資源描述:
《刪除Windows克隆帳戶的方法》由會員上傳分享���,免費(fèi)在線閱讀����,更多相關(guān)內(nèi)容在教育資源-天天文庫。
1�����、刪除Windows后門-克隆帳戶的方法黑客在入侵目標(biāo)后�,通常會在目標(biāo)電腦上留下后門,以便長期控制這臺電腦�����?�?墒呛箝T終歸是黑客工具��,是殺毒軟件的查殺目標(biāo)之一��,可能殺毒軟件升級后后門就被刪除了�。但是有一種后門是永遠(yuǎn)不會被殺毒軟件查殺的,就是隱藏的系統(tǒng)克隆帳戶����。在Windows中(XP�����、Vista�����、Windows7等均如此)�����,每一個(gè)帳戶在注冊表中都有對應(yīng)的鍵值����,這個(gè)鍵值影響著該帳戶的權(quán)限�����。當(dāng)黑客在注冊表中動手腳復(fù)制鍵值后���,就可以將一個(gè)用戶權(quán)限的帳戶克隆成具有管理員權(quán)限的帳戶�����,并且將這個(gè)帳戶進(jìn)行隱藏��。隱藏后的帳戶無論是在“用戶管理”還是“命令提示符”中都是不可見的。因此一
2�����、般的計(jì)算機(jī)管理員很少會發(fā)現(xiàn)隱藏帳戶���,危害十分巨大�����。?1添加隱藏賬戶點(diǎn)擊“開始”→“運(yùn)行”���,輸入“cmd”運(yùn)行“命令提示符”�,輸入如下命令:netusertest$/add并回車,這樣就可以在系統(tǒng)中建立一個(gè)名為test$的帳戶����。繼續(xù)輸入:netlocalgroupadministratorstest$/add并回車�����,這樣就可以把test$帳戶提升到管理員權(quán)限�����。2手工克隆賬戶2.1設(shè)置注冊表操作權(quán)限點(diǎn)擊“開始”→“運(yùn)行”(Win7中可以在開始菜單的搜索框里面輸入regedt32或者regedit)�����,輸入“regedt32.exe”后回車�,彈出“注冊表編輯器”���。在reg
3����、edt32.exe中來到“HKEY_LOCAL_MACHINESAMSAM”處����;點(diǎn)擊“編輯”菜單→“權(quán)限”,在彈出的“SAM的權(quán)限”編輯窗口中選“administrators”帳戶��,在下方的權(quán)限設(shè)置處勾尋完全控制”,完成后點(diǎn)擊“確定”即可��。1.1設(shè)置相同的SAM值在“運(yùn)行”中輸入“regedit.exe”運(yùn)行“注冊表編輯器”,定位到“HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames”處����,點(diǎn)擊隱藏帳戶“test$”,在右邊顯示的鍵值中的“類型”一項(xiàng)顯示為0x404��,向上來到“HKEY_LOCAL_MACH
4�����、INESAMSAMDomainsAccountUsers”處�,可以找到“00000404”這一項(xiàng),這兩者是相互對應(yīng)的����,隱藏帳戶“test$”的所有信息都在“00000404”這一項(xiàng)中�����。同樣的�����,我們可以找到“administrator”帳戶所對應(yīng)的項(xiàng)為“000001F4”�����。將“test$”的鍵值導(dǎo)出為test$.reg��,同時(shí)將“00000404”和“000001F4”項(xiàng)的F鍵值分別導(dǎo)出為user.reg�,admin.reg�。用“記事本”打開admin.reg,將其中“F”值后面的內(nèi)容復(fù)制下來,替換user.reg中的“F”值內(nèi)容�,完成后保存?。在“命令提示符
5�、”中輸入“netusertest$/del”命令��,將我們建立的隱藏帳戶刪除�����。這一步只是刪除了隱藏帳戶的“空殼”,就像入侵后清理痕跡一樣����,做好的隱藏帳戶是不會發(fā)生改變的�����。最后�,我們雙擊test$.reg和user.reg這兩個(gè)注冊表文件�,將它們導(dǎo)入到注冊表中就大功告成了��。再將剛才Sam目錄administrator完全控制的權(quán)限給刪掉��,以防被人發(fā)現(xiàn)。1克隆用戶安全檢查1.1手工檢查(1)對于系統(tǒng)默認(rèn)用戶�,如guest�、IUSR_XODU5PTT910NHOO���,可使用“net?user?IUSR_XODU5PTT910NHOO”命令查看最后登錄日期�����。從圖可以看出,IU
6�����、SR_XODU5PTT910NHOO在2008-12-4登錄過系統(tǒng)���,此賬號默認(rèn)是是顯示“上次登錄?從不”��,因此可以判定賬號已被克隆過����。(2)查看系統(tǒng)登錄日志W(wǎng)indows?2003的用戶登錄審核是默認(rèn)開啟的�����,如果有某個(gè)時(shí)間內(nèi)發(fā)現(xiàn)不明的登錄日志。在21:46左右,管理員并未登錄系統(tǒng)��,說明有其它用戶登錄過系統(tǒng),點(diǎn)擊就可以看到是哪個(gè)用戶登錄了����。(1)查看注冊表查看注冊表,查看是否存在不明的用戶�����。此方法只能對添加新用戶克隆有效�����,如果克隆的是系統(tǒng)默認(rèn)賬號���,如guest����、IUSR_MACHINE等賬號�,需要導(dǎo)出兩個(gè)用戶的鍵值,然后對比F項(xiàng)����,如果IUSR_MACHINE的F值和
7���、管理員的F項(xiàng)的值相同,說明已被克隆了�。1刪除克隆用戶1.1如果是添加用戶式的克隆可使用以下方法(1)在“運(yùn)行”中輸入“regedit.exe”運(yùn)行“注冊表編輯器”,定位到“HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames”處�����,刪除克隆賬戶test$�;HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers”處,刪除新添加賬戶對應(yīng)的“00000404”這一項(xiàng)��。1.1如果是系統(tǒng)默認(rèn)賬戶被克隆可使用以下方法先到一臺正常電腦上�,同樣方法,復(fù)制相同用戶下面的F項(xiàng)的值����,如你發(fā)現(xiàn)的是
8����、IUSR_
