应急响应 - Windows用户分析,Windows隐藏账号分析,Windows克隆账号分析

最新推荐文章于 2024-05-19 10:01:25 发布
最新推荐文章于 2024-05-19 10:01:25 发布
阅读量1.3w 收藏 89
点赞数 97
分类专栏: 《网络安全快速入门》 文章标签: 网络安全 ai 人工智能 gpt-3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangyuxiang946/article/details/130156411
版权

「作者简介」:CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者
「推荐专栏」:对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》

在这里插入图片描述

Windows账户分析

攻击者通常会在服务器中创建用户进行维权,查看是否有新增的可疑账号,核实后禁用或删除。

一、普通用户

cmd中,输入 net user ,查看系统中创建的用户。

在这里插入图片描述

【控制面板】-【用户账户】-【用户账户】-【管理用户账户】中,可以看到系统中有哪些用户。
在这里插入图片描述

net user administrator,可以查看用户的信息,比如上次登录时间。

在这里插入图片描述

query user,可以查看当前登录的用户。

在这里插入图片描述

二、隐藏用户

创建用户时,在用户名后面加上$,就会创建成隐藏账号。

隐藏用户不能在 net user 和控制面板中看到,需要用其他的方式。

1、lusrmgr.msc

WIN + R,输入 lusrmgr.msc ,打开本地用户和组,可以看到系统中的所有用户,包括隐藏用户。

在这里插入图片描述

左下角搜索【计算机管理】,打开本地用户和组,也可以打开同一个界面。

在这里插入图片描述

2、注册表

WIN + R,输入 regedit ,打开注册表,找到下面这个路径,可以看到系统中的所有用户,包括隐藏用户。

\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names

在这里插入图片描述

注册表SAM默认没有权限查看,右键【权限】,给administrators勾选完全控制权限,应用并确定,重新打开注册表即可。

在这里插入图片描述

三、克隆账号

创建隐藏用户后,到注册表\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names中,把隐藏用户的F值改成administrator的F值,就可以在不加入管理员组的情况下,拥有管理员权限。

攻击者通常会利用克隆账号的方式留下后门。

排查克隆账号,可以到注册表\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names中,查看是否有隐藏用户(用户名后面是$),如果有,就看这个用户对应的F值和administrator对应的F值是否相同,如果相同,就是克隆账号。

在这里插入图片描述

士别三日wyx
关注
  • 97
    点赞
  • 89
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 7
    评论
专栏目录
查看计算机上隐藏用户,教你如何隐藏windows系统账户
weixin_30716611的博客
06-15 5429
账户隐藏技术是最隐蔽的后门,一般用户很难发现系统中隐藏账户的存在,因此危害性很大。在隐藏系统账户之前,介绍一下如何才能查看系统中已经存在的账户。在系统中可以进入“命令提示符”,控制面板的“计算机管理”,“注册表”中对存在的账户进行查看,而管理员一般只在“命令提示符”和“计算机管理”中检查是否有异常,因此如何让系统账户在这两者中隐藏是重点。隐藏账户一、“命令提示符”的隐藏利用我们平时经常用到的“命令...
Windows隐藏账户处置
xdjxi的博客
12-15 461
PHP 算术运算符 运算符 名称 描述 实例 结果 x + y 加 x 和 y 的和 2 + 2 4 x - y 减 x 和 y 的差 5 - 2 3 x * y 乘 x 和 y 的积 5 * 2 10 x / y 除 x 和 y 的商 15 / 5 3 x % y 模(除法的余数) x 除以 y 的余数 5 % 2 10 % 8 10
Win11系统提示找不到lusrmgr.msc文件的解决办法
最新发布
file
05-19 989
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个lusrmgr.msc文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现lusrmgr.msc丢失要怎么解决?
应急响应-Windows隐藏账户
weixin_45690589的博客
02-27 898
检测是否存在新增可疑的账号,如管理员群组的(Administrator)是否新增账户,默认的情况下,管理员账户administrator对应的注册表为计算机。打开隐藏账户配置文件config.reg与admin.reg。将config.reg的F键替换为admin.reg的F键。将vin12$.reg与config.reg导入注册表。添加隐藏账户后,该隐藏账户可在一定条件下隐藏, 输入。的目录下可以查找到新建的隐藏用户vin2$隐藏后的账户添加完成后,在控制面板无法显示。通过注册表可以看到隐藏账户的信息。
Windows取证】隐藏用户
南京信息工程大学数字取证中心的博客
12-06 5716
了解Windows隐藏账户的工作原理,有针对性地对隐藏账户进行应急处置。
2024年网络安全山东省赛-SMB信息收集解析(中职组)_使用访问工具对服务器服务访问,将服务器中管理员桌面的文本文档里的内容作为 flag
2401_84252281的博客
04-26 805
任务环境说明:服务器场景:Server1。
Bio-Rad-Image-Lab-Software-5.2.1-Windows
04-01
Bio-Rad Image Lab Software 5.2.1 是一款专为Windows操作系统设计的高级凝胶分析软件。这个软件主要用于处理和分析生物实验中常见的凝胶电泳图像,如DNA、RNA和蛋白质凝胶图像。Bio-Rad是生物科学领域知名的仪器和...
HW防守_Windows应急响应基础1
08-03
同时,需要检查注册表和使用专门工具如D盾来检测隐藏账号克隆账号,例如以$结尾的用户名可能是隐藏用户。 结合日志分析,如通过`eventvwr.msc`打开事件查看器,导出并利用Log Parser工具分析Windows日志,可以...
windows入侵安全排查分析1
08-08
2、查看服务器是否存在可疑账号、新增账号 3、查看服务器是否存在隐藏账号克隆账号 4、结合日志,查看管理员登录时间、用户名是否存在异常 2、webshell查
flutter-windows-3.16.8-stable.zip
01-27
标题中的"flutter-windows-3.16.8-stable.zip"表明这是一款针对Windows操作系统的Flutter稳定版SDK,版本号为3.16.8。稳定版意味着它经过了充分的测试,适用于生产环境,提供可靠且持续的性能。 描述中的"flutter_...
怎样-查看电脑隐藏用户
11-28
打开 开始→运行→输入 regedt32.exe→HHKEY_LOCAL_MACHINE\SAM→在SAM上右键点击→权限→把你当前使用的用户(注销那里或登陆时可以看到)权限改成完全控制!然后退出
vcpkg-ffmpeg-5.1.2-windows-x86-64.zip
09-23
在"vcpkg-ffmpeg-5.1.2-windows-x86-64.zip"这个压缩包中,我们有两个目录:"x64-windows-static" 和 "x64-windows"。这两个目录分别代表了FFmpeg的不同构建配置: 1. **x64-windows-static**:这是为64位Windows...
Windows取证——隐藏用户
记录并分享学习安全的知识点..
11-18 1127
目录 前言: 一、隐藏用户的建立 二、查看隐藏用户 法一:计算机管理本地用户和组查看(compmgmt.msc) 法二:注册表SAM次项查看 三、普通隐藏隐藏用户 (一)注册导出隐藏用户的值项和对应的reg文件 (二)利用命令行删除隐藏用户 (三)导入两个reg文件到注册表中 注意: 四、深度隐藏隐藏用户
windows建立隐藏用户及查找隐藏用户
热门推荐
正在成为 code ape
03-27 3万+
建立隐藏用户 1.cmd> net user 用户名$ 密码 /add hint: cmd> net localgroup administrators 用户名$ /add (将用户添加进管理员组) 2.cmd> regedit 路径 HKEY_LOCAL_MACHINE --SAM–SAM(需要右击权限修改管理员权限)-Domains-Account-users 右击导出Use...
如何检查计算机账号克隆
weixin_44023460的博客
07-19 452
在系统中添加的非克隆账号,可以通过常规检查检查出来,但是如果入侵者在系统中对账号进行了克隆,一般克隆系统中已经存在账号,例如克隆aspnet账号、TsInternetuser、Guest等账号,通过“net user”、“net localgroup administrators”以及计算用户图形管理都是查不出来的,如果计算机开放了远程终端、安装了PcanyWhere等工具,则入侵者可以通过这些用户账号正常访问系统。如果在检查过程中,发现了多余的账号,则极有可能是入侵者添加的账号。图2 管理员组账号检查。
Windows XP中如何在注册表下查看隐藏用户
weixin_33979363的博客
05-11 242
在XP中,从控制面板的用户帐户,和计算机管理中的本里用户和组的用户,以及从注册表中的KEY_LOCAL_MACHINE\SAM\SAM\Domains\account\Users\Names下看到的用户的数量是有区别的。在控制面版中看到的是最少的,而在计算机管理中的本里用户和组的用户能看到一些隐藏用户,但是对于部分通过后门或者***添加的帐户,在一般情况是是...
查看计算机上隐藏用户,Win7系统隐藏账户查看与删除方法图文教程
weixin_31755479的博客
06-15 5408
由于每个用户对电脑系统账户设置需求不同,不妨用户会给自己系统下创建隐藏账户与登录密码,虽然隐藏账户不易被别人查看,但隐藏账户对系统也有一定危害,有时候需要对无用的隐藏账户进行删除,那么在笔记本win7系统下该如何查看隐藏账户与删除呢?一起来看看小编整理的详细教程。笔记本win7系统隐藏账户查看与删除方法/步骤:1、先看一下,原有的账户中是如何显示的?使用鼠标右键点击计算机→管理2、计算机管理→本地...
怎么查看windows2003中隐藏用户
weixin_34405354的博客
06-22 171
在命令模式下删除1.你在MS-dos下先输入net user 看有那些用户, 注意第一步看不出隐藏用户 2.然后在输入net localgroup administrators 或者 net localgroup users 说一下第2步是看出隐藏用户属于那个组,你明白我的意思吗? aministrators和users 是组,我们以组的名义查看,一目了然!~隐藏用户出现了。  在注册表中删...
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

士别三日wyx

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值