帐户克隆及其防范对策

一、克隆帐户

原理：我们的帐户在注册表里都有他相应的键值，具体在 "[HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users "administrator 的 项为 "000001F4"下面有 2个二进制值 一个 是"F"一个是"V"。我一般克隆的都是 Guest用户，所以我就拿这个克隆这个用户做例子，克隆其他用户方法相同。Guest的项为 "000001F4"。其他用户所对应的项可以从 "[HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/Names"下查看。我们所要做的就是把"1F4"下的"F"和"V"值复制到"1F5"下的对应值里。这就是所说的克隆帐户。
1 简单克隆：
a,原理：只复制"F"值。这样克隆出来的帐户隐蔽性比完全克隆（一会要说到）要低些，但是对自己方便些。如果肉鸡的管理员不是太厉害的话，建议你用这个方法。这样克隆出来的用户如果登陆上去，所用的桌面什么的都是administrator的，也就是说你在系统里的文件"C:/Documents and Settings/Administrator"和admin是一样的。而非以前的"C:/Documents and Settings/Guest"。但是在"query user"和"终端服务管理器"里面你所登陆的用户还是"Guest"，还有就是用命令"net localgroup administrators"还是可以看出Guest是管理员来，这就是我所说的隐蔽性比完全克隆要低些。但是在net下，和用户管理中都看不出Guest用户有什么问题。
b,具体方法：无论你用什么方法，看你个人习惯了，用 "system"权限打开"注册表"，我喜欢用 psu 命令格式为 psu -p regedit -PID 这里解释一下，后面的PID是系统进程winlogon的值.然后打开[HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/000001F4]打开他的"F"值，然后复制到 "1F5"的"F"值里面。然后在CMD下，给Guest改密码（net user guest pass）

2 完全克隆
a,原理：全部复制"F"和"V"值。这样方法克隆出来的2个帐户其实在系统里是一个帐户，这样隐蔽性最高，除非用专业工具查看，否则在 net 和用户管理中，还有"net localgroup administrators"都看不出有什么问题来。还有最重要的一点，如果你登陆上去后，在"query user"和"终端服务管理器"里面你所登陆的用户上面显示的是"administrator"，好玩不。：）这样我们就达到了超级隐蔽的目的。在这里我要说明的一点就是，如果你用这个克隆方法弄出来的帐户登陆的话，其实你登陆的是administrator的界面。也就是说，如果administrator使用3389登陆着呢，而你也通过克隆帐户登陆，那你们登陆的将是一个会话！！理论上说，你所做的操作对方也是可以看见的，因为你们2个现在在同一个会话中！（关于你的操作对方可以看见这点，只是理论上的，我因为没有条件实验，所以并不肯定，希望有条件的朋友能实验下，并把结果告诉我，谢谢）。而我所说的不方便就是指的这点。你想你3389登陆进去而这时管理员也3389登陆着呢...那你们就这样碰面了..呵呵。但是如果3389是你开的，而管理员不会通过远程登陆服务器，那你就爽了。你们的会话就不是一个。还有如果你用简单克隆的方法克隆下来的帐户登陆，那你们登陆的不是一个会话，帐户还是不同的2个帐户，可以放心。
b，具体方法：方法和简单克隆的一样。不同的就是全部复制"F"和"V"值。你也可以直接导出[HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/000001F4]的项。然后编辑导出的注册表文件，把里面的"000001F4"改成"000001F5"，然后在给他导入进去就OK了。然后在CMD下，给Guest改密码（net user guest passWord）简单！
二、如何防止克隆帐户、

对于简单克隆帐户来说，可以在在"query user"和"终端服务管理器"里面你所登陆的用户，并删除相应的用户即可。对于完全克隆，如果对方不小心，没有擦干净屁股，就会发现一些蛛丝马迹，此时，将不用的用户全部删除或禁止。另外，管理员要养成定期更改密码的习惯，这样，即便被克隆，密码更改后克隆的帐户也因密码不对而不能使用。