在Windows Server 2003下建立隐藏帐户
虽然我不是高手,但是所写的东西也都是一步步实验过的,绝对不是复制粘贴这么简单,所以,不必担心教程的可行性!
第一步、“开始”——“运行”,输入“cmd”,回车;
输入命令“ net user admin$ 123456 /add”,添加一个用户名为“admin$”,密码为“123456”的用户;(用户名和密码可以随自己的喜好更改,只需要注意用户名后加上“$”符号即可);
使用“net user”命令查看帐户,无法看到隐藏帐户
在“本地用户和组”——“用户”中可以看到刚才建立的帐户“admin$”
第二步、“开始”——“运行”,输入“regedit”,回车,打开注册表;
依次展开[我的电脑\HKEY_LOCAL_MACHINE\SAM\SAM]项,Windows的用户都在SAM的子项之中,默认情况下是无法看到SAM子项的,所以,我们要先为SAM项添加权限;
右击SAM,选中Administrators组,在Administrators组的权限中勾选完全控制,接着点确定,然后再刷新就可以看到SAM下的子项了;
接着展开[SAM\Account\Users]和[SAM\Account\Names],从下图可以看出,Users中的数值项和Names中的项是一一对应的;
000001F4对应管理员Administrator,即使将Administrator重命名也是如此;
000001F5对应来宾用户Guest,同样,即使重命名Guest,对应关系不变;
从我们新建的帐户admin$右侧键值的“类型”的值可以看出,admin$对应Users中的数值项000003F9;
选中Administrator对应的000001F4数值项,在右侧键值区双击F键值,然后将F的值复制,接着用同样方法打开admin$对应的数值项000003F9的键值F,覆盖粘贴;
第三歩、右击000003F9和admin$,点击“导出”,将这两项注册表值分别导出;
在命令行中使用命令“net user admin$ /del”,删除隐藏帐户;
最后双击导出的两项注册表值,将其重新导入注册表即可,到这里我们的隐藏帐户便建立成功了;
为了隐蔽性,这个时候可以再把注册表SAM项的权限还原一下,就彻底OK了;
我们来看一下建立的隐藏帐户的效果
优点:
第一、建立的隐藏帐户具有和管理员一样的权限,但使用命令“net localgroup administrators”无法看到;
第二、因为新建的隐藏帐户和Administrator帐户使用同一个用户配置文件,所以在“我的电脑”——“属性”——“高级”——“用户配置文件”或者“我的文档”中都无法看到多出的用户配置文件,也就无从发现隐藏帐户;
第三、使用命令“net user admin$ /del”无法删除这种重新导入的隐藏帐户
缺点:
这种隐藏帐户不能修改密码,如果修改密码,在“本地用户和组”里便可以看到了;
我们来试一下,使用命令“net user admin$ 654321”将admin$的密码更改为“654321”,然后打开“本地用户和组”便可以看到隐藏帐户了。不过,即使发现了隐藏帐户依然无法删除;
如何发现和删除隐藏帐户:
发现隐藏帐户:
第一种方法:直接在注册表SAM子项中查看;
第二种方法:需要使用工具,后面介绍;
第三种方法:“开始”——“运行”,输入gpedit.msc,回车,打开组策略;
依次展开“计算机配置”——“Windows设置”——“安全设置”——“本地策略”——“审核策略”;
双击“审核登陆事件”和“审核帐户登录事件”,“审核操作”下将“成功”和“失败”都勾选,勾选失败选项的话,这样即使有人暴力破解系统密码,出错的登录也可以从日志看到;
在组策略中设置完毕后,如果隐藏帐户登录系统,那么在“事件查看器”——“安全性”的登录日志和帐户登录日志都可以看到,如下图;
删除隐藏帐户:
第一种方法:使用“net user 用户名 密码”更改隐藏帐户密码,这样即使隐藏帐户未删除,不知道密码也无法登录了;
第二种方法:在注册表SAM项之下Users和Names中将隐藏帐户项和对应的数值项分别删除即可;不过,这样删除的话在打开“本地用户和组”时会提示错误,虽然无碍,但看着碍眼;
第三种方法:需要使用工具,下面再介绍;
由于在注册表直接删除用户,打开本地用户和组出现错误提示
接下来介绍三款和隐藏帐户有关的工具,都是老工具了
工具1:Hideadmin.exe(这个工具的功能只有一个,那就是建立隐藏帐户)
这样建立的隐藏帐户的效果和方法一是一样的!
工具2:mt.exe(mt.exe功能很多,这里只介绍查看、删除帐户和克隆帐户的功能)
下载地址:http://down.51cto.com/data/317440
将工具mt.exe放到随意一个目录下,然后进入这个目录,我这里放在了D盘,所以进入D盘;
查看隐藏帐户:
输入“mt -chkuser”,回车;
从列出的用户信息中可以看到“ExpectedSID”和“CheckedSID”两个值,这两个值正常情况下是一样的。由于隐藏帐户“admin$”克隆的了“Administrator”的F值,所以可以清晰看到admin$的“CheckedSID”值和Administrator相同,那么就可以判断出admin$为恶意建立的隐藏账户了;
删除隐藏帐户:
输入“mt -killuser 用户名”就可以删除用户了;
这种删除帐户的方法好处是,我们上面建立的那些隐藏帐户也可以通过这种方法删除,而且删除用户之后打开“本地用户和组”不会有上面提到的那种碍眼的错误提示;
这种方法不但可以删除隐藏帐户,包括Guest等系统默认帐户也可以删除,通常情况下是无法删除这些帐户的;
克隆管理员帐户:
依然是先添加一个带“$”符号的普通隐藏帐户,然后输入“mt -clone 源用户 目标用户”,回车;
如果提示“Fail to Open SAM Key”,那么就像在方法一种建立隐藏帐户那样,在注册表中给上SAM上权限,接着就可以执行成功了;
SAM权限添加好之后,帐户克隆成功,使用“mt -chkuser”可以看到克隆的用户admin$和Administrator具有相同的CheckedSID值;
不过,这种克隆的隐藏帐户虽然具有管理员权限,但在“本地用户和组”里面可以看到,隐蔽性不够;
mt.exe还有诸如删除日志等等很多功能,喜欢了自己探索,压缩包内有说明文档,或者使用“mt /?”自己查看说明;
工具3:影子管理员检测工具,lpcheck(压缩包内一个英文版,一个中文版)
下载地址:http://down.51cto.com/data/317443
直接双击运行lpcheck.exe,如果有克隆的隐藏帐户结果中会有提示,这种方法检测克隆帐户更加一目了然;
需要注意的是,使用lpcheck,Workstation和Server服务必须启动,不然打开后无法看到帐户;这点和ASP探针倒是一样;
这里我们将两个服务中的一个服务停止,如停止Workstation服务,然后运行lpcheck,可以看到lpcheck无能为力了;
lpcheck一片空白,什么用户也无法看到
The end!
下载地址:http://down.51cto.com/data/317439
将HideAdmin随便解压到一个目录,然后进入HideAdmin.exe所在目录;
我这里将HideAdmin.exe放在了D盘根目录下,所以先进入D盘根目录;
使用命令“dir”可以看到当前目录下有HideAdmin.exe这个程序;(这一步实际过程中并不需要,这里只是为了让新手看的更清楚一些)
输入“hideadmin 用户名 密码”,回车,隐藏帐户建立成功;
