简介

放大镜后门，与粘滞键后门类似，是一种利用Windows系统自带的辅助功能的权限维持技术。攻击者会将"magnify.exe"(放大镜程序)替换为"cmd.exe"实现权限维持。

当用户在登录界面通过辅助功能选项尝试打开放大镜功能时，系统实际上启动了一个命令提示符窗口。

从Windows 10开始，微软已经提高了系统安全性，禁止了在登录屏幕运行某些命令及应用程序，因此这种后门方法在新版Windows系统中应该已经失效。

原理

放大镜是Windows提供的一种辅助功能，通常用于帮助视力不佳的用户查看屏幕的某个部分。在Windows系统中，放大镜的文件是"magnify.exe"，存放在"C:\Windows\System32"。

一般情况下，"magnify.exe"只能启动放大镜功能。但是如果攻击者将其替换为系统的命令行执行文件"cmd.exe"，只要通过辅助设置尝试启动放大镜时，系统实际上会调用"cmd.exe"打开命令行窗口。

该命令行是系统级的，没有权限限制，攻击者通过此命令行可以进行包括但不限于创建新的用户账户、修改用户权限和密码、查看和修改系统文件等操作。

整个过程在登录界面即可完成，攻击者不需要知道系统账户和密码，就绕过了系统的登录保护。

需要注意的是，在Windows Vista及以上系统中，修改"magnify.exe"文件需要TrustedInstaller权限。在新版的Windows系统中，已经修复了此类后门，即使替换了"magnify.exe"，也不会在锁屏状态下打开命令行窗口。

复现

1. 进入目录C:\Windows\System32，找到文件"magnify.exe"和"cmd.exe"
2. 需要修改"magnify.exe"的所有者，否则无法更改文件。右键打开"magnify.exe"的属性，选择安全->高级，把给当前账户(此处为Administrator)设置为所有者；选择安全->编辑，给当前账户(此处为Administrator)所有权限：

1. 将"magnify.exe"更名为"magnify.exe.bak"，作备份用
2. 将"cmd.exe"更名为"magnify.exe"，完成后门插入
3. 进入登录页面(锁屏状态)，选择右下角轻松访问，勾选放大镜，成功弹出命令行窗口

1. 将"magnify.exe.bak"更名为"magnify.exe”，恢复功能

防范

从Windows 10开始，微软已经提高了系统安全性，禁止了在登录屏幕运行某些命令及应用程序，因此这种后门方法在新版Windows系统中应该已经失效