本文将介绍在Win7环境下,通过修改注册表建立、检测隐藏用户的方法。 1、首先创建一个隐身用户user001$,加入到管理员组。此时在“计算机管理”中仍能看到该用户。 net user user001$...
本文将介绍在Win7环境下,通过修改注册表建立、检测隐藏用户的方法。
1、首先创建一个隐身用户user001$,加入到管理员组。此时在“计算机管理”中仍能看到该用户。
net user user001$ pwd /add
net localgroup administrators user001$ /add
2、运行regedit,打开注册表管理界面,依次打开目录“HKEY_LOCAL_MACHINE”-“SAM”-“SAM”,右键“权限”,设置Aministrators用户组的“完全控制”权限
Win7系统下建立、检测隐藏用户的方法(图1)
3、重新打开注册表管理界面,依次展开目录“HKEY_LOCAL_MACHINE”-“SAM”-“SAM”-“Domains”-“Account”-“Users”-“Names”,Users目录和Names目录的顺序是一一对应的,此时做法是将具有超级管理员权限的Administrator账户(如果该账号被禁用,也可以找到具有超管权限的其他账户替代)对应的F的数据拷贝给第四项user001$用户的F值
Win7系统下建立、检测隐藏用户的方法(图2)
4、导出user001$的两个注册表信息,并删除user001$账户
Win7系统下建立、检测隐藏用户的方法(图3)
5、最后双击将两个注册表文件导入,最后将administrators的SAM控制权限取消。在本地组策略中,启用“交互式登录:不显示最后的用户名”,抹除最近登录日志。注销主机,即实现user001$的完全隐藏,试试用user001$登录吧。
Win7系统下建立、检测隐藏用户的方法(图4)
检测与防范
1、net user或net localgroup administrators,查看用户列表
2、打开“计算机管理”,带有$的即为隐藏账户
3、比较注册表“HKEY_LOCAL_MACHINE”-“SAM”-“SAM”-“Domains”-“Account”-“Users”-“Names”与“计算机管理”中的用户列表
4、查看“组策略”管理控制台,输入“gpedit.msc”运行“组策略”,依次展开“计算机配置”→“Win 设置”→“安全设置”→“本地策略”→“审核策略”,双击右边的“审核策略更改”,启用审计功能。
5、打开“计算机管理”控制台,通过“系统工具”-“事件查看器”-“windows日志”-“安全”,即可查看所有用户的登录日志
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
