發表于:2009-07-13 00:00:00來源:51CTO人氣:2696
當黑客入侵一(yī)台主機後,會想方設法保護自己的“勞動成果”,因此會在肉雞上留下(xià)種種後門來長時間得控制肉雞,其中(zhōng)使用最多的就是賬戶隐藏技術。在肉雞上建立一(yī)個隐藏的賬戶,以備需要的時候使用。賬戶隐藏技術可謂是最隐蔽的後門,一(yī)般用戶很難發現系統中(zhōng)隐藏賬戶的存在,因此危害性很大(dà),本文就對隐藏賬戶這種黑客常用的技術進行揭密。
在隐藏系統賬戶之前,我(wǒ)(wǒ)們有必要先來了解一(yī)下(xià)如何才能查看系統中(zhōng)已經存在的賬戶。在系統中(zhōng)可以進入“命令提示符”,控制面闆的“計算機管理”,“注冊表”中(zhōng)對存在的賬戶進行查看,而管理員(yuán)一(yī)般隻在“命令提示符”和“計算機管理”中(zhōng)檢查是否有異常,因此如何讓系統賬戶在這兩者中(zhōng)隐藏将是本文的重點。
一(yī)、“命令提示符”中(zhōng)的陰謀
其實,制作系統隐藏賬戶并不是十分(fēn)高深的技術,利用我(wǒ)(wǒ)們平時經常用到的“命令提示符”就可以制作一(yī)個簡單的隐藏賬戶。
點擊“開(kāi)始”→“運行”,輸入“CMD”運行“命令提示符”,輸入“net user piao$ 123456 /add”,回車(chē),成功後會顯示“命令成功完成”。接着輸入“net localgroup administrators piao$ /add”回車(chē),這樣我(wǒ)(wǒ)們就利用“命令提示符”成功得建立了一(yī)個用戶名爲“piao$”,密碼爲“123456”的簡單“隐藏賬戶”,并且把該隐藏賬戶提升爲了管理員(yuán)權限。
我(wǒ)(wǒ)們來看看隐藏賬戶的建立是否成功。在“命令提示符”中(zhōng)輸入查看系統賬戶的命令“net user”,回車(chē)後會顯示當前系統中(zhōng)存在的賬戶。從返回的結果中(zhōng)我(wǒ)(wǒ)們可以看到剛才我(wǒ)(wǒ)們建立的“piao$”這個賬戶并不存在。接着讓我(wǒ)(wǒ)們進入控制面闆的“管理工(gōng)具”,打開(kāi)其中(zhōng)的“計算機”,查看其中(zhōng)的“本地用戶和組”,在“用戶”一(yī)項中(zhōng),我(wǒ)(wǒ)們建立的隐藏賬戶“piao$”暴露無疑。
可以總結得出的結論是:這種方法隻能将賬戶在“命令提示符”中(zhōng)進行隐藏,而對于“計算機管理”則無能爲力。因此這種隐藏賬戶的方法并不是很實用,隻對那些粗心的管理員(yuán)有效,是一(yī)種入門級的系統賬戶隐藏技術。
二、在“注冊表”中(zhōng)玩轉賬戶隐藏
從上文中(zhōng)我(wǒ)(wǒ)們可以看到用命令提示符隐藏賬戶的方法缺點很明顯,很容易暴露自己。那麽有沒有可以在“命令提示符”和“計算機管理”中(zhōng)同時隐藏賬戶的技術呢?答案是肯定的,而這一(yī)切隻需要我(wǒ)(wǒ)們在“注冊表”中(zhōng)進行一(yī)番小(xiǎo)小(xiǎo)的設置,就可以讓系統賬戶在兩者中(zhōng)完全蒸發。
1、峰回路轉,給管理員(yuán)注冊表操作權限
在注冊表中(zhōng)對系統賬戶的鍵值進行操作,需要到“HKEY_LOCAL_MACHINESAMSAM”處進行修改,但是當我(wǒ)(wǒ)們來到該處時,會發現無法展開(kāi)該處所在的鍵值。這是因爲系統默認對系統管理員(yuán)給予“寫入D AC”和“讀取控制”權限,沒有給予修改權限,因此我(wǒ)(wǒ)們沒有辦法對“SAM”項下(xià)的鍵值進行查看和修改。不過我(wǒ)(wǒ)們可以借助系統中(zhōng)另一(yī)個“注冊表編輯器”給管理員(yuán)賦予修改權限。
點擊“開(kāi)始”→“運行”,輸入“regedt32.exe”後回車(chē),随後會彈出另一(yī)個“注冊表編輯器”,和我(wǒ)(wǒ)們平時使用的“注冊表編輯器”不同的是它可以修改系統賬戶操作注冊表時的權限(爲便于理解,以下(xià)簡稱regedt32.exe)。在regedt32.exe中(zhōng)來到“HKEY_LOCAL_MACHINESAMSAM”處,點擊“安全”菜單→“權限”,在彈出的“SAM的權限”編輯窗口中(zhōng)選中(zhōng)“administrators”賬戶,在下(xià)方的權限設置處勾選“完全控制”,完成後點擊“确定”即可。然後我(wǒ)(wǒ)們切換回“注冊表編輯器”,可以發現“HKEY_LOCAL_MACHINESAMSAM”下(xià)面的鍵值都可以展開(kāi)了。
提示:上文中(zhōng)提到的方法隻适用于Windows NT/2000系統。在Windows XP系統中(zhōng),對于權限的操作可以直接在注冊表中(zhōng)進行,方法爲選中(zhōng)需要設置權限的項,點擊右鍵,選擇“權限”即可。
2、偷梁換柱,将隐藏賬戶替換爲管理員(yuán)
成功得到注冊表操作權限後,我(wǒ)(wǒ)們就可以正式開(kāi)始隐藏賬戶的制作了。來到注冊表編輯器的“HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames”處,當前系統中(zhōng)所有存在的賬戶都會在這裏顯示,當然包括我(wǒ)(wǒ)們的隐藏賬戶。點擊我(wǒ)(wǒ)們的隐藏賬戶“piao$”,在右邊顯示的鍵值中(zhōng)的“類型”一(yī)項顯示爲0x3e9,向上來到“HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers”處,可以找到“000003E9”這一(yī)項,這兩者是相互對應的,隐藏賬戶“piao$”的所有信息都在“000003E9”這一(yī)項中(zhōng)。同樣的,我(wǒ)(wǒ)們可以找到“administrator”賬戶所對應的項爲“000001F4”。
将“piao$”的鍵值導出爲piao$.reg,同時将“000003E9”和“000001F4”項的F鍵值分(fēn)别導出爲user.reg,admin.reg。用“記事本”打開(kāi)admin.reg,将其中(zhōng)“F”值後面的内容複制下(xià)來,替換user.reg中(zhōng)的“F”值内容,完成後保存。接下(xià)來進入“命令提示符”,輸入“net user piao$ /del”将我(wǒ)(wǒ)們建立的隐藏賬戶删除。最後,将piao$.reg和user.reg導入注冊表,至此,隐藏賬戶制作完成。
3、過河拆橋,切斷删除隐藏賬戶的途徑
雖然我(wǒ)(wǒ)們的隐藏賬戶已經在“命令提示符”和“計算機管理”中(zhōng)隐藏了,但是有經驗的系統管理員(yuán)仍可能通過注冊表編輯器删除我(wǒ)(wǒ)們的隐藏賬戶,那麽如何才能讓我(wǒ)(wǒ)們的隐藏賬戶堅如磐石呢?
打開(kāi)“regedt32.exe”,來到“HKEY_LOCAL_MACHINESAMSAM”處,設置“SAM”項的權限,将“administrators”所擁有的權限全部取消即可。當真正的管理員(yuán)想對“HKEY_LOCAL_MACHINESAMSAM”下(xià)面的項進行操作的時候将會發生(shēng)錯誤,而且無法通過“regedt32.exe”再次賦予權限。這樣沒有經驗的管理員(yuán)即使發現了系統中(zhōng)的隐藏賬戶,也是無可奈何的。