É possível "sombrear" uma conexão rdp, mas ela teria que estar no "sandbox os" que foi comprometido ... não no host do invasor remoto. A pessoa que está seguindo a sombra poderá ver tudo o que o usuário está fazendo, mas apenas no host comprometido.
By default, a shadowee must explicitly give permission to allow their session to be shadowed. To be able to shadow without permission, the administrator must intentionally override this with a group policy set to allow shadowing without user permission.
Existem limitações:
- Apenas um administrador pode sombrear sessões.
- O sombreamento não está disponível em um grupo de trabalho.
Como sombrear o usuário? Deve estar em um servidor (os servidores de janela permitem pelo menos duas conexões remotas). Primeiro, obtenha o SessionID do usuário que você deseja sombrear.
cmd prompt >query session
ou abra o gerenciador de tarefas e vá para a aba "Usuários" para encontrar o SessionID de um usuário.
Depois de ter o SessionID,
cmd prompt>shadow <-SessionID->