|
建立隱藏管理員賬戶
當(dāng)黑客入侵一臺主機后,會想方設(shè)法保護自己的“勞動成果”���,因此會在肉雞上留下種種后門來長時間得控制肉雞,其中使用最多的就是賬戶隱藏技術(shù)����。在肉雞上建立一個隱藏的賬戶,以備需要的時候使用����。賬戶隱藏技術(shù)可謂是最隱蔽的后門,一般用戶很難發(fā)現(xiàn)系統(tǒng)中隱藏賬戶的存在�,因此危害性很大�����,本文就對隱藏賬戶這種黑客常用的技術(shù)進行揭密����。
在隱藏系統(tǒng)賬戶之前,我們有必要先來了解一下如何才能查看系統(tǒng)中已經(jīng)存在的賬戶���。在系統(tǒng)中可以進入“命令提示符”�����,控制面板的“計算機管理”��,“注冊表”中對存在的賬戶進行查看���,而管理員一般只在“命令提示符”和“計算機管理”中檢查是否有異常�����,因此如何讓系統(tǒng)賬戶在這兩者中隱藏將是本文的重點���。
一、“命令提示符”中的陰謀
其實�����,制作系統(tǒng)隱藏賬戶并不是十分高深的技術(shù)�,利用我們平時經(jīng)常用到的“命令提示符”就可以制作一個簡單的隱藏賬戶。
點擊“開始”→“運行”��,輸入“CMD”運行“命令提示符”�����,輸入
“net user chun$ password /add”回車���,成功后會顯示“命令成功完成”����。
接著輸入
“net localgroup administrators chun$ /add”回車,
這樣我們就利用“命令提示符”成功得建立了一個用戶名為“chun$”���,密碼為“password”的簡單“隱藏賬戶”,并且把該隱藏賬戶提升為了管理員權(quán)限���。
我們來看看隱藏賬戶的建立是否成功。在“命令提示符”中輸入查看系統(tǒng)賬戶的命令
“net user”��,回車后會顯示當(dāng)前系統(tǒng)中存在的賬戶����。從返回的結(jié)果中我們可以看到剛才我們建立的“chun$”這個賬戶并不存在��。接著讓我們進入控制面板的“管理工具”��,打開其中的“計算機”�,查看其中的“本地用戶和組”,在“用戶”一項中��,我們建立的隱藏賬戶“chun$”暴露無疑��。
可以總結(jié)得出的結(jié)論是:這種方法只能將賬戶在“命令提示符”中進行隱藏���,而對于“計算機管理”則無能為力�。因此這種隱藏賬戶的方法并不是很實用,只對那些粗心的管理員有效���,是一種入門級的系統(tǒng)賬戶隱藏技術(shù)���。
二、在“注冊表”中玩轉(zhuǎn)賬戶隱藏
從上文中我們可以看到用命令提示符隱藏賬戶的方法缺點很明顯��,很容易暴露自己�。那么有沒有可以在“命令提示符”和“計算機管理”中同時隱藏賬戶的技術(shù)呢?答案是肯定的��,而這一切只需要我們在“注冊表”中進行一番小小的設(shè)置�����,就可以讓系統(tǒng)賬戶在兩者中完全蒸發(fā)�。
1、峰回路轉(zhuǎn)��,給管理員注冊表操作權(quán)限
在注冊表中對系統(tǒng)賬戶的鍵值進行操作��,需要到“HKEY_LOCAL_MACHINE\SAM\SAM”處進行修改�����,但是當(dāng)我們來到該處時,會發(fā)現(xiàn)無法展開該處所在的鍵值�����。這是因為系統(tǒng)默認(rèn)對系統(tǒng)管理員給予“寫入DAC”和“讀取控制”權(quán)限�����,沒有給予修改權(quán)限����,因此我們沒有辦法對“SAM”項下的鍵值進行查看和修改。不過我們可以借助系統(tǒng)中另一個“注冊表編輯器”給管理員賦予修改權(quán)限��。
點擊“開始”→“運行”�����,輸入“regedt32.exe”后回車�,隨后會彈出另一個“注冊表編輯器”�,和我們平時使用的“注冊表編輯器”不同的是它可以修改系統(tǒng)賬戶操作注冊表時的權(quán)限(為便于理解,以下簡稱regedt32.exe)���。在regedt32.exe中來到“HKEY_LOCAL_MACHINE\SAM\SAM”處�����,點擊“安全”菜單→“權(quán)限”�,在彈出的“SAM的權(quán)限”編輯窗口中選中“administrators”賬戶���,在下方的權(quán)限設(shè)置處勾選“完全控制”�,完成后點擊“確定”即可�����。然后我們切換回“注冊表編輯器”���,可以發(fā)現(xiàn)“HKEY_LOCAL_MACHINE\SAM\SAM”下面的鍵值都可以展開了���。
提示:上文中提到的方法只適用于Windows NT/2000系統(tǒng)。在Windows XP系統(tǒng)中��,對于權(quán)限的操作可以直接在注冊表中進行����,方法為選中需要設(shè)置權(quán)限的項�����,點擊右鍵���,選擇“權(quán)限”即可���。
2、偷梁換柱�����,將隱藏賬戶替換為管理員
成功得到注冊表操作權(quán)限后���,我們就可以正式開始隱藏賬戶的制作了。來到注冊表編輯器的“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names”處�,當(dāng)前系統(tǒng)中所有存在的賬戶都會在這里顯示���,當(dāng)然包括我們的隱藏賬戶�����。點擊我們的隱藏賬戶“chun$”����,在右邊顯示的鍵值中的“類型”一項顯示為0x3f4,向上來到“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\”處��,可以找到“000003f4”這一項�,這兩者是相互對應(yīng)的�,隱藏賬戶“chun$”的所有信息都在“000003f4”這一項中。同樣的�����,我們可以找到“administrator”賬戶所對應(yīng)的項為“000001F4”�����。
將“chun$”的鍵值導(dǎo)出為chun$.reg�,同時將“000003F4”和“000001F4”項的F鍵值分別導(dǎo)出為user.reg,admin.reg�。用“記事本”打開admin.reg,將其中“F”值后面的內(nèi)容復(fù)制下來�����,替換user.reg中的“F”值內(nèi)容,完成后保存�。接下來進入“命令提示符”,輸入“net user chun$ /del”將我們建立的隱藏賬戶刪除����。最后,將chun$.reg和user.reg導(dǎo)入注冊表��,至此�����,隱藏賬戶制作完成��。
3����、過河拆橋,切斷刪除隱藏賬戶的途徑
雖然我們的隱藏賬戶已經(jīng)在“命令提示符”和“計算機管理”中隱藏了�����,但是有經(jīng)驗的系統(tǒng)管理員仍可能通過注冊表編輯器刪除我們的隱藏賬戶����,那么如何才能讓我們的隱藏賬戶堅如磐石呢?
打開“regedt32.exe”�,來到“HKEY_LOCAL_MACHINE\SAM\SAM”處,設(shè)置“SAM”項的權(quán)限���,將“administrators”所擁有的權(quán)限全部取消即可�。當(dāng)真正的管理員想對“HKEY_LOCAL_MACHINE\SAM\SAM”下面的項進行操作的時候?qū)l(fā)生錯誤�����,而且無法通過“regedt32.exe”再次賦予權(quán)限����。這樣沒有經(jīng)驗的管理員即使發(fā)現(xiàn)了系統(tǒng)中的隱藏賬戶,也是無可奈何的��。
三.專用工具��,使賬戶隱藏一步到位
雖然按照上面的方法可以很好得隱藏賬戶����,但是操作顯得比較麻煩,并不適合新手�,而且對注冊表進行操作危險性太高,很容易造成系統(tǒng)崩潰�。因此我們可以借助專門的賬戶隱藏工具來進行隱藏工作�����,使隱藏賬戶不再困難����,只需要一個命令就可以搞定。
我們需要利用的這款工具名叫“HideAdmin”���,下載下來后解壓到c盤�����。然后運行“命令提示符”��,輸入“HideAdmin chun$ password”即可,如果顯示“Create a hiden Administrator chun$ Successed!”���,則表示我們已經(jīng)成功建立一個賬戶名為chun$��,密碼為password的隱藏賬戶��。利用這款工具建立的賬戶隱藏效果和上文中修改注冊表的效果是一樣的。
四���、把“隱藏賬戶”請出系統(tǒng)
隱藏賬戶的危害可謂十分巨大��。因此我們有必要在了解了賬戶隱藏技術(shù)后���,再對相應(yīng)的防范技術(shù)作一個了解��,把隱藏賬戶徹底請出系統(tǒng)
1����、添加“$”符號型隱藏賬戶
對于這類隱藏賬戶的檢測比較簡單。一般黑客在利用這種方法建立完隱藏賬戶后�����,會把隱藏賬戶提升為管理員權(quán)限����。那么我們只需要在“命令提示符”中輸入“net localgroup administrators”就可以讓所有的隱藏賬戶現(xiàn)形��。如果嫌麻煩��,可以直接打開“計算機管理”進行查看,添加“$”符號的賬戶是無法在這里隱藏的����。
2���、修改注冊表型隱藏賬戶
由于使用這種方法隱藏的賬戶是不會在“命令提示符”和“計算機管理”中看到的���,因此可以到注冊表中刪除隱藏賬戶��。來到“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names”�����,把這里存在的賬戶和“計算機管理”中存在的賬戶進行比較��,多出來的賬戶就是隱藏賬戶了��。想要刪除它也很簡單,直接刪除以隱藏賬戶命名的項即可��。
3�����、無法看到名稱的隱藏賬戶
如果黑客制作了一個修改注冊表型隱藏賬戶��,在此基礎(chǔ)上刪除了管理員對注冊表的操作權(quán)限。那么管理員是無法通過注冊表刪除隱藏賬戶的�����,甚至無法知道黑客建立的隱藏賬戶名稱�����。不過世事沒有絕對,我們可以借助“組策略”的幫助���,讓黑客無法通過隱藏賬戶登陸���。
點擊“開始”→“運行”�,輸入“gpedit.msc”運行“組策略”�����,依次展開
“計算機配置”→“Windows設(shè)置”→“安全設(shè)置”→“本地策略”→“審核策略”,雙擊右邊的“審核策略更改”�����,在彈出的設(shè)置窗口中勾選“成功”��,然后點“確定”�����。對“審核登陸事件”和“審核過程追蹤”進行相同的設(shè)置。
進行登陸審核后��,可以對任何賬戶的登陸操作進行記錄,包括隱藏賬戶����,這樣我們就可以通過“計算機管理”中的“事件查看器”準(zhǔn)確得知隱藏賬戶的名稱,甚至黑客登陸的時間�����。即使黑客將所有的登陸日志刪除��,系統(tǒng)還會記錄是哪個賬戶刪除了系統(tǒng)日志��,這樣黑客的隱藏賬戶就暴露無疑了。
得知隱藏賬戶的名稱后就好辦了��,但是我們?nèi)匀徊荒軇h除這個隱藏賬戶�,因為我們沒有權(quán)限��。但是我們可以在“命令提示符”中輸入“net user 隱藏賬戶名稱 654321”更改這個隱藏賬戶的密碼。這樣這個隱藏賬戶就會失效��,黑客無法再用這個隱藏賬戶登陸
|
