本文关键词: 影子帐户、隐藏服务、windows XP
本文你可以学到:
1、影子帐户的建立方法
2、查找并删除系统内的影子帐户
3、查找并删除系统内的隐藏服务
俗话说:眼见为实。生活中很多人根据自己亲眼所见来判断事情的真伪,但是在windows世界里,有时候眼见却不为实,因为系统里隐藏了不少秘密“特工”,给我们带来潜在的危险。
实例1:点亮注册表神灯,影子账户无处遁形
风险描述:
***在侵入别人电脑后,为了方便以后再次“光顾”,有些人会建立一个影子账户。影子账户,也称克隆账户,它复制了系统管理员账户的权限,并具有隐身的效果,通过“net user”命令或者计算机管理工具是很难检测出来的。
现场模拟:
为让大家更真实地感受到影子账户的危险,让我们自己模拟一个。
第一步:以系统管理员身份登录系统,启动命令提示符后输入“netuser plmm2009$ 123/add”,新建一个名为plmm2009的隐身帐户,登录密码是123。
第二步:启动注册表编辑器,依次展开[HKLM\SAM\SAM],右键选择“权限”,单击“添加”, 将当前用户添加到列表并将权限设置为“完全控制”。刷新注册表后展开[HKLM\SAM\SAM\domains\account\users \000001F4],将其右侧窗口的“F”值打开后全选复制,然后粘贴到[HKLM\SAM\SAM\domains\account\users \000003EF]下的对应的“F”值处。
第三步:在注册表编辑器中依次导出[HKLM\SAM\SAM\domains\account \users\000003EF] 为 plmm20091reg 、 [HKLM\SAM\SAM\domains\account\users\names\plmm2009$]为plmm20092.reg 。
第四步:在命令提示符中执行“net user plmm2009$ /del”将帐户删除,然后双击plmm20091.reg 还有 plmm20092.reg 导入注册表。这样就在我们的系统中添加了一个具备系统管理员权限的影子帐户。重启后,试试以此帐户(plmm2009$,密码为123)登录系统,果然能 登录系统,并具备系统管理员权限。(隶属administrator组)
解决王道:
孙悟空总是跑不出如来的手心,通过上面的“现场模拟”,可见影子帐户再隐蔽,她也得在注册表中留下踪迹。一旦怀疑自己的系统被做了手脚,只要依次展开 [HKLM\SAM\SAM\domains\account\users\names],然后看看其中是否有带$的帐户,如有则删除该帐户在注册表中上 述两处关键值并重启就可以了!
网络大补贴:
☆本文只是复制了管理员帐户中的F值,其实我们还可以一并复制其下的V值进行完全的克隆!
☆系统中存在超级文件扩展名,如SHS、URL、SHB、SCF等等,即使将文件夹查看方式设置为显示所有文件扩展名,系统也不会默认显示,这样会带来很大的风险!
实例2:揪出隐身的病毒服务
风险描述:现在很多病毒伪装为硬件(通过*.SYS文件)服务,对于硬件的查看自然是借助设备管理器,但是病毒又不是真正的硬件,在设备管理器中通过常规的查看方法是无法发现他们的!
解决王道:
如果怀疑自己的电脑中了驱动级的病毒,可以通过杀毒软件的报警进行判断。比如,中招驱动***pcshare的变种后,杀毒软件会提示在 “C:\windows\system32\drivers\”发现***文件dmserver.sys,但是无法删除它!此时可以依次执行如下步骤:
第一步:右键桌面“我的电脑”选择“管理”,打开计算机管理窗口,展开“系统工具”→“设备管理器”,单击“查看”→“显示隐藏的设备”。
第二步:在右侧窗格展开“非即插即用驱动程序”,这里我们就可以看到所有驱动型的软件的服务程序,本例中可以看到一个名为 “dmserver”的硬件。双击打开该服务,切换到“驱动程序”单击“驱动程序详细信息”,将其启动类型设置为“已禁用”,接着单击“驱动程序详细信息 ”,即可看到病毒的真身是“C:\windows\system32\dmserver.sys”。重启电脑,按照上述路径删除***文件 dmserver.sys即可。
本文你可以学到:
1、影子帐户的建立方法
2、查找并删除系统内的影子帐户
3、查找并删除系统内的隐藏服务
俗话说:眼见为实。生活中很多人根据自己亲眼所见来判断事情的真伪,但是在windows世界里,有时候眼见却不为实,因为系统里隐藏了不少秘密“特工”,给我们带来潜在的危险。
实例1:点亮注册表神灯,影子账户无处遁形
风险描述:
***在侵入别人电脑后,为了方便以后再次“光顾”,有些人会建立一个影子账户。影子账户,也称克隆账户,它复制了系统管理员账户的权限,并具有隐身的效果,通过“net user”命令或者计算机管理工具是很难检测出来的。
现场模拟:
为让大家更真实地感受到影子账户的危险,让我们自己模拟一个。
第一步:以系统管理员身份登录系统,启动命令提示符后输入“netuser plmm2009$ 123/add”,新建一个名为plmm2009的隐身帐户,登录密码是123。
第二步:启动注册表编辑器,依次展开[HKLM\SAM\SAM],右键选择“权限”,单击“添加”, 将当前用户添加到列表并将权限设置为“完全控制”。刷新注册表后展开[HKLM\SAM\SAM\domains\account\users \000001F4],将其右侧窗口的“F”值打开后全选复制,然后粘贴到[HKLM\SAM\SAM\domains\account\users \000003EF]下的对应的“F”值处。
第三步:在注册表编辑器中依次导出[HKLM\SAM\SAM\domains\account \users\000003EF] 为 plmm20091reg 、 [HKLM\SAM\SAM\domains\account\users\names\plmm2009$]为plmm20092.reg 。
第四步:在命令提示符中执行“net user plmm2009$ /del”将帐户删除,然后双击plmm20091.reg 还有 plmm20092.reg 导入注册表。这样就在我们的系统中添加了一个具备系统管理员权限的影子帐户。重启后,试试以此帐户(plmm2009$,密码为123)登录系统,果然能 登录系统,并具备系统管理员权限。(隶属administrator组)
解决王道:
孙悟空总是跑不出如来的手心,通过上面的“现场模拟”,可见影子帐户再隐蔽,她也得在注册表中留下踪迹。一旦怀疑自己的系统被做了手脚,只要依次展开 [HKLM\SAM\SAM\domains\account\users\names],然后看看其中是否有带$的帐户,如有则删除该帐户在注册表中上 述两处关键值并重启就可以了!
网络大补贴:
☆本文只是复制了管理员帐户中的F值,其实我们还可以一并复制其下的V值进行完全的克隆!
☆系统中存在超级文件扩展名,如SHS、URL、SHB、SCF等等,即使将文件夹查看方式设置为显示所有文件扩展名,系统也不会默认显示,这样会带来很大的风险!
实例2:揪出隐身的病毒服务
风险描述:现在很多病毒伪装为硬件(通过*.SYS文件)服务,对于硬件的查看自然是借助设备管理器,但是病毒又不是真正的硬件,在设备管理器中通过常规的查看方法是无法发现他们的!
解决王道:
如果怀疑自己的电脑中了驱动级的病毒,可以通过杀毒软件的报警进行判断。比如,中招驱动***pcshare的变种后,杀毒软件会提示在 “C:\windows\system32\drivers\”发现***文件dmserver.sys,但是无法删除它!此时可以依次执行如下步骤:
第一步:右键桌面“我的电脑”选择“管理”,打开计算机管理窗口,展开“系统工具”→“设备管理器”,单击“查看”→“显示隐藏的设备”。
第二步:在右侧窗格展开“非即插即用驱动程序”,这里我们就可以看到所有驱动型的软件的服务程序,本例中可以看到一个名为 “dmserver”的硬件。双击打开该服务,切换到“驱动程序”单击“驱动程序详细信息”,将其启动类型设置为“已禁用”,接着单击“驱动程序详细信息 ”,即可看到病毒的真身是“C:\windows\system32\dmserver.sys”。重启电脑,按照上述路径删除***文件 dmserver.sys即可。
转载于:https://blog.51cto.com/everspring/112792
扫一扫
2228
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
