當******一臺主機後,會想方設法保護自己的“勞動成果”,因此會在肉雞上留下種種後門來長時間得控制肉雞,其中使用最多的就是賬戶隱藏技術。在肉雞上建立一個隱藏的賬戶,以備需要的時候使用。賬戶隱藏技術可謂是最隱蔽的後門,一般用戶很難發現系統中隱藏賬戶的存在,因此危害性很大,本文就對隱藏賬戶這種***常用的技術進行揭密。
在隱藏系統賬戶之前,我們有必要先來了解一下如何才能查看系統中已經存在的賬戶。在系統中可以進入“命令提示符”,控制面板的“計算機管理”,“註冊表”中對存在的賬戶進行查看,而管理員一般只在“命令提示符”和“計算機管理”中檢查是否有異常,因此如何讓系統賬戶在這兩者中隱藏將是本文的重點。
一、“命令提示符”中的陰謀
其實,製作系統隱藏賬戶並不是十分高深的技術,利用我們平時經常用到的“命令提示符”就可以製作一個簡單的隱藏賬戶。
點擊“開始”→“運行”,輸入“CMD”運行“命令提示符”,輸入“net user piao$ 123456 /add”,回車,成功後會顯示“命令成功完成”。接着輸入“net localgroup administrators piao$ /add”回車,這樣我們就利用“命令提示符”成功得建立了一個用戶名爲“piao$”,密碼爲“123456”的簡單“隱藏賬戶”,並且把該隱藏賬戶提升爲了管理員權限。
我們來看看隱藏賬戶的建立是否成功。在“命令提示符”中輸入查看系統賬戶的命令“net user”,回車後會顯示當前系統中存在的賬戶。從返回的結果中我們可以看到剛纔我們建立的“piao$”這個賬戶並不存在。接着讓我們進入控制面板的“管理工具”,打開其中的“計算機”,查看其中的“本地用戶和組”,在“用戶”一項中,我們建立的隱藏賬戶“piao$”暴露無疑。
可以總結得出的結論是:這種方法只能將賬戶在“命令提示符”中進行隱藏,而對於“計算機管理”則無能爲力。因此這種隱藏賬戶的方法並不是很實用,只對那些粗心的管理員有效,是一種入門級的系統賬戶隱藏技術。
二、在“註冊表”中玩轉賬戶隱藏
從上文中我們可以看到用命令提示符隱藏賬戶的方法缺點很明顯,很容易暴露自己。那麼有沒有可以在“命令提示符”和“計算機管理”中同時隱藏賬戶的技術呢?答案是肯定的,而這一切只需要我們在“註冊表”中進行一番小小的設置,就可以讓系統賬戶在兩者中完全蒸發。
1、峯迴路轉,給管理員註冊表操作權限
在註冊表中對系統賬戶的鍵值進行操作,需要到“HKEY_LOCAL_MACHINE\SAM\SAM”處進行修改,但是當我們來到該處時,會發現無法展開該處所在的鍵值。這是因爲系統默認對系統管理員給予“寫入D AC”和“讀取控制”權限,沒有給予修改權限,因此我們沒有辦法對“SAM”項下的鍵值進行查看和修改。不過我們可以藉助系統中另一個“註冊表編輯器”給管理員賦予修改權限。
點擊“開始”→“運行”,輸入“regedt32.exe”後回車,隨後會彈出另一個“註冊表編輯器”,和我們平時使用的“註冊表編輯器”不同的是它可以修改系統賬戶操作註冊表時的權限(爲便於理解,以下簡稱regedt32.exe)。在regedt32.exe中來到“HKEY_LOCAL_MACHINE\SAM\SAM”處,點擊“安全”菜單→“權限”,在彈出的“SAM的權限”編輯窗口中選中“administrators”賬戶,在下方的權限設置處勾選“完全控制”,完成後點擊“確定”即可。然後我們切換回“註冊表編輯器”,可以發現“HKEY_LOCAL_MACHINE\SAM\SAM”下面的鍵值都可以展開了。
提示:上文中提到的方法只適用於Windows NT/2000系統。在Windows XP系統中,對於權限的操作可以直接在註冊表中進行,方法爲選中需要設置權限的項,點擊右鍵,選擇“權限”即可。
2、偷樑換柱,將隱藏賬戶替換爲管理員
成功得到註冊表操作權限後,我們就可以正式開始隱藏賬戶的製作了。來到註冊表編輯器的“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names”處,當前系統中所有存在的賬戶都會在這裏顯示,當然包括我們的隱藏賬戶。點擊我們的隱藏賬戶“piao$”,在右邊顯示的鍵值中的“類型”一項顯示爲0x3e9,向上來到“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\”處,可以找到“000003E9”這一項,這兩者是相互對應的,隱藏賬戶“piao$”的所有信息都在“000003E9”這一項中。同樣的,我們可以找到“administrator”賬戶所對應的項爲“000001F4”。
將“piao$”的鍵值導出爲piao$.reg,同時將“000003E9”和“000001F4”項的F鍵值分別導出爲user.reg,admin.reg。用“記事本”打開admin.reg,將其中“F”值後面的內容複製下來,替換user.reg中的“F”值內容,完成後保存。接下來進入“命令提示符”,輸入“net user piao$ /del”將我們建立的隱藏賬戶刪除。最後,將piao$.reg和user.reg導入註冊表,至此,隱藏賬戶製作完成。
3、過河拆橋,切斷刪除隱藏賬戶的途徑
雖然我們的隱藏賬戶已經在“命令提示符”和“計算機管理”中隱藏了,但是有經驗的系統管理員仍可能通過註冊表編輯器刪除我們的隱藏賬戶,那麼如何才能讓我們的隱藏賬戶堅如磐石呢?
打開“regedt32.exe”,來到“HKEY_LOCAL_MACHINE\SAM\SAM”處,設置“SAM”項的權限,將“administrators”所擁有的權限全部取消即可。當真正的管理員想對“HKEY_LOCAL_MACHINE\SAM\SAM”下面的項進行操作的時候將會發生錯誤,而且無法通過“regedt32.exe”再次賦予權限。這樣沒有經驗的管理員即使發現了系統中的隱藏賬戶,也是無可奈何的。
三.專用工具,使賬戶隱藏一步到位
雖然按照上面的方法可以很好得隱藏賬戶,但是操作顯得比較麻煩,並不適合新手,而且對註冊表進行操作危險性太高,很容易造成系統崩潰。因此我們可以藉助專門的賬戶隱藏工具來進行隱藏工作,使隱藏賬戶不再困難,只需要一個命令就可以搞定。
我們需要利用的這款工具名叫“HideAdmin”,下載下來後解壓到c盤。然後運行“命令提示符”,輸入“HideAdmin piao$ 123456”即可,如果顯示“Create a hiden Administrator piao$ Successed!”,則表示我們已經成功建立一個賬戶名爲piao$,密碼爲123456的隱藏賬戶。利用這款工具建立的賬戶隱藏效果和上文中修改註冊表的效果是一樣的。
四、把“隱藏賬戶”請出系統
隱藏賬戶的危害可謂十分巨大。因此我們有必要在瞭解了賬戶隱藏技術後,再對相應的防範技術作一個瞭解,把隱藏賬戶徹底請出系統
1、添加“$”符號型隱藏賬戶
對於這類隱藏賬戶的檢測比較簡單。一般***在利用這種方法建立完隱藏賬戶後,會把隱藏賬戶提升爲管理員權限。那麼我們只需要在“命令提示符”中輸入“net localgroup administrators”就可以讓所有的隱藏賬戶現形。如果嫌麻煩,可以直接打開“計算機管理”進行查看,添加“$”符號的賬戶是無法在這裏隱藏的。
2、修改註冊表型隱藏賬戶
由於使用這種方法隱藏的賬戶是不會在“命令提示符”和“計算機管理”中看到的,因此可以到註冊表中刪除隱藏賬戶。來到“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names”,把這裏存在的賬戶和“計算機管理”中存在的賬戶進行比較,多出來的賬戶就是隱藏賬戶了。想要刪除它也很簡單,直接刪除以隱藏賬戶命名的項即可。
3、無法看到名稱的隱藏賬戶
如果***製作了一個修改註冊表型隱藏賬戶,在此基礎上刪除了管理員對註冊表的操作權限。那麼管理員是無法通過註冊表刪除隱藏賬戶的,甚至無法知道***建立的隱藏賬戶名稱。不過世事沒有絕對,我們可以藉助“組策略”的幫助,讓***無法通過隱藏賬戶登陸。點擊“開始”→“運行”,輸入“gpedit.msc”運行“組策略”,依次展開“計算機配置”→“Windows 設置”→“安全設置”→“本地策略”→“審覈策略”,雙擊右邊的“審覈策略更改”,在彈出的設置窗口中勾選“成功”,然後點“確定”。對“審覈登陸事件”和“審覈過程追蹤”進行相同的設置。
4、開啓登陸事件審覈功能
進行登陸審覈後,可以對任何賬戶的登陸操作進行記錄,包括隱藏賬戶,這樣我們就可以通過“計算機管理”中的“事件查看器”準確得知隱藏賬戶的名稱,甚至***登陸的時間。即使***將所有的登陸日誌刪除,系統還會記錄是哪個賬戶刪除了系統日誌,這樣***的隱藏賬戶就暴露無疑了。
5、通過事件查看器找到隱藏帳戶
得知隱藏賬戶的名稱後就好辦了,但是我們仍然不能刪除這個隱藏賬戶,因爲我們沒有權限。但是我們可以在“命令提示符”中輸入“net user 隱藏賬戶名稱 654321”更改這個隱藏賬戶的密碼。這樣這個隱藏賬戶就會失效,***無法再用這個隱藏賬戶登陸。
在隱藏系統賬戶之前,我們有必要先來了解一下如何才能查看系統中已經存在的賬戶。在系統中可以進入“命令提示符”,控制面板的“計算機管理”,“註冊表”中對存在的賬戶進行查看,而管理員一般只在“命令提示符”和“計算機管理”中檢查是否有異常,因此如何讓系統賬戶在這兩者中隱藏將是本文的重點。
一、“命令提示符”中的陰謀
其實,製作系統隱藏賬戶並不是十分高深的技術,利用我們平時經常用到的“命令提示符”就可以製作一個簡單的隱藏賬戶。
點擊“開始”→“運行”,輸入“CMD”運行“命令提示符”,輸入“net user piao$ 123456 /add”,回車,成功後會顯示“命令成功完成”。接着輸入“net localgroup administrators piao$ /add”回車,這樣我們就利用“命令提示符”成功得建立了一個用戶名爲“piao$”,密碼爲“123456”的簡單“隱藏賬戶”,並且把該隱藏賬戶提升爲了管理員權限。
我們來看看隱藏賬戶的建立是否成功。在“命令提示符”中輸入查看系統賬戶的命令“net user”,回車後會顯示當前系統中存在的賬戶。從返回的結果中我們可以看到剛纔我們建立的“piao$”這個賬戶並不存在。接着讓我們進入控制面板的“管理工具”,打開其中的“計算機”,查看其中的“本地用戶和組”,在“用戶”一項中,我們建立的隱藏賬戶“piao$”暴露無疑。
可以總結得出的結論是:這種方法只能將賬戶在“命令提示符”中進行隱藏,而對於“計算機管理”則無能爲力。因此這種隱藏賬戶的方法並不是很實用,只對那些粗心的管理員有效,是一種入門級的系統賬戶隱藏技術。
二、在“註冊表”中玩轉賬戶隱藏
從上文中我們可以看到用命令提示符隱藏賬戶的方法缺點很明顯,很容易暴露自己。那麼有沒有可以在“命令提示符”和“計算機管理”中同時隱藏賬戶的技術呢?答案是肯定的,而這一切只需要我們在“註冊表”中進行一番小小的設置,就可以讓系統賬戶在兩者中完全蒸發。
1、峯迴路轉,給管理員註冊表操作權限
在註冊表中對系統賬戶的鍵值進行操作,需要到“HKEY_LOCAL_MACHINE\SAM\SAM”處進行修改,但是當我們來到該處時,會發現無法展開該處所在的鍵值。這是因爲系統默認對系統管理員給予“寫入D AC”和“讀取控制”權限,沒有給予修改權限,因此我們沒有辦法對“SAM”項下的鍵值進行查看和修改。不過我們可以藉助系統中另一個“註冊表編輯器”給管理員賦予修改權限。
點擊“開始”→“運行”,輸入“regedt32.exe”後回車,隨後會彈出另一個“註冊表編輯器”,和我們平時使用的“註冊表編輯器”不同的是它可以修改系統賬戶操作註冊表時的權限(爲便於理解,以下簡稱regedt32.exe)。在regedt32.exe中來到“HKEY_LOCAL_MACHINE\SAM\SAM”處,點擊“安全”菜單→“權限”,在彈出的“SAM的權限”編輯窗口中選中“administrators”賬戶,在下方的權限設置處勾選“完全控制”,完成後點擊“確定”即可。然後我們切換回“註冊表編輯器”,可以發現“HKEY_LOCAL_MACHINE\SAM\SAM”下面的鍵值都可以展開了。
提示:上文中提到的方法只適用於Windows NT/2000系統。在Windows XP系統中,對於權限的操作可以直接在註冊表中進行,方法爲選中需要設置權限的項,點擊右鍵,選擇“權限”即可。
2、偷樑換柱,將隱藏賬戶替換爲管理員
成功得到註冊表操作權限後,我們就可以正式開始隱藏賬戶的製作了。來到註冊表編輯器的“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names”處,當前系統中所有存在的賬戶都會在這裏顯示,當然包括我們的隱藏賬戶。點擊我們的隱藏賬戶“piao$”,在右邊顯示的鍵值中的“類型”一項顯示爲0x3e9,向上來到“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\”處,可以找到“000003E9”這一項,這兩者是相互對應的,隱藏賬戶“piao$”的所有信息都在“000003E9”這一項中。同樣的,我們可以找到“administrator”賬戶所對應的項爲“000001F4”。
將“piao$”的鍵值導出爲piao$.reg,同時將“000003E9”和“000001F4”項的F鍵值分別導出爲user.reg,admin.reg。用“記事本”打開admin.reg,將其中“F”值後面的內容複製下來,替換user.reg中的“F”值內容,完成後保存。接下來進入“命令提示符”,輸入“net user piao$ /del”將我們建立的隱藏賬戶刪除。最後,將piao$.reg和user.reg導入註冊表,至此,隱藏賬戶製作完成。
3、過河拆橋,切斷刪除隱藏賬戶的途徑
雖然我們的隱藏賬戶已經在“命令提示符”和“計算機管理”中隱藏了,但是有經驗的系統管理員仍可能通過註冊表編輯器刪除我們的隱藏賬戶,那麼如何才能讓我們的隱藏賬戶堅如磐石呢?
打開“regedt32.exe”,來到“HKEY_LOCAL_MACHINE\SAM\SAM”處,設置“SAM”項的權限,將“administrators”所擁有的權限全部取消即可。當真正的管理員想對“HKEY_LOCAL_MACHINE\SAM\SAM”下面的項進行操作的時候將會發生錯誤,而且無法通過“regedt32.exe”再次賦予權限。這樣沒有經驗的管理員即使發現了系統中的隱藏賬戶,也是無可奈何的。
三.專用工具,使賬戶隱藏一步到位
雖然按照上面的方法可以很好得隱藏賬戶,但是操作顯得比較麻煩,並不適合新手,而且對註冊表進行操作危險性太高,很容易造成系統崩潰。因此我們可以藉助專門的賬戶隱藏工具來進行隱藏工作,使隱藏賬戶不再困難,只需要一個命令就可以搞定。
我們需要利用的這款工具名叫“HideAdmin”,下載下來後解壓到c盤。然後運行“命令提示符”,輸入“HideAdmin piao$ 123456”即可,如果顯示“Create a hiden Administrator piao$ Successed!”,則表示我們已經成功建立一個賬戶名爲piao$,密碼爲123456的隱藏賬戶。利用這款工具建立的賬戶隱藏效果和上文中修改註冊表的效果是一樣的。
四、把“隱藏賬戶”請出系統
隱藏賬戶的危害可謂十分巨大。因此我們有必要在瞭解了賬戶隱藏技術後,再對相應的防範技術作一個瞭解,把隱藏賬戶徹底請出系統
1、添加“$”符號型隱藏賬戶
對於這類隱藏賬戶的檢測比較簡單。一般***在利用這種方法建立完隱藏賬戶後,會把隱藏賬戶提升爲管理員權限。那麼我們只需要在“命令提示符”中輸入“net localgroup administrators”就可以讓所有的隱藏賬戶現形。如果嫌麻煩,可以直接打開“計算機管理”進行查看,添加“$”符號的賬戶是無法在這裏隱藏的。
2、修改註冊表型隱藏賬戶
由於使用這種方法隱藏的賬戶是不會在“命令提示符”和“計算機管理”中看到的,因此可以到註冊表中刪除隱藏賬戶。來到“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names”,把這裏存在的賬戶和“計算機管理”中存在的賬戶進行比較,多出來的賬戶就是隱藏賬戶了。想要刪除它也很簡單,直接刪除以隱藏賬戶命名的項即可。
3、無法看到名稱的隱藏賬戶
如果***製作了一個修改註冊表型隱藏賬戶,在此基礎上刪除了管理員對註冊表的操作權限。那麼管理員是無法通過註冊表刪除隱藏賬戶的,甚至無法知道***建立的隱藏賬戶名稱。不過世事沒有絕對,我們可以藉助“組策略”的幫助,讓***無法通過隱藏賬戶登陸。點擊“開始”→“運行”,輸入“gpedit.msc”運行“組策略”,依次展開“計算機配置”→“Windows 設置”→“安全設置”→“本地策略”→“審覈策略”,雙擊右邊的“審覈策略更改”,在彈出的設置窗口中勾選“成功”,然後點“確定”。對“審覈登陸事件”和“審覈過程追蹤”進行相同的設置。
4、開啓登陸事件審覈功能
進行登陸審覈後,可以對任何賬戶的登陸操作進行記錄,包括隱藏賬戶,這樣我們就可以通過“計算機管理”中的“事件查看器”準確得知隱藏賬戶的名稱,甚至***登陸的時間。即使***將所有的登陸日誌刪除,系統還會記錄是哪個賬戶刪除了系統日誌,這樣***的隱藏賬戶就暴露無疑了。
5、通過事件查看器找到隱藏帳戶
得知隱藏賬戶的名稱後就好辦了,但是我們仍然不能刪除這個隱藏賬戶,因爲我們沒有權限。但是我們可以在“命令提示符”中輸入“net user 隱藏賬戶名稱 654321”更改這個隱藏賬戶的密碼。這樣這個隱藏賬戶就會失效,***無法再用這個隱藏賬戶登陸。
前段時間我看了一輯微軟關於系統方面的視頻,其中講了一例關於隱藏帳戶與隱藏權限的示例,我覺得對於服務器及各客戶系統的管理有很大的用處,可以防範服務器被添加隱藏帳戶的風險。
下面是怎樣添加一個隱藏帳戶與隱藏權限的操作步驟:
一、查看本機有哪些帳戶:
在“本地用戶和組”中查看,現在還沒添加測試用的帳戶;
使用命令來查看
二、添加測試用的帳戶
使用命令來添加一個帶“$”的命令提示符下看不到的用戶
在“本地用戶和組”中查看,可以看到已經添加了測試用的帳戶“test$”
其組爲Users組,即爲受限帳戶,使用這個帳戶登錄則有很多權限無法操作,例如:修改系統時間等
三、進行權限的修改
找到註冊表中的分支SAM,此分支即爲系統用戶和組在註冊表中的位置,對其進行操作,即可修改系統中用戶和組的相應權限
因其設置了權限的限制,所以要先用系統管理員來添加操作的權限,我們添加管理員組的成員完全控制此分支
現在已經可以看到SAM分支的內容了
找到上圖中的分支(H_L_M\SAM\SAM\Domains\Account\Users),選擇其中分支Names下的測試用戶test$,在右邊窗口中可以看到此用戶的默認鍵值的類型爲“0x3ee”,此用戶對應的權限保存在Users下的以此用戶的默認鍵值類型值爲結尾的分支中,例如測試用戶test$對應的分支爲“000003EE”;而Administrator對應的則爲“000001F4”
打開Administrator對應權限的分支000001F4,在右邊打開鍵值F(鍵值F即爲相應用戶的權限,修改此鍵值即爲修改相應用戶的權限,而不會修改相應用戶的組),複製其中的數值數據
打開測試用戶test$相應分支000003EE,將從000001F4複製的F數據覆蓋000003EE的F鍵值,則測試用戶test$的權限爲Administrator的權限
而在“用戶和組”中可以看到用戶test$仍然爲Users組的用戶,但其權限則爲Administrator的權限
四、設置隱藏帳戶
導出註冊表中測試用戶test$相應的兩個分支:H_L_M\SAM\SAM\Domains\Account\Users\000003ee和H_L_M\SAM\SAM\Domains\Account\Users\Names\test$
使用命令刪除測試用戶test$
在“本地用戶和組”可以看到此用戶已經被刪除
在註冊表中也可以看到此用戶被刪除
導入剛纔導出的測試用戶test$的註冊表文件
可以在註冊表中看到剛纔刪除的測試用戶test$,並且其權限爲Administrator的權限
在“本地用戶和組”中可以看到無此用戶,但經過測試可以使用測試用戶test$登錄,並且其權限爲管理員權限。
總結:在系統管理時(特別是服務器管理),應定期注意查看註冊表中SAM分支下是否存在隱藏帳戶,以免引起安全風險。