在Windows Server 2003下建立隱藏帳戶

http://zzstudy.offcn.com/?p=1798

第一步、“開始”——“運行”，輸入“cmd”，回車;

輸入命令“ net user admin$ 123456 /add”，添加一個用戶名為“admin$”,密碼為“123456”的用戶;(用戶名和密碼可以隨自己的喜好更改，只需要注意用戶名后加上“$”符號即可);

 

使用“net user”命令查看帳戶，無法看到隱藏帳戶

 

在“本地用戶和組”——“用戶”中可以看到剛才建立的帳戶“admin$”

第二步、“開始”——“運行”，輸入“regedit”，回車，打開注冊表;

依次展開[我的電腦\HKEY_LOCAL_MACHINE\SAM\SAM]項,Windows的用戶都在SAM的子項之中，默認情況下是無法看到SAM子項的，所以，我們要先為SAM項添加權限;

右擊SAM，選中Administrators組，在Administrators組的權限中勾選完全控制，接着點確定，然后再刷新就可以看到SAM下的子項了；

接着展開[SAM\Account\Users]和[SAM\Account\Names]，從下圖可以看出，Users中的數值項和Names中的項是一一對應的;

000001F4對應管理員Administrator，即使將Administrator重命名也是如此;

000001F5對應來賓用戶Guest，同樣，即使重命名Guest，對應關系不變;

從我們新建的帳戶admin$右側鍵值的“類型”的值可以看出，admin$對應Users中的數值項000003F9;

選中Administrator對應的000001F4數值項，在右側鍵值區雙擊F鍵值，然后將F的值復制，接着用同樣方法打開admin$對應的數值項000003F9的鍵值F，覆蓋粘貼；

第三歩、右擊000003F9和admin$，點擊“導出”，將這兩項注冊表值分別導出；

在命令行中使用命令“net user admin$ /del”，刪除隱藏帳戶；

最后雙擊導出的兩項注冊表值，將其重新導入注冊表即可，到這里我們的隱藏帳戶便建立成功了；

為了隱蔽性，這個時候可以再把注冊表SAM項的權限還原一下，就徹底OK了；

我們來看一下建立的隱藏帳戶的效果

優點：

第一、建立的隱藏帳戶具有和管理員一樣的權限，但使用命令“net localgroup administrators”無法看到；

第二、因為新建的隱藏帳戶和Administrator帳戶使用同一個用戶配置文件，所以在“我的電腦”——“屬性”——“高級”——“用戶配置文件”或者“我的文檔”中都無法看到多出的用戶配置文件，也就無從發現隱藏帳戶；

第三、使用命令“net user admin$ /del”無法刪除這種重新導入的隱藏帳戶

缺點：

這種隱藏帳戶不能修改密碼，如果修改密碼，在“本地用戶和組”里便可以看到了;

我們來試一下，使用命令“net user admin$ 654321”將admin$的密碼更改為“654321”，然后打開“本地用戶和組”便可以看到隱藏帳戶了。不過，即使發現了隱藏帳戶依然無法刪除;

如何發現和刪除隱藏帳戶：

發現隱藏帳戶：

第一種方法：直接在注冊表SAM子項中查看;

第二種方法：需要使用工具，后面介紹;

第三種方法：“開始”——“運行”，輸入gpedit.msc，回車，打開組策略;

依次展開“計算機配置”——“Windows設置”——“安全設置”——“本地策略”——“審核策略”;

雙擊“審核登陸事件”和“審核帳戶登錄事件”，“審核操作”下將“成功”和“失敗”都勾選，勾選失敗選項的話，這樣即使有人暴力破解系統密碼，出錯的登錄也可以從日志看到;

在組策略中設置完畢后，如果隱藏帳戶登錄系統，那么在“事件查看器”——“安全性”的登錄日志和帳戶登錄日志都可以看到，如下圖;

刪除隱藏帳戶：

第一種方法：使用“net user 用戶名 密碼”更改隱藏帳戶密碼，這樣即使隱藏帳戶未刪除，不知道密碼也無法登錄了;

第二種方法：在注冊表SAM項之下Users和Names中將隱藏帳戶項和對應的數值項分別刪除即可;不過，這樣刪除的話在打開“本地用戶和組”時會提示錯誤，雖然無礙，但看着礙眼;

第三種方法：需要使用工具，下面再介紹;

由於在注冊表直接刪除用戶，打開本地用戶和組出現錯誤提示

接下來介紹三款和隱藏帳戶有關的工具，都是老工具了

工具1：Hideadmin.exe(這個工具的功能只有一個，那就是建立隱藏帳戶)

這樣建立的隱藏帳戶的效果和方法一是一樣的!

工具2：mt.exe（mt.exe功能很多，這里只介紹查看、刪除帳戶和克隆帳戶的功能）
下載地址：http://down.51cto.com/data/317440
將工具mt.exe放到隨意一個目錄下，然后進入這個目錄，我這里放在了D盤，所以進入D盤；
查看隱藏帳戶：
輸入“mt -chkuser”，回車；
從列出的用戶信息中可以看到“ExpectedSID”和“CheckedSID”兩個值，這兩個值正常情況下是一樣的。由於隱藏帳戶“admin$”克隆的了“Administrator”的F值，所以可以清晰看到admin$的“CheckedSID”值和Administrator相同，那么就可以判斷出admin$為惡意建立的隱藏賬戶了；

刪除隱藏帳戶：
輸入“mt -killuser 用戶名”就可以刪除用戶了；
這種刪除帳戶的方法好處是，我們上面建立的那些隱藏帳戶也可以通過這種方法刪除，而且刪除用戶之后打開“本地用戶和組”不會有上面提到的那種礙眼的錯誤提示；

這種方法不但可以刪除隱藏帳戶，包括Guest等系統默認帳戶也可以刪除，通常情況下是無法刪除這些帳戶的；

克隆管理員帳戶：
依然是先添加一個帶“$”符號的普通隱藏帳戶，然后輸入“mt -clone 源用戶 目標用戶”，回車；
如果提示“Fail to Open SAM Key”，那么就像在方法一種建立隱藏帳戶那樣，在注冊表中給上SAM上權限，接着就可以執行成功了；

SAM權限添加好之后，帳戶克隆成功，使用“mt -chkuser”可以看到克隆的用戶admin$和Administrator具有相同的CheckedSID值；
不過，這種克隆的隱藏帳戶雖然具有管理員權限，但在“本地用戶和組”里面可以看到，隱蔽性不夠；

mt.exe還有諸如刪除日志等等很多功能，喜歡了自己探索，壓縮包內有說明文檔，或者使用“mt /?”自己查看說明；

工具3：影子管理員檢測工具，lpcheck（壓縮包內一個英文版，一個中文版）
下載地址：http://down.51cto.com/data/317443
直接雙擊運行lpcheck.exe，如果有克隆的隱藏帳戶結果中會有提示，這種方法檢測克隆帳戶更加一目了然；

需要注意的是，使用lpcheck，Workstation和Server服務必須啟動，不然打開后無法看到帳戶；這點和ASP探針倒是一樣；
這里我們將兩個服務中的一個服務停止，如停止Workstation服務，然后運行lpcheck，可以看到lpcheck無能為力了；

lpcheck一片空白，什么用戶也無法看到

The end！

下載地址：http://down.51cto.com/data/317439

將HideAdmin隨便解壓到一個目錄，然后進入HideAdmin.exe所在目錄;

我這里將HideAdmin.exe放在了D盤根目錄下，所以先進入D盤根目錄;

使用命令“dir”可以看到當前目錄下有HideAdmin.exe這個程序;(這一步實際過程中並不需要，這里只是為了讓新手看的更清楚一些)

輸入“hideadmin 用戶名 密碼”，回車，隱藏帳戶建立成功;