一、背景
当电脑中病毒时,有些病毒(如:挖矿病毒)会在电脑中创建隐藏用户,以此开启后门,获得电脑的长期权限。
二、目的
防止电脑中毒的方式之一
三、排查及原理
1、打开cmd
win+R然后输入cmd
或者找到Windows系统——>命令提示符——>右键——>以管理员身份运行
2、查看电脑的用户
net user
3、创建初级隐藏用户
net user 用户名$ 密码 /add
net user op$ 1234 /add
4、查看用户
net user
发现查不到用户,这是因为Windows的特性,在用户后面加$就隐藏了用户
5、查隐藏用户
(1)
wmic useraccount get name,SID
(2)
打开此处,右键此电脑,点击管理
点击本地用户和组,点击里面的用户
就可以看到创建的隐藏用户
6、创建终极隐藏用户
(1)准备
WIN+R打开运行,打开注册表输入:
regedit
找到
计算机\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names
这里是计算机的所有用户,这里面没有的,说明计算机真的不存在隐藏用户
(2) 创建终极隐藏用户
1)找到创建的隐藏用户,右键点击导出
导出到桌面
2)提权
找隐藏用户对应的注册表文件
点击000003EC,将里面的F值删除后,替换为复制的administrator的F值
administrator的F值:
导出隐藏用户的注册表文件
3)删除初级隐藏用户
net user op$ /delete
4)查看是否删除
5)创建终极隐藏账户
依次点击1.reg与2.reg
6)再次查看隐藏用户
这时,你会发现,就看不到隐藏用户了,这是因为,修改了隐藏用户的F值,隐藏用户现在处于管理员权限