Se informa que
Malware / rootkit y otras técnicas malintencionadas utilizan la antigua pero confiable técnica de "teclas adhesivas", por lo que "sethc.exe" se sobrescribe con una copia de "cmd .exe " para proporcionar acceso no autenticado durante el inicio de sesión de RDP, enlace , un ejemplo es Hikit Rootkit, enlace , también sabemos que no podemos reemplazar sethc.exe con privilegios de administrador A menos que obtengamos el privilegio de Tomar posesión o el instalador de confianza privilegiado
La
Política de grupo no puede salvarnos de estos ataques maliciosos, ya que los atacantes a menudo instalan software malicioso y, por lo tanto, tienen privilegios de instalador de confianza que pueden cambiar fácilmente el registro y la política de grupo
Editar
Protección de Microsoft Windows Al igual que la firma de código que autentica que el código o la aplicación provino de un editor de confianza, es decir, Microsoft evita la manipulación indebida de la aplicación ya que está firmada por el código, la virtualización de archivos y registros adicionales y UAC evitan que el instalador escriba en carpetas protegidas como System32. puede ver esto cuando su instalador intenta escribir en system32 o en la clave de registro de HKLM, las escrituras se redirigen a una ubicación diferente y el instalador cree que ha escrito en system32 que no lo ha hecho. Al investigar sobre esto, llegué a la conclusión de que Malware primero gana la depuración. privilegios para que esté autorizado a inyectar código en una aplicación de alto privilegio, luego gana otros privilegios y también es difícil cambiar el Manifiesto de la aplicación como publicador, es decir, Microsoft lo firma, pero después de obtener súper privilegios como los privilegios de depuración, puede hacer cualquier cosa