為什么創建隱藏賬號,大致有兩種情況:
1)想把自己在電腦上新開的賬戶隱藏起來,不讓人發現的賬戶,而自己又能隨時隨地登陸。
2)黑客想創建一個隱藏的管理員權限賬號,這樣能隨時登錄還不被人發現。
總之就是想創建一個不被人輕易發現的賬號。
一、創建隱藏用戶及分配管理員權限
1)“開始”->搜索CMD->右擊CMD,選擇以管理員運行->輸入“net user admin$ 123456 /add”,回車,成功后會顯示“命令成功完成”。
注:若不是管理有權限,則創建賬號時會提示“發生系統錯誤 5”。
這時使用net user是查看不到隱藏賬號,使用net user admin$這發現這個隱藏賬號是存在的:
2)把隱藏賬號設為管理員組
輸入net localgroup administrators admin$ /add
此時隱藏賬號admin雖然在CMD里面用net user查看不到,但查看用戶和組的時候還是可以發現,所以還需要修改注冊表來進行隱藏賬號。
二、修改注冊表進行賬號隱藏和克隆管理員權限
1)添加查看注冊表中賬號權限
在regedt32.exe中來到“HKEY_LOCAL_MACHINE\SAM\SAM”處,點擊“安全”菜單→“權限”,在彈出的“SAM的權限”編輯窗口中選中“administrators”賬戶,在下方的權限設置處勾選“完全控制”,完成后點擊“確定”即可。
關掉注冊表,重新注冊表,點擊“開始”→“運行”,輸入“regedt.exe”后回車,
net localgroup SYSTEM admin$ /add
2)導出並編輯注冊表項
進入注冊表項HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names可以看到系統所有賬號也包括隱藏賬號admin$。點擊賬號名可在右邊看到賬號類型,admin$類型是3ed,而administraor的類型是1f4
將admin$導出為admin.reg;把3eb導出為admin3eb.reg;把1F4導出為admin1f4.reg。
編輯admin1f4.reg,將它里面屬於'F'的內容分復制下來,替換admin3eb.reg里面F的值。
做完這一步后,去命令提示符里面執行,net user admin$ /del,刪除這個賬號,然后將admin.reg和admin3eb.reg雙擊導入注冊表,然后我們再回到注冊表把之前改的權限全部取消掉,至此隱藏管理員影子賬號就完成了。
去計算機管理成員組里面也是找不到這個賬號的。當然重啟還是會出現。有些服務器長期不重啟,所以能隱藏很久。
3)遠程登錄隱藏賬號
使用隱藏賬號admin$遠程登錄,登錄后發現查詢自己卻還是administrator,但登錄的確實admin$,這就是克隆了administrator賬號並進行隱藏的效果。
whoami #我是誰
query user #當前登錄的賬號
三、如何找出隱藏賬號
方法1:查看注冊表中系統賬號:
reg query HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names
方法2:查看系統日志:
通過“計算機管理”中的“事件查看器”可以查看到隱藏賬戶以及其登陸的時間。即使黑客將所有的登陸日志刪除,也還會記錄是哪個賬戶刪除了系統日志,這樣黑客的隱藏賬戶就暴露無疑了。
