windows服務隱藏后門之克隆帳號

 

1、CMD命令行下，建立了一個用戶名為“test$”，密碼為“abc123!”的簡單隱藏賬戶,並且把該隱藏賬戶提升為了管理員權限。

 

 

PS:CMD命令行使用"net user",看不到"test$"這個賬號，但在控制面板和本地用戶和組是可以顯示此用戶的。

2、“開始”→“運行”，輸入“regedt32.exe”后回車,需要到“HKEY_LOCAL_MACHINE\SAM\SAM”，單機右建權限，把名叫：administrator的用戶給予：完全控制以及讀取的權限，在后面打勾就行，然后關閉注冊表編輯器，再次打開即可。

3、來到注冊表編輯器的“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names”處，點擊test$用戶，得到在右邊顯示的鍵值中的“類型”一項顯示為0x3ec，找到箭頭所指目錄。

 

 4、扎到administrator所對應的的項為“000001F4”，將“000001F4”的F值復制到“000003EC”的F值中，保存。

5、分別test$和“000003EC導出到桌面，刪除test$用戶   net user test$ /del

 

 

6、將剛才導出的兩個后綴為.reg的注冊表項導入注冊表中。這樣所謂的隱藏賬戶就創建好了。

PS：不管你是在命令提示符下輸入net user 或者在系統用戶管理界面都是看不到test$r這個賬戶的，只有在注冊表中才能看得到。

檢測和清理方法：

使用D盾_web查殺工具，使用克隆賬號檢測功能進行查看，可檢測出隱藏、克隆賬號。