er verschijnt een venster waarin we commando’s kunnen invoeren:

Opdracht 6: We bepalen op welke schijf windows staat:

In het zwarte scherm zie je dat we op de X: staan.
Dit is de drive die gekoppeld is aan je USB stick.
We willen wijzigingen doorvoeren op de harde schijf van de pc of laptop.
Met het commando bcdedit kunnen we bepalen op welke schijf windows staat.

In dit geval is het schijf C:

Opdracht 7: Windows Defender uitschakelen:

We gaan naar de C: schijf.

We koppelen de SYSTEM hive van de registry.

We starten register-editor (regedit)

We gaan naar het mapje waar de Windows Defender Service wordt gestart.

We passen de start key aan: er staat een 2 (= Automatic) en daar maken we 4 (=Disabled) van.

We sluiten register-editor af.

En we maken de koppeling ongedaan.

We maken een nieuwe koppeling om een Windows Policy aan te maken die Antivirus uitschakelt.

We starten de register-editor opnieuw.
En maken de volgende key aan: DisableAntiSpyware en geven die de waarde 1

We sluiten register-editor af.

En we maken de koppeling ongedaan.

We sluiten af en herstarten het systeem tot aan het login scherm om de aangemaakt policy te activeren.

Als we het loginscherm van Windows zien dan starten we opnieuw op van de USB Stick.

Opdracht 8: we vervangen sethc.exe door cmd.exe

Herhaal stap 1 t/m 6 totdat je weer op de schijf staat waar Windows is.

We gaan nu de Windows mappen in met onderstaand commando:

We maken een reserve kopie van sethc.exe voor het geval we de wijziging willen terugdraaien:

We vervangen sethc.exe door cmd.exe

Druk “Y” en druk op Enter

Staat er 1 file(s) copied ? dan is het gelukt!

Nee… dan heb je misschien een type foutje gemaakt… probeer het nog eens.

Zo ja,
Actie: Voer het commando “exit” in en druk op Enter.

Het volgende scherm verschijnt:

 

Klik Doorgaan

Opdracht 7: Achterdeur testen

Als het inlogscherm verschijnt… druk dan 5x op SHIFT

Als je alles goed hebt gedaan dan verschijnt er een venster waar je commando’s kan invoeren.
Je kunt hier met commando’s een nieuwe gebruiker aanmaken of een ander wachtwoord toewijzen aan een bestaand account….

en nog veel meer……