防止***侵入你正在使用的Windows系統

 

當******一臺主機後，會千方百計保護本身的「勞動成果」，所以會在肉雞上留下種種後門來長時間得控制肉雞,其中使用最多的就是帳戶隱藏技術。在肉雞上創建一個隱藏的帳戶，以備須要的時候使用。帳戶隱藏技術可謂是最隱蔽的後門，通常用戶很難發現系統中隱藏帳戶的存在，所以危害性很大，本文就對隱藏帳戶這種***經常使用的技術進行揭密。

在隱藏系統帳戶以前，咱們有必要先來了解一下如何才能查看系統中已經存在的帳戶。在系統中能夠進入「命令提示符」，控制面板的「計算機管理」，「註冊表」中對存在的帳戶進行查看，而管理員通常只在「命令提示符」和「計算機管理」中檢查是否有異常，所以如何讓系統帳戶在這二者中隱藏將是本文的重點。

1、「命令提示符」中的陰謀

其實，製做系統隱藏帳戶並非十分高深的技術，利用咱們平時常常用到的「命令提示符」就能夠製做一個簡單的隱藏帳戶。

點擊「開始」→「運行」，輸入「CMD」運行「命令提示符」，輸入「net user piao$ 123456 /add」，回車，成功後會顯示「命令成功完成」。接着輸入「net localgroup administrators piao$ /add」回車，這樣咱們就利用「命令提示符」成功得創建了一個用戶名爲「piao$」，密碼爲「123456」的簡單「隱藏帳戶」,而且把該隱藏帳戶提高爲了管理員權限。

咱們來看看隱藏帳戶的創建是否成功。在「命令提示符」中輸入查看系統帳戶的命令「net user」，回車後會顯示當前系統中存在的帳戶。從返回的結果中咱們能夠看到剛纔咱們創建的「piao$」這個帳戶並不存在。接着讓咱們進入控制面板的「管理工具」，打開其中的「計算機」，查看其中的「本地用戶和組」，在「用戶」一項中，咱們創建的隱藏帳戶「piao$」暴露無疑。

能夠總結得出的結論是：這種方法只能將帳戶在「命令提示符」中進行隱藏，而對於「計算機管理」則無能爲力。所以這種隱藏帳戶的方法並非很實用，只對那些粗心的管理員有效，是一種入門級的系統帳戶隱藏技術。

2、在「註冊表」中玩轉帳戶隱藏

從上文中咱們能夠看到用命令提示符隱藏帳戶的方法缺點很明顯，很容易暴露本身。那麼有沒有能夠在「命令提示符」和「計算機管理」中同時隱藏帳戶的技術呢？答案是確定的，而這一切只須要咱們在「註冊表」中進行一番小小的設置，就可讓系統帳戶在二者中徹底蒸發。

一、峯迴路轉，給管理員註冊表操做權限

在註冊表中對系統帳戶的鍵值進行操做，須要到「HKEY_LOCAL_MACHINE\SAM\SAM」處進行修改，可是當咱們來到該處時，會發現沒法展開該處所在的鍵值。這是由於系統默認對系統管理員給予「寫入D AC」和「讀取控制」權限，沒有給予修改權限，所以咱們沒有辦法對「SAM」項下的鍵值進行查看和修改。不過咱們能夠藉助系統中另外一個「註冊表編輯器」給管理員賦予修改權限。

點擊「開始」→「運行」，輸入「regedt32.exe」後回車，隨後會彈出另外一個「註冊表編輯器」，和咱們平時使用的「註冊表編輯器」不一樣的是它能夠修改系統帳戶操做註冊表時的權限（爲便於理解，如下簡稱regedt32.exe）。在regedt32.exe中來到「HKEY_LOCAL_MACHINE\SAM\SAM」處，點擊「安全」菜單→「權限」，在彈出的「SAM的權限」編輯窗口中選中「administrators」帳戶，在下方的權限設置處勾選「徹底控制」，完成後點擊「肯定」便可。而後咱們切換回「註冊表編輯器」，能夠發現「HKEY_LOCAL_MACHINE\SAM\SAM」下面的鍵值均可以展開了。

提示：上文中提到的方法只適用於Windows NT/2000系統。在Windows XP系統中，對於權限的操做能夠直接在註冊表中進行，方法爲選中須要設置權限的項，點擊右鍵，選擇「權限」便可。

二、偷樑換柱，將隱藏帳戶替換爲管理員

成功獲得註冊表操做權限後，咱們就能夠正式開始隱藏帳戶的製做了。來到註冊表編輯器的「HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names」處，當前系統中全部存在的帳戶都會在這裏顯示，固然包括咱們的隱藏帳戶。點擊咱們的隱藏帳戶「piao$」，在右邊顯示的鍵值中的「類型」一項顯示爲0x3e9，向上來到「HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\」處，能夠找到「000003E9」這一項，這二者是相互對應的，隱藏帳戶「piao$」的全部信息都在「000003E9」這一項中。一樣的，咱們能夠找到「administrator」帳戶所對應的項爲「000001F4」。

將「piao$」的鍵值導出爲piao$.reg，同時將「000003E9」和「000001F4」項的F鍵值分別導出爲user.reg，admin.reg。用「記事本」打開admin.reg，將其中「F」值後面的內容複製下來，替換user.reg中的「F」值內容，完成後保存。接下來進入「命令提示符」，輸入「net user piao$ /del」將咱們創建的隱藏帳戶刪除。最後，將piao$.reg和user.reg導入註冊表，至此，隱藏帳戶製做完成。

三、過河拆橋，切斷刪除隱藏帳戶的途徑

雖然咱們的隱藏帳戶已經在「命令提示符」和「計算機管理」中隱藏了，可是有經驗的系統管理員仍可能經過註冊表編輯器刪除咱們的隱藏帳戶，那麼如何才能讓咱們的隱藏帳戶堅如磐石呢？

打開「regedt32.exe」，來到「HKEY_LOCAL_MACHINE\SAM\SAM」處，設置「SAM」項的權限，將「administrators」所擁有的權限所有取消便可。當真正的管理員想對「HKEY_LOCAL_MACHINE\SAM\SAM」下面的項進行操做的時候將會發生錯誤，並且沒法經過「regedt32.exe」再次賦予權限。這樣沒有經驗的管理員即便發現了系統中的隱藏帳戶，也是迫不得已的。

三.專用工具，使帳戶隱藏一步到位

雖然按照上面的方法能夠很好得隱藏帳戶，可是操做顯得比較麻煩，並不適合新手，並且對註冊表進行操做危險性過高，很容易形成系統崩潰。所以咱們能夠藉助專門的帳戶隱藏工具來進行隱藏工做，使隱藏帳戶再也不困難，只須要一個命令就能夠搞定。

咱們須要利用的這款工具名叫「HideAdmin」，下載下來後解壓到c盤。而後運行「命令提示符」，輸入「HideAdmin piao$ 123456」便可，若是顯示「Create a hiden Administrator piao$ Successed!」，則表示咱們已經成功創建一個帳戶名爲piao$，密碼爲123456的隱藏帳戶。利用這款工具創建的帳戶隱藏效果和上文中修改註冊表的效果是同樣的。

4、把「隱藏帳戶」請出系統

隱藏帳戶的危害可謂十分巨大。所以咱們有必要在瞭解了帳戶隱藏技術後，再對相應的防範技術做一個瞭解，把隱藏帳戶完全請出系統

一、添加「$」符號型隱藏帳戶

對於這類隱藏帳戶的檢測比較簡單。通常***在利用這種方法創建完隱藏帳戶後，會把隱藏帳戶提高爲管理員權限。那麼咱們只須要在「命令提示符」中輸入「net localgroup administrators」就可讓全部的隱藏帳戶現形。若是嫌麻煩，能夠直接打開「計算機管理」進行查看，添加「$」符號的帳戶是沒法在這裏隱藏的。

二、修改註冊表型隱藏帳戶

因爲使用這種方法隱藏的帳戶是不會在「命令提示符」和「計算機管理」中看到的，所以能夠到註冊表中刪除隱藏帳戶。來到「HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names」，把這裏存在的帳戶和「計算機管理」中存在的帳戶進行比較，多出來的帳戶就是隱藏帳戶了。想要刪除它也很簡單，直接刪除以隱藏帳戶命名的項便可。

三、沒法看到名稱的隱藏帳戶

若是***製做了一個修改註冊表型隱藏帳戶，在此基礎上刪除了管理員對註冊表的操做權限。那麼管理員是沒法經過註冊表刪除隱藏帳戶的，甚至沒法知道***創建的隱藏帳戶名稱。不過世事沒有絕對，咱們能夠藉助「組策略」的幫助，讓***沒法經過隱藏帳戶登錄。點擊「開始」→「運行」，輸入「gpedit.msc」運行「組策略」，依次展開「計算機配置」→「Windows 設置」→「安全設置」→「本地策略」→「審覈策略」，雙擊右邊的「審覈策略更改」，在彈出的設置窗口中勾選「成功」，而後點「肯定」。對「審覈登錄事件」和「審覈過程追蹤」進行相同的設置。

四、開啓登錄事件審覈功能

進行登錄審覈後，能夠對任何帳戶的登錄操做進行記錄，包括隱藏帳戶，這樣咱們就能夠經過「計算機管理」中的「事件查看器」準確得知隱藏帳戶的名稱，甚至***登錄的時間。即便***將全部的登錄日誌刪除，系統還會記錄是哪一個帳戶刪除了系統日誌，這樣***的隱藏帳戶就暴露無疑了。

五、經過事件查看器找到隱藏賬戶

得知隱藏帳戶的名稱後就好辦了，可是咱們仍然不能刪除這個隱藏帳戶，由於咱們沒有權限。可是咱們能夠在「命令提示符」中輸入「net user 隱藏帳戶名稱 654321」更改這個隱藏帳戶的密碼。這樣這個隱藏帳戶就會失效，***沒法再用這個隱藏帳戶登錄。

 

前段時間我看了一輯微軟關於系統方面的視頻，其中講了一例關於隱藏賬戶與隱藏權限的示例，我以爲對於服務器及各客戶系統的管理有很大的用處，能夠防範服務器被添加隱藏賬戶的風險。

       下面是怎樣添加一個隱藏賬戶與隱藏權限的操做步驟：

       1、查看本機有哪些賬戶：

在「本地用戶和組」中查看，如今還沒添加測試用的賬戶；

使用命令來查看

       2、添加測試用的賬戶

使用命令來添加一個帶「$」的命令提示符下看不到的用戶

在「本地用戶和組」中查看，能夠看到已經添加了測試用的賬戶「test$」

其組爲Users組，即爲受限賬戶，使用這個賬戶登陸則有不少權限沒法操做，例如：修改系統時間等

       3、進行權限的修改

找到註冊表中的分支SAM，此分支即爲系統用戶和組在註冊表中的位置，對其進行操做，便可修改系統中用戶和組的相應權限

因其設置了權限的限制，因此要先用系統管理員來添加操做的權限，咱們添加管理員組的成員徹底控制此分支

如今已經能夠看到SAM分支的內容了

找到上圖中的分支（H_L_M\SAM\SAM\Domains\Account\Users），選擇其中分支Names下的測試用戶test$，在右邊窗口中能夠看到此用戶的默認鍵值的類型爲「0x3ee」，此用戶對應的權限保存在Users下的以此用戶的默認鍵值類型值爲結尾的分支中，例如測試用戶test$對應的分支爲「000003EE」；而Administrator對應的則爲「000001F4」

打開Administrator對應權限的分支000001F4，在右邊打開鍵值F（鍵值F即爲相應用戶的權限，修改此鍵值即爲修改相應用戶的權限，而不會修改相應用戶的組），複製其中的數值數據

打開測試用戶test$相應分支000003EE，將從000001F4複製的F數據覆蓋000003EE的F鍵值，則測試用戶test$的權限爲Administrator的權限

而在「用戶和組」中能夠看到用戶test$仍然爲Users組的用戶，但其權限則爲Administrator的權限

      4、設置隱藏賬戶

導出註冊表中測試用戶test$相應的兩個分支：H_L_M\SAM\SAM\Domains\Account\Users\000003ee和H_L_M\SAM\SAM\Domains\Account\Users\Names\test$

使用命令刪除測試用戶test$

在「本地用戶和組」能夠看到此用戶已經被刪除

在註冊表中也能夠看到此用戶被刪除

導入剛纔導出的測試用戶test$的註冊表文件

能夠在註冊表中看到剛纔刪除的測試用戶test$，而且其權限爲Administrator的權限

在「本地用戶和組」中能夠看到無此用戶，但通過測試可使用測試用戶test$登陸，而且其權限爲管理員權限。

      總結：在系統管理時（特別是服務器管理），應按期注意查看註冊表中 SAM 分支下是否存在隱藏賬戶，以避免引發安全風險。