【Windows取证】隐藏用户

已于 2022-12-06 18:57:59 修改
阅读量5.6k 收藏 23
点赞数 11
文章标签: windows
于 2022-12-06 17:33:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73923817/article/details/128207037
版权

前言:

实验环境:Windows server 2019

实验目的:了解Windows隐藏账户的工作原理,有针对性地对隐藏账户进行应急处置。

目录

前言:

一、隐藏用户的建立

二、查看隐藏用户

 法一:计算机管理本地用户和组查看(compmgmt.msc)

 法二:注册表SAM次项查看

三、普通隐藏隐藏用户

(一)注册导出隐藏用户的值项和对应的reg文件

(二)利用命令行删除隐藏用户

(三)导入两个reg文件到注册表中

注意:

 四、深度隐藏隐藏用户

一、隐藏用户的建立

net user kaishui$ kaishui@321 /add

net localgroup administrators kaishui$ /add

 二、查看隐藏用户

注意:命令行查看不了隐藏用户。

net user

  法一:计算机管理本地用户和组查看(compmgmt.msc)

  法二:注册表SAM次项查看

计算机\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names

 

三、普通隐藏隐藏用户

(一)注册导出隐藏用户的值项和对应的reg文件

(二)利用命令行删除隐藏用户

net user kaishui$ /del

(三)导入两个reg文件到注册表中

regedit /s kaishui.reg
regedit /s kaishui1.reg

  此时重新打开注册表SAM项发现还是有隐藏用户,但是计算机管理本地用户和组没有隐藏用户。

注意:

        这时候kaishui$可以进行登录,但是登录后(runas.exe /user:kaishui$ cmd)同样会在本地计算机用户目录(C:\Users)下产生用户文件夹信息。

runas /user:username cmd

 四、深度隐藏隐藏用户

        将kaishui$隐藏用户应的注册表键值替换为管理员帐户Administrator对应的注册表键值为"HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4"。

        这时候登录kaishui$用户共用administrator账户文件系统,将不记录用户自身文件信息。相当于一个影子账户。

 

NUIST数字取证中心
关注
  • 11
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
查看计算机上隐藏用户,教你如何隐藏windows系统账户
weixin_30716611的博客
06-15 5374
账户隐藏技术是最隐蔽的后门,一般用户很难发现系统中隐藏账户的存在,因此危害性很大。在隐藏系统账户之前,介绍一下如何才能查看系统中已经存在的账户。在系统中可以进入“命令提示符”,控制面板的“计算机管理”,“注册表”中对存在的账户进行查看,而管理员一般只在“命令提示符”和“计算机管理”中检查是否有异常,因此如何让系统账户在这两者中隐藏是重点。隐藏账户一、“命令提示符”的隐藏利用我们平时经常用到的“命令...
应急响应 - Windows用户分析,Windows隐藏账号分析,Windows克隆账号分析
Innocence_0的博客
09-05 1546
攻击者通常会在服务器中创建用户进行维权,查看是否有新增的可疑账号,核实后禁用或删除。
应急响应 - Windows用户分析,Windows隐藏账号分析,Windows克隆账号分析_怎么发现windows账户被克隆
最新发布
2401_84968269的博客
05-14 430
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
网络安全入门学习练手——windows创建隐藏用户
p36273的博客
05-19 5179
(例如使用D盾查杀)
查看计算机上隐藏用户,Win10创意者怎么查看系统隐藏账户
weixin_39986171的博客
06-15 1241
Win10创意者怎么查看系统隐藏账户?来看看系统怎么查看系统隐藏账户1、在Win8.1开始屏幕或传统桌面中,使用“Windows+R”快捷键,打开Win8系统运行对话框,输入“gpedit.msc”命令并回车,弹出系统组策略编辑对话框,将鼠标定位到“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“审核策略”节点上,双击目标节点下的“审核策略更改”组策略。2、在弹出的编辑对话框中...
查看计算机上隐藏用户,Win7系统隐藏账户查看与删除方法图文教程
weixin_31755479的博客
06-15 5382
由于每个用户对电脑系统账户设置需求不同,不妨用户会给自己系统下创建隐藏账户与登录密码,虽然隐藏账户不易被别人查看,但隐藏账户对系统也有一定危害,有时候需要对无用的隐藏账户进行删除,那么在笔记本win7系统下该如何查看隐藏账户与删除呢?一起来看看小编整理的详细教程。笔记本win7系统隐藏账户查看与删除方法/步骤:1、先看一下,原有的账户中是如何显示的?使用鼠标右键点击计算机→管理2、计算机管理→本地...
Windows 资源查看器 MiTeC EXE Explorer
01-06
这款软件允许用户查看并提取EXE文件中的各种资源,如图标、位图、字符串、版本信息等,是进行软件开发、逆向工程、安全分析和Windows取证工作的重要辅助工具。 **主要功能** 1. **资源浏览器**:MiTeC EXE ...
计算机电子数据取证总结
06-07
Encase则是另一款广受欢迎的电子数据取证工具,尤其在Windows系统中。其主要知识点包括: 1. **图像复制**:Encase可以创建原始设备的完整镜像,确保在不破坏原始数据的情况下进行分析。 2. **文件恢复**:即使...
数字取证之Autopsy的下载安装及学习使用
05-27
它提供了对电子设备中的数据进行深入分析的能力,帮助用户发现并解释潜在的证据。在本篇文章中,我们将详细介绍如何下载、安装Autopsy,并探讨其基本的学习使用方法。 首先,下载Autopsy。Autopsy通常在其官方网站...
Windows平台下的监控取证
10-25
Windows平台下的监控取证】 监控取证技术是一种用于调查和收集电子设备中证据的专业技能,尤其在打击计算机犯罪中发挥着关键作用。Windows平台因其广泛使用,成为监控取证工作的重要领域。本文将深入探讨Windows...
内存镜像转储取证
01-13
Volatility是一个开源的内存取证框架,它支持多种操作系统,包括Windows、Linux和Mac OS X。通过Volatility,我们可以分析内存镜像,查找隐藏的进程、网络通信、加载的驱动程序,甚至解密内存中的密码。例如,使用` ...
Windows隐藏账户处置
afjkslahdfkaJDHU的博客
12-15 856
实验步骤 一、使用命令行创建用户 1、打开命令行 2、新建test$用户 net user test$ sxf!7890 /add net localgroup administrators test$ /add 二、观察test$用户 1、使用系统计算机管理工具 可以看到test$用户 2、使用命令行查看用户 在命令行输入 net user 无法看到test$用户 三、导出test$和administrator用户注册表信息 1、打开注册表 命...
Windows隐藏账户
CC210231的博客
04-10 4134
黑客在进行渗透测试的时候,如果进入了目标系统,往往会在系统上创建一个高权限的账户,作为后门,方便以后进入系统,此时就需要对创建的账户进行隐藏,避免被系统管理员发现 1.先介绍一下在Windows系统中一般创建隐藏账户的方法: 使用cmd命令: net user username$ /add 并使用net localgroup命令将创建的隐藏账户加入管理员组 使用net user 命令查看不到刚刚创建的隐藏账户 但是在“计算机管理”中的“本地用户和组”中是可以查看到的,非常容.
Windows账户隐藏
浅时光-Trister
02-12 2662
1、新建特殊账户 使用net user命令建立隐藏账户,并添加到管理员组。 2、赋予注册表权限 找到注册表 [HKEY_LOCAL_MACHINE\SAM|SAM],刚打开会发现什么也看不到,因为此时没有权限,右键选择权限,赋予完全控制的权限。然后刷新就可以看到其中的内容了。 3、导出注册表信息 找到新建的那个账户,将两个注册表信息先导出。 4、删除特殊账户 导出后,可以删除该账户。此时注册表已经看不到该账户的两个注册表信息。 5、导入注册表信息 删除账户后,再将注册表信息导入。 导入注册表后,
应急响应-账户排查
懂进攻知防守
11-19 1989
在服务器被入侵之后,攻击者可能会建立相关账户,方便进行远程控制。主要采用一下几种:1. 直接建立一个新用户;(有时候为了混淆视听,账户名称和系统常用名相似)2. 激活一个系统中的默认用户,但是这个用户不经常使用;3. 建立一个隐藏用。(在windows中,一般在用户名后加$)无论攻击者采用哪种方法,都会在获取账户后,使用工具或是利用相关漏洞将这个用户提升到管理员权限,然后通过这个账户任意控制计算机。
注册表中查看隐藏用户SAM
luminous_you的博客
10-13 6184
执行 regedit 命令进注册表,在 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names 若文件夹为空 修改权限
windows创建隐藏用户及后门
diaobusi的博客
06-20 2313
Windows操作系统中,用户系统是用于管理和控制用户访问、权限和资源的一组功能和机制。以下是Windows用户系统的一些关键概念和组成部分:用户账户:Windows用户系统基于用户账户来管理用户访问和权限。每个用户都必须拥有一个唯一的用户账户,用户账户包含了用户的登录名和密码等信息。用户账户可以是本地账户(仅限于本地计算机)或域账户(属于域控制器管理的网络域)。
查看计算机上隐藏用户,Win732位旗舰版系统下如何查看与删除隐藏账户【图】
weixin_39632467的博客
06-15 334
因为每个用户对电脑系统账户设置需求不同,所有很多用户都会选择给自己系统下创建隐藏账户与登录密码,虽然隐藏账户不易被别人查看,但隐藏账户对系统也有一定危害,所以有时候需要删除一些无用的隐藏账户,但是很多人不知道要如何查看隐藏账户和删除吧,下面就以win732位旗舰版系统为例,一起来看看小编整理的详细教程,具体如下。1、在win732位旗舰版系统下使用鼠标右键点击计算机→管理;2、计算机管理→本地账户...
实战Windows取证分析
7. 学习内存取证,了解如何提取和分析计算机内存中的信息,这对于发现隐藏的恶意软件和活动至关重要。 8. 分析事件日志,获取系统活动的详细记录,以发现异常行为。 9. 研究Windows特有的文件类型,了解它们在取证...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值