簡介

　　前段時間在幫客戶處理一臺服務器的安全問題時，發現該服務器被人遠程***了，并且在系統中加入了隱藏帳戶。可能是***人員的技術問題，雖然加入了隱藏帳戶卻使得系統的“用戶管理”面板打開異常。為了防止再出現類似的問題，特重新測試了在2003 Server系統下建立及檢測隱藏帳戶的方法。

　　影子賬戶，顧名思義就是隱藏的賬戶，在“控制面板-用戶賬戶”里面是看不見，但卻有管理員權限的賬戶。

　　整個操作過程已用視頻記錄，如果查看本文仍有不清楚之處，可下載該視頻：http://down.51cto.com/data/142363。

操作方法

查看系統帳戶

　　以正常的管理員用戶進入系統，查看系統中所有帳戶，如下圖所示。可以看到正常情況下操作系統的所有已啟用和禁用的帳戶。

查看注冊表中帳戶的對應關系

　　系統中賬戶的信息存儲在注冊表HKEY_LOCAL_MACHINE\SAM\SAM鍵中，正常情況下用戶（包括管理員）是無法查看其中的內容的。如下圖所示。

　　通過給該鍵值賦予控制權限，可以使相應帳戶能正常查看該鍵值的內容，如下圖所示。其中domains下包括Users鍵值和Names鍵值，其中Names鍵值中的內容對應相應的帳戶（如administrator），帳戶下的鍵值(0X1F4)對應Users中的值（000001F4），該值下的F鍵和V鍵代表帳戶及權限。

增加帳戶

　　在命令行方式下用“net user”命令增加測試用戶，如下圖所示。

導出測試賬戶的注冊表鍵值

　　增加測試賬戶后，在注冊表中找到測試用戶及鍵值并導出該鍵值。如下圖所示。

刪除已建立的測試賬戶

　　刪除系統帳戶后，在“用戶管理”面板中將清除該用戶同時注冊表中的相應鍵值也會一并清除，如下圖所示。

導入注冊表鍵值

　　重導入先前的注冊表鍵值，如下圖所示。該鍵值導入后可在注冊表鍵值中看到該用戶的信息。

恢復注冊表原有權限

　　用戶賬戶導入后，為了保證效果及系統的正常，重新將注冊表鍵值恢復到初始狀態，如下圖所示。

將該用戶加入管理員組

　　在命令行方式下將該賬戶加入管理員組，使其具有管理員權限能進行系統登陸和相應的操作，如下圖所示。

帳戶測試

查看系統用戶

　　用戶添加成功并加入管理員組后，先在控制面板的“用戶管理”中查看所有的用戶，然后使用命令行的方式顯示系統中的所有用戶，同時使用帳戶檢測工具來查看系統中的所有用戶。在對比中會發現只有檢測工具可以檢測到test$用戶。（該檢測工具將在附件中提供下載）如下圖所示。

使用test$用戶登陸

　　在完成以上的所有操作后，為了測試該用戶是否正常添加，可以使用該用戶登陸系統作檢測，如下圖所示。

?

?

轉載于:https://blog.51cto.com/waringid/428111

總結

以上是生活随笔為你收集整理的2003 Server下隐藏帐号的建立的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。