手工克隆Windows操作系统躲藏帐户[Windows安全]

　　黑客在入侵目标后,普通会在目标电脑上留下后门,以便长期掌握这台电脑.但是后门终归是黑客工具,是杀毒软件的查杀目标之一,大概杀毒软件进级后后门就被删除了.但是有一种后门是永久不会被杀毒软件查杀的,就是躲藏的系统克隆帐户.

　　★编辑提醒:

　　克隆帐户是最躲藏的后门

　　在Windows中,每一个帐户在注册表中都有对应的键值,这个键值影响着该帐户的权限.当黑客在注册表中着手脚复制键值后,便可以将一个用户权限的帐户克隆成具有管理员权限的帐户,并且将这个帐户举行躲藏.躲藏后的帐户无论是在“用户管理”还是“号令提醒符”中都是不可见的.因此普通的计算机管理员很少会发现躲藏帐户,危害非常宏大.

　　用号令行情势增添帐户

　　点击“开始”→“运行”,输入“cmd”运行“号令提醒符”,输入以下号令:net user test$ /add并回车,这样便可以在系统中成立一个名为test$的帐户.持续输入:net localgroup administrators test$ /add并回车,这样便可以把test$帐户晋升到管理员权限.

　　●增添一个躲藏帐户

　　Step 01点击“开始”→“运行”,输入“regedt32.exe”后回车,弹出“注册表编辑器”.在regedt32.exe中来到“HKEY_LOCAL_MACHINESAMSAM”处,点击“编辑”菜单→“权限”,在弹出的“SAM的权限”编辑窗口中选“administrators”帐户,在下方的权限设置处勾寻完好掌握”,完成后点击“肯定”便可.

　　●设置注册表操作权限

　　Step 02在“运行”中输入“regedit.exe”运行“注册表编辑器”,定位到“HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames”处,点击躲藏帐户“test$”,在右边显示的键值中的“范例”一项显示为0x404,向上来到“HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers”处,可以找到“00000404”这一项,这二者是彼此对应的,躲藏帐户“test$”的全部信息都在“00000404”这一项中.一样的,我们可以找到“administrator”帐户所对应的项为“000001F4”.

　　Step 03将“test$”的键值导出为test$.reg,同时将“00000404”和“000001F4”项的F键值辨别导出为user.reg,admin.reg.用“记事本”翻开admin.reg,将此中“F”值背面的内容复制下来,替换user.reg中的“F”值内容,完成后保存

　　●查找躲藏帐户对应键值

　　Step 04在“号令提醒符”中输入“net user test$ /del”号令,将我们成立的躲藏帐户删除.别慌张,这一步只是删除了躲藏帐户的“空壳”,就像入侵后清理痕迹一样,做好的躲藏帐户是不会发生改变的.最后,我们双击test$.reg和user.reg这两个注册表文件,将它们导入到注册表中就大功告成了.