删除windows克隆帐户的方法.doc

删除Windows后门-克隆帐户的方法黑客在入侵目标后,通常会在目标电脑上留下后门,以便长期控制这台电脑。可是后门终归是黑客工具,是杀毒软件的查杀目标之一,可能杀毒软件升级后后门就被删除了。但是有一种后门是永远不会被杀毒软件查杀的,就是隐藏的系统克隆帐户。在Windows中(XP、Vista、Windows7等均如此),每一个帐户在注册表中都有对应的键值,这个键值影响着该帐户的权限。当黑客在注册表中动手脚复制键值后,就可以将一个用户权限的帐户克隆成具有管理员权限的帐户,并且将这个帐户进行隐藏。隐藏后的帐户无论是在“用户管理”还是“命令提示符”中都是不可见的。因此一般的计算机管理员很少会发现隐藏帐户,危害十分巨大。 1添加隐藏账户点击“开始”→“运行”,输入“cmd”运行“命令提示符”,usertest$/add并回车,这样就可以在系统中建立一个名为test$的帐户。localgroupadministratorstest$/add并回车,这样就可以把test$帐户提升到管理员权限。“开始”→“运行”(Win7中可以在开始菜单的搜索框里面输入regedt32或者regedit),输入“”后回车,弹出“注册表编辑器”。“HKEY_LOCAL_MACHINE\SAM\SAM”处;点击“编辑”菜单→“权限”,在弹出的“SAM的权限”编辑窗口中选“administrators”帐户,在下方的权限设置处勾寻完全控制”,完成后点击“确定”即可。“运行”中输入“”运行“注册表编辑器”,定位到“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\AccountUsers\Names”处,点击隐藏帐户“test$”,在右边显示的键值中的“类型”一项显示为0x404,向上来到“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\AccountUsers”处,可以找到“00000404”这一项,这两者是相互对应的,隐藏帐户“test$”的所有信息都在“00000404”这一项中。同样的,我们可以找到“administrator”帐户所对应的项为“000001F4”。将“test$”的键值导出为test$.reg,同时将“00000404”和“000001F4”,。用“记事本”,将其中“F”值后面的内容复制下来,“F”值内容,完成后保存 。在“命令提示符”usertest$/del”命令,将我们建立的隐藏帐户删除。这一步只是删除了隐藏帐户的“空壳”,就像入侵后清理痕迹一样,做好的隐藏帐户是不会发生改变的。最后,我们双击test$.,将它们导入到注册表中就大功告成了。再将刚才Sam目录administrator完全控制的权限给删掉,以防被人发现。(1)对于系统默认用户,如guest、IUSR_XODU5PTT910NHOO, user IUSR_XODU5PTT910NHOO”命令查看最后登录日期。从图可以看出,IUSR_XODU