當黑客入侵一台主機後,會想方設法保護自己的“勞動成果,因此會在肉雞上留下種種後門來長時間得控制肉雞,其中使用最多的就是賬戶隱藏技術。在肉雞上建立一個隱藏的賬戶,以備需要的時候使用。賬戶隱藏技術可謂是最隱蔽的後門,一般用戶很難發現系統中隱藏賬戶的存在,因此危害性很大,本文就對隱藏賬戶這種黑客常用的技術進行揭密。
在隱藏系統賬戶之前,我們有必要先來了解一下如何才能查看系統中已經存在的賬戶。在系統中可以進入“命令提示符,控制面板的“計算機管理,“注冊表中對存在的賬戶進行查看,而管理員一般只在 “命令提示符和“計算機管理中檢查是否有異常,因此如何讓系統賬戶在這兩者中隱藏將是本文的重點 。
一、“命令提示符中的陰謀
其實,制作系統隱藏賬戶並不是十分高深的技術,利用我們平時經常用到的“命令提示符就可以制作一個簡單的隱藏賬戶。
點擊“開始→“運行,輸入“CMD運行“命令提示符,輸入“net user kao$ 123456 /add, 回車,成功後會顯示“命令成功完成。接著輸入“net localgroup administrators kao$ /add回車, 這樣我們就利用“命令提示符成功得建立了一個用戶名為“kao$,密碼為“123456的簡單“隱藏賬戶 ,並且把該隱藏賬戶提升為了管理員權限。
.建立一個簡單的隱藏帳戶
我們來看看隱藏賬戶的建立是否成功。在“命令提示符中輸入查看系統賬戶的命令“net user,回 車後會顯示當前系統中存在的賬戶。從返回的結果中我們可以看到剛才我們建立的“kao$這個賬戶並不存 在。接著讓我們進入控制面板的“管理工具,打開其中的“計算機,查看其中的“本地用戶和組,在 “用戶一項中,我們建立的隱藏賬戶“kao$暴露無疑。
可以總結得出的結論是:這種方法只能將賬戶在“命令提示符中進行隱藏,而對於“計算機管理則 無能為力。因此這種隱藏賬戶的方法並不是很實用,只對那些粗心的管理員有效,是一種入門級的系統賬戶 隱藏技術。
二、在“注冊表中玩轉賬戶隱藏
從上文中我們可以看到用命令提示符隱藏賬戶的方法缺點很明顯,很容易暴露自己。那麼有沒有可以在 “命令提示符和“計算機管理中同時隱藏賬戶的技術呢?答案是肯定的,而這一切只需要我們在“注冊 表中進行一番小小的設置,就可以讓系統賬戶在兩者中完全蒸發。
1、峰回路轉,給管理員注冊表操作權限
在注冊表中對系統賬戶的鍵值進行操作,需要到“HKEY_LOCAL_MACHINESAMSAM處進行修改,但是當我 們來到該處時,會發現無法展開該處所在的鍵值。這是因為系統默認對系統管理員給予“寫入D AC和“讀 取控制權限,沒有給予修改權限,因此我們沒有辦法對“SAM項下的鍵值進行查看和修改。不過我們可以借助系統中另一個“注冊表編輯器給管理員賦予修改權限。
點擊“開始→“運行,輸入“regedt32.exe後回車,隨後會彈出另一個“注冊表編輯器,和我 們平時使用的“注冊表編輯器不同的是它可以修改系統賬戶操作注冊表時的權限(為便於理解,以下簡稱 regedt32.exe)。在regedt32.exe中來到“HKEY_LOCAL_MACHINESAMSAM處,點擊“安全菜單→“權限 ,在彈出的“SAM的權限編輯窗口中選中“administrators賬戶,在下方的權限設置處勾選“完全控制 ,完成後點擊“確定即可。然後我們切換回“注冊表編輯器,可以發現“HKEY_LOCAL_MACHINESAMSAM 下面的鍵值都可以展開了。
提示:上文中提到的方法只適用於Windows NT/2000系統。在Windows XP系統中,對於權限的操作可以直接在注冊表中進行,方法為選中需要設置權限的項,點擊右鍵,選擇“權限即可。
2、偷梁換柱,將隱藏賬戶替換為管理員
成功得到注冊表操作權限後,我們就可以正式開始隱藏賬戶的制作了。來到注冊表編輯器的 “HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames處,當前系統中所有存在的賬戶都會在這裡顯示 ,當然包括我們的隱藏賬戶。點擊我們的隱藏賬戶“kao$,在右邊顯示的鍵值中的“類型一項顯示為 0x3e9,向上來到“HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers處,可以找到“000003E9這一項, 這兩者是相互對應的,隱藏賬戶“kao$的所有信息都在“000003E9這一項中。同樣的,我們可以找到“ administrator賬戶所對應的項為“000001F4。
將“kao$的鍵值導出為kao$.reg,同時將“000003E9和“000001F4項的F鍵值分別導出為 user.reg,admin.reg。用“記事本打開admin.reg,將其中“F值後面的內容復制下來,替換user.reg 中的“F值內容,完成後保存。接下來進入“命令提示符,輸入“net user kao$ /del將我們建立的 隱藏賬戶刪除。最後,將kao$.reg和user.reg導入注冊表,至此,隱藏賬戶制作完成。
3、過河拆橋,切斷刪除隱藏賬戶的途徑
雖然我們的隱藏賬戶已經在“命令提示符和“計算機管理中隱藏了,但是有經驗的系統管理員仍可 能通過注冊表編輯器刪除我們的隱藏賬戶,那麼如何才能讓我們的隱藏賬戶堅如磐石呢?
打開“regedt32.exe,來到“HKEY_LOCAL_MACHINESAMSAM處,設置“SAM項的權限,將 “administrators所擁有的權限全部取消即可。當真正的管理員想對“HKEY_LOCAL_MACHINESAMSAM下面 的項進行操作的時候將會發生錯誤,而且無法通過“regedt32.exe再次賦予權限。這樣沒有經驗的管理員 即使發現了系統中的隱藏賬戶,也是無可奈何的。
三.專用工具,使賬戶隱藏一步到位
雖然按照上面的方法可以很好得隱藏賬戶,但是操作顯得比較麻煩,並不適合新手,而且對注冊表進行 操作危險性太高,很容易造成系統崩潰。因此我們可以借助專門的賬戶隱藏工具來進行隱藏工作,使隱藏賬 戶不再困難,只需要一個命令就可以搞定。
我們需要利用的這款工具名叫“HideAdmin,下載下來後解壓到c盤。然後運行“命令提示符,輸入 “HideAdmin kao$ 123456即可,如果顯示“Create a hiden Administrator kao$ Successed!,則表 示我們已經成功建立一個賬戶名為kao$,密碼為123456的隱藏賬戶。利用這款工具建立的賬戶隱藏效果和上 文中修改注冊表的效果是一樣的。
四、把“隱藏賬戶請出系統
隱藏賬戶的危害可謂十分巨大。因此我們有必要在了解了賬戶隱藏技術後,再對相應的防范技術作一個 了解,把隱藏賬戶徹底請出系統
1、添加“$符號型隱藏賬戶
對於這類隱藏賬戶的檢測比較簡單。一般黑客在利用這種方法建立完隱藏賬戶後,會把隱藏賬戶提升為 管理員權限。那麼我們只需要在“命令提示符中輸入“net localgroup administrators就可以讓所有 的隱藏賬戶現形。如果嫌麻煩,可以直接打開“計算機管理進行查看,添加“$符號的賬戶是無法在這 裡隱藏的。
2、修改注冊表型隱藏賬戶
由於使用這種方法隱藏的賬戶是不會在“命令提示符和“計算機管理中看到的,因此可以到注冊表 中刪除隱藏賬戶。來到“HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames,把這裡存在的賬戶和“ 計算機管理中存在的賬戶進行比較,多出來的賬戶就是隱藏賬戶了。想要刪除它也很簡單,直接刪除以隱 藏賬戶命名的項即可。
3、無法看到名稱的隱藏賬戶
如果黑客制作了一個修改注冊表型隱藏賬戶,在此基礎上刪除了管理員對注冊表的操作權限。那麼管理 員是無法通過注冊表刪除隱藏賬戶的,甚至無法知道黑客建立的隱藏賬戶名稱。不過世事沒有絕對,我們可 以借助“組策略的幫助,讓黑客無法通過隱藏賬戶登陸。點擊“開始→“運行,輸入“gpedit.msc 運行“組策略,依次展開“計算機配置→“Windows 設置→“安全設置→“本地策略→“審核策 略,雙擊右邊的“審核策略更改,在彈出的設置窗口中勾選“成功,然後“確定。對“審核登陸事 件和“審核過程追蹤進行相同的設置。
開啟登陸事件審核功能
進行登陸審核後,可以對任何賬戶的登陸操作進行記錄,包括隱藏賬戶,這樣我們就可以通過“計算機 管理中的“事件查看器准確得知隱藏賬戶的名稱,甚至黑客登陸的時間。即使黑客將所有的登陸日志刪 除,系統還會記錄是哪個賬戶刪除了系統日志,這樣黑客的隱藏賬戶就暴露無疑了。通過事件查看器找到隱 藏帳戶
得知隱藏賬戶的名稱後就好辦了,但是我們仍然不能刪除這個隱藏賬戶,因為我們沒有權限。但是我們 可以在“命令提示符中輸入“net user 隱藏賬戶名稱 654321更改這個隱藏賬戶的密碼。這樣這個隱藏賬戶就會失效,黑客無法再用這個隱藏賬戶登陸。
