神秘的影子帐号揭秘
影子帐号: <br />见名思义,帐号具有隐蔽性,不容易被发现(只是在一定程度上)。即一般的菜鸟发现不了。 <br />多余的话我在这里就不说了,进入正题: <br />首先,我们需要在命令提示符窗口即就是dos下创建一个用户。 <br />需要以下命令: <br />net user $a 123 /add(这里的$符号是唯一的,可以理解为隐藏的条件,密码为123) <br />命令执行成功后,可以关闭命令提示符窗口了。 <br /><br />回到桌面,右击我的电脑——管理——本地用户和组(双击)——用户(双击),你会发现我们创建的用户$a。(不要着急,这只是影子帐号的准备阶段) <br /><br />接着,我们需要在运行窗口下打开注册表,在我以前的文章中曾有注册表的详细介绍介绍。 <br />键入regedit,回车确定。进入注册表: <br />路径:HKEY_LOCAL_MACHINE\SAM,双击SAM,你会发现大不开SAM。双击SAM时,仍然会发现打不开SAM。右键SAM——权限,Administrators的权限,在完全控制前打上钩,确定。此时我们可以关闭注册表窗口。重新打开并最终实现SAM的目录打开。 <br />从完整的路径来看(在以上基础上) <br />路径:HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names \$a <br />右键$a——导出,此时命名一个注册表文件.reg,保存。 <br />接着,继续点$a,右边的类型会有一个象“0x3ef”类似的, <br />看清楚后,在HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users下000003EF的文件夹。此时右键导出,命名.reg 的文件,保存。 <br /><br />此时去本地用户和组中删掉$a用户。 <br />之后找到刚刚保存的两个.reg的文件,逐个双击。 <br />文件数据会自动注入到注册表中。 <br /><br />此时我们在到本地用户和组去看,并不会看到$a。 <br /><br />惊心时刻,到dos下,键入:net user命令,$a以存在计算机用户中。 <br />影子帐户谜底揭穿。 <br /><br />在此情况下,我们可以给$a提权, <br />net localgroup administrators $a /add <br />实现影子帐号的更大作用(注意当进入一个远程系统时,这种情况不可想,要提防这样的黑客)<br /><br /><strong>下面就是影子账户的检测与防范问题</strong>:<br />一般情况下我们可以使用mcafee或服务器安全狗禁止用户账户的创建等。<br />如果没有安装可以使用这个工具查找是不是有后门。
頁:
[1]