返回列表 回復 發帖

怎樣建立和刪除系統隱藏帳號

當駭客入侵一臺主機後,會想方設法保護自己的“勞動成果”,因此會在肉雞上留下種種後門來長時間得控制肉雞,其中使用最多的就是帳戶隱藏技術。在肉雞上建立一個隱藏的帳戶,以備需要的時候使用。帳戶隱藏技術可謂是最隱蔽的後門,一般用戶很難發現系統中隱藏帳戶的存在,因此危害性很大,本文就對隱藏帳戶這種駭客常用的技術進行揭密。

  在隱藏系統帳戶之前,我們有必要先來瞭解一下如何才能查看系統中已經存在的帳戶。在系統中可以進入“命令提示符”,控制面板的“電腦管理”,“註冊表”中對存在的帳戶進行查看,而管理員一般只在 “命令提示符”和“電腦管理”中檢查是否有異常,因此如何讓系統帳戶在這兩者中隱藏將是本文的重點 。

  一、“命令提示符”中的陰謀

  其實,製作系統隱藏帳戶並不是十分高深的技術,利用我們平時經常用到的“命令提示符”就可以製作一個簡單的隱藏帳戶。

  點擊“開始”→“運行”,輸入“CMD”運行“命令提示符”,輸入“net user kao$ 123456 /add”, 回車,成功後會顯示“命令成功完成”。接著輸入“net localgroup administrators kao$ /add”回車, 這樣我們就利用“命令提示符”成功得建立了一個用戶名為“kao$”,密碼為“123456”的簡單“隱藏帳戶 ”,並且把該隱藏帳戶提升為了管理員許可權。

  .建立一個簡單的隱藏帳戶

  我們來看看隱藏帳戶的建立是否成功。在“命令提示符”中輸入查看系統帳戶的命令“net user”,回 車後會顯示當前系統中存在的帳戶。從返回的結果中我們可以看到剛才我們建立的“kao$”這個帳戶並不存 在。接著讓我們進入控制面板的“管理工具”,打開其中的“電腦”,查看其中的“本地用戶和組”,在 “用戶”一項中,我們建立的隱藏帳戶“kao$”暴露無疑。

  可以總結得出的結論是:這種方法只能將帳戶在“命令提示符”中進行隱藏,而對於“電腦管理”則 無能為力。因此這種隱藏帳戶的方法並不是很實用,只對那些粗心的管理員有效,是一種入門級的系統帳戶 隱藏技術。

  二、在“註冊表”中玩轉賬戶隱藏

  從上文中我們可以看到用命令提示符隱藏帳戶的方法缺點很明顯,很容易暴露自己。那麼有沒有可以在 “命令提示符”和“電腦管理”中同時隱藏帳戶的技術呢?答案是肯定的,而這一切只需要我們在“註冊 表”中進行一番小小的設置,就可以讓系統帳戶在兩者中完全蒸發。

  1、峰迴路轉,給管理員註冊表操作許可權

  在註冊表中對系統帳戶的鍵值進行操作,需要到“HKEY_LOCAL_MACHINESAMSAM”處進行修改,但是當我 們來到該處時,會發現無法展開該處所在的鍵值。這是因為系統默認對系統管理員給予“寫入D AC”和“讀 取控制”許可權,沒有給予修改許可權,因此我們沒有辦法對“SAM”項下的鍵值進行查看和修改。不過我們可 以借助系統中另一個“註冊表編輯器”給管理員賦予修改許可權。

  點擊“開始”→“運行”,輸入“regedt32.exe”後回車,隨後會彈出另一個“註冊表編輯器”,和我 們平時使用的“註冊表編輯器”不同的是它可以修改系統帳戶操作註冊表時的許可權(為便於理解,以下簡稱 regedt32.exe)。在regedt32.exe中來到“HKEY_LOCAL_MACHINESAMSAM”處,點擊“安全”菜單→“許可權” ,在彈出的“SAM的許可權”編輯窗口中選中“administrators”帳戶,在下方的許可權設置處勾選“完全控制 ”,完成後點擊“確定”即可。然後我們切換回“註冊表編輯器”,可以發現“HKEY_LOCAL_MACHINESAMSAM ”下麵的鍵值都可以展開了。

  提示:上文中提到的方法只適用於Windows NT/2000系統。在Windows XP系統中,對於許可權的操作可以 直接在註冊表中進行,方法為選中需要設置許可權的項,點擊右鍵,選擇“許可權”即可。
2、偷樑換柱,將隱藏帳戶替換為管理員

  成功得到註冊表操作許可權後,我們就可以正式開始隱藏帳戶的製作了。來到註冊表編輯器的 “HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames”處,當前系統中所有存在的帳戶都會在這裏顯示 ,當然包括我們的隱藏帳戶。點擊我們的隱藏帳戶“kao$”,在右邊顯示的鍵值中的“類型”一項顯示為 0x3e9,向上來到“HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers”處,可以找到“000003E9”這一項, 這兩者是相互對應的,隱藏帳戶“kao$”的所有資訊都在“000003E9”這一項中。同樣的,我們可以找到“ administrator”帳戶所對應的項為“000001F4”。

  將“kao$”的鍵值導出為kao$.reg,同時將“000003E9”和“000001F4”項的F鍵值分別導出為 user.reg,admin.reg。用“記事本”打開admin.reg,將其中“F”值後面的內容複製下來,替換user.reg 中的“F”值內容,完成後保存。接下來進入“命令提示符”,輸入“net user kao$ /del”將我們建立的 隱藏帳戶刪除。最後,將kao$.reg和user.reg導入註冊表,至此,隱藏帳戶製作完成。

  3、過河拆橋,切斷刪除隱藏帳戶的途徑

  雖然我們的隱藏帳戶已經在“命令提示符”和“電腦管理”中隱藏了,但是有經驗的系統管理員仍可 能通過註冊表編輯器刪除我們的隱藏帳戶,那麼如何才能讓我們的隱藏帳戶堅如磐石呢?

  打開“regedt32.exe”,來到“HKEY_LOCAL_MACHINESAMSAM”處,設置“SAM”項的許可權,將 “administrators”所擁有的許可權全部取消即可。當真正的管理員想對“HKEY_LOCAL_MACHINESAMSAM”下麵 的項進行操作的時候將會發生錯誤,而且無法通過“regedt32.exe”再次賦予許可權。這樣沒有經驗的管理員 即使發現了系統中的隱藏帳戶,也是無可奈何的。

  三.專用工具,使帳戶隱藏一步到位

  雖然按照上面的方法可以很好得隱藏帳戶,但是操作顯得比較麻煩,並不適合新手,而且對註冊表進行 操作危險性太高,很容易造成系統崩潰。因此我們可以借助專門的帳戶隱藏工具來進行隱藏工作,使隱藏賬 戶不再困難,只需要一個命令就可以搞定。

  我們需要利用的這款工具名叫“HideAdmin”,下載下來後解壓到c盤。然後運行“命令提示符”,輸入 “HideAdmin kao$ 123456”即可,如果顯示“Create a hiden Administrator kao$ Successed!”,則表 示我們已經成功建立一個帳戶名為kao$,密碼為123456的隱藏帳戶。利用這款工具建立的帳戶隱藏效果和上 文中修改註冊表的效果是一樣的。

  四、把“隱藏帳戶”請出系統

  隱藏帳戶的危害可謂十分巨大。因此我們有必要在瞭解了帳戶隱藏技術後,再對相應的防範技術作一個 瞭解,把隱藏帳戶徹底請出系統

  1、添加“$”符號型隱藏帳戶

  對於這類隱藏帳戶的檢測比較簡單。一般駭客在利用這種方法建立完隱藏帳戶後,會把隱藏帳戶提升為 管理員許可權。那麼我們只需要在“命令提示符”中輸入“net localgroup administrators”就可以讓所有 的隱藏帳戶現形。如果嫌麻煩,可以直接打開“電腦管理”進行查看,添加“$”符號的帳戶是無法在這 裏隱藏的。

  2、修改註冊表型隱藏帳戶

  由於使用這種方法隱藏的帳戶是不會在“命令提示符”和“電腦管理”中看到的,因此可以到註冊表 中刪除隱藏帳戶。來到“HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames”,把這裏存在的帳戶和“ 電腦管理”中存在的帳戶進行比較,多出來的帳戶就是隱藏帳戶了。想要刪除它也很簡單,直接刪除以隱 藏帳戶命名的項即可。

  3、無法看到名稱的隱藏帳戶

  如果駭客製作了一個修改註冊表型隱藏帳戶,在此基礎上刪除了管理員對註冊表的操作許可權。那麼管理 員是無法通過註冊表刪除隱藏帳戶的,甚至無法知道駭客建立的隱藏帳戶名稱。不過世事沒有絕對,我們可 以借助“組策略”的幫助,讓駭客無法通過隱藏帳戶登陸。點擊“開始”→“運行”,輸入“gpedit.msc” 運行“組策略”,依次展開“電腦配置”→“Windows 設置”→“安全設置”→“本地策略”→“審核策 略”,雙擊右邊的“審核策略更改”,在彈出的設置窗口中勾選“成功”,然後“確定”。對“審核登陸事 件”和“審核過程追蹤”進行相同的設置。

  開啟登陸事件審核功能

  進行登陸審核後,可以對任何帳戶的登陸操作進行記錄,包括隱藏帳戶,這樣我們就可以通過“電腦 管理”中的“事件查看器”準確得知隱藏帳戶的名稱,甚至駭客登陸的時間。即使駭客將所有的登陸日誌刪 除,系統還會記錄是哪個帳戶刪除了系統日誌,這樣駭客的隱藏帳戶就暴露無疑了。通過事件查看器找到隱 藏帳戶

  得知隱藏帳戶的名稱後就好辦了,但是我們仍然不能刪除這個隱藏帳戶,因為我們沒有許可權。但是我們 可以在“命令提示符”中輸入“net user 隱藏帳戶名稱 654321”更改這個隱藏帳戶的密碼。這樣這個隱藏 帳戶就會失效,駭客無法再用這個隱藏帳戶登陸。
返回列表