其实,制作系统隐藏账户并不是十分高深的技术,利用我们平时经常用到的“命令提示符”就可以制作一个简单的隐藏账户。
点击“开始”→“运行”,输入“CMD”运行“命令提示符”,输入“net user piao$ 123456 /add”,回车,成功后会显示“命令成功完成”。接着输入“net localgroup administrators piao$ /add”回车,这样我们就利用“命令提示符”成功得建立了一个用户名为“piao$”,密码为“123456”的简单“隐藏账户”,并且把该隐藏账户提升为了管理员权限。
图1.建立一个简单的隐藏帐户
我们来看看隐藏账户的建立是否成功。在“命令提示符”中输入查看系统账户的命令“net user”,回车后会显示当前系统中存在的账户。从返回的结果中我们可以看到刚才我们建立的“piao$”这个账户并不存在。接着让我们进入控制面板的“管理工具”,打开其中的“计算机”,查看其中的“本地用户和组”,在“用户”一项中,我们建立的隐藏账户“piao$”暴露无疑。
可以总结得出的结论是:这种方法只能将账户在“命令提示符”中进行隐藏,而对于“计算机管理”则无能为力。因此这种隐藏账户的方法并不是很实用,只对那些粗心的管理员有效,是一种入门级的系统账户隐藏技术。
二、在“注册表”中玩转账户隐藏
从上文中我们可以看到用命令提示符隐藏账户的方法缺点很明显,很容易暴露自己。那么有没有可以在“命令提示符”和“计算机管理”中同时隐藏账户的技术呢?答案是肯定的,而这一切只需要我们在“注册表”中进行一番小小的设置,就可以让系统账户在两者中完全蒸发。
1、峰回路转,给管理员注册表 *** 作权限
在注册表中对系统账户的键值进行 *** 作,需要到“HKEY_LOCAL_MACHINE\SAM\SAM”处进行修改,但是当我们来到该处时,会发现无法展开该处所在的键值。这是因为系统默认对系统管理员给予“写入D AC”和“读取控制”权限,没有给予修改权限,因此我们没有办法对“SAM”项下的键值进行查看和修改。不过我们可以借助系统中另一个“注册表编辑器”给管理员赋予修改权限。
点击“开始”→“运行”,输入“regedt32.exe”后回车,随后会d出另一个“注册表编辑器”,和我们平时使用的“注册表编辑器”不同的是它可以修改系统账户 *** 作注册表时的权限(为便于理解,以下简称regedt32.exe)。在regedt32.exe中来到“HKEY_LOCAL_MACHINE\SAM\SAM”处,点击“安全”菜单→“权限”,在d出的“SAM的权限”编辑窗口中选中“administrators”账户,在下方的权限设置处勾选“完全控制”,完成后点击“确定”即可。然后我们切换回“注册表编辑器”,可以发现“HKEY_LOCAL_MACHINE\SAM\SAM”下面的键值都可以展开了。
图2.给管理员赋予 *** 作权限
提示:上文中提到的方法只适用于Windows NT/2000系统。在Windows XP系统中,对于权限的 *** 作可以直接在注册表中进行,方法为选中需要设置权限的项,点击右键,选择“权限”即可。
2、偷梁换柱,将隐藏账户替换为管理员
成功得到注册表 *** 作权限后,我们就可以正式开始隐藏账户的制作了。来到注册表编辑器的“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names”处,当前系统中所有存在的账户都会在这里显示,当然包括我们的隐藏账户。点击我们的隐藏账户“piao$”,在右边显示的键值中的“类型”一项显示为0x3e9,向上来到“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\”处,可以找到“000003E9”这一项,这两者是相互对应的,隐藏账户“piao$”的所有信息都在“000003E9”这一项中。同样的,我们可以找到“administrator”账户所对应的项为“000001F4”。
将“piao$”的键值导出为piao$.reg,同时将“000003E9”和“000001F4”项的F键值分别导出为user.reg,admin.reg。用“记事本”打开admin.reg,将其中“F”值后面的内容复制下来,替换user.reg中的“F”值内容,完成后保存。接下来进入“命令提示符”,输入“net user piao$ /del”将我们建立的隐藏账户删除。最后,将piao$.reg和user.reg导入注册表,至此,隐藏账户制作完成。
图3、复制F值内容
3、过河拆桥,切断删除隐藏账户的途径
虽然我们的隐藏账户已经在“命令提示符”和“计算机管理”中隐藏了,但是有经验的系统管理员仍可能通过注册表编辑器删除我们的隐藏账户,那么如何才能让我们的隐藏账户坚如磐石呢?
打开“regedt32.exe”,来到“HKEY_LOCAL_MACHINE\SAM\SAM”处,设置“SAM”项的权限,将“administrators”所拥有的权限全部取消即可。当真正的管理员想对“HKEY_LOCAL_MACHINE\SAM\SAM”下面的项进行 *** 作的时候将会发生错误,而且无法通过“regedt32.exe”再次赋予权限。这样没有经验的管理员即使发现了系统中的隐藏账户,也是无可奈何的。
三.专用工具,使账户隐藏一步到位
虽然按照上面的方法可以很好得隐藏账户,但是 *** 作显得比较麻烦,并不适合新手,而且对注册表进行 *** 作危险性太高,很容易造成系统崩溃。因此我们可以借助专门的账户隐藏工具来进行隐藏工作,使隐藏账户不再困难,只需要一个命令就可以搞定。
我们需要利用的这款工具名叫“HideAdmin”,下载下来后解压到c盘。然后运行“命令提示符”,输入“HideAdmin piao$ 123456”即可,如果显示“Create a hiden Administrator piao$ Successed!”,则表示我们已经成功建立一个账户名为piao$,密码为123456的隐藏账户。利用这款工具建立的账户隐藏效果和上文中修改注册表的效果是一样的。
四、把“隐藏账户”请出系统
隐藏账户的危害可谓十分巨大。因此我们有必要在了解了账户隐藏技术后,再对相应的防范技术作一个了解,把隐藏账户彻底请出系统
1、添加“$”符号型隐藏账户
对于这类隐藏账户的检测比较简单。一般黑客在利用这种方法建立完隐藏账户后,会把隐藏账户提升为管理员权限。那么我们只需要在“命令提示符”中输入“net localgroup administrators”就可以让所有的隐藏账户现形。如果嫌麻烦,可以直接打开“计算机管理”进行查看,添加“$”符号的账户是无法在这里隐藏的。
2、修改注册表型隐藏账户
由于使用这种方法隐藏的账户是不会在“命令提示符”和“计算机管理”中看到的,因此可以到注册表中删除隐藏账户。来到“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names”,把这里存在的账户和“计算机管理”中存在的账户进行比较,多出来的账户就是隐藏账户了。想要删除它也很简单,直接删除以隐藏账户命名的项即可。
3、无法看到名称的隐藏账户
如果黑客制作了一个修改注册表型隐藏账户,在此基础上删除了管理员对注册表的 *** 作权限。那么管理员是无法通过注册表删除隐藏账户的,甚至无法知道黑客建立的隐藏账户名称。不过世事没有绝对,我们可以借助“组策略”的帮助,让黑客无法通过隐藏账户登陆。点击“开始”→“运行”,输入“gpedit.msc”运行“组策略”,依次展开“计算机配置”→“Windows 设置”→“安全设置”→“本地策略”→“审核策略”,双击右边的“审核策略更改”,在d出的设置窗口中勾选“成功”,然后点“确定”。对“审核登陆事件”和“审核过程追踪”进行相同的设置。
图4、开启登陆事件审核功能
进行登陆审核后,可以对任何账户的登陆 *** 作进行记录,包括隐藏账户,这样我们就可以通过“计算机管理”中的“事件查看器”准确得知隐藏账户的名称,甚至黑客登陆的时间。即使黑客将所有的登陆日志删除,系统还会记录是哪个账户删除了系统日志,这样黑客的隐藏账户就暴露无疑了。
图5.通过事件查看器找到隐藏帐户
得知隐藏账户的名称后就好办了,但是我们仍然不能删除这个隐藏账户,因为我们没有权限。但是我们可以在“命令提示符”中输入“net user 隐藏账户名称 654321”更改这个隐藏账户的密码。这样这个隐藏账户就会失效,黑客无法再用这个隐藏账户登陆。
金山毒霸病毒信息库06.01.21.10版本可查杀病毒200个,其中:蠕虫数:9个 木马数:59个 其他:132个。1. Win32.Hack.GrayBird.al.283136
2. Win32.Hack.GrayBird.al.308375
3. Win32.Hack.RWX2005.68608
4. Win32.Troj.DNSChanger.28160
5. Worm.QQMsgBook.16384
6. Worm.QQMsgBook.20480
7. Win32.Hack.GrayBird.al.1024512
8. Win32.Hack.GrayBird.al.236169
9. Win32.Hack.GrayBird.al.264468
10. Win32.Hack.GrayBird.al.283784
11. Win32.Hack.GrayBird.al.303290
12. Win32.Hack.Huigezi.n.48505
13. Win32.Hack.Hupigon.j.370592
14. Win32.Troj.Lineage.fa.25584
15. Win32.Troj.Lineage.fa.28672
16. Win32.Troj.Mir2.qd.138240
17. Win32.Troj.Mir2.qd.71168
18. Win32.Troj.PSWMir2.Ce.13169
19. Win32.Troj.PSWReXue.Cr.23732
20. Win32.Troj.QQPsw.QQ.86692
21. Worm.SpyBot.89.99764
22. VTool.FakeQQgon.a.20480
23. Win32.Troj.FakeQQgon.a.86016
24. Win32.Troj.Download.jh.30992
25. Win32.Troj.DropDload.nj.20992
26. Win32.Troj.pswHaiDaoW.cb.79872
27. Win32.Troj.pswHaiDaoW.cb.80829
28. Win32.Troj.Bloven.sv.24576
29. Win32.Hack.Hackdoor.f.95232
30. Win32.Troj.StartPage.ad.7680
31. Win32.Hack.Backdoor.23456
32. Win32.Hack.Backdoor.a.96256
33. Win32.Hack.Byshell.32768
34. Win32.Hack.DoSAttacker.28672
35. Win32.Hack.Download.a.1028
36. Win32.Hack.FTPpwd.155652
37. Win32.Hack.HideAdminUs.64861
38. Win32.Hack.Huigezi.465920
39. Win32.Hack.MailBot.10976
40. Win32.Hack.Miniftp.86016
41. Win32.Troj.Banker.60472
42. Win32.Troj.Download.1536
43. Win32.Troj.Download.b.2243
44. Win32.Troj.Download.c.2243
45. Win32.Troj.Download.d.6645
46. Win32.Troj.Lineage.36864
47. Win32.Troj.Mir.53760
48. Win32.Troj.Prutec.76800
49. Win32.Troj.PSWBanker.21504
50. Win32.Troj.PSWGame.512728
51. Win32.Troj.PSWGame.a.36397
52. Win32.Troj.PSWjh.20494
53. Win32.Troj.PSWjh.a.20466
54. Win32.Troj.PSWMhxy.20992
55. Win32.Troj.PSWMir.24576
56. Win32.Troj.PSWQQ.15872
57. Win32.Troj.Xiteat.168960
58. Worm.Document.376832
59. Win32.Hack.Bifrose.la.80105
60. Win32.Hack.Huigezi.ad.351232
61. Win32.Hack.Huigezi.bh.259584
62. Win32.Hack.Huigezi.bv.115712
63. Win32.Hack.Huigezi.bv.351232
64. Win32.Hack.Huigezi.bv.391680
65. Win32.Hack.Huigezi.bv.868864
66. Win32.Hack.Huigezi.f.360915
67. Win32.Hack.Huigezi.ge.344594
68. Win32.Hack.Huigezi.j.491104
69. Win32.Hack.Huigezi.k.249856
70. Win32.Hack.Huigezi.k.330983
71. Win32.Hack.Huigezi.lq.350720
72. Win32.Hack.Huigezi.lq.378492
73. Win32.Hack.Huigezi.lq.393216
74. Win32.Hack.Huigezi.lq.52736
75. Win32.Hack.Huigezi.ly.297472
76. Win32.Hack.Huigezi.mk.30720
77. Win32.Hack.Huigezi.od.449501
78. Win32.Hack.Huigezi.of.334186
79. Win32.Hack.Huigezi.p.334438
80. Win32.Hack.Huigezi.p.344162
81. Win32.Hack.Huigezi.pv.304000
82. Win32.Hack.Huigezi.qn.283942
83. Win32.Hack.Huigezi.rc.52736
84. Win32.Hack.Huigezi.tk.276661
85. Win32.Hack.Huigezi.yz.345793
86. Win32.Hack.IRCBot.mt.50928
87. Win32.Hack.Rbot.ad.102872
88. Win32.Hack.Rbot.ad.82087
89. Win32.Hack.Rbot.ae.107520
90. Win32.Hack.Rbot.ae.66688
91. Win32.Hack.Rbot.ae.66696
92. Win32.Hack.Rbot.ae.66704
93. Win32.Hack.Rbot.ae.66728
94. Win32.Hack.Rbot.ae.66772
95. Win32.Hack.Rbot.ae.66948
96. Win32.Hack.Rbot.ao.198157
97. Win32.Hack.Rbot.ge.104448
98. Win32.Hack.Rbot.ge.112376
99. Win32.Hack.Rbot.ge.116736
100. Win32.Hack.Rbot.ge.93184
101. Win32.Hack.Rbot.ge.94208
102. Win32.Hack.SdBot.ge.188495
103. Win32.Hack.SdBot.xd.121856
104. Win32.Hack.SdBot.xd.92672
105. Win32.Hack.SdBot.yx.72192
106. Win32.Hack.Huigezi.pv.1098240
107. Win32.Hack.Huigezi.rc.184320
108. Win32.Hack.IRCBot.mt.236032
109. Win32.Hack.Rbot.ad.741376
110. Win32.Hack.Rbot.ad.835584
111. Win32.Hack.Rbot.ae.269824
112. Win32.Hack.Rbot.ge.180224
113. Win32.Hack.Rbot.ge.552448
114. Win32.Hack.Rbot.ge.581120
115. Win32.Hack.Rbot.ge.745472
116. Win32.Hack.SdBot.xd.127488
117. Win32.Hack.SdBot.xd.585728
118. Win32.Hack.SdBot.yx.594432
119. Win32.Hack.ADAgent.so.415104
120. Win32.Hack.Agent.oi.21854
121. Win32.Hack.Agent.oi.26840
122. Win32.Hack.Attacker.c.108544
123. Win32.Troj.DownVirus.fb.44032
124. Win32.Hack.ExpMaker.a.245978
125. Win32.Hack.Huigezi.fa.257024
126. Win32.Troj.InfoGet.qd.68186
127. Win32.Hack.InterBase.gs.9039
128. Win32.Hack.IrcAgent.po.122880
129. Win32.Hack.IRCBot.jm.12032
130. Win32.Hack.IRCBot.mf.211456
131. Win32.Troj.Linker.c.28672
132. Win32.Hack.Mailbot.b.9600
133. Win32.Hack.PcClient.gv.28672
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器,这个病毒工作于Windows 32平台。
134. Win32.Hack.PcClient.kn.64512
135. Win32.Troj.PSWGet.d.41431
136. Win32.Hack.PSWGet.st.24064
137. Win32.Hack.Rbot.al.191150
138. Win32.Hack.Redspider.87040
139. Win32.Hack.Rootcip.b.40960
140. Win32.Troj.Samsa.a.53272
141. Win32.Hack.Scaner.16384
142. Win32.Hack.Stealer.sq.52294
143. Win32.Troj.Suni.ak.595381
144. Win32.Hack.Upnp.c.32768
145. Win32.Troj.Vanti.f.15360
146. Win32.Troj.Agent.is.172528
这是一个木马,木马种植者会将感染机器做为跳板,这个病毒工作于Windows 32平台。
147. Win32.Troj.Agent.qz.40448
这是一个木马下载器,用于下载并执行木马,这个病毒工作于Windows 32平台。
148. Win32.Troj.Agent.xq.49152
这是一个木马下载器,用于下载并执行木马,这个病毒工作于Windows 32平台。
149. Win32.Troj.Banload.qr.47616
这是一个木马下载器,用于下载并执行木马,这个病毒工作于Windows 32平台。
150. Win32.Troj.DRloader.8941
这是一个木马下载器,用于下载并执行木马,这个病毒工作于Windows 32平台。
151. Win32.Troj.Gamma.dg.70609
这是一个间谍木马,会监视并偷取用户保存在计算机中的敏感信息,这个病毒工作于Windows 32平台。
152. Win32.Hack.Huigezi.325120
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器。
153. Win32.Hack.Huigezi.33414
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器。
154. Win32.Hack.Huigezi.350208
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器。
155. Win32.Hack.Huigezi.aa.158713
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器。
156. Win32.Hack.Huigezi.aa.304128
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器。
157. Win32.Hack.Huigezi.aa.310272
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器。
158. Win32.Hack.Huigezi.af.931840
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器。
159. Win32.Hack.Huigezi.ba.349696
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器。
160. Win32.Hack.Huigezi.ba.368128
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器。
161. Win32.Hack.Huigezi.er.281699
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器,这个病毒工作于Windows 32平台。
162. Win32.Hack.Huigezi.f.437760
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器。
163. Win32.Hack.Huigezi.fa.355328
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器。
164. Win32.Hack.Huigezi.fa.410624
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器。
165. Win32.Hack.Huigezi.fa.435200
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器。
166. Win32.Hack.Huigezi.ga.612656
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器。
167. Win32.Hack.Huigezi.ga.68608
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器。
168. Win32.Hack.MailBomber.86734
169. Win32.Troj.PassAlert.i.6644
这是一个木马下载器,用于下载并执行木马,这个病毒工作于Windows 32平台。
170. Win32.Hack.Rbot.194389
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器,这个病毒工作于Windows 32平台。
171. Win32.Troj.SmartPS.153600
172. Worm.Stap.f.77824
它是一种蠕虫,通过网络进行传播,会造成网络阻塞,这个病毒工作于Windows 32平台。
173. Win32.Troj.Starter.a.16896
这是一个木马,会偷取用户保存在计算机中的敏感信息,这个病毒工作于Windows 32平台。
174. Win32.Hack.TaskMg.he.44032
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器,这个病毒工作于Windows 32平台。
175. Win32.Troj.Tiny.h.2602
这是一个木马下载器,用于下载并执行木马,这个病毒工作于Windows 32平台。
176. VTool.Troj.BindT.t.91648
177. Win32.Troj.Goldun.gc.21012
178. Win32.Hack.HeiDong.jf.378410
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器,这个病毒工作于Windows 32平台。
179. Win32.Hack.HeiDong.lg.517328
180. Win32.Troj.HeiYiRen.b.32768
这是一个木马,会偷取用户保存在计算机中的敏感信息,这个病毒工作于Windows 32平台,这个病毒是用Visual Basic写的。
181. Win32.Hack.Huigezi.pc.394240
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器,这个病毒工作于Windows 32平台。
182. Win32.Hack.Huigezi.zy.257536
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器,这个病毒工作于Windows 32平台。
183. Win32.Hack.IRCBot.jg.100352
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器。
184. Win32.Hack.IRCBot.jj.274432
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器。
185. Win32.Troj.Loader.i.6645
这是一个木马下载器,用于下载并执行木马,这个病毒工作于Windows 32平台。
186. Win32.Hack.Monaro.c.1393152
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器,这个病毒工作于Windows 32平台。
187. Win32.Troj.NDA.fd.76800
188. Win32.Hack.NetBull.b.54784
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器,这个病毒工作于Windows 32平台。
189. Win32.Hack.Nethief.g.147847
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器,这个病毒工作于Windows 32平台。
190. Win32.Hack.PeepViewer.l.90112
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器,这个病毒工作于Windows 32平台。
191. Win32.Hack.Prosti.s.107520
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器,这个病毒工作于Windows 32平台。
192. Win32.Troj.PSWHDW.e.80829
193. Win32.Troj.PSWHDW.e.131005
194. Win32.Troj.PSWHDW.g.17100
195. VTool.Troj.TianYa.j.49152
这是一个制作病毒、木马的工具,这个病毒工作于Windows 32平台,这个病毒是用Visual Basic写的。
196. Worm.QQ.Ms.15872
197. Worm.QQ.Ms.16384
198. Worm.QQ.Ms.19456
199. Worm.QQ.Ms.20480
200. Win32.Troj.Zlob.ed.13804
这是一个木马下载器,用于下载并执行木马,这个病毒工作于Windows 32平台。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)