隨著電腦技術(shù)的發(fā)展和電腦的普及，還有大大小小的“駭客”網(wǎng)站和越來越簡單的工具，使得目前攻擊變得日趨頻繁，被植入木馬的電腦或服務(wù)器也越來越多，與此同時系統(tǒng)管理員的安全意識也在不斷提高，加上殺毒軟件的發(fā)展，網(wǎng)絡(luò)木馬的生命周期也越來越短，所以攻擊者在獲取了服務(wù)器的控制權(quán)限后，一般使用克隆用戶或者安裝SHIFT后門達到隱藏自己的目的，下面就由我給大家介紹一些常見的克隆用戶和檢查是否存在克隆用戶及清除的方法。

一、克隆賬號的原理與危害

1.克隆賬號的原理

在注冊表中有兩處保存了賬號的SID相對標(biāo)志符，一處是注冊表HKEY_LOCAL_MACHINE\SAM\AMDomains\AccountUsers 下的子鍵名，另一處是該子鍵的子項F的值。但微軟犯了個不同步它們的錯誤，登錄時用的是后者，查詢時用前者。當(dāng)用Administrator的F項覆蓋其他賬號的F項后，就造成了賬號是管理員權(quán)限，但查詢還是原來狀態(tài)的情況，這就是所謂的克隆賬號。

安全小知識：SID也就是安全標(biāo)識符（Security Identifiers），是標(biāo)識用戶、組和計算機賬戶的唯一的號碼。在第一次創(chuàng)建該賬戶時，將給網(wǎng)絡(luò)上的每一個賬戶發(fā)布一個唯一的 SID。Windows 2000 中的內(nèi)部進程將引用賬戶的 SID 而不是賬戶的用戶或組名。如果創(chuàng)建賬戶，再刪除賬戶，然后使用相同的用戶名創(chuàng)建另一個賬戶，則新賬戶將不具有授權(quán)給前一個賬戶的權(quán)力或權(quán)限，原因是該賬戶具有不同的 SID 號。

2. 克隆賬號的危害

當(dāng)系統(tǒng)用戶一旦被克隆，配合終端服務(wù)，就等于向攻擊者開啟了一扇隱蔽的后門，讓攻擊者可以隨時進入你的系統(tǒng)，這一扇門你看不到,因為它依靠的是微軟的終端服務(wù)，并沒有釋放病毒文件，所以也不會被殺毒軟件所查殺。

二、克隆用戶的常用方法

1.手工克隆方法一

在Windows 2000/xp/2003和Windows NT里，默認管理員賬號的SID是固定的500（0x1f4），那么我們可以用機器里已經(jīng)存在的一個賬號將SID為500的賬號進行克隆，在這里我們選擇的賬號是IUSR_XODU5PTT910NHOO（XODU5PTT910NHOO為已被攻陷的服務(wù)器機器名。為了加強隱蔽性，我們選擇了這個賬號，所有用戶都可以用以下的方法，只不過這個用戶較常見罷了）

我們這里要用到的一個工具是PsExec，一個輕型的 telnet 替代工具，它使您無需手動安裝客戶端軟件即可執(zhí)行其他系統(tǒng)上的進程，并且可以獲得與控制臺應(yīng)用程序相當(dāng)?shù)耐耆换バ?。PsExec 最強大的功能之一是在遠程系統(tǒng)和遠程支持工具（如 IpConfig）中啟動交互式命令提示窗口，以便顯示無法通過其他方式顯示的有關(guān)遠程系統(tǒng)的信息。
執(zhí)行：psexec -i -s -d cmd運行一個System的CMD Shell，如圖1所示。

圖1

得到一個有system權(quán)限的cmd shell，然后在該CMD Shell里面運行“regedit /e admin.reg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4”，這樣我們將SID為500（0x1f4）的管理員賬號的相關(guān)信息導(dǎo)出，如圖2所示。

圖2

然后編輯admin.reg文件，將admin.reg文件的第三行HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4中的“1F4”修改為IUSR_XODU5PTT910NHOO的SID，將文件中的“1F4”修改為“3EB”，如圖3所示。

圖3

保存之后，然后執(zhí)行如下命令：“regedit /s admin.reg”，導(dǎo)入該admin.reg文件，最后執(zhí)行“net user IUSR_XODU5PTT910NHOO n3tl04d”命令，修改IUSR_XODU5PTT910NHOO的密碼為n3tl04d。這里建議最好使用14位的密碼，也就是說越像 IUSR_XODU5PTT910NHOO的密碼越好，現(xiàn)在，就可以使用IUSR_XODU5PTT910NHOO密碼為n3tl04d遠程登錄了，和管理員一樣的配置環(huán)境！如圖4所示。

圖4

注意：大部份機器里IUSR_MACHINE用戶的SID都為0x3E9（如果機器在最初安裝的時候沒有安裝IIS，而是自己創(chuàng)建了賬號后再安裝IIS就有可能不是這個值了），如果不確定，可以使用：
“regedit /e sid.reg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\IUSR_MACHINE”命令先導(dǎo)出注冊表，然后編輯sid.reg文件，就可以看到SID為“3EB”，如圖5所示。

圖5

2.手工克隆方法二

另外一種克隆賬戶的方法是：首先運行regedt32.exe，展開注冊表到HKEY_LOCAL_MACHINE\SAM\SAM，然后點菜單欄的“編輯”→“權(quán)限”（Windows 2000是菜單欄的“安全”→“權(quán)限”），會彈出“SAM的權(quán)限”窗口，點擊Administrators，在該窗口中勾選允許完全控制，(Windows 2000是在該窗口中勾選“允許將來自父系的可繼承權(quán)限傳播給該對象”)然后點擊“確定”按鈕。如圖6所示。

圖6

再找到HKEY_LOCAL_MACHINE\SAM\SAM\DomainsAccount\Users\00001F4，雙擊右邊窗口中的“F”項，如圖7所示。

圖7

選取全部內(nèi)容，然后點擊鼠標(biāo)右鍵選“復(fù)制”，再打開HKEY_LOCAL_MACHINE\SAM\SAM\DomainsAccount\Users\00003EB下的F項，將剛才復(fù)制的內(nèi)容粘貼進去，這樣我們就將IUSR_XODU5PTT910NHOO賬號克隆成了管理員，再將剛才SAM目錄的權(quán)限給刪掉，以免被人發(fā)現(xiàn)。

3.使用mt克隆

mt.exe是一款非常強大的網(wǎng)絡(luò)工具，它主要以命令行方式執(zhí)行，可以開啟系統(tǒng)服務(wù)，檢查用戶以及直接顯示用戶登陸密碼等。它就象一把雙刃劍，入侵者和系統(tǒng)管理員都要使用它，但由于常被入侵者使用，所以被很多殺毒軟件列為病毒。
關(guān)于MT的詳細測試報告可以到http://www.antian365.com/bbs/viewthread.php?tid=2786&extra=page%3D1&frombbs=1了解?？寺∮脩舻挠梅ㄈ缦拢?BR>mt -clone
如：mt -clone adminstrator IUSR_XODU5PTT910NHOO
如圖8所示。

圖8

就是把管理員賬號administrator克隆為IUSR_XODU5PTT910NHOO賬號。最后執(zhí)行“net user IUSR_XODU5PTT910NHOO n3tl04d”命令，修改IUSR_XODU5PTT910NHOO的密碼為n3tl04d。

4.使用AIO克隆

AIO(All In One)是WinEggDrop寫的一個把很多小工具功能集成一體的一個“工具”，其中有克隆用戶、修改服務(wù)的啟動類型、刪除系統(tǒng)賬戶、檢查系統(tǒng)隱藏服務(wù)、端口掃描和端口轉(zhuǎn)發(fā)等等。

使用AIO克隆很簡單，就是: Aio.exe -Clone 正常賬號 要被克隆賬戶 密碼
如: Aio.exe -Clone Administrator IUSR_XODU5PTT910NHOO n3tl04d
這樣就可以用IUSR_XODU5PTT910NHOO\n3tl04d作為管理員登錄了。
如圖9所示。

圖9

5.使用CA克隆

ca.exe 小榕編寫的一個遠程克隆賬號工具，當(dāng)然本地克隆也沒問題。
用法如下：ca \\ip地址 管理員用戶名 管理員密碼 克隆的用戶 密碼
如：ca \\127.0.0.1 administrator 123456 IUSR_XODU5PTT910NHOO 123456
如圖10所示。

圖10

6.建立隱藏賬號

需要使用的工具叫adhider，是錦毛鼠寫的一個專門建立隱藏用戶的工具。此工具有個缺點，那就是當(dāng)服務(wù)器重啟后，用戶就隱藏不了，會在用戶管理中顯示出來。
用法如下：adhider 用戶名 密碼
如：adhider n3tl04d$\123456
如圖11所示。

圖11

創(chuàng)建成功后就可以使用
n3tl04d$\123456登錄，得到和管理員權(quán)限。

7.使用clone克隆

clone是28度的冰寫的一個克隆工具，只支持windows2003和windowsxp,不支持windows2000。此工具有個缺點，那就是當(dāng)服務(wù)器重啟后，用戶就隱藏不了，會在用戶管理中顯示出來。
用法如下：Clone.exe 用戶名 密碼
如：clone n3tl04d 520mm
如圖12所示。

圖12

就可以使用n3tl04d\520mm登錄，得到和管理員權(quán)限。

注意：在Windows 2003下如果使用clone克隆后，再使用MT檢查，會提示你沒有系統(tǒng)權(quán)限，此時需要重啟電腦或者運行一個有system權(quán)限的cmd才能使用MT檢查。

最新評論