windows服務隐藏後門之克隆帳号

 windows服務隐藏後門之克隆帳号

1、CMD指令行下，建立了一個使用者名為“test$”，密碼為“abc123!”的簡單隐藏賬戶,并且把該隐藏賬戶提升為了管理者權限。

PS:CMD指令行使用"net user",看不到"test$"這個賬号，但在控制台和本地使用者群組是可以顯示此使用者的。

2、“開始”→“運作”，輸入“regedt32.exe”後回車,需要到“HKEY_LOCAL_MACHINE\SAM\SAM”，單機右建權限，把名叫：administrator的使用者給予：完全控制以及讀取的權限，在後面打勾就行，然後關閉系統資料庫編輯器，再次打開即可。

3、來到系統資料庫編輯器的“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names”處，點選test$使用者，得到在右邊顯示的鍵值中的“類型”一項顯示為0x3ec，找到箭頭所指目錄。

 4、紮到administrator所對應的的項為“000001F4”，将“000001F4”的F值複制到“000003EC”的F值中，儲存。

5、分别test$和“000003EC導出到桌面，删除test$使用者   net user test$ /del

6、将剛才導出的兩個字尾為.reg的系統資料庫項導入系統資料庫中。這樣所謂的隐藏賬戶就建立好了。

PS：不管你是在指令提示符下輸入net user 或者在系統使用者管理界面都是看不到test$r這個賬戶的，隻有在系統資料庫中才能看得到。

檢測和清理方法：

使用D盾_web清除工具，使用克隆賬号檢測功能進行檢視，可檢測出隐藏、克隆賬号。

posted @ 2019-03-11 20:41 卿先生 閱讀(...) 評論(...) 編輯 收藏