1.使用命令提示符建立簡單的隱藏用戶
點擊“開始”→“運行”,輸入“CMD”運行“命令提示符”,輸入“net user test$ 123456 /add”,回車,成功後會顯示“命令成功完成”。接着輸入“net localgroup administrators test$ /add”回車,這樣我們就利用“命令提示符”成功得建立了一個用戶名爲“test$”,密碼爲“123456”的簡單“隱藏賬戶”,並且把該隱藏賬戶提升爲了管理員權限。不過雖然此時建立的用戶在CMD裏面用“net user”看不到,但是在計算機管理,查看用戶和組的時候還是可以發現,所以要對修改註冊表。
2.修改註冊表
點擊“開始”→“運行”,輸入“regedt32.exe”後回車,隨後會彈出另一個“註冊表編輯器”,和我們平時使用的“註冊表編輯器”不同的是它可以修改系統賬戶操作註冊表時的權限(爲便於理解,以下簡稱regedt32.exe)。在regedt32.exe中來到“HKEY_LOCAL_MACHINE\SAM\SAM”處,點擊“安全”菜單→“權限”,在彈出的“SAM的權限”編輯窗口中選中“administrators”賬戶,在下方的權限設置處勾選“完全控制”,完成後點擊“確定”即可。來到註冊表編輯器的“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names”處,當前系統中所有存在的賬戶都會在這裏顯示,當然包括我們的隱藏賬戶。點擊我們的隱藏賬戶“test$”,在右邊顯示的鍵值中的“類型”一項顯示爲0x3f3,向上來到“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\”處,可以找到“000003f3”這一項,這兩者是相互對應的,隱藏賬戶“test$”的所有信息都在“000003f3”這一項中。同樣的,我們可以找到“administrator”賬戶所對應的項爲“000001F4”。
將test$導出爲test$.reg,把3F3導出爲user.reg,把1F4導出爲admin.reg.編輯admin.reg,將它裏面屬於'F'的內容分複製下來,替換user.reg裏面F的值。
做完這一步後,去命令提示符裏面執行,net user test$ /del,刪除這個賬號,然後將user.reg,test$.reg雙擊導入註冊表,然後我們再回到註冊表把之前改的權限全部取消掉,至此隱藏管理員影子賬號就完成了。去計算機管理成員組裏面也是找不到這個賬號的。當然重啓還是會出現。有些服務器長期不重啓,所以能隱藏很久。
3.如何找出隱藏賬號
這一步就跟第二步相反,把權限勾選,刪除註冊表中的影子賬號,看了第二步,應該知道這裏怎麼做(注意,如果此時修改全下的時候少了administrator,要自主添加)。另外,我們可以藉助“組策略”的幫助,讓黑客無法通過隱藏賬戶登陸。點擊“開始”→“運行”,輸入“gpedit.msc”運行“組策略”,依次展開“計算機配置”→“Windows 設置”→“安全設置”→“本地策略”→“審覈策略”,雙擊右邊的“審覈策略更改”,在彈出的設置窗口中勾選“成功”,然後點“確定”。對“審覈登陸事件”和“審覈過程追蹤”進行相同的設置。進行登陸審覈後,可以對任何賬戶的登陸操作進行記錄,包括隱藏賬戶,這樣我們就可以通過“計算機管理”中的“事件查看器”準確得知隱藏賬戶的名稱,甚至黑客登陸的時間。即使黑客將所有的登陸日誌刪除,系統還會記錄是哪個賬戶刪除了系統日誌,這樣黑客的隱藏賬戶就暴露無疑了。 在找到了隱藏賬號之後,如果真的刪除不了,那我們可以直接修改他的密碼,net user test$ newpassword,這樣對方也無法登陸了。