影子帳號:
見名思義,帳號具有隱蔽性,不容易被發現(只是在一定程度上)。即一般的菜鳥發現不了。
多餘的話我在這裏就不說了,進入正題:
首先,我們需要在命令提示符窗口即就是dos下創建一個用戶。
需要以下命令:
net user $a 123 /add(這裏的$符號是唯一的,可以理解爲隱藏的條件,密碼爲123)
命令執行成功後,可以關閉命令提示符窗口了。
回到桌面,右擊我的電腦——管理——本地用戶和組(雙擊)——用戶(雙擊),你會發現我們創建的用戶$a。(不要着急,這只是影子帳號的準備階段)
接着,我們需要在運行窗口下打開註冊表,在我以前的文章中曾有註冊表的詳細介紹介紹。
鍵入regedit,回車確定。進入註冊表:
路徑:HKEY_LOCAL_MACHINE\SAM,雙擊SAM,你會發現大不開SAM。雙擊SAM時,仍然會發現打不開SAM。右鍵SAM——權限,Administrators的權限,在完全控制前打上鉤,確定。此時我們可以關閉註冊表窗口。重新打開並最終實現SAM的目錄打開。
從完整的路徑來看(在以上基礎上)
路徑:HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names \$a
右鍵$a——導出,此時命名一個註冊表文件.reg,保存。
接着,繼續點$a,右邊的類型會有一個象“0x3ef”類似的,
看清楚後,在HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users下000003EF的文件夾。此時右鍵導出,命名.reg 的文件,保存。
此時去本地用戶和組中刪掉$a用戶。
之後找到剛剛保存的兩個.reg的文件,逐個雙擊。
文件數據會自動注入到註冊表中。
此時我們在到本地用戶和組去看,並不會看到$a。
驚心時刻,到dos下,鍵入:net user命令,$a以存在計算機用戶中。
影子帳戶謎底揭穿。
在此情況下,我們可以給$a提權,
net localgroup administrators $a /add
實現影子帳號的更大作用(注意當進入一個遠程系統時,這種情況不可想,要提防這樣的黑客)
下面就是影子賬戶的檢測與防範問題:
一般情況下我們可以使用mcafee或服務器安全狗禁止用戶賬戶的創建等。
如果沒有安裝可以使用這個工具查找是不是有後門。