防止黑客侵入你正在使用的Windows系統(tǒng)(克隆管理員賬戶)
防止黑客侵入你正在使用的Windows系統(tǒng)
當(dāng)黑客入侵一臺(tái)主機(jī)后,會(huì)想方設(shè)法保護(hù)自己的“勞動(dòng)成果”,因此會(huì)在肉雞上留下種種后門來(lái)長(zhǎng)時(shí)間得控制肉雞,其中使用最多的就是賬戶隱藏技術(shù)。在肉雞上建立一個(gè)隱藏的賬戶,以備需要的時(shí)候使用。賬戶隱藏技術(shù)可謂是最隱蔽的后門,一般用戶很難發(fā)現(xiàn)系統(tǒng)中隱藏賬戶的存在,因此危害性很大,本文就對(duì)隱藏賬戶這種黑客常用的技術(shù)進(jìn)行揭密。
在隱藏系統(tǒng)賬戶之前,我們有必要先來(lái)了解一下如何才能查看系統(tǒng)中已經(jīng)存在的賬戶。在系統(tǒng)中可以進(jìn)入“命令提示符”,控制面板的“計(jì)算機(jī)管理”,“注冊(cè)表”中對(duì)存在的賬戶進(jìn)行查看,而管理員一般只在“命令提示符”和“計(jì)算機(jī)管理”中檢查是否有異常,因此如何讓系統(tǒng)賬戶在這兩者中隱藏將是本文的重點(diǎn)。
一、“命令提示符”中的陰謀
其實(shí),制作系統(tǒng)隱藏賬戶并不是十分高深的技術(shù),利用我們平時(shí)經(jīng)常用到的“命令提示符”就可以制作一個(gè)簡(jiǎn)單的隱藏賬戶。
點(diǎn)擊“開(kāi)始”→“運(yùn)行”,輸入“CMD”運(yùn)行“命令提示符”,輸入“net user piao$ 123456 /add”,回車,成功后會(huì)顯示“命令成功完成”。接著輸入“net localgroup administrators piao$ /add”回車,這樣我們就利用“命令提示符”成功得建立了一個(gè)用戶名為“piao$”,密碼為“123456”的簡(jiǎn)單“隱藏賬戶”,并且把該隱藏賬戶提升為了管理員權(quán)限。
我們來(lái)看看隱藏賬戶的建立是否成功。在“命令提示符”中輸入查看系統(tǒng)賬戶的命令“net user”,回車后會(huì)顯示當(dāng)前系統(tǒng)中存在的賬戶。從返回的結(jié)果中我們可以看到剛才我們建立的“piao$”這個(gè)賬戶并不存在。接著讓我們進(jìn)入控制面板的“管理工具”,打開(kāi)其中的“計(jì)算機(jī)”,查看其中的“本地用戶和組”,在“用戶”一項(xiàng)中,我們建立的隱藏賬戶“piao$”暴露無(wú)疑。
可以總結(jié)得出的結(jié)論是:這種方法只能將賬戶在“命令提示符”中進(jìn)行隱藏,而對(duì)于“計(jì)算機(jī)管理”則無(wú)能為力。因此這種隱藏賬戶的方法并不是很實(shí)用,只對(duì)那些粗心的管理員有效,是一種入門級(jí)的系統(tǒng)賬戶隱藏技術(shù)。
二、在“注冊(cè)表”中玩轉(zhuǎn)賬戶隱藏
從上文中我們可以看到用命令提示符隱藏賬戶的方法缺點(diǎn)很明顯,很容易暴露自己。那么有沒(méi)有可以在“命令提示符”和“計(jì)算機(jī)管理”中同時(shí)隱藏賬戶的技術(shù)呢?答案是肯定的,而這一切只需要我們?cè)凇白?cè)表”中進(jìn)行一番小小的設(shè)置,就可以讓系統(tǒng)賬戶在兩者中完全蒸發(fā)。
1、峰回路轉(zhuǎn),給管理員注冊(cè)表操作權(quán)限
在注冊(cè)表中對(duì)系統(tǒng)賬戶的鍵值進(jìn)行操作,需要到“HKEY_LOCAL_MACHINE\SAM\SAM”處進(jìn)行修改,但是當(dāng)我們來(lái)到該處時(shí),會(huì)發(fā)現(xiàn)無(wú)法展開(kāi)該處所在的鍵值。這是因?yàn)橄到y(tǒng)默認(rèn)對(duì)系統(tǒng)管理員給予“寫入D AC”和“讀取控制”權(quán)限,沒(méi)有給予修改權(quán)限,因此我們沒(méi)有辦法對(duì)“SAM”項(xiàng)下的鍵值進(jìn)行查看和修改。不過(guò)我們可以借助系統(tǒng)中另一個(gè)“注冊(cè)表編輯器”給管理員賦予修改權(quán)限。
點(diǎn)擊“開(kāi)始”→“運(yùn)行”,輸入“regedt32.exe”后回車,隨后會(huì)彈出另一個(gè)“注冊(cè)表編輯器”,和我們平時(shí)使用的“注冊(cè)表編輯器”不同的是它可以修改系統(tǒng)賬戶操作注冊(cè)表時(shí)的權(quán)限(為便于理解,以下簡(jiǎn)稱regedt32.exe)。在regedt32.exe中來(lái)到“HKEY_LOCAL_MACHINE\SAM\SAM”處,點(diǎn)擊“安全”菜單→“權(quán)限”,在彈出的“SAM的權(quán)限”編輯窗口中選中“administrators”賬戶,在下方的權(quán)限設(shè)置處勾選“完全控制”,完成后點(diǎn)擊“確定”即可。然后我們切換回“注冊(cè)表編輯器”,可以發(fā)現(xiàn)“HKEY_LOCAL_MACHINE\SAM\SAM”下面的鍵值都可以展開(kāi)了。
2、偷梁換柱,將隱藏賬戶替換為管理員
成功得到注冊(cè)表操作權(quán)限后,我們就可以正式開(kāi)始隱藏賬戶的制作了。來(lái)到注冊(cè)表編輯器的“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names”處,當(dāng)前系統(tǒng)中所有存在的賬戶都會(huì)在這里顯示,當(dāng)然包括我們的隱藏賬戶。點(diǎn)擊我們的隱藏賬戶“piao$”,在右邊顯示的鍵值中的“類型”一項(xiàng)顯示為0x3f0,向上來(lái)到“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\”處,可以找到“000003f0”這一項(xiàng),這兩者是相互對(duì)應(yīng)的,隱藏賬戶“piao$”的所有信息都在“000003f0”這一項(xiàng)中。同樣的,我們可以找到“administrator”賬戶所對(duì)應(yīng)的項(xiàng)為“000001F4”。
將“piao$”的鍵值導(dǎo)出為piao$.reg,同時(shí)將“000003f0”和“000001F4”項(xiàng)的F鍵值分別導(dǎo)出為user.reg,admin.reg。用“記事本”打開(kāi)admin.reg,將其中“F”值后面的內(nèi)容復(fù)制下來(lái),替換user.reg中的“F”值內(nèi)容,完成后保存。接下來(lái)進(jìn)入“命令提示符”,輸入“net user piao$ /del”將我們建立的隱藏賬戶刪除。最后,將piao$.reg和user.reg導(dǎo)入注冊(cè)表,至此,隱藏賬戶制作完成。
3、過(guò)河拆橋,切斷刪除隱藏賬戶的途徑
雖然我們的隱藏賬戶已經(jīng)在“命令提示符”和“計(jì)算機(jī)管理”中隱藏了,但是有經(jīng)驗(yàn)的系統(tǒng)管理員仍可能通過(guò)注冊(cè)表編輯器刪除我們的隱藏賬戶,那么如何才能讓我們的隱藏賬戶堅(jiān)如磐石呢?
打開(kāi)“regedt32.exe”,來(lái)到“HKEY_LOCAL_MACHINE\SAM\SAM”處,設(shè)置“SAM”項(xiàng)的權(quán)限,將“administrators”所擁有的權(quán)限全部取消即可。當(dāng)真正的管理員想對(duì)“HKEY_LOCAL_MACHINE\SAM\SAM”下面的項(xiàng)進(jìn)行操作的時(shí)候?qū)?huì)發(fā)生錯(cuò)誤,而且無(wú)法通過(guò)“regedt32.exe”再次賦予權(quán)限。這樣沒(méi)有經(jīng)驗(yàn)的管理員即使發(fā)現(xiàn)了系統(tǒng)中的隱藏賬戶,也是無(wú)可奈何的。
三.專用工具,使賬戶隱藏一步到位
雖然按照上面的方法可以很好得隱藏賬戶,但是操作顯得比較麻煩,并不適合新手,而且對(duì)注冊(cè)表進(jìn)行操作危險(xiǎn)性太高,很容易造成系統(tǒng)崩潰。因此我們可以借助專門的賬戶隱藏工具來(lái)進(jìn)行隱藏工作,使隱藏賬戶不再困難,只需要一個(gè)命令就可以搞定。
我們需要利用的這款工具名叫“HideAdmin”,下載下來(lái)后解壓到c盤。然后運(yùn)行“命令提示符”,輸入“HideAdmin piao$ 123456”即可,如果顯示“Create a hiden Administrator piao$ Successed!”,則表示我們已經(jīng)成功建立一個(gè)賬戶名為piao$,密碼為123456的隱藏賬戶。利用這款工具建立的賬戶隱藏效果和上文中修改注冊(cè)表的效果是一樣的。
四、把“隱藏賬戶”請(qǐng)出系統(tǒng)
隱藏賬戶的危害可謂十分巨大。因此我們有必要在了解了賬戶隱藏技術(shù)后,再對(duì)相應(yīng)的防范技術(shù)作一個(gè)了解,把隱藏賬戶徹底請(qǐng)出系統(tǒng)
1、添加“$”符號(hào)型隱藏賬戶
對(duì)于這類隱藏賬戶的檢測(cè)比較簡(jiǎn)單。一般黑客在利用這種方法建立完隱藏賬戶后,會(huì)把隱藏賬戶提升為管理員權(quán)限。那么我們只需要在“命令提示符”中輸入“net localgroup administrators”就可以讓所有的隱藏賬戶現(xiàn)形。如果嫌麻煩,可以直接打開(kāi)“計(jì)算機(jī)管理”進(jìn)行查看,添加“$”符號(hào)的賬戶是無(wú)法在這里隱藏的。
2、修改注冊(cè)表型隱藏賬戶
由于使用這種方法隱藏的賬戶是不會(huì)在“命令提示符”和“計(jì)算機(jī)管理”中看到的,因此可以到注冊(cè)表中刪除隱藏賬戶。來(lái)到“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names”,把這里存在的賬戶和“計(jì)算機(jī)管理”中存在的賬戶進(jìn)行比較,多出來(lái)的賬戶就是隱藏賬戶了。想要?jiǎng)h除它也很簡(jiǎn)單,直接刪除以隱藏賬戶命名的項(xiàng)即可。
3、無(wú)法看到名稱的隱藏賬戶
如果黑客制作了一個(gè)修改注冊(cè)表型隱藏賬戶,在此基礎(chǔ)上刪除了管理員對(duì)注冊(cè)表的操作權(quán)限。那么管理員是無(wú)法通過(guò)注冊(cè)表刪除隱藏賬戶的,甚至無(wú)法知道黑客建立的隱藏賬戶名稱。不過(guò)世事沒(méi)有絕對(duì),我們可以借助“組策略”的幫助,讓黑客無(wú)法通過(guò)隱藏賬戶登陸。點(diǎn)擊“開(kāi)始”→“運(yùn)行”,輸入“gpedit.msc”運(yùn)行“組策略”,依次展開(kāi)“計(jì)算機(jī)配置”→“Windows 設(shè)置”→“安全設(shè)置”→“本地策略”→“審核策略”,雙擊右邊的“審核策略更改”,在彈出的設(shè)置窗口中勾選“成功”,然后點(diǎn)“確定”。對(duì)“審核登陸事件”和“審核過(guò)程追蹤”進(jìn)行相同的設(shè)置。
4、開(kāi)啟登陸事件審核功能
進(jìn)行登陸審核后,可以對(duì)任何賬戶的登陸操作進(jìn)行記錄,包括隱藏賬戶,這樣我們就可以通過(guò)“計(jì)算機(jī)管理”中的“事件查看器”準(zhǔn)確得知隱藏賬戶的名稱,甚至黑客登陸的時(shí)間。即使黑客將所有的登陸日志刪除,系統(tǒng)還會(huì)記錄是哪個(gè)賬戶刪除了系統(tǒng)日志,這樣黑客的隱藏賬戶就暴露無(wú)疑了。
5、通過(guò)事件查看器找到隱藏帳戶
得知隱藏賬戶的名稱后就好辦了,但是我們?nèi)匀徊荒軇h除這個(gè)隱藏賬戶,因?yàn)槲覀儧](méi)有權(quán)限。但是我們可以在“命令提示符”中輸入“net user 隱藏賬戶名稱 654321”更改這個(gè)隱藏賬戶的密碼。這樣這個(gè)隱藏賬戶就會(huì)失效,黑客無(wú)法再用這個(gè)隱藏賬戶登陸。
相關(guān)文章
Window?Server?2019服務(wù)器上安裝SQL?Server數(shù)據(jù)庫(kù)
本文主要介紹了Window?Server?2019服務(wù)器上安裝SQL?Server數(shù)據(jù)庫(kù),通過(guò)圖文介紹的非常詳細(xì),想要安裝SQL?Server數(shù)據(jù)庫(kù)的同學(xué)可以根據(jù)圖文一步步安裝2023-09-09Windows Server 2012顯示或隱藏桌面上的通用圖標(biāo)教程圖解
Windows Server 2012與Windows Server 2008 在顯示或隱藏桌面上的通用圖標(biāo)是不同的。這篇文章通過(guò)圖文并茂的形式給大家介紹Windows Server 2012顯示或隱藏桌面上的通用圖標(biāo),感興趣的朋友一起看看吧2018-12-12Windows10系統(tǒng)下查看mysql的端口號(hào)并修改的教程圖解
本文通過(guò)圖文并茂的形式給大家介紹了Windows10系統(tǒng)下查看mysql的端口號(hào)并修改的方法,非常不錯(cuò),具有一定的參考借鑒價(jià)值,需要的朋友參考下吧2018-08-08Windows下Apache+MySQL+PHP運(yùn)行環(huán)境的安裝圖文方法
Windows下Apache+MySQL+PHP的安裝方法,剛開(kāi)始學(xué)習(xí)php的朋友最好能自己掌握下,如果已經(jīng)會(huì)了不想花時(shí)間用在建設(shè)平臺(tái)上面,可以直接用一些php運(yùn)行環(huán)境包,例如phpnow等。2010-04-04win2003 x64 apache php 開(kāi)發(fā)環(huán)境配置日志
win2003 x64 php 開(kāi)發(fā)環(huán)境配置日志,不過(guò)是apache非iis版本的,所以大家可以查看本站的其它的一些關(guān)于iis php的配置文章。2009-06-06IP策略實(shí)現(xiàn)服務(wù)器禁止Ping
有什么辦法可以使自己的服務(wù)器在在線狀態(tài)下逃脫搜索呢?安裝和設(shè)置防火墻當(dāng)然是解決問(wèn)題的最佳途徑。如果您沒(méi)有安裝防火墻,創(chuàng)建一個(gè)禁止所有計(jì)算機(jī)Ping本機(jī)IP地址的安全策略,可以實(shí)現(xiàn)同樣的功能。2009-08-08win2003服務(wù)器安全設(shè)置完全版(腳本之家補(bǔ)充)
很多朋友比較喜歡觀看腳本之家的win2003的相關(guān)文章,前段時(shí)間把2008的一些環(huán)境配置與安全設(shè)置分享整理了一下,這里繼續(xù)將2003的安全設(shè)置整理一下吧,希望大家以后多支持腳本之家2016-08-08安裝服務(wù)器常見(jiàn)組件之ISAPI_Rewrite組件圖文安裝教程
本教程共分八篇:系統(tǒng)安裝與設(shè)置篇、軟件安裝與設(shè)置篇、文件及文件夾權(quán)限篇、系統(tǒng)服務(wù)篇、安全策略篇、系統(tǒng)組件篇、注冊(cè)表篇、軟件安全篇。本篇討論的是第二篇軟件安裝與設(shè)置篇的第五部分:安裝常見(jiàn)組件之ISAPI_Rewrite組件安裝圖解。2010-05-05LoadUserProfile 調(diào)用因下列錯(cuò)誤而宣告失敗: 拒絕訪問(wèn)的常見(jiàn)解決方法
今天突然看到服務(wù)器出現(xiàn)這樣的錯(cuò)誤提示,拒絕訪問(wèn),肯定是權(quán)限問(wèn)題,是哪里的權(quán)限問(wèn)題呢。2011-01-01