在肉雞上建立一個(gè)隱藏的賬戶(hù)，以備需要的時(shí)候使用。賬戶(hù)隱藏技術(shù)可謂是最隱蔽的后門(mén)，一般用戶(hù)很難發(fā)現(xiàn)系統(tǒng)中隱藏賬戶(hù)的存在，因此危害性很大，本文就對(duì)隱藏賬戶(hù)這種黑客常用的技術(shù)進(jìn)行揭密。

       在隱藏系統(tǒng)賬戶(hù)之前，我們有必要先來(lái)了解一下如何才能查看系統(tǒng)中已經(jīng)存在的賬戶(hù)。在系統(tǒng)中可以進(jìn)入“命令提示符”，控制面板的“計(jì)算機(jī)管理”，“注冊(cè)表” 中對(duì)存在的賬戶(hù)進(jìn)行查看，而管理員一般只在“命令提示符”和“計(jì)算機(jī)管理”中檢查是否有異常，因此如何讓系統(tǒng)賬戶(hù)在這兩者中隱藏將是本文的重點(diǎn)。

一、“命令提示符”中的陰謀

       其實(shí)，制作系統(tǒng)隱藏賬戶(hù)并不是十分高深的技術(shù)，利用我們平時(shí)經(jīng)常用到的“命令提示符”就可以制作一個(gè)簡(jiǎn)單的隱藏賬戶(hù)。點(diǎn)擊“開(kāi)始”→“運(yùn)行”，輸入“CMD”運(yùn)行“命令提示符”，輸入

net user chun$ password /add
net localgroup administrators chun$ /add

這樣我們就利用“命令提示符”成功得建立了一個(gè)用戶(hù)名為“chun$”，密碼為“password”的簡(jiǎn)單“隱藏賬戶(hù)”，并且把該隱藏賬戶(hù)提升為了管理員權(quán)限。

我們來(lái)看看隱藏賬戶(hù)的建立是否成功。在“命令提示符”中輸入查看系統(tǒng)賬戶(hù)的命令“net user”，回車(chē)后會(huì)顯示當(dāng)前系統(tǒng)中存在的賬戶(hù)。從返回的結(jié)果中我們可以看到剛才我們建立的“chun$”這個(gè)賬戶(hù)并不存在。接著讓我們進(jìn)入控制面板的 “管理工具”，打開(kāi)其中的“計(jì)算機(jī)”，查看其中的“本地用戶(hù)和組”，在“用戶(hù)”一項(xiàng)中，我們建立的隱藏賬戶(hù)“chun$”暴露無(wú)疑。

可以總結(jié)得出的結(jié)論是：這種方法只能將賬戶(hù)在“命令提示符”中進(jìn)行隱藏，而對(duì)于“計(jì)算機(jī)管理”則無(wú)能為力。因此這種隱藏賬戶(hù)的方法并不是很實(shí)用，只對(duì)那些粗心的管理員有效，是一種入門(mén)級(jí)的系統(tǒng)賬戶(hù)隱藏技術(shù)。

二、在“注冊(cè)表”中玩轉(zhuǎn)賬戶(hù)隱藏

       從上文中我們可以看到用命令提示符隱藏賬戶(hù)的方法缺點(diǎn)很明顯，很容易暴露自己。那么有沒(méi)有可以在“命令提示符”和“計(jì)算機(jī)管理”中同時(shí)隱藏賬戶(hù)的技術(shù)呢？答案是肯定的，而這一切只需要我們?cè)?ldquo;注冊(cè)表”中進(jìn)行一番小小的設(shè)置，就可以讓系統(tǒng)賬戶(hù)在兩者中完全蒸發(fā)。

1、峰回路轉(zhuǎn)，給管理員注冊(cè)表操作權(quán)限

在注冊(cè)表中對(duì)系統(tǒng)賬戶(hù)的鍵值進(jìn)行操作，需要到“HKEY_LOCAL_MACHINE\SAM\SAM”處進(jìn)行修改，但是當(dāng)我們來(lái)到該處時(shí)，會(huì)發(fā)現(xiàn)無(wú)法展開(kāi)該處所在的鍵值。這是因?yàn)橄到y(tǒng)默認(rèn)對(duì)系統(tǒng)管理員給予“寫(xiě)入DAC”和“讀取控制”權(quán)限，沒(méi)有給予修改權(quán)限，因此我們沒(méi)有辦法對(duì)“SAM”項(xiàng)下的鍵值進(jìn)行查看和修改。不過(guò)我們可以借助系統(tǒng)中另一個(gè)“注冊(cè)表編輯器”給管理員賦予修改權(quán)限。

點(diǎn)擊“開(kāi)始”→“運(yùn)行”，輸入 “regedt32.exe”后回車(chē)，隨后會(huì)彈出另一個(gè)“注冊(cè)表編輯器”，和我們平時(shí)使用的“注冊(cè)表編輯器”不同的是它可以修改系統(tǒng)賬戶(hù)操作注冊(cè)表時(shí)的權(quán)限（為便于理解，以下簡(jiǎn)稱(chēng)regedt32.exe）。在regedt32.exe中來(lái)到“HKEY_LOCAL_MACHINE\SAM\SAM”處，點(diǎn)擊“安全”菜單→“權(quán)限”，在彈出的“SAM的權(quán)限”編輯窗口中選中“administrators”賬戶(hù)，在下方的權(quán)限設(shè)置處勾選“完全控制”，完成后點(diǎn)擊“確定”即可。然后我們切換回“注冊(cè)表編輯器”，可以發(fā)現(xiàn)“HKEY_LOCAL_MACHINE\SAM\SAM”下面的鍵值都可以展開(kāi)了。

提示：上文中提到的方法只適用于Windows NT/2000系統(tǒng)。在Windows XP系統(tǒng)中，對(duì)于權(quán)限的操作可以直接在注冊(cè)表中進(jìn)行，方法為選中需要設(shè)置權(quán)限的項(xiàng)，點(diǎn)擊右鍵，選擇“權(quán)限”即可。

2、偷梁換柱，將隱藏賬戶(hù)替換為管理員

成功得到注冊(cè)表操作權(quán)限后，我們就可以正式開(kāi)始隱藏賬戶(hù)的制作了。來(lái)到注冊(cè)表編輯器的“HKEY_LOCAL_MACHINE\SAM\SAM \Domains\Account\Users\Names”處，當(dāng)前系統(tǒng)中所有存在的賬戶(hù)都會(huì)在這里顯示，當(dāng)然包括我們的隱藏賬戶(hù)。點(diǎn)擊我們的隱藏賬戶(hù) “chun$”，在右邊顯示的鍵值中的“類(lèi)型”一項(xiàng)顯示為0x3f4，向上來(lái)到“HKEY_LOCAL_MACHINE\SAM\SAM\Domains \Account\Users\”處，可以找到“000003f4”這一項(xiàng)，這兩者是相互對(duì)應(yīng)的，隱藏賬戶(hù)“chun$”的所有信息都在 “000003f4”這一項(xiàng)中。同樣的，我們可以找到“administrator”賬戶(hù)所對(duì)應(yīng)的項(xiàng)為“000001F4”。
將“chun$”的鍵值導(dǎo)出為chun$.reg，同時(shí)將“000003F4”和“000001F4”項(xiàng)的F鍵值分別導(dǎo)出為user.reg，admin.reg。用“記事本”打開(kāi)admin.reg，將其中“F”值后面的內(nèi)容復(fù)制下來(lái)，替換user.reg中的“F”值內(nèi)容，完成后保存。接下來(lái)進(jìn)入“命令提示符”，輸入 “net user chun$ /del”將我們建立的隱藏賬戶(hù)刪除。最后，將chun$.reg和user.reg導(dǎo)入注冊(cè)表，至此，隱藏賬戶(hù)制作完成。

3、過(guò)河拆橋，切斷刪除隱藏賬戶(hù)的途徑

雖然我們的隱藏賬戶(hù)已經(jīng)在“命令提示符”和“計(jì)算機(jī)管理”中隱藏了，但是有經(jīng)驗(yàn)的系統(tǒng)管理員仍可能通過(guò)注冊(cè)表編輯器刪除我們的隱藏賬戶(hù)，那么如何才能讓我們的隱藏賬戶(hù)堅(jiān)如磐石呢？

打開(kāi)“regedt32.exe”，來(lái)到“HKEY_LOCAL_MACHINE\SAM\SAM”處，設(shè)置“SAM”項(xiàng)的權(quán)限，將 “administrators”所擁有的權(quán)限全部取消即可。當(dāng)真正的管理員想對(duì)“HKEY_LOCAL_MACHINE\SAM\SAM”下面的項(xiàng)進(jìn)行操作的時(shí)候?qū)?huì)發(fā)生錯(cuò)誤，而且無(wú)法通過(guò)“regedt32.exe”再次賦予權(quán)限。這樣沒(méi)有經(jīng)驗(yàn)的管理員即使發(fā)現(xiàn)了系統(tǒng)中的隱藏賬戶(hù)，也是無(wú)可奈何的。

三、專(zhuān)用工具，使賬戶(hù)隱藏一步到位

       雖然按照上面的方法可以很好得隱藏賬戶(hù)，但是操作顯得比較麻煩，并不適合新手，而且對(duì)注冊(cè)表進(jìn)行操作危險(xiǎn)性太高，很容易造成系統(tǒng)崩潰。因此我們可以借助專(zhuān)門(mén)的賬戶(hù)隱藏工具來(lái)進(jìn)行隱藏工作，使隱藏賬戶(hù)不再困難，只需要一個(gè)命令就可以搞定。

我們需要利用的這款工具名叫“HideAdmin”，下載下來(lái)后解壓到c盤(pán)。然后運(yùn)行“命令提示符”，輸入“HideAdmin chun$ password”即可，如果顯示“Create a hiden Administrator chun$ Successed!”，則表示我們已經(jīng)成功建立一個(gè)賬戶(hù)名為chun$，密碼為password的隱藏賬戶(hù)。利用這款工具建立的賬戶(hù)隱藏效果和上文中修改注冊(cè)表的效果是一樣的。

四、把“隱藏賬戶(hù)”請(qǐng)出系統(tǒng)

       隱藏賬戶(hù)的危害可謂十分巨大。因此我們有必要在了解了賬戶(hù)隱藏技術(shù)后，再對(duì)相應(yīng)的防范技術(shù)作一個(gè)了解，把隱藏賬戶(hù)徹底請(qǐng)出系統(tǒng)

1、添加“$”符號(hào)型隱藏賬戶(hù)

對(duì)于這類(lèi)隱藏賬戶(hù)的檢測(cè)比較簡(jiǎn)單。一般黑客在利用這種方法建立完隱藏賬戶(hù)后，會(huì)把隱藏賬戶(hù)提升為管理員權(quán)限。那么我們只需要在“命令提示符”中輸入“net localgroup administrators”就可以讓所有的隱藏賬戶(hù)現(xiàn)形。如果嫌麻煩，可以直接打開(kāi)“計(jì)算機(jī)管理”進(jìn)行查看，添加“$”符號(hào)的賬戶(hù)是無(wú)法在這里隱藏的。

2、修改注冊(cè)表型隱藏賬戶(hù)

由于使用這種方法隱藏的賬戶(hù)是不會(huì)在“命令提示符”和“計(jì)算機(jī)管理”中看到的，因此可以到注冊(cè)表中刪除隱藏賬戶(hù)。來(lái)到“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account \Users\Names”，把這里存在的賬戶(hù)和“計(jì)算機(jī)管理”中存在的賬戶(hù)進(jìn)行比較，多出來(lái)的賬戶(hù)就是隱藏賬戶(hù)了。想要?jiǎng)h除它也很簡(jiǎn)單，直接刪除以隱藏賬戶(hù)命名的項(xiàng)即可。

3、無(wú)法看到名稱(chēng)的隱藏賬戶(hù)

如果黑客制作了一個(gè)修改注冊(cè)表型隱藏賬戶(hù)，在此基礎(chǔ)上刪除了管理員對(duì)注冊(cè)表的操作權(quán)限。那么管理員是無(wú)法通過(guò)注冊(cè)表刪除隱藏賬戶(hù)的，甚至無(wú)法知道黑客建立的隱藏賬戶(hù)名稱(chēng)。不過(guò)世事沒(méi)有絕對(duì)，我們可以借助“組策略”的幫助，讓黑客無(wú)法通過(guò)隱藏賬戶(hù)登陸。

點(diǎn)擊“開(kāi)始”→“運(yùn)行”，輸入“gpedit.msc”運(yùn)行“組策略”，依次展開(kāi)
“計(jì)算機(jī)配置”→“Windows設(shè)置”→“安全設(shè)置”→“本地策略”→“審核策略”，雙擊右邊的“審核策略更改”，在彈出的設(shè)置窗口中勾選“成功”，然后點(diǎn)“確定”。對(duì)“審核登陸事件”和“審核過(guò)程追蹤”進(jìn)行相同的設(shè)置。

進(jìn)行登陸審核后，可以對(duì)任何賬戶(hù)的登陸操作進(jìn)行記錄，包括隱藏賬戶(hù)，這樣我們就可以通過(guò)“計(jì)算機(jī)管理”中的“事件查看器”準(zhǔn)確得知隱藏賬戶(hù)的名稱(chēng)，甚至黑客登陸的時(shí)間。即使黑客將所有的登陸日志刪除，系統(tǒng)還會(huì)記錄是哪個(gè)賬戶(hù)刪除了系統(tǒng)日志，這樣黑客的隱藏賬戶(hù)就暴露無(wú)疑了。

得知隱藏賬戶(hù)的名稱(chēng)后就好辦了，但是我們?nèi)匀徊荒軇h除這個(gè)隱藏賬戶(hù)，因?yàn)槲覀儧](méi)有權(quán)限。但是我們可以在“命令提示符”中輸入“net user 隱藏賬戶(hù)名稱(chēng) 654321”更改這個(gè)隱藏賬戶(hù)的密碼。這樣這個(gè)隱藏賬戶(hù)就會(huì)失效，黑客無(wú)法再用這個(gè)隱藏賬戶(hù)登陸

重創(chuàng)一擊：上面網(wǎng)上找的，但是經(jīng)過(guò)試驗(yàn)偷梁換柱以前的步驟，就是沒(méi)有修改注冊(cè)表SAM下面的值的時(shí)候（修改過(guò)權(quán)限），的確如上所說(shuō)，但是在歡迎界面和我的電腦都能看到建立的賬戶(hù)，反而是下面這個(gè)方法都隱藏起來(lái)的，我想加入這兩種結(jié)合使用就更完美了，哈哈。

進(jìn)入regedit ，找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\SpecialAccounts\UserList

下面的值跟你建立的用戶(hù)名比較，假如沒(méi)有就新建，修改DWORD值為0是不可見(jiàn)，1是可見(jiàn)。

轉(zhuǎn)載：黑色的眼睛

最新評(píng)論