賬戶隱藏技術是最隱蔽的後門,一般用戶很難發現系統中隱藏賬戶的存在,因此危害性很大。
在隱藏系統賬戶之前,介紹一下如何才能查看系統中已經存在的賬戶。在系統中可以進入“命令提示符”,控制面板的“計算機管理”,“註冊表”中對存在的賬戶進行查看,而管理員一般只在“命令提示符”和“計算機管理”中檢查是否有異常,因此如何讓系統賬戶在這兩者中隱藏是重點。
隱藏賬戶
一、“命令提示符”的隱藏
利用我們平時經常用到的“命令提示符”就可以製作一個簡單的隱藏賬戶。
運行“命令提示符”,輸入“net user aaa$ 123456789 /add”,回車,成功後會顯示“命令成功完成”。接着輸入“net localgroup administrators aaa$ /add”回車,這樣我們就利用“命令提示符”成功得建立了一個用戶名爲“aaa$”,密碼爲“123456789”的簡單“隱藏賬戶”,並且把該隱藏賬戶提升爲了管理員權限。
在“命令提示符”中輸入查看系統賬戶的命令“net user”,回車後會顯示當前系統中存在的賬戶。從返回的結果中我們可以看到剛纔我們建立的“aaa$”這個賬戶並不存在。打開“計算機管理”,查看其中的“本地用戶和組”,在“用戶”項中,我們建立的隱藏賬戶“aaa$”就會暴露。
注:這種方法只能將賬戶在“命令提示符”中進行隱藏,而對於“計算機管理”則無能爲力。因此這種隱藏賬戶的方法並不是很實用。
注:這種方法只能將賬戶在“命令提示符”中進行隱藏,而對於“計算機管理”則無能爲力。因此這種隱藏賬戶的方法並不是很實用。
二、“註冊表”中的隱藏
從上面中我們可以看到用命令提示符隱藏賬戶的方法很容易暴露自己。那麼我們可以在在“註冊表”中進行些設置使其在“命令提示符”和“計算機管理”中同時隱藏賬戶。
首先、 給管理員註冊表操作權限
在註冊表中對系統賬戶的鍵值進行操作,需要到“HKEY_LOCAL_MACHINE SAM SAM”處進行修改,現無法展開該處所在的鍵值。因爲系統默認對系統管理員給予“寫入”和“讀取控制”權限,因此我們沒有辦法對“SAM”項下的鍵值進行查看和修改。
所以要運行“regedt32.exe”後回車,隨後會彈出另一個“註冊表編輯器”,在regedt32.exe中來到“HKEY_LOCAL_MACHINE SAM SAM”處,點擊“安全”菜單→“權限”,在彈出的“SAM的權限”編輯窗口中選中“administrators”賬戶,在下方的權限設置處勾選“完全控制”,完成後點擊“確定”即可。然後我們切換回“註冊表編輯器”,可以發現“HKEY_LOCAL_MACHINESAMSAM”下面的鍵值都可以展開了。
提示:上文中提到的方法只適用於Windows NT/2000系統。在Windows XP系統中,對於權限的操作可以直接在註冊表中進行,方法爲選中需要設置權限的項,點擊右鍵,選擇“權限”即可。
其次、將隱藏賬戶替換爲管理員
成功得到註冊表操作權限後,我們就可以正式開始隱藏賬戶的製作了。來到註冊表編輯器的“HKEY_LOCAL_MACHINE SAM SAM Domains Account Users Names”處,當前系統中所有存在的賬戶都會在這裏顯示,當然包括我們的隱藏賬戶。點擊我們的隱藏賬戶“aaa$”,在右邊顯示的鍵值中的“類型”一項顯示爲0x3ee,向上來到“HKEY_LOCAL_MACHINE SAM SAM Domains Account Users”處,可以找到“000003EE”這一項,這兩者是相互對應的,隱藏賬戶“aaa$”的所有信息都在“000003EE”這一項中。同樣的,我們可以找到“administrator”賬戶所對應的項爲“000001F4”。 將“aaa$”的鍵值導出爲“aaa$.reg”,同時將“000003EE”和“000001F4”項的F鍵值分別導出爲user.reg,admin.reg。用“記事本”打開admin.reg,將其中“F”值後面的內容複製下來,替換user.reg中的“F”值內容,完成後保存。接下來進入“命令提示符”,輸入“net user aaa$ /del”將我們建立的隱藏賬戶刪除。最後,將aaa$.reg和user.reg導入註冊表,至此,隱藏賬戶製作完成。
然後、切斷刪除隱藏賬戶的途徑
雖然我們的隱藏賬戶已經在“命令提示符”和“計算機管理”中隱藏了,但是有經驗的系統管理員仍可能通過註冊表編輯器刪除我們的隱藏賬戶,那麼我們可以
然後、切斷刪除隱藏賬戶的途徑
雖然我們的隱藏賬戶已經在“命令提示符”和“計算機管理”中隱藏了,但是有經驗的系統管理員仍可能通過註冊表編輯器刪除我們的隱藏賬戶,那麼我們可以
打開“regedt32.exe”,來到“HKEY_LOCAL_MACHINE SAM SAM”處,設置“SAM”項的權限,將“administrators”所擁有的權限全部取消即可。之後便無法再進行權限操作。
注:雖然按照上面的方法可以很好得隱藏賬戶,但是操作顯得比較麻煩,並不適合新手,而且對註冊表進行操作危險性太高,很容易造成系統崩潰。建議藉助專門的賬戶隱藏工具來進行隱藏工作。
查看並清除隱藏賬戶
1> 添加“$”符號型隱藏賬戶
對於這類隱藏賬戶的檢測比較簡單。我們只需要在“命令提示符”中輸入“net localgroup administrators”就可以讓所有的隱藏賬戶現形。也可以直接打開“計算機管理”進行查看,添加“$”符號的賬戶是無法在這裏隱藏的。
2> 修改註冊表型隱藏賬戶
在“HKEY_LOCAL_MACHINE SAM SAM Domains Account Users Names”,把這裏存在的賬戶和“計算機管理”中存在的賬戶進行比較,多出來的賬戶就是隱藏賬戶了。想要刪除,直接刪除以隱藏賬戶命名的項即可。
3> 無法看到名稱的隱藏賬戶
如果製作了一個修改註冊表型隱藏賬戶,並刪除了管理員對註冊表的操作權限。那麼管理員是無法通過註冊表刪除隱藏賬戶,也無法知道隱藏賬戶名稱。我們可以藉助“組策略,“計算機配置中的“審覈策略”,雙擊右邊的“審覈策略更改”,在彈出的設置窗口中勾選“成功”,然後點“確定”。對“審覈登陸事件”和“審覈過程追蹤”進行相同的設置。
4> 開啓登陸事件審覈功能
進行登陸審覈後,我們就可以通過“計算機管理”中的“事件查看器”準確得知隱藏賬戶的名稱,甚至登陸的時間。即使將所有的登陸日誌刪除,系統還會記錄是哪個賬戶刪除了系統日誌。
5> 通過事件查看器找到隱藏帳戶
得知隱藏賬戶的名稱後,因不能刪除這個隱藏賬戶,我們沒有權限。但是我們可以在“命令提示符”中輸入“net user 隱藏賬戶名稱 987654321”更改這個隱藏賬戶的密碼,使隱藏賬戶就會失效。
得知隱藏賬戶的名稱後,因不能刪除這個隱藏賬戶,我們沒有權限。但是我們可以在“命令提示符”中輸入“net user 隱藏賬戶名稱 987654321”更改這個隱藏賬戶的密碼,使隱藏賬戶就會失效。