揭秘黑客如何隐藏Windows系统的账户

安全咖啡屋　计算机与网络创新生活　豢　麴　当黑客入侵一台主机后，会想方设　“用户”一项中，我们建立的隐藏账户　““ＨＫＥＹ＿ＬＯＣＡＬ＿ＭＡＣＨＩＮＥＳＡＭＳＡＭ”　法保护自己的“劳动成果”。因此会在肉　鸡上留下种种后门来长时间地控制肉　ｐｉａｏ￥”暴露无疑。　可以总结得出的结论是：这种方法　下面的键值都可以展开了。　提示：上文中提到的方法只适用于　Ｗｉｎｄｏｗｓ　ＮＴ／２０００系统。在Ｗｉｎｄｏｗｓ　鸡，其中使用最多的就是账户隐藏技　术。在肉鸡上建立一个隐藏的账户，以　备需要的时候使用。账户隐藏技术可谓　是最隐蔽的后门，一般用户很难发现系　只能将账户在“命令提示符”中进行隐　藏．而对于“计算机管理”则无能为力。　因此这种隐藏账户的方法并不是很实　用，只对那些粗心的管理员有效，是一　ＸＰ系统中，对于权限的操作可以直接　在注册表中进行．方法为选中需要设置　权限的项，点击右键，选择“权限”即可。　２、偷梁换柱。将隐藏账户替换为管　理员　统中隐藏账户的存在．因此危害性很　大，本文就对隐藏账户这种黑客常用的　技术进行揭密。　种入门级的系统账户隐藏技术。　二、在“注册表”中玩转账户隐藏　从上文中我们可以看到用命令提　示符隐藏账户的方法缺点很明显，很容　易暴露自己。那么有没有可以在“命令　提示符”和“计算机管理”中同时隐藏账　户的技术呢？答案是肯定的，而这一切　只需要我们在“注册表”中进行一番小　成功得到注册表操作权限后．我们　在隐藏系统账户之前．我们有必要　先来了解一下如何才能查看系统中已　经存在的账户。在系统中可以进入“命　令提示符”，控制面板的“计算机管理”，　“注册表”中对存在的账户进行查看。而　就可以正式开始隐藏账户的制作了。来　到注册表编辑器的“ＨＫＥＹ＿ＬＯ—　ＣＡＬ　ＭＡＣＨＩ　ｃｏｕｎｔＵｓｅｒｓＮａｍｅｓ”处．当前系统中所有　存在的账户都会在这里显示，当然包括　我们的隐藏账户。点击我们的隐藏账户　“管理员一般只在“命令提示符”和“计算　机管理”中检查是否有异常，因此探讨　如何让系统账户在这两者中隐藏将是　本文的重点。　一小的设置，就可以让系统账户在两者中　完全蒸发。　１、峰回路转，给管理员注册表操作　权限　ｐｉａｏ￥”．在右边显示的键值中的“类型”　项显示为＿一０ｘ３ｅ９，向上来到　“ＨＫＥＹ　ＬＯＣＡＬＭＡＣＨＩＮＥＳＡＭＳＡＭ—　、“命令提示符”中的阴谋　在注册表中对系统账户的键值进　行操作，需要到“ＨＫＥＹ＿＿ＬＯＣＡＩ　ＭＡ—　ＤｏｍａｉｎｓＡｃｃｏｕｎｔＵｓｅｒｓ”处。可以找到　“０００００３Ｅ９”这一项。这两者是相互对应　的。隐藏账户“ｐｉａｏ￥”的所有信息都在　其实．制作系统隐藏账户并不是十　分高深的技术，利用我们平时经常用到　的“命令提示符”就可以制作一个简单　ＣＨＩＮＥｓ　ｓ＾Ｍ”处进行修改。但是当　我们来到该处时。会发现无法展开该处　所在的键值。这是因为系统默认对系统　管理员给予“写入”和“读取控制”权限，　“０００００３Ｅ９”这一项中。同样的。我们可　以找到“ａｄｍｉｎｉｓｔｒａｔｏｒ”账户所对应的项　为“０００００１Ｆ４”。将“ｐｉａｏ￥”的键值导出　为“ｐｉａｏ￥．ｒｅｇ”，同时将“０００００３Ｅ９”和　的隐藏账户。　点击“开始”－－－ｋ“运行”，输入“ＣＭＤ”　运行“命令提示符”。输入“ｎｅｔ　ｕｓｅｒ　ｐｉａｏ　￥Ｃｏｎｔｅｎｔ￥ｎｂｓｐ；１２３４５６／ａｄｄ”，回车，成功　没有给予修改权限，因此我们没有办法　对“ＳＡＭ”项下的键值进行查看和修改。　不过我们可以借助系统中另一个“注册　表编辑器”给管理员赋予修改权限。　点击““０００００１Ｆ４”项的Ｆ键值分别导出为ｕｓｅｒ．　ｒｅｇ．ａｄｍｉｎ．ｒｅｇ。用“记事本”打开ａｄ仃血．　ｒｅｇ．将其中…Ｆ值后面的内容复制下来，　替换ｕｓｅｒ．ｒｅｇ中的…Ｆ’值内容，完成后保　后会显示“命令成功完成”。接着输入　“ｎｅｔ　ｌｏｃａｌｇｒｏｕｐ　ａｄｍｉｎｉｓｔｒａｔｏｒｓ　ｐｉａｏ￥Ｃｏｎ－　ｔｅｎｔＳｎｂｓｐ；／ａｄｄ”回车。这样我们就利用　“命令提示符”成功地建立了一个用户　“开始”一“运行”，输入　ｒｅｇｅｄｔ３２．ｅｘｅ”后回车。随后会弹出另一　存。接下来进入“命令提示符”，输入　“名为“ｐｉａｏ￥”，密码为“１２３４５６”的简单　“隐藏账户”，并且把该隐藏账户提升为　了管理员权限。　个“注册表编辑器”，和我们平时使用的　“注册表编辑器”不同的是它可以修改　系统账户操作注册表时的权限（为便于　ｎｅｔ　ｕｓｅｒ　ｐｉａｏ￥Ｃｏｎｔｅｎｔ￥ｎｂｓｐ；／ｄｅｌ”将我们　建立的隐藏账户删除。最后，将ｐｉａｏ￥．ｒｅｇ　和ｕｓｅｒ．ｒｅｇ导入注册表，至此，隐藏账户　制作完成。　我们来看看隐藏账户的建立是否　理解，以下简称ｒｅｇｅｄｔ３２．ｅｘｅ）。在　成功。在“命令提示符”中输入查看系统　账户的命令“ｎｅｔ　ｕｓｅｒ”，回车后会显示当　前系统中存在的账户。从返回的结果中　我们可以看到刚才我们建立的“ｐｉａｏ￥”　这个账户并不存在。接着让我们进入控　制面板的“管理工具”，打开其中的“计　ｒｅｇｅｄｔ３２．ｅｘｅ中来ＣＡＩ　Ｍ＾　到“ＨＫＥＹ＿Ｌｏ—　”处．点击“安　３、过河拆桥，切断删除隐藏账户的　途径　全”菜单一“权限”，在弹出的“ＳＡＭ的权　虽然我们的隐藏账户已经在“命令　提示符”和“计算机管理”中隐藏了，但　限”编辑窗口中选中“ａｄｍｉｎｉｓｔｒａｔｏｒｓ”账　户．在下方的权限设置处勾选“完全控　制”．完成后点击“确定”即可。然后我们　是有经验的系统管理员仍可能通过注　册表编辑器删除我们的隐藏账户，那么　如何才能让我们的隐藏账户坚如磐石　算机”。查看其中的“本地用户和组”，在　切换回“注册表编辑器”，可以发现　《计算机与两络》２０１０年第０７期　计算机与网络创新生活＿　丽明　同　曩３　＼　呢？　单。一般黑客在利用这种方法建立完隐　的帮助，让黑客无法通过隐藏账户登　打开　“ｒｅｇｅｄｔ３２．ｅｘｅ”，　来到　藏账户后，会把隐藏账户提升为管理员　陆。点击“开始”一“运行”，输入“ｇｐｅｄｉｔ．　“ＨＫＥＹ　ＬＯＣＡＬ　ＭＡＣＨＩＮＥＳＡＭ一　权限。那么我们只需要在“命令提示符”　ｍｓｃ”运行“组策略”，依次展开“计算机　ＳＡＭ’’处。设置“ＳＡＭ”项的权限，将“ａｄ＿　中输入“ｎｅｔ　ｌｏｃａｌｇｒｏｕｐ　ａｄｍｉｎｉｓｔｒａｔｏｒｓ”就　配置”＿＋“Ｗｉｎｄｏｗｓ设置”＿＋“安全设置”　￣ｒｔａｔ。　”所拥有的权限全部取消即　可以让所有的隐藏账户现形。如果嫌麻　一“本地策略”一“审核策略”，双击右边　可。当真正的管理员想对“ＨＫＥＹ＿ＬＯ一　烦，可以直接打开“计算机管理”进行查　的“审核策略更改”，在弹出的设置窗口　ＣＡＬ　ＭＡｃＨＩＮＥｓ　ｓＡＭ”下面的项进　看，添加“￥”符号的账户是无法在这里　中勾选“成功”，然后点“确定”。对“审核　行操作的时候将会发生错误。而且无法　隐藏的。　登陆事件”和“审核过程追踪”进行相同　通过＂ｒｅｇｅｄｔ３２．ｅｘｅ”再次赋予权限。这样　２、修改注册表型隐藏账户　的设置。　没有经验的管理员即使发现了系统中　由于使用这种方法隐藏的账户是　４、开启登陆事件审核功能　的隐藏账户，也是无可奈何的。　不会在“命令提示符”和“计算机管理”　进行登陆审核后，可以对任何账户　三、专用工具。使账户隐藏一步到　中看到的，因此可以到注册表中删除隐　的登陆操作进行记录，包括隐藏账户，　位　藏账户。来到“ＨＫＥＹ　ＬＯＣＡＬ＿ＭＡ一　这样我们就可以通过“计算机管理”中　虽然按照上面的方法可以很好地　ＣＨＩＮＥＳＡＭＳＡ＿ＭＤｏｍａｉｎｓＡｃｃｏｕｎｔＵｓ一　的“事件查看器”准确得知隐藏账户的　隐藏账户，但是操作显得比较麻烦，并　ｅｒｓＮａｍｅｓ”，把这里存在的账户和“计算　名称，甚至黑客登陆的时间。即使黑客　不适合新手，而且对注册表进行操作危　机管理”中存在的账户进行比较，多出　将所有的登陆日志删除，系统还会记录　险性太高，很容易造成系统崩溃。因此　来的账户就是隐藏账户了。想要删除它　是哪个账户删除了系统日志，这样黑客　我们可以借助专门的账户隐藏工具来　也很简单，直接删除以隐藏账户命名的　的隐藏账户就暴露无疑了。　进行隐藏工作．使隐藏账户不再困难。　项即可。　５、通过事件查看器找到隐藏帐户　四、把“隐藏账户，，请出系统　３、无法看到名称的隐藏账户　得知隐藏账户的名称后就好办了，　隐藏账户的危害可谓十分巨大。因　如果黑客制作了一个修改注册表　但是我们仍然不能删除这个隐藏账户，　此我们有必要在了解账户隐藏技术后，　型隐藏账户，在此基础上删除了管理员　因为我们没有权限。但是我们可以在　再对相应的防范技术作一个了解．把隐　对注册表的操作权限。那么管理员是无　“命令提示符”中输入“ｎｅｔ　ｕｓｅｒ隐藏账　藏账户彻底请出系统。　法通过注册表删除隐藏账户的，甚至无　户名称６５４３２１”更改这个隐藏账户的密　１、添加“￥”符号型隐藏账户　法知道黑客建立的隐藏账户名称。不过　码。这样这个隐藏账户就会失效，黑客　对于这类隐藏账户的检测比较简　世事没有绝对，我们可以借助“组策略”　无法再用这个隐藏账户登陆。　瑞星提醒网民：皿漏洞（ＭＳＩＯ一０１８）已感染１８００万网民　４月８日，瑞星公司发布安全警报，　１日至４月７日，该漏洞攻击网民次数　助用户拦截挂马网站攻击３１０万次，是　根据“云安全”系统的数据，受最新ＩＥ　累积达到１８３９万次。专家提醒网民。及　上月同期的３倍。“清华大学软件学　漏洞（ＭＳ１０—０１８）影响的受害网民数量　时使用瑞星卡卡６．２版，自动修复该漏　院”、“中国金融网”等均被此漏洞挂马。　仍在增加。此前，微软曾针对该漏洞发　洞，避免对电脑安全造成严重危害，保　根据瑞星“云安全”系统监控的挂　布了紧急升级补丁。但从数据结果来　护个人信息安全。　马网站分析，目前９５％以上的恶意网站　看，截至目前，仍有大约５０％以上的网　瑞星安全专家介绍。ＭＳ１０—０１８漏　全部利用ＩＥ新漏洞（ＫＢ９８１３７４）进行挂　民没有打好补丁，他们很可能会受该漏　洞是３月初发现的，当时微软还未提供　马，且近期挂马网站攻击用户次数在不　洞影响，丢失账号、感染木马病毒等。　补丁。瑞星公司就此漏洞曾及时发布新　断激增。　该漏洞主要危害ＩＥ６和ＩＥ７，而最　闻，提醒网民注意。漏洞主要影响ＩＥ６　瑞星安全专家提醒网民，使用ＩＥ６　新的ＩＥ８浏览器不受影响。但根据有关　和ＩＥ７浏览器，黑客可以利用网上公布　和ＩＥ７的用户，应尽快更新微软提供的　统计数字，目前国内使用ＩＥ浏览器的　的攻击代码进行挂马，造成ＩＥ允许远　补丁程序，建议直接使用瑞星卡卡６．２　用户比例超过８５％，像邀游、３６０浏览器　程下载木马、黑客后门到用户电脑中。　中的“漏洞扫描与修复”功能，第一时间　等以ＩＥ为核心的浏览器也会受此漏洞　由于该漏洞影响范围不断增加，微软公　自动修补漏洞，并且应用瑞星杀毒软件　的影响。　司已经提前发布该漏洞的补丁程序。　强大的“防挂马”功能，拦截挂马网站攻　瑞星“云安全”系统数据表明，３月　４月７日当天，瑞星“云安全”共帮　击，避免成为该漏洞的受害者。　／　２０１０年第０７期《计算机与网络》