賬號是數字時代的代表,就是每個人在特定的項目中所代表自己的一些數字等。黑客入侵後,一般都是要給自己留下一個後門,最常見的方法就是創建一個隱藏的管理員賬號,這個管理員賬號是事實存在,但是在賬戶管理中卻又無法查看到。這是怎么回事呢?對regedit.exe大家都很熟悉,但卻不能對註冊表的項鍵設定許可權,而Regedt32.exe最大的優點就是能夠對註冊表的項鍵設定許可權。xp的帳戶信息都在註冊表的HKEY_LOCAL_MACHINE\SAM\SAM鍵下,但是除了系統用戶SYSTEM外,其它用戶都無權查看到裡面的信息,因此首先用regedt32.exe對SAM鍵為設定為“完全控制”許可權。這樣就可以對SAM鍵內的信息進行讀寫了了。
具體步聚
假設是以超級用戶administrator登錄到開有終端服務的肉雞上的,首先在命令行下或帳戶管理器中建立一個帳戶:hacker$,這裡在命令行下建立這個帳戶 net user hacker$Content$nbsp;1234 /add。
接下來在開始/運行中輸入:regedt32.exe並回車來運行regedt32.exe。選中HKEY_LOCAL_MACHINE\SAM\SAM後打開“編輯”選單點“許可權”以後會彈出視窗點添加將我登錄時的帳戶添加到安全欄內,這裡是以administrator的身份登錄的,所以我就將administrator加入,並設定許可權為“完全控制"。這裡需要說明一下:最好是添加登錄的帳戶或帳戶所在的組,切莫修改原有的帳戶或組,否則將會帶來一系列不必要的問題。等隱藏超級用戶建好以,再來這裡將你添加的帳戶刪除即可。
再點“開始”→“運行”並輸入"regedit.exe" 回車,啟動註冊表編輯器regedit.exe。 打開鍵:HKEY_LOCAL_MAICHINE\SAM\SAM\Domains\account\user\names\hacker$"
將項hacker$、00000409、000001F4導出為hacker.reg、409.reg、1f4.reg,用記事本分別打這幾個導出的檔案進行編輯,將超級用戶對應的項000001F4下的鍵"F"的值複製,並覆蓋hacker$對應的項00000409下的鍵"F"的值,然後再將00000409.reg與hacker.reg合併。
在命令行下執行net user hacker$Content$nbsp;/del將用戶hacker$刪除:net user hacker$Content$nbsp;/del 。 在regedit.exe的視窗內按F5刷新,然後打檔案-導入註冊表檔案將修改好的hacker.reg導入註冊表即可。到此,隱藏的超級用戶hacker$已經建好了,然後關閉regedit.exe。在regedt32.exe視窗內把HKEY_LOCAL_MACHINE\SAM\SAM鍵許可權改回原來的樣子(只要刪除添加的帳戶administrator即可)。
不過,需要注意的是隱藏的超級用戶建好後,在帳戶管理器看不到hacker$這個用戶,在命令行用“net user”命令也看不到,但是超級用戶建立以後,就不能再改密碼了,如果用net user命令來改hacker$的密碼的話,那么在帳戶管理器中將又會看這個隱藏的超級用戶了,而且不能刪除。
揪出隱藏的超級用戶
很多朋友反映自己的電腦好像存在一個“第三者”,但是無論是直接打開系統之中的賬戶管理器,還是在命令提示符中通過“net user”命令都找不到絲毫的蛛絲馬跡。
難道這就說明電腦之中沒有其它非法的賬號存在嗎?非也,因為有很多黑客會通過修改註冊表的HKEY_LOCAL_MACHINE\SAM來創建隱藏的賬號,常規的查看方法是無法看到的。
要查看自己的電腦中是否有隱藏的賬號存在,那么必須從源頭上入手,即查看註冊表相應鍵值。打開“運行”視窗,輸入“regedit”後回車打開註冊表編輯器。在左側依次選擇HKEY_LOCAL_MACHINE\SAM,右擊SAM子鍵,在彈出的選單中選擇“許可權”,在打開的許可權設定視窗中單擊“添加”按鈕將當前賬戶加入,並把許可權設為“完全控制”,單擊“確定”按鈕返回。
此時就可以看到在SAM子鍵下多出兩個子鍵,即SAM\SAM\Domains和SAM\SAM\Rxact。依次展開SAM\SAM\Domains\Account\Users\Names,在Names下的各個子鍵就是當前系統所有的賬戶列表,包括隱藏的賬戶,如果發現該列表中與系統賬戶管理或者使用net user看到的用戶不一致,那么則可證明是非法創建的秘密賬戶,直接將其對應的子鍵刪除即可。
另外如果大家怕麻煩,可以直接打開註冊表,然後選中HKEY_LOCAL_MACHINE\SAM,打開“檔案”選單並選擇“導出”命令將該鍵值導出,當懷疑被非法創建隱藏賬戶時只需要雙擊導出的註冊表檔案,將其重新導入註冊表即可將隱藏的賬戶刪除。
