当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 隐藏的系统克隆帐户全了解

安全基础
smss.exe文件干啥用?smss进程病毒
去掉右键菜单中的显卡相关设置菜单
usb-creator创建启动U盘失败
autorun.inf病毒详解
偷菜行为可耻,租菜场游戏更有意思
解决Win XP打印共享问题
在搜索引擎中如何更加准确的找到自己需要的图片
新手入门:有效防止邮件病毒的侵入的9则技巧
推荐面向新浪微博的3款实用工具
如何彻底解决路由器安全问题
无线宽带路由故障问题解决方案
网络速度慢常见的23种解决方法
ekrn.exe占用CPU100%,认识ekrn.exe进程
邮件病毒定义及特征和防范邮件病毒入侵
新手指南:安装防火墙的注意事项
单位局域网打印共享服务器故障解决一例
双击不能打开盘符只能右键菜单打开
卸载电脑中应用程序的5种方法
Wi-Fi无线连接常见故障和解决办法
ADSL虚拟拨号出现故障的解决办法及注意事项

安全基础 中的 隐藏的系统克隆帐户全了解


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2010-05-03   浏览: 190 ::
收藏到网摘: n/a

  黑客在入侵目标后,通常会在目标电脑上留下后门,以便长期控制这台电脑。可是后门终归是黑客工具,是杀毒软件的查杀目标之一,可能杀毒软件升级后后门就被删除了。但是有一种后门是永远不会被杀毒软件查杀的,就是隐藏的系统克隆帐户。  

  ★编辑提示:  

  克隆帐户是最隐蔽的后门  

  在Windows中,每一个帐户在注册表中都有对应的键值,这个键值影响着该帐户的权限。当黑客在注册表中动手脚复制键值后,就可以将一个用户权限的帐户克隆成具有管理员权限的帐户,并且将这个帐户进行隐藏。隐藏后的帐户无论是在“用户管理”还是“命令提示符”中都是不可见的。因此一般的计算机管理员很少会发现隐藏帐户,危害十分巨大。

  用命令行模式添加帐户  

  点击“开始”→“运行”,输入“cmd”运行“命令提示符”,输入如下命令:net user test$ /add并回车,这样就可以在系统中建立一个名为test$的帐户。继续输入:net localgroup administrators test$ /add并回车,这样就可以把test$帐户提升到管理员权限。

  ●添加一个隐藏帐户  

  Step 01点击“开始”→“运行”,输入“regedt32.exe”后回车,弹出“注册表编辑器”。在regedt32.exe中来到“HKEY_LOCAL_MACHINESAMSAM”处,点击“编辑”菜单→“权限”,在弹出的“SAM的权限”编辑窗口中选“administrators”帐户,在下方的权限设置处勾寻完全控制”,完成后点击“确定”即可。  

  ●设置注册表操作权限  

  Step 02在“运行”中输入“regedit.exe”运行“注册表编辑器”,定位到“HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames”处,点击隐藏帐户“test$”,在右边显示的键值中的“类型”一项显示为0x404,向上来到“HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers”处,可以找到“00000404”这一项,这两者是相互对应的,隐藏帐户“test$”的所有信息都在“00000404”这一项中。同样的,我们可以找到“administrator”帐户所对应的项为“000001F4”。  

  Step 03将“test$”的键值导出为test$.reg,同时将“00000404”和“000001F4”项的F键值分别导出为user.reg,admin.reg。用“记事本”打开admin.reg,将其中“F”值后面的内容复制下来,替换user.reg中的“F”值内容,完成后保存  

  ●查找隐藏帐户对应键值  

  Step 04在“命令提示符”中输入“net user test$ /del”命令,将我们建立的隐藏帐户删除。别紧张,这一步只是删除了隐藏帐户的“空壳”,就像入侵后清理痕迹一样,做好的隐藏帐户是不会发生改变的。最后,我们双击test$.reg和user.reg这两个注册表文件,将它们导入到注册表中就大功告成了。