Windows 2003隐藏用户（匿名后门帐户）怎么发现，建立及删除

1、“命令提示符”中的阴谋

其实，制做系统隐藏帐户并非十分高深的技术，利用咱们平时常常用到的“命令提示符”就能够制做一个简单的隐藏帐户。

点击“开始”→“运行”，输入“CMD”运行“命令提示符”，输入“net user piao$ 123456 /add”，回车，成功后会显示“命令成功完成”。接着输入“net localgroup administrators piao$ /add”回车，这样咱们就利用“命令提示符”成功得创建了一个用户名为“piao$”，密码为“123456”的简单“隐藏帐户”,而且把该隐藏帐户提 升为了管理员权限。

图1.创建一个简单的隐藏账户

咱们来看看隐藏帐户的创建是否成功。在“命令提示符”中输入查看系统帐户的命令“net user”，回车后会显示当前系统中存在的帐户。从返回的结果中咱们能够看到刚才咱们创建的“piao$”这个帐户并不存在。接着让咱们进入控制面板的 “管理工具”，打开其中的“计算机”，查看其中的“本地用户和组”，在“用户”一项中，咱们创建的隐藏帐户“piao$”暴露无疑。

能够总结得出的结论是：这种方法只能将帐户在“命令提示符”中进行隐藏，而对于“计算机管理”则无能为力。所以这种隐藏帐户的方法并非很实用，只对那些粗心的管理员有效，是一种入门级的系统帐户隐藏技术。

2、在“注册表”中玩转帐户隐藏

从上文中咱们能够看到用命令提示符隐藏帐户的方法缺点很明显，很容易暴露本身。那么有没有能够在“命令提示符”和“计算机管理”中同时隐藏帐户的技术呢？答案是确定的，而这一切只须要咱们在“注册表”中进行一番小小的设置，就可让系统帐户在二者中彻底蒸发。

一、峰回路转，给管理员注册表操做权限

在注册表中对系统帐户的键值进行操做，须要到“HKEY_LOCAL_MACHINE\SAM\SAM”处进行修改，可是当咱们来到该处时，会发现无 法展开该处所在的键值。这是由于系统默认对系统管理员给予“写入D AC”和“读取控制”权限，没有给予修改权限，所以咱们没有办法对“SAM”项下的键值进行查看和修改。不过咱们能够借助系统中另外一个“注册表编辑器”给 管理员赋予修改权限。

点击“开始”→“运行”，输入“regedt32.exe”后回车，随后会弹出另外一个“注册表编辑器”，和咱们平时使用的“注册表编辑器”不一样的是它 能够修改系统帐户操做注册表时的权限（为便于理解，如下简称regedt32.exe）。在regedt32.exe中来到 “HKEY_LOCAL_MACHINE\SAM\SAM”处，点击“安全”菜单→“权限”，在弹出的“SAM的权限”编辑窗口中选中 “administrators”帐户，在下方的权限设置处勾选“彻底控制”，完成后点击“肯定”便可。而后咱们切换回“注册表编辑器”，能够发现 “HKEY_LOCAL_MACHINE\SAM\SAM”下面的键值均可以展开了。

 

图2.给管理员赋予操做权限

提示：上文中提到的方法只适用于Windows NT/2000系统。在Windows XP系统中，对于权限的操做能够直接在注册表中进行，方法为选中须要设置权限的项，点击右键，选择“权限”便可。

二、偷梁换柱，将隐藏帐户替换为管理员

成功获得注册表操做权限后，咱们就能够正式开始隐藏帐户的制做了。来到注册表编辑器的“HKEY_LOCAL_MACHINE\SAM\SAM \Domains\Account\Users\Names”处，当前系统中全部存在的帐户都会在这里显示，固然包括咱们的隐藏帐户。点击咱们的隐藏帐户 “piao$”，在右边显示的键值中的“类型”一项显示为0x3e9，向上来到“HKEY_LOCAL_MACHINE\SAM\SAM\Domains \Account\Users\”处，能够找到“000003E9”这一项，这二者是相互对应的，隐藏帐户“piao$”的全部信息都在 “000003E9”这一项中。一样的，咱们能够找到“administrator”帐户所对应的项为“000001F4”。

将“piao$”的键值导出为piao$.reg，同时将“000003E9”和“000001F4”项的F键值分别导出为 user.reg，admin.reg。用“记事本”打开admin.reg，将其中“F”值后面的内容复制下来，替换user.reg中的“F”值内 容，完成后保存。接下来进入“命令提示符”，输入“net user piao$ /del”将咱们创建的隐藏帐户删除。最后，将piao$.reg和user.reg导入注册表，至此，隐藏帐户制做完成。

 

图三、复制F值内容

三、过河拆桥，切断删除隐藏帐户的途径

虽然咱们的隐藏帐户已经在“命令提示符”和“计算机管理”中隐藏了，可是有经验的系统管理员仍可能经过注册表编辑器删除咱们的隐藏帐户，那么如何才能让咱们的隐藏帐户坚如磐石呢？

打开“regedt32.exe”，来到“HKEY_LOCAL_MACHINE\SAM\SAM”处，设置“SAM”项的权限，将 “administrators”所拥有的权限所有取消便可。当真正的管理员想对“HKEY_LOCAL_MACHINE\SAM\SAM”下面的项进行 操做的时候将会发生错误，并且没法经过“regedt32.exe”再次赋予权限。这样没有经验的管理员即便发现了系统中的隐藏帐户，也是迫不得已的。

三.专用工具，使帐户隐藏一步到位

虽然按照上面的方法能够很好得隐藏帐户，可是操做显得比较麻烦，并不适合新手，并且对注册表进行操做危险性过高，很容易形成系统崩溃。所以咱们能够借助专门的帐户隐藏工具来进行隐藏工做，使隐藏帐户再也不困难，只须要一个命令就能够搞定。

咱们须要利用的这款工具名叫“HideAdmin”，下载下来后解压到c盘。而后运行“命令提示符”，输入“HideAdmin piao$ 123456”便可，若是显示“Create a hiden Administrator piao$ Successed!”，则表示咱们已经成功创建一个帐户名为piao$，密码为123456的隐藏帐户。利用这款工具创建的帐户隐藏效果和上文中修改注 册表的效果是同样的。

4、把“隐藏帐户”请出系统

隐藏帐户的危害可谓十分巨大。所以咱们有必要在了解了帐户隐藏技术后，再对相应的防范技术做一个了解，把隐藏帐户完全请出系统

一、添加“$”符号型隐藏帐户

对于这类隐藏帐户的检测比较简单。通常***在利用这种方法创建完隐藏帐户后，会把隐藏帐户提高为管理员权限。那么咱们只须要在“命令提示符”中输入 “net localgroup administrators”就可让全部的隐藏帐户现形。若是嫌麻烦，能够直接打开“计算机管理”进行查看，添加“$”符号的帐户是没法在这里隐藏 的。

二、修改注册表型隐藏帐户

因为使用这种方法隐藏的帐户是不会在“命令提示符”和“计算机管理”中看到的，所以能够到注册表中删除隐藏帐户。来到 “HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names”，把这里存在的帐户和“计算机管 理”中存在的帐户进行比较，多出来的帐户就是隐藏帐户了。想要删除它也很简单，直接删除以隐藏帐户命名的项便可。

三、没法看到名称的隐藏帐户

若是***制做了一个修改注册表型隐藏帐户，在此基础上删除了管理员对注册表的操做权限。那么管理员是没法经过注册表删除隐藏帐户的，甚至没法知道*** 创建的隐藏帐户名称。不过世事没有绝对，咱们能够借助“组策略”的帮助，让***没法经过隐藏帐户登录。点击“开始”→“运行”，输入 “gpedit.msc”运行“组策略”，依次展开“计算机配置”→“Windows 设置”→“安全设置”→“本地策略”→“审核策略”，双击右边的“审核策略更改”，在弹出的设置窗口中勾选“成功”，而后点“肯定”。对“审核登录事件” 和“审核过程追踪”进行相同的设置。

 

图四、开启登录事件审核功能

进行登录审核后，能够对任何帐户的登录操做进行记录，包括隐藏帐户，这样咱们就能够经过“计算机管理”中的“事件查看器”准确得知隐藏帐户的名称，甚 至***登录的时间。即便***将全部的登录日志删除，系统还会记录是哪一个帐户删除了系统日志，这样***的隐藏帐户就暴露无疑了。