Windows下的影子账户创建与防范

最新推荐文章于 2024-05-14 00:29:54 发布
最新推荐文章于 2024-05-14 00:29:54 发布
阅读量2.7k 收藏 7
点赞数 3
分类专栏: 漏洞复现 文章标签: windows mariadb 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46607055/article/details/122160925
版权

1、查看当前系统账户

(1)打开cmd查看当前系统账户:

net user

(2)开始-->控制面板-->管理工具-->计算机管理,进入本地用户和组,查看用户。

(3)打开注册表,进入以下键值,查看用户和组。

HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/

其中,Names下的键值为用户名,用户名键值下的值,对应的Users下的键,内部的F,V值为该用户的登录设置信息,其中F键值,为权限设置信息。

2、添加账户

(1)添加正常用户

net user abc 123 /add   //添加abc用户
net localgroup administrators abc /add  //添加abc到管理员组
net localgroup administrators  //查看在administrators组里用户

(2)添加隐藏账户

net user abc$ 123 /add  //在用户名后面添加$符号,即为隐藏账户。

3、创建影子账户

(1)进入注册表,将

HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/Names/Administrator

键值下数值对应的Users键值(000001F4)下的F值覆盖abc$用户对应的Users下的F值。

(2)将abc$键值和对应的Users下的键值导出到桌面,然后从用户管理窗口,右键删除abc$用户。

(3)再将刚才导出的注册表信息重新导入注册表。

(4)查看用户,此时,net user命令看不到用户;用户管理窗口也看不到用户;注册表可以看到用户。

(5)如果在添加用户之后,删除掉HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Groups键值,则以后无法对用户进行添加删除操作。

4、防范:

1、常检查注册表,对陌生账户或不明账户,果断删除;

2、账户设置好后,导出HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/groups键值并做好备份。然后从注册表中删除此键。需要创建用户和删除账户的时候,再导入该键值。

3、打开“regedt32.exe”,来到“HKEY_LOCAL_MACHINE/SAM”处,设置“SAM”项的权限,将“administrators”所拥有的权限全部取消即可限制查询和添加用户。

m0_46607055
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
windows 7使用注册表创建影子账户和隐藏账户.docx
09-27
Windows 7 使用注册表创建影子账户和隐藏账户Windows 7 中,使用注册表可以创建影子账户和隐藏账户。这种方法可以绕过 Windows 的安全机制,创建一个隐藏的管理员账户,从而获取系统的最高权限。本文将指导您一...
影子账号(隐藏账户防范
m0_51186260的博客
03-10 1169
1.打开虚拟机window10 2. 对注册表赋予权限 新建特殊账户 4. 新建本地用户添加到本地用户组中去 5.在本地中查看,发现存在添加的账户账户必须有密码 6. 在注册表中查看有已添加的账户 7.导出注册表 8. 导出 9. 命令行删除特殊账户 10. 导入reg文件 11.启用远程桌面 12.远程桌面连接成功 13. 利用d盾扫描删除 14 删除成功 ...
windows操作系统实验之影子账户
m0_55525922的博客
04-14 595
Windows系统登录界面状态下,粘滞键仍可以以连续按5下SHIFT键运行,并且此时应用程序会以WINDOWS的最高权限-SYSTEM权限运行,所以计算机一旦被安装该后门,入侵者便可悄无声息地远程操纵计算。找到名字为sethc的文件(随便点击一个文件,按s键就可以快速查找s开头的文件),也就是粘滞键,把文件名改成任意名。是计算机最高的权限,那么就可以输入命令修改账户的密码,或者新建一个用户,赋予它管理员的权限。然后在Users中找到对应数字的F值,将3e9的F值替换为1f4的F值。
2024年HarmonyOS鸿蒙最全「渗透技巧」添加 administrator 影子用户_影子用户怎么用,【一步教学一步到位】
最新发布
2401_84850851的博客
05-14 905
本篇文章在实战中意义不是很大,在有授权的情况下没必要预留后门,在搞事情的情况下就各取所需了。添加隐藏用户网上也有很多帖子,但是百看不如一练,对于我来说,只有上手做过的东西才是自己的,再怎么看文章,不上手练都是没啥用处。“看了就会,我有我就会”这种要 不得,要不得~~~之所以写一期“影子用户”是今天在梳理内网攻击流程和手法的时候,想到一个场景。在拿到一台“僵尸”机器,想留在手中 还不容易被发现的情况下,如何做一个后门。
Windows取证】隐藏用户
南京信息工程大学数字取证中心的博客
12-06 5685
了解Windows隐藏账户的工作原理,有针对性地对隐藏账户进行应急处置。
应急响应 - Windows用户分析,Windows隐藏账号分析,Windows克隆账号分析
Innocence_0的博客
09-05 1554
攻击者通常会在服务器中创建用户进行维权,查看是否有新增的可疑账号,核实后禁用或删除。
windows中用注册表删除guest账户
qq_27607539的博客
07-24 7381
1.按键“win”+“r”输入regedit打开注册表; 2.展开“HKEY_LOCAL_MACHINE\SAM\SAM”,右键“权限”; 3.设置管理员完全控制权限,入下图: 4.关闭注册表,重新打开。5.打开“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\Guest” 6.从上图可知type值为0x1f5,这里我们删
注册表中查看隐藏用户SAM
luminous_you的博客
10-13 6200
执行 regedit 命令进注册表,在 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names 若文件夹为空 修改权限
Windows影子保护系统 EWF,断电保护
10-10
Windows影子保护系统,全称为Enhanced Write Filter(EWF),是一种强大的系统保护机制,主要目的是为了防止对系统磁盘的非预期修改。在EWF的保护下,任何对系统分区(如C盘)的更改都不会永久保存,一旦系统重启...
Win7系统创建隐藏账户影子账户)的方法.docx
09-27
Win7系统创建隐藏账户影子账户)的方法 Win7系统创建隐藏账户影子账户)的方法是指在Win7系统中创建一个隐藏的账户,该账户不会出现在用户列表中,但仍然可以登录系统并具有管理员权限。下面是创建隐藏账户的...
影子系统(windows)
12-22
当用户开启影子系统后,操作系统会在启动时创建一个与真实系统完全一样的副本,即“影子”副本。在这个副本中进行的所有操作,包括安装软件、浏览网页、下载文件等,都会在虚拟环境中进行,而不会对真实的系统分区...
影子管理员帐户检测 (查看自己的电脑是否被黑客侵入过) 绿色
09-14
影子管理员帐户检测 (查看自己的电脑是否被黑客侵入过) 绿色 简介: 本软件是为了检测被入侵后添加, 修改, 隐藏的非法管理员帐户 .程序会自动对注册表及帐号管理器的用户帐号检测 . 存在克隆帐号 会以红色三角符号重点标记出来 . 大家可以去查查自己的电脑 ,很实用的 ,留着以防万一吧!! 文件大小:298.91KB 软件类别:国产软件 / 绿色软件 软件语言:简体中文 授权方式:免费软件 运行环境:Win9X/Win2000/WinXP/Win2003/
影子系统-windows
07-26
windows64位影子系统,安装后可以选择一个或多个硬盘分区进行保护,开启后相当于操作的是你开启软件时刻的系统的复制,所以叫影子系统;下次开机后系统会恢复到你开启影子系统的时刻的状态,可用于防止电脑被病毒...
Windows日志分析场景(一)
Karka_的博客
08-03 267
计算机网络的安全性主要包括网络服务的可用性、网络信息的保密性和网络信息的完整性。数据时代的不断进步,也产生了一些安全问题。数据安全和设备安全更是网络安全中的两个重要内容。关于Windows主机的安全防护,大概分为以下几个方面:账户管理、本地策略、服务、网络协议、注册表管理、文件系统与权限、Windows系统自身安全。如何去发现Windows主机的一些潜在或者已经存在的威胁,以怎样的检测排查思路去分析。
SAM在注册表中的结构
suspension·成长之路·操作系统blog
10-22 3035
 1.在HKEY_LOCAL_MACHINE/SAM/SAM/ Domains下就是SAM的内容,其下有两个分支“Account”和“Builtin”。 2.Domains/Account/Users下存放的就是各个账号的信息,当然,这里是加密过的二进制数据,每个账号下面有两个子项,F和V。项目V中保存的是账户的基本资料,用户名、所属组、描述、密码、注释、是否可以更改密码、账户启用、密码设
Windows权限维持--创建隐藏账户影子账户
qq_54735393的博客
11-03 3960
影子账户就是在windows中比较隐蔽的用户,一般在后渗透的权限维持阶段会用到。影子账户主要是利用在权限维持上,通过先建立带$符号的账户,然后利用注册表修改里面的值,使得管理员无法通过cmd及计算机管理等地方查看攻击者所创建账户,从而实现权限维持。
2024年网络安全山东省赛-SMB信息收集解析(中职组)_使用访问工具对服务器服务访问,将服务器中管理员桌面的文本文档里的内容作为 flag
2401_84252281的博客
04-26 746
任务环境说明:服务器场景:Server1。
Windows创建隐藏账户影子账户
m0_46607055的博客
01-25 3594
方法一: 用户名后面加$符号 net user test$ password /add net localgroup administrators test$ /add 此时使用命令net user 查看不到此用户,但使用 wmic命令可以 wmic useraccount get Name 此外,在控制面板也能看到此用户 可直接用命令删除 net user test$ /del 对于此方法,微软官方的回答是 方法二:修改注册表 前提是...
windows排查
qq_43665434的博客
09-16 1151
Windows分析排查介绍 分析排查是指对Windows系统中的文件、进程、系统信息、日志记录等进行检测,挖掘Windows系统中是否具有异常情况。 目的:保护Windows系统安全。 文件分析 1、开机启动文件 一般情况下,各种木马、病毒等恶意程序,都会在计算机开机启动过程中自启动。 在Windows系统中可以通过以下三种方式查看开机启动项: 利用文件资源管理器 C:\Users\xiamo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\S
windows影子账户
07-28
Windows影子账户是一种特殊类型的账户,用于在计算机上进行敏感操作或特权操作时提供临时权限。这种账户通常是为了增加安全性而创建的,因为它们在执行任务时不会保留记录或留下痕迹。 影子账户通常用于以下情况: 1. 特权操作:当需要进行系统配置、安装软件或执行其他需要管理员权限的操作时,可以使用影子账户来避免使用常规管理员账户。 2. 安全审计:通过使用影子账户,可以将特权操作的日志记录与普通用户的日志记录分开,以方便审计和追踪。 3. 高级威胁防御:在进行敏感操作时,使用影子账户可以减少攻击者对主要管理员账户的访问权限。 需要注意的是,影子账户在使用完毕后会自动删除,因此无法长期登录或用于一般使用。此外,具体的影子账户的配置和使用方式可能因不同的Windows版本而有所差异,建议在具体使用前查阅相关文档或参考安全指南。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值