预防黑客侵入你正在使用的Win系统(隐藏帐号)

在肉鸡上建立一个隐藏的账户,以备需要的时候使用。账户隐藏技术可谓是最隐蔽的后门,一般用户很难发现系统中隐藏账户的存在,因此危害性很大,本文就对隐藏账户这种黑客常用的技术进行揭密。

  在隐藏系统账户之前,我们有必要先来了解一下如何才能查看系统中已经存在的账户。在系统中可以进入“命令提示符”,控制面板的“计算机管理”,“注册表”中对存在的账户进行查看,而管理员一般只在“命令提示符”和“计算机管理”中检查是否有异常,因此如何让系统账户在这两者中隐藏将是本文的重点。

  一、“命令提示符”中的阴谋

  其实,制作系统隐藏账户并不是十分高深的技术,利用我们平时经常用到的“命令提示符”就可以制作一个简单的隐藏账户。

  点击“开始”→“运行”,输入“CMD”运行“命令提示符”,输入“net user piao$ 123456 /add”,回车,成功后会显示“命令成功完成”。接着输入“net localgroup administrators piao$ /add”回车,这样我们就利用“命令提示符”成功得建立了一个用户名为“piao$”,密码为“123456”的简单“隐藏账户”,并且把该隐藏账户提升为了管理员权限。

  我们来看看隐藏账户的建立是否成功。在“命令提示符”中输入查看系统账户的命令“net user”,回车后会显示当前系统中存在的账户。从返回的结果中我们可以看到刚才我们建立的“piao$”这个账户并不存在。接着让我们进入控制面板的“管理工具”,打开其中的“计算机”,查看其中的“本地用户和组”,在“用户”一项中,我们建立的隐藏账户“piao$”暴露无疑。

  可以总结得出的结论是:这种方法只能将账户在“命令提示符”中进行隐藏,而对于“计算机管理”则无能为力。因此这种隐藏账户的方法并不是很实用,只对那些粗心的管理员有效,是一种入门级的系统账户隐藏技术。

  二、在“注册表”中玩转账户隐藏

  从上文中我们可以看到用命令提示符隐藏账户的方法缺点很明显,很容易暴露自己。那么有没有可以在“命令提示符”和“计算机管理”中同时隐藏账户的技术呢?答案是肯定的,而这一切只需要我们在“注册表”中进行一番小小的设置,就可以让系统账户在两者中完全蒸发。

  1、峰回路转,给管理员注册表操作权限

  在注册表中对系统账户的键值进行操作,需要到“HKEY_LOCAL_MACHINESAMSAM”处进行修改,但是当我们来到该处时,会发现无法展开该处所在的键值。这是因为系统默认对系统管理员给予“写入D AC”和“读取控制”权限,没有给予修改权限,因此我们没有办法对“SAM”项下的键值进行查看和修改。不过我们可以借助系统中另一个“注册表编辑器”给管理员赋予修改权限。

  点击“开始”→“运行”,输入“regedt32.exe”后回车,随后会弹出另一个“注册表编辑器”,和我们平时使用的“注册表编辑器”不同的是它可以修改系统账户操作注册表时的权限(为便于理解,以下简称regedt32.exe)。在regedt32.exe中来到“HKEY_LOCAL_MACHINESAMSAM”处,点击“安全”菜单→“权限”,在弹出的“SAM的权限”编辑窗口中选中“administrators”账户,在下方的权限设置处勾选“完全控制”,完成后点击“确定”即可。然后我们切换回“注册表编辑器”,可以发现“HKEY_LOCAL_MACHINESAMSAM”下面的键值都可以展开了。

  提示:上文中提到的方法只适用于Windows NT/2000系统。在Windows XP系统中,对于权限的操作可以直接在注册表中进行,方法为选中需要设置权限的项,点击右键,选择“权限”即可。

  2、偷梁换柱,将隐藏账户替换为管理员

  成功得到注册表操作权限后,我们就可以正式开始隐藏账户的制作了。来到注册表编辑器的“HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames”处,当前系统中所有存在的账户都会在这里显示,当然包括我们的隐藏账户。点击我们的隐藏账户“piao$”,在右边显示的键值中的“类型”一项显示为0x3e9,向上来到“HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers”处,可以找到“000003E9”这一项,这两者是相互对应的,隐藏账户“piao$”的所有信息都在“000003E9”这一项中。同样的,我们可以找到“administrator”账户所对应的项为“000001F4”。

  将“piao$”的键值导出为piao$.reg,同时将“000003E9”和“000001F4”项的F键值分别导出为user.reg,admin.reg。用“记事本”打开admin.reg,将其中“F”值后面的内容复制下来,替换user.reg中的“F”值内容,完成后保存。接下来进入“命令提示符”,输入“net user piao$ /del”将我们建立的隐藏账户删除。最后,将piao$.reg和user.reg导入注册表,至此,隐藏账户制作完成。

  3、过河拆桥,切断删除隐藏账户的途径

  虽然我们的隐藏账户已经在“命令提示符”和“计算机管理”中隐藏了,但是有经验的系统管理员仍可能通过注册表编辑器删除我们的隐藏账户,那么如何才能让我们的隐藏账户坚如磐石呢?

  打开“regedt32.exe”,来到“HKEY_LOCAL_MACHINESAMSAM”处,设置“SAM”项的权限,将“administrators”所拥有的权限全部取消即可。当真正的管理员想对“HKEY_LOCAL_MACHINESAMSAM”下面的项进行操作的时候将会发生错误,而且无法通过“regedt32.exe”再次赋予权限。这样没有经验的管理员即使发现了系统中的隐藏账户,也是无可奈何的。

时间: 2009-09-27

防止黑客侵入你正在使用的Windows系统(克隆管理员账户)

防止黑客侵入你正在使用的Windows系统 当黑客入侵一台主机后,会想方设法保护自己的"劳动成果",因此会在肉鸡上留下种种后门来长时间得控制肉鸡,其中使用最多的就是账户隐藏技术.在肉鸡上建立一个隐藏的账户,以备需要的时候使用.账户隐藏技术可谓是最隐蔽的后门,一般用户很难发现系统中隐藏账户的存在,因此危害性很大,本文就对隐藏账户这种黑客常用的技术进行揭密. 在隐藏系统账户之前,我们有必要先来了解一下如何才能查看系统中已经存在的账户.在系统中可以进入"命令提示符",控制

win系统下nodejs环境安装配置

win系统下nodejs安装及环境配置,具体内容如下 第一步:下载安装文件 下载nodejs,官网:http://nodejs.org/download/,我这里下载的是node-v0.10.28-x86.msi,如下图: 第二步:安装nodejs 下载完成之后,双击"node-v0.10.28-x86.msi",开始安装nodejs,自定义安装在D:\dev\nodejs下面. 在cmd控制台输入:node -v,控制台将打印出:v0.10.28,出现版本提示表示安装成功. 该引导步

win系统下为Python3.5安装flask-mongoengine 库

环境: windows 10.python 3.5.flask-mongoengine 0.8.2或0.9.0 使用以下命令安装 flask-mongoengine pip install flask-mongoengine 会出现以下错误: 复制代码 代码如下: flask-mongoengine-0.8.2\setup.py", line 10, in <module> UnicodeDecodeError: 'gbk' codec can't decode byte 0xa6

防止黑客用TTL值鉴别你的系统的批处理文件

使用ping命令,通过返回的TTL值可以判断主机的操作系统.如果TTL值为128就可以认为目标主机的操作系统是Windows NT/2000,如果TTL值是32则认为目标主机操作系统是Windows 95/98,如果TTL值是255/64就认为是UNIX操作系统.入侵者很喜欢使用ping命令,既然他们相信TTL值反映的结果,那么我们可以通过修改TTL值来欺骗入侵者. 打开记事本文件,编写批处理文件命令: 复制代码 代码如下: @echo regedit4>>changeTTL.reg  @ec

游戏私服安全攻防技巧全攻略之攻击篇

前几天,本私服也同样遭受过黑客的攻击!但是研究了几次发现了漏洞的所在! 下面我先写如何入侵计算机的,我用的是WINDOWS 2000 SEVER 1 X-SCAN扫描IP 看看谁是弱口令(IP也非常容易得到,私服都有,弱口令就是用户名和密码都是系统默认的,没有改.) 2 打开DOS系统 在DOS下进行*作! c:/>net use \\192.168.0.1\ipc$ /user:administrator 进入对方计算机USER进入的就是管理员用户. 进入了以后就好办了,可以找你要黑的私服!做

Windows Sever 安全设置注意

个人感觉比较有用的一篇关于服务器安全建议的文章,许多地方平时都会忽略,这里作者将其罗列出来,方便查看,配置完服务器再来看下注意点,很有好处. 摘自:siyizhu's weblog 初级安全篇 1.物理安全服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录.另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在另外的安全的地方. 2.停掉Guest 帐号在计算机管理的用户里面把guest帐号停用掉,任何时候都不允许guest帐号登陆系统.

服务器安全设置_初级篇

初级安全篇 1.物理安全 服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录.另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在另外的安全的地方. 2.停掉Guest帐号 在计算机管理的用户里面把guest帐号停用掉,任何时候都不允许guest帐号登陆系统.为了保险起见,最好给guest加一个复杂的密码,你可以打开记事本,在里面输入一串包含特殊字符,数字,字母的长字符串,然后把它作为guest帐号的密码拷进去. 3.限制不必要的用户数

新技巧:Linux系统常见6种紧急情况处理方法

Linux系统常见几种紧急情况的处理方法 1.使用急救盘组进行维护 急救盘组(也称为boot/root盘组),是系统管理员必不可少的工具.用它可以独立地启动和运行一个完整的Linux系统.实际 上,急救盘组中的第2张盘上就有一个完整的Linux系统,包括root文件系统:而第1张盘则存放了可启动的内核. 使用急救盘组维护系统很简单.只需用这两张盘启动系统后,进入急救模式,这时使用的是root账户.为了能访问硬盘上的文件,需要手工安装硬盘文件系统.例如,用下面的命令可在/mnt目录中安装/dev/

养在深闺人未识:FU_Rootkit

我在2004年11期黑防上刊登了<小工具巧删Guest/Administrator账户>这篇文章,有不少朋友来信询问工具是如何编写的,其实这个工具里面大部分代码是我拷贝FU_Rootkit过来的.既然朋友们喜欢,这几天我又多了好多想法,那我就来讲讲怎么充分挖掘利用FU_Rootkit吧! 先去www.rootkit.com把FU_Rootkit 给Down下来,以前它在Windows 2000专业版下面提升进程权限有问题,新版本已经修复这个问题.FU_Rootkit也算是"养在深闺人