别躲!系统里的秘密特工

2008-04-27 577阅读 0评论

   俗话说:眼见为实。生活中很多人根据自己亲眼所见来判断事情的真伪,但是在Windows世界里,有时候眼见却不为实,因为系统里隐藏了不少秘密“特工”,给我们带来潜在的危险。

  点亮注册表神灯,影子账户无处遁形

风险描述:

     黑客在入侵别人电脑后,为了方便以后再次“光顾”,有些人会建立一个影子账户,也称克隆账户,它复制了系统管理员账户的权限,并且具有隐身的效果,通过“net user”命令或者计算机管理工具也很难检测出来。

现场模拟:

第一步:以系统管理员身份登录系统,启动命令提示符,输入:net user ds$ 123 /add   这样,就新建了一个名为ds,密码为123的管理员隐身账户。

第二步:启动注册表编辑器,依次展开左侧[HKLM\SAM\SAM],右击选择“权限”,单击“添加”,将当前用户添加到列表并将权限设置为“完全控制”。刷新注册表后,依次展开[HKLM\SAM\SAM\Domains\Account\Users\000001F4],将其右侧窗口的F打开并复制其中内容,然后将其粘贴到[HKLM\SAM\SAM\Domains\Account\Users\000003EF]下的对应F处。

第三步:在注册表编辑器中依次导出[HKLM\SAM\SAM\Domains\Account\Users\000003EF]为DS1.reg,[HKLM\SAM\SAM\Domains\Account\Users\Names\ds$]为DS2.reg。

第四步:在命令提示符中执行“net user ds$ /del”将账户删除,然后双击DS1.reg和DS2.reg导入注册表。这样就在我们的系统中添加了一个具备系统管理员权限的影子账户,重启后,试试以此账户登陆(ds$,密码为123)登录系统,果然可以,而且具备管理员权限(隶属于Administrator组)。

解决之道:

     孙悟空总逃不出如来佛的手掌,通过上面的“现场模拟”,可见影子账户在隐藏,也会在注册表中留下痕迹。一旦怀疑自己的系统被做了手脚,只要依次展开[HKLM\SAM\SAM\Domains\Account\Users\Names],然后在右侧窗格中看看有没有带$的账户,如果有,则删除该账户在注册表中的两处键值并重启即可。

发表评论

表情:
验证码
评论列表 (暂无评论,577人围观)

还没有评论,来说两句吧...

分享:

支付宝

微信