來源:歲月聯盟 豬豬
幾句廢話:黑基發了我的克隆帳戶之終結篇後,很多朋友對我文章提出了寶貴意見.由於原文是自己無聊時隨便寫的,很多地方不夠嚴謹.
於是我重新整理了此文,補充了一些資料,修改了不夠嚴謹的地方, 有問題歡迎來我blog上探討.
序:相信大家都用過克隆帳戶吧。無論是用工具還是用手工,克隆帳戶無疑是隱藏帳戶的最好選擇。但是看見網上的文章都講的特別麻煩。這樣那樣的。其實克隆帳戶很簡單。就是複製administrator的註冊表項。本篇文章針對已經使用過克隆的用戶,不針對對克隆帳戶一無所知者。我只講述下克隆的原理和方法。希望對大家有所啓發。
原理:我們的帳戶在註冊表裏都有他相應的鍵值,具體在 “[HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users ”administrator 的 項爲 “000001F4”下面有 2個二進制值 一個 是“F”一個是“V”。我一般克隆的都是 Guest用戶,所以我就拿這個克隆這個用戶做例子,克隆其他用戶方法相同。Guest的項爲 “000001F5”。其他用戶所對應的項可以從 “[HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/Names”下查看。我們所要做的就是把“1F4”下的“F”和“V”值複製到“1F5”下的對應值裏。這就是所說的克隆帳戶。
1 簡單克隆:
a,原理:只複製“F”值。這樣克隆出來的帳戶隱蔽性比完全克隆(一會要說到)要低些,但是對自己方便些。如果肉雞的管理員不是太厲害的話,建議你用這個方法。這樣克隆出來的用戶如果登陸上去,所用的桌面了什麼的都是administrator的,也就是說你在系統裏的文件“C:/Documents and Settings/Administrator”和admin是一樣的。而非以前的“C:/Documents and Settings/Guest”。但是在“query user”和“終端服務管理器”裏面你所登陸的用戶還是“Guest”,還有就是用命令“net localgroup administrators”還是可以看出Guest是管理員來,這就是我所說的隱蔽性比完全克隆要低些。但是在net下,和用戶管理中都看不出Guest用戶有什麼問題。
b,具體方法:無論你用什麼方法,看你個人習慣了,用 “system”權限打開“註冊表”,我喜歡用 psu 命令格式爲 psu -p regedit -PID 這裏解釋一下,後面的PID是系統進程winlogon的值.然後打開[HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/000001F4]打開他的“F”值,然後複製到 “1F5”的“F”值裏面。然後在CMD下(必須),給Guest改密碼(net user guest password)然後激活guest帳戶(net user guest /active:y),然後我們把他禁用 (net user guest /active:n )簡單!END
2 完全克隆
a,原理:全部複製“F”和“V”值。這樣方法克隆出來的2個帳戶其實在系統裏是一個帳戶,這樣隱蔽性最高,除非用專業工具查看,否則在 net 和用戶管理中,還有“net localgroup administrators”都看不出有什麼問題來。還有最重要的一點,如果你登陸上去後,在“query user”和“終端服務管理器”裏面你所登陸的用戶上面顯示的是“administrator”,好玩不。:)這樣我們就達到了超級隱蔽的目的。在這裏我要說明的一點就是,如果你用這個克隆方法弄出來的帳戶登陸的話,其實你登陸的是administrator的界面。也就是說,假設你使用克隆帳戶通過3389登陸着,在你斷開連接沒有註銷的時候,如果administrator也使用3389登陸,那他登陸的將是你的會話!!你那個會話上所保留的操作對方也是可以看見的,因爲你們2個現在在同一個會話中!而我所說的不方便就是指的這點。但是如果3389是你開的,而管理員不會通過遠程登陸服務器,那你就爽了。你們的會話就不是一個。還有如果你用簡單克隆的方法克隆下來的帳戶登陸,那你們登陸的不是一個會話,帳戶還是不同的2個帳戶,可以放心。
b,具體方法:方法和簡單克隆的一樣。不同的就是全部複製“F”和“V”值。你也可以直接導出[HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/000001F4]的項。然後編輯導出的註冊表文件,把裏面的“000001F4”改成“000001F5”,然後在給他導入進去就OK了。然後在CMD下(必須),給Guest改密碼(net user guest password)然後激活guest帳戶(net user guest /active:y),然後我們把他禁用 (net user guest /active:n )簡單!END
3 最後提醒一下.克隆完成後除了建立的時候我要求的更改密碼千萬不要再次對克隆後的帳戶更改密碼!.因爲只要你再更改密碼,你所克隆的帳戶將暴露!
4 說了這些,希望對大家有個幫助。說到這裏了,還想多說幾句,經常看到一些人在入侵一臺服務器後堂而皇之地創建一個管理員組的用戶,似乎當管理員不存在一般,或者弄個欺騙自己的Admin$之類的帳戶。我想說的是管理員不是傻子,雖說帶“$”的帳戶在“net user”裏面看不見,可在計算機管理的用戶管理中可是明明白白在那擺着呢。如果你想你的肉雞可以留的長久的話,那你就聰明點。我還想對那些管理員說幾句,現在大家的安全意識都提高了,都知道及時打補丁了什麼的,還有知道把密碼設置的特變態。可是你們忽視了第三方軟件的安全性。比如危害很大的SQL IIS Server-u 等。對計算機的安全我認爲可以分爲3個方面。第一個是系統的安全,這個就通過簡單的打幾個補丁就可以解決。第二個就是設置方面的安全。你一個固若金湯的系統,可你給弄了空口令,不笑死那些小黑們。對這個方面,你就弄變態密碼就行,但是我要提醒下,你設變態密碼可以,但是不要爲了防止自己記不住,而寫個文本,把密碼全放裏面。我就弄過一個機器,是通過第三方軟件的漏洞進入的。在進了機器後我翻看他盤裏的東西的時候突然看到一個文本pass.txt,我自然的打開看看了,看到的是他們整個網絡的主幹服務器和路由的密碼!!而且還都是變態密碼,我都暈了。後來知道哪個機器是網管的機器,其實他的的防護還是很嚴的,系統漏洞根本沒有,後來知道他的所有密碼都極其變態,爆破我看爆破到地球毀滅都沒可能。:)如果沒有第三方軟件的漏洞的話我是進不去的。所以我要說到的就是關於第三方軟件的安全問題。其實我覺得關於安全設置和第三方軟件可以歸到一塊。好多第三方軟件的漏洞都是通過不安全的設置而出現的漏洞。比如SQL 的 SA 空口令,SA的權限又高,連上去直接是SYSTEM權限。還有就是最好使用最新版本的軟件。比如server-u。這個也是我的習慣,所有東西都是最新版的。
5 羅嗦了這麼多,大家也許煩了。在羅嗦該有人扔雞蛋了。有問題就直接來找我吧。
