帐户克隆木马.doc

帐户克隆(为不破坏系统,本实验在虚拟机上完成)–pregedit–i180,打开SAM项查看Administrator和guest默认的键值,在Windows2000操作系统上,Administrator一般为0x1f4,guest一般为0x1f5,如图所示。F键值中保存了帐户的密码信息,双击“000001F4”目录下键值“F”,可以看到该键值的二进制信息,将这些二进制信息全选,并拷贝到出来,如图所示将拷贝出来的信息全部覆盖到“000001F5”目录下的“F”键值中,如图所示Guest帐户已经具有管理员权限了。为了能够使Guest帐户在禁用的状态登录,下一步将Guest帐户信息导出注册表。选择User目录,然后选择菜单栏“注册表”下的菜单项“导出注册表文件”,将该键值保存为一个配置文件,如图所示打开计算机管理对话框,并分别删除Guest和“00001F5”两个目录,如图所示这个刷新对方主机的用户列表,会出现用户找不到的对话框,如图所示然后再将刚才导出的信息文件,再导入注册表。再刷新用户列表就不在出现该对话框了。下面在对方主机的命令行下修改Guest的用户属性,注意:一定要在命令行下。首先修改Guest帐户的密码,比如这里改成“123456”,并将Guest帐户开启和停止,如图所示再查看一下计算机管理窗口中的Guest帐户,发现该帐户使禁用的,如图所示注销退出系统,然后用用户名:“guest”,密码:“123456”登录系统,如图所示5、木马危害与防治利用工具扫描远程计算机获得用户名和密码利用软件扫描远程主机,利用字典或穷举法获得用户名和密码记录计算机的启动项和记事本打开方式查看远程主机的启动项和HKEY_CLASS_ROOT\TXTFILE\SHELL\MAND,记录数值在远程计算机执行冰河木马服务器