防止***侵入你正在使用的Windows系统

 

当******一台主机后，会千方百计保护本身的“劳动成果”，所以会在肉鸡上留下种种后门来长时间得控制肉鸡,其中使用最多的就是帐户隐藏技术。在肉鸡上创建一个隐藏的帐户，以备须要的时候使用。帐户隐藏技术可谓是最隐蔽的后门，通常用户很难发现系统中隐藏帐户的存在，所以危害性很大，本文就对隐藏帐户这种***经常使用的技术进行揭密。

在隐藏系统帐户以前，咱们有必要先来了解一下如何才能查看系统中已经存在的帐户。在系统中能够进入“命令提示符”，控制面板的“计算机管理”，“注册表”中对存在的帐户进行查看，而管理员通常只在“命令提示符”和“计算机管理”中检查是否有异常，所以如何让系统帐户在这二者中隐藏将是本文的重点。

1、“命令提示符”中的阴谋

其实，制做系统隐藏帐户并非十分高深的技术，利用咱们平时常常用到的“命令提示符”就能够制做一个简单的隐藏帐户。

点击“开始”→“运行”，输入“CMD”运行“命令提示符”，输入“net user piao$ 123456 /add”，回车，成功后会显示“命令成功完成”。接着输入“net localgroup administrators piao$ /add”回车，这样咱们就利用“命令提示符”成功得创建了一个用户名为“piao$”，密码为“123456”的简单“隐藏帐户”,而且把该隐藏帐户提高为了管理员权限。

咱们来看看隐藏帐户的创建是否成功。在“命令提示符”中输入查看系统帐户的命令“net user”，回车后会显示当前系统中存在的帐户。从返回的结果中咱们能够看到刚才咱们创建的“piao$”这个帐户并不存在。接着让咱们进入控制面板的“管理工具”，打开其中的“计算机”，查看其中的“本地用户和组”，在“用户”一项中，咱们创建的隐藏帐户“piao$”暴露无疑。

能够总结得出的结论是：这种方法只能将帐户在“命令提示符”中进行隐藏，而对于“计算机管理”则无能为力。所以这种隐藏帐户的方法并非很实用，只对那些粗心的管理员有效，是一种入门级的系统帐户隐藏技术。

2、在“注册表”中玩转帐户隐藏

从上文中咱们能够看到用命令提示符隐藏帐户的方法缺点很明显，很容易暴露本身。那么有没有能够在“命令提示符”和“计算机管理”中同时隐藏帐户的技术呢？答案是确定的，而这一切只须要咱们在“注册表”中进行一番小小的设置，就可让系统帐户在二者中彻底蒸发。

一、峰回路转，给管理员注册表操做权限

在注册表中对系统帐户的键值进行操做，须要到“HKEY_LOCAL_MACHINE\SAM\SAM”处进行修改，可是当咱们来到该处时，会发现没法展开该处所在的键值。这是由于系统默认对系统管理员给予“写入D AC”和“读取控制”权限，没有给予修改权限，所以咱们没有办法对“SAM”项下的键值进行查看和修改。不过咱们能够借助系统中另外一个“注册表编辑器”给管理员赋予修改权限。

点击“开始”→“运行”，输入“regedt32.exe”后回车，随后会弹出另外一个“注册表编辑器”，和咱们平时使用的“注册表编辑器”不一样的是它能够修改系统帐户操做注册表时的权限（为便于理解，如下简称regedt32.exe）。在regedt32.exe中来到“HKEY_LOCAL_MACHINE\SAM\SAM”处，点击“安全”菜单→“权限”，在弹出的“SAM的权限”编辑窗口中选中“administrators”帐户，在下方的权限设置处勾选“彻底控制”，完成后点击“肯定”便可。而后咱们切换回“注册表编辑器”，能够发现“HKEY_LOCAL_MACHINE\SAM\SAM”下面的键值均可以展开了。

提示：上文中提到的方法只适用于Windows NT/2000系统。在Windows XP系统中，对于权限的操做能够直接在注册表中进行，方法为选中须要设置权限的项，点击右键，选择“权限”便可。

二、偷梁换柱，将隐藏帐户替换为管理员

成功获得注册表操做权限后，咱们就能够正式开始隐藏帐户的制做了。来到注册表编辑器的“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names”处，当前系统中全部存在的帐户都会在这里显示，固然包括咱们的隐藏帐户。点击咱们的隐藏帐户“piao$”，在右边显示的键值中的“类型”一项显示为0x3e9，向上来到“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\”处，能够找到“000003E9”这一项，这二者是相互对应的，隐藏帐户“piao$”的全部信息都在“000003E9”这一项中。一样的，咱们能够找到“administrator”帐户所对应的项为“000001F4”。

将“piao$”的键值导出为piao$.reg，同时将“000003E9”和“000001F4”项的F键值分别导出为user.reg，admin.reg。用“记事本”打开admin.reg，将其中“F”值后面的内容复制下来，替换user.reg中的“F”值内容，完成后保存。接下来进入“命令提示符”，输入“net user piao$ /del”将咱们创建的隐藏帐户删除。最后，将piao$.reg和user.reg导入注册表，至此，隐藏帐户制做完成。

三、过河拆桥，切断删除隐藏帐户的途径

虽然咱们的隐藏帐户已经在“命令提示符”和“计算机管理”中隐藏了，可是有经验的系统管理员仍可能经过注册表编辑器删除咱们的隐藏帐户，那么如何才能让咱们的隐藏帐户坚如磐石呢？

打开“regedt32.exe”，来到“HKEY_LOCAL_MACHINE\SAM\SAM”处，设置“SAM”项的权限，将“administrators”所拥有的权限所有取消便可。当真正的管理员想对“HKEY_LOCAL_MACHINE\SAM\SAM”下面的项进行操做的时候将会发生错误，并且没法经过“regedt32.exe”再次赋予权限。这样没有经验的管理员即便发现了系统中的隐藏帐户，也是迫不得已的。

三.专用工具，使帐户隐藏一步到位

虽然按照上面的方法能够很好得隐藏帐户，可是操做显得比较麻烦，并不适合新手，并且对注册表进行操做危险性过高，很容易形成系统崩溃。所以咱们能够借助专门的帐户隐藏工具来进行隐藏工做，使隐藏帐户再也不困难，只须要一个命令就能够搞定。

咱们须要利用的这款工具名叫“HideAdmin”，下载下来后解压到c盘。而后运行“命令提示符”，输入“HideAdmin piao$ 123456”便可，若是显示“Create a hiden Administrator piao$ Successed!”，则表示咱们已经成功创建一个帐户名为piao$，密码为123456的隐藏帐户。利用这款工具创建的帐户隐藏效果和上文中修改注册表的效果是同样的。

4、把“隐藏帐户”请出系统

隐藏帐户的危害可谓十分巨大。所以咱们有必要在了解了帐户隐藏技术后，再对相应的防范技术做一个了解，把隐藏帐户完全请出系统

一、添加“$”符号型隐藏帐户

对于这类隐藏帐户的检测比较简单。通常***在利用这种方法创建完隐藏帐户后，会把隐藏帐户提高为管理员权限。那么咱们只须要在“命令提示符”中输入“net localgroup administrators”就可让全部的隐藏帐户现形。若是嫌麻烦，能够直接打开“计算机管理”进行查看，添加“$”符号的帐户是没法在这里隐藏的。

二、修改注册表型隐藏帐户

因为使用这种方法隐藏的帐户是不会在“命令提示符”和“计算机管理”中看到的，所以能够到注册表中删除隐藏帐户。来到“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names”，把这里存在的帐户和“计算机管理”中存在的帐户进行比较，多出来的帐户就是隐藏帐户了。想要删除它也很简单，直接删除以隐藏帐户命名的项便可。

三、没法看到名称的隐藏帐户

若是***制做了一个修改注册表型隐藏帐户，在此基础上删除了管理员对注册表的操做权限。那么管理员是没法经过注册表删除隐藏帐户的，甚至没法知道***创建的隐藏帐户名称。不过世事没有绝对，咱们能够借助“组策略”的帮助，让***没法经过隐藏帐户登录。点击“开始”→“运行”，输入“gpedit.msc”运行“组策略”，依次展开“计算机配置”→“Windows 设置”→“安全设置”→“本地策略”→“审核策略”，双击右边的“审核策略更改”，在弹出的设置窗口中勾选“成功”，而后点“肯定”。对“审核登录事件”和“审核过程追踪”进行相同的设置。

四、开启登录事件审核功能

进行登录审核后，能够对任何帐户的登录操做进行记录，包括隐藏帐户，这样咱们就能够经过“计算机管理”中的“事件查看器”准确得知隐藏帐户的名称，甚至***登录的时间。即便***将全部的登录日志删除，系统还会记录是哪一个帐户删除了系统日志，这样***的隐藏帐户就暴露无疑了。

五、经过事件查看器找到隐藏账户

得知隐藏帐户的名称后就好办了，可是咱们仍然不能删除这个隐藏帐户，由于咱们没有权限。可是咱们能够在“命令提示符”中输入“net user 隐藏帐户名称 654321”更改这个隐藏帐户的密码。这样这个隐藏帐户就会失效，***没法再用这个隐藏帐户登录。

 

前段时间我看了一辑微软关于系统方面的视频，其中讲了一例关于隐藏账户与隐藏权限的示例，我以为对于服务器及各客户系统的管理有很大的用处，能够防范服务器被添加隐藏账户的风险。

       下面是怎样添加一个隐藏账户与隐藏权限的操做步骤：

       1、查看本机有哪些账户：

在“本地用户和组”中查看，如今还没添加测试用的账户；

使用命令来查看

       2、添加测试用的账户

使用命令来添加一个带“$”的命令提示符下看不到的用户

在“本地用户和组”中查看，能够看到已经添加了测试用的账户“test$”

其组为Users组，即为受限账户，使用这个账户登陆则有不少权限没法操做，例如：修改系统时间等

       3、进行权限的修改

找到注册表中的分支SAM，此分支即为系统用户和组在注册表中的位置，对其进行操做，便可修改系统中用户和组的相应权限

因其设置了权限的限制，因此要先用系统管理员来添加操做的权限，咱们添加管理员组的成员彻底控制此分支

如今已经能够看到SAM分支的内容了

找到上图中的分支（H_L_M\SAM\SAM\Domains\Account\Users），选择其中分支Names下的测试用户test$，在右边窗口中能够看到此用户的默认键值的类型为“0x3ee”，此用户对应的权限保存在Users下的以此用户的默认键值类型值为结尾的分支中，例如测试用户test$对应的分支为“000003EE”；而Administrator对应的则为“000001F4”

打开Administrator对应权限的分支000001F4，在右边打开键值F（键值F即为相应用户的权限，修改此键值即为修改相应用户的权限，而不会修改相应用户的组），复制其中的数值数据

打开测试用户test$相应分支000003EE，将从000001F4复制的F数据覆盖000003EE的F键值，则测试用户test$的权限为Administrator的权限

而在“用户和组”中能够看到用户test$仍然为Users组的用户，但其权限则为Administrator的权限

      4、设置隐藏账户

导出注册表中测试用户test$相应的两个分支：H_L_M\SAM\SAM\Domains\Account\Users\000003ee和H_L_M\SAM\SAM\Domains\Account\Users\Names\test$

使用命令删除测试用户test$

在“本地用户和组”能够看到此用户已经被删除

在注册表中也能够看到此用户被删除

导入刚才导出的测试用户test$的注册表文件

能够在注册表中看到刚才删除的测试用户test$，而且其权限为Administrator的权限

在“本地用户和组”中能够看到无此用户，但通过测试可使用测试用户test$登陆，而且其权限为管理员权限。

      总结：在系统管理时（特别是服务器管理），应按期注意查看注册表中 SAM 分支下是否存在隐藏账户，以避免引发安全风险。