Normalde standart bir Windows 7 bilgisayarın oturum açma ekranı aşağıdaki gibidir:
Windows oturum açma ekranında iken, Windows+U tuş takımına basıldığında veya sol alttaki ikona basıldığında, Utilman.exe adlı bir uygulama çalışır. Böylece, Ease of Access ekranı ile karşılaşılır.
Benzer olarak, Windows oturum açma ekranında iken, SHIFT/CTRL/ALT/Windows Logo tuşlarına 5 kere basıldığında, sethc.exe adlı bir uygulama çalışır. Böylece, Sticky Keys ekranı ile karşılaşılır.
Eğer yerel yönetici hakları ile işletim sistemine erişim sağlanmış ise, Kayıt Defteri üzerinde değişiklik gerçekleştirilebilir. Standart durumda, “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options” anahtarı altında herhangi bir anahtar veya değer bulunmamaktadır.
Image File Execution Options ile bir uygulama, başka bir uygulama altında debugger olarak çalışması sağlanır. Eğer Kayıt Defteri üzerinde belirtilen dizinde, Utilman.exe veya sethc.exe adlı yeni bir anahtar oluşturulup, içerisine de Debugger adında bir değer eklenerek değerin verisi cmd.exe gibi bir uygulama adı olarak ayarlanırsa, Utilman.exe veya sethc.exe uygulaması debugger olarak cmd.exe kullanır. Böylece komut satırı elde edilmiş olur.
Bu durumda Windows+U tuş kombinasyonuna basıldığında komut satırı kullanıcı hakkı ile açılmaktadır.
Not: Eğer sethc.exe anahtarı eklenerek değişiklik yapılsaydı, 5 kere SHIFT tuşuna basıldığında komut satırı elde edilirdi. Benzer uygulamalar aşağıdaki gibi sıralanabilir.
- Sethc.exe –> Tetiklleyici: 5 kere Shift tuşu
- Utilman.exe –> Tetiklleyici: Windows tuşu + U
- Osk.exe –> Tetiklleyici: Ekrandaki On-screen tuşu
- Magnify.exe –> Tetiklleyici: Windows tuşu + =
- Narrator.exe –> Tetiklleyici: Windows tuşu + Enter
Kayıt Defteri üzerinde değişiklik yapıldıktan sonra, uzak masaüstü bağlantısı yapıldıktan sonra veya fiziksel erişim elde edildikten sonra, Windows oturum açma ekranına gelindiğinde ve Windows+U tuş kombinasyonuna basıldığında veya sol alttaki Ease of Access ikonuna tıklandığında, Winlogon.exe prosesinin çalıştığı haklar ile (SYSTEM hakları ile) komut satırı elde edilmiş olur.
Not: Kayıt Defteri üzerinde, cmd.exe yerine başka bir uygulama çalıştırılması durumunda, belirtilen uygulama debugger olarak çalışacaktır.
İpucu
Kayıt Defteri üzerinde gerçekleştirilen veri ekleme işlemi komut satırıyla reg.exe aracı ile de gerçekleştirilebilir. Bu sebeple, hedef bilgisayarın komut satırına erişim sağlanmışsa, aşağıdaki komutla sistem üzerinde arka kapı bırakılabilir.
REG ADD “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Utilman.exe” /v Debugger /t REG_SZ /d “C:\Windows\System32\cmd.exe” /f