Sitat av
vurezo
Antar de har BIOS passord, så det jeg gjorde sistgang var å ta harddisken/SSD'en ut av laptoppen, plugge den i en annen PC og starte opp fra Hiren's BootCD. Du får admin lokalt på PC'en men ikke AD admin. Anbefaler å lage en ny bruker med admin så det blir mindre problemer med AD polisen skolen bruker.
sethc hvis du fikk tilgang på Windows PE og fikk gjort det har du ca. 2-5 sekunder på å åpne CMD vinduet før Windows Defender karanterer fila og lukker vinduet. Gjelder bare å være kjapp nok, skriv f. eks. "taskmgr" så kan du lage en ny cmd prosess etterpå.
Jeg tror det er relativt lett å forbigå denne sjekken, hvis man fjerner sethc filen, og istedenfor legger inn sethc.bat istedenfor, som peker til cmd. Evt. modifiserer environment variables til å også ha .lnk file extension, og lage en snarvei med navn sethc.lnk.
Har aldri prøvd overnevnte metode selv, men tror det er god mulighet for at det fungerer da sjansen er stor for at Windows internt påkaller sethc som sethc og ikke med extension bakpå. Antivirus som fanger opp sethc triks vil jeg tro fanger det på checksum av selve sethc.exe i seg selv. Å sjekke checksum av sethc er mye smartere enn det antivirus var for ti år siden, men checksum test mot en snarveifil som ikke eksisterer originalt i Windows en gang, skulle jeg likt å se.
Hvis man prøver seg på bat metoden jeg har teorisert ovenfor, skriv start cmd.exe i bat filen, så starter den en autonom process som ikke er tilknyttet bat filens vindu, så om antivirus hogger av hodet på bat filen så har du enda klart å vokse frem et rent cmd vindu fra den originale filen.
Bare husk å skriv start før kommandoene du skriver i cmd vinduet, slik at du starter et prosesuavhengig nytt vindu.
Sist endret av KrølleBølleBrur; 29. oktober 2023 kl. 15:15.