怎样成立和删除系统躲藏帐号[网络技术]

　　怎样成立和删除系统躲藏帐号

　　当黑客入侵一台主机后,会千方百计保护自己的"劳动成果",因此会在肉鸡上留下各种后门来长时间得控 制肉鸡,此中利用最多的就是账户躲藏技术.在肉鸡上成立一个躲藏的账户,以备需求的时刻利用.账户隐 藏技术可谓是最躲藏的后门,普通用户很难发现系统中躲藏账户的存在,因此危害性很大,本文就对躲藏账 户这种黑客常用的技术举行揭密.

　　在躲藏系统账户之前,我们有必要先来理解一下若何才能查看系统中已经存在的账户.在系统中可以进 入"号令提醒符",掌握面板的"计算机管理","注册表"中对存在的账户举行查看,而管理员普通只在 "号令提醒符"和"计算机管理"中查抄能否有非常,因此若何让系统账户在这二者中躲藏将是本文的重点 .

　　1、"号令提醒符"中的诡计

　　其实,制作系统躲藏账户并非非常高深的技术,操纵我们平常常常用到的"号令提醒符"便可以制作 一个简单的躲藏账户.

　　点击"开始"→"运行",输入"CMD"运行"号令提醒符",输入"net user kao$ 123456 /add", 回车,成功后会显示"号令成功完成".接着输入"net localgroup administrators kao$ /add"回车, 这样我们就操纵"号令提醒符"成功得成立了一个用户名为"kao$",密码为"123456"的简单"躲藏账户 ",并且把该躲藏账户晋升为了管理员权限.

　　.成立一个简单的躲藏帐户

　　我们来看看躲藏账户的成立能否成功.在"号令提醒符"中输入查看系统账户的号令"net user",回 车后会显示当前系统中存在的账户.从返回的后果中我们可以看到方才我们成立的"kao$"这个账户并不存 在.接着让我们进入掌握面板的"管理工具",翻开此中的"计算机",查看此中的"本地用户和组",在 "用户"一项中,我们成立的躲藏账户"kao$"表露无疑.

　　可以总结得出的结论是:这种办法只能将账户在"号令提醒符"中举行躲藏,而关于"计算机管理"则 无能为力.因此这种躲藏账户的办法并非很实用,只对那些粗心的管理员有效,是一种入门级的系统账户 躲藏技术.

　　2、在"注册表"中玩转账户躲藏

　　从上文中我们可以看到用号令提醒符躲藏账户的办法缺陷很明显,很简单表露自己.那么有没有可以在 "号令提醒符"和"计算机管理"中同时躲藏账户的技术呢?答案是必定的,而这一切只需求我们在"注册 表"中举行一番小小的设置,便可以让系统账户在二者中完好蒸发.

　　1、峰回路转,给管理员注册表操作权限

　　在注册表中对系统账户的键值举行操作,需求到"HKEY_LOCAL_MACHINESAMSAM"处举行改正,但是当我 们来到该处时,会发现无法展开该处所在的键值.这是因为系统默许对系统管理员赐与"写入D AC"和"读 取掌握"权限,没有赐与改正权限,因此我们没有办法对"SAM"项下的键值举行查看和改正.不过我们可 以借助系统中另一个"注册表编辑器"给管理员赋予改正权限.

　　点击"开始"→"运行",输入"regedt32.exe"后回车,随后会弹出另一个"注册表编辑器",和我 们平常利用的"注册表编辑器"差别的是它可以改正系统账户操作注册表时的权限（为便于理解,以下简称 regedt32.exe）.在regedt32.exe中来到"HKEY_LOCAL_MACHINESAMSAM"处,点击"安全"菜单→"权限" ,在弹出的"SAM的权限"编辑窗口中选中"administrators"账户,在下方的权限设置处勾选"完好掌握 ",完成后点击"肯定"便可.然后我们切换回"注册表编辑器",可以发现"HKEY_LOCAL_MACHINESAMSAM "下面的键值都可以展开了.

　　提醒:上文中提到的办法只实用于Windows NT/2000系统.在Windows XP系统中,关于权限的操作可以 直接在注册表中举行,办法为选中需求设置权限的项,点击右键,挑选"权限"便可.

　　2、偷梁换柱,将躲藏账户替换为管理员

　　成功得到注册表操作权限后,我们便可以正式开始躲藏账户的制作了.来到注册表编辑器的 "HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames"处,当前系统中全部存在的账户城市在这里显示 ,当然包含我们的躲藏账户.点击我们的躲藏账户"kao$",在右边显示的键值中的"范例"一项显示为 0x3e9,向上来到"HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers"处,可以找到"000003E9"这一项, 这二者是彼此对应的,躲藏账户"kao$"的全部信息都在"000003E9"这一项中.一样的,我们可以找到" administrator"账户所对应的项为"000001F4".

　　将"kao$"的键值导出为kao$.reg,同时将"000003E9"和"000001F4"项的F键值辨别导出为 user.reg,admin.reg.用"记事本"翻开admin.reg,将此中"F"值背面的内容复制下来,替换user.reg 中的"F"值内容,完成后保存.接下来进入"号令提醒符",输入"net user kao$ /del"将我们成立的 躲藏账户删除.最后,将kao$.reg和user.reg导入注册表,至此,躲藏账户制作完成.

　　3、不知恩义,堵截删除躲藏账户的途径

　　固然我们的躲藏账户已经在"号令提醒符"和"计算机管理"中躲藏了,但是有经验的系统管理员仍可 能通过注册表编辑器删除我们的躲藏账户,那么若何才能让我们的躲藏账户坚如盘石呢?

　　翻开"regedt32.exe",来到"HKEY_LOCAL_MACHINESAMSAM"处,设置"SAM"项的权限,将 "administrators"所拥有的权限全部撤消便可.当真正的管理员想对"HKEY_LOCAL_MACHINESAMSAM"下面 的项举行操作的时刻将会发生错误,并且无法通过"regedt32.exe"再次赋予权限.这样没有经验的管理员 即便发现了系统中的躲藏账户,也是无可何如的.

　　三.专用工具,使账户躲藏一步到位

　　固然按照上面的办法可以很好得躲藏账户,但是操作显得对比麻烦,并不合适新手,并且对注册表举行 操作危险性太高,很简单造成系统崩溃.因此我们可以借助专门的账户躲藏工具来举行躲藏工作,使躲藏账 户不再艰难,只需求一个号令便可以搞定.

　　我们需求操纵的这款工具名叫"HideAdmin",下载下来后解压到c盘.然后运行"号令提醒符",输入 "HideAdmin kao$ 123456"便可,假如显示"Create a hiden Administrator kao$ Successed!",则表 示我们已经成功成立一个账户名为kao$,密码为123456的躲藏账户.操纵这款工具成立的账户躲藏效果和上 文中改正注册表的效果是一样的.

　　4、把"躲藏账户"请出系统

　　躲藏账户的危害可谓非常宏大.因此我们有必要在理解了账户躲藏技术后,再对呼应的防备技术作一个 理解,把躲藏账户完好请出系统

　　1、增添"$"标记型躲藏账户

　　关于这类躲藏账户的检测对比简单.普通黑客在操纵这种办法成立完躲藏账户后,会把躲藏账户晋升为 管理员权限.那么我们只需求在"号令提醒符"中输入"net localgroup administrators"便可以让全部 的躲藏账户现形.假如嫌麻烦,可以直接翻开"计算机管理"举行查看,增添"$"标记的账户是无法在这 里躲藏的.

　　2、改正注册表型躲藏账户

　　由于利用这种办法躲藏的账户是不会在"号令提醒符"和"计算机管理"中看到的,因此可以到注册表 中删除躲藏账户.来到"HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames",把这里存在的账户和" 计算机管理"中存在的账户举行对比,多出来的账户就是躲藏账户了.想要删除它也很简单,直接删除以隐 藏账户命名的项便可.

　　3、无法看到名称的躲藏账户

　　假如黑客制作了一个改正注册表型躲藏账户,在此底子上删除了管理员对注册表的操作权限.那么管理 员是无法通过注册表删除躲藏账户的,乃至无法知道黑客成立的躲藏账户名称.不过世事没有绝对,我们可 以借助"组战略"的帮忙,让黑客无法通过躲藏账户登陆.点击"开始"→"运行",输入"gpedit.msc" 运行"组战略",顺次展开"计算机配置"→"Windows 设置"→"安全设置"→"本地战略"→"考核策 略",双击右边的"考核战略更改",在弹出的设置窗口中勾选"成功",然后"肯定".对"考核登陆事 件"和"考核历程追踪"举行相同的设置.

　　开启登陆事件考核功效

　　举行登陆考核后,可以对任何账户的登陆操作举行记录,包含躲藏账户,这样我们便可以通过"计算机 管理"中的"事件查看器"精确得知躲藏账户的名称,乃至黑客登陆的时间.即便黑客将全部的登陆日记删 除,系统还会记录是哪个账户删除了系统日记,这样黑客的躲藏账户就表露无疑了.通过事件查看器找到隐 藏帐户

　　得知躲藏账户的名称后就好办了,但是我们仍旧不能删除这个躲藏账户,因为我们没有权限.但是我们 可以在"号令提醒符"中输入"net user 躲藏账户名称 654321"更改这个躲藏账户的密码.这样这个躲藏 账户就会失效,黑客无法再用这个躲藏账户登陆.