1. 建立簡(jiǎn)單隱藏賬戶

在建立用戶帳戶時(shí)，如果在用戶名后面加上$符號(hào)，就可以建立一個(gè)簡(jiǎn)單的隱藏帳戶，如“test$”。

在字符界面下執(zhí)行net user命令，就無(wú)法查看到這個(gè)帳戶，但是在圖形界面的“本地用戶和組”中仍然可以看到。

黑客在入侵了一臺(tái)主機(jī)之后，一般都要想辦法給自己留一個(gè)后門(mén)，而給自己加一個(gè)管理員組的帳戶則是常用的手法。由于帶“$”的帳戶容易被發(fā)現(xiàn)，于是一些人就在帳戶的顯示名稱上下功夫，建立一個(gè)看起來(lái)和系統(tǒng)帳戶類似的名字來(lái)迷惑管理員，如admin、sysadmin、Billgates、root等。另外一種方法就是把普通用戶組的用戶帳戶提升到管理員組中，例如把guest帳戶加入到管理員組中。所以如果我們發(fā)現(xiàn)管理員組中多了一個(gè)沒(méi)見(jiàn)過(guò)的帳戶或者是普通用戶組的帳戶以及帶$的帳戶，那我們就應(yīng)該意識(shí)到電腦可能被入侵了。

2. 安全標(biāo)識(shí)符SID

在Windows系統(tǒng)中，系統(tǒng)會(huì)為每個(gè)用戶賬戶建立一個(gè)唯一的安全標(biāo)識(shí)符（Security Identifier，SID），在Windows系統(tǒng)的內(nèi)部核心，都是利用SID而不是用戶的賬戶名稱來(lái)表示或識(shí)別每個(gè)用戶的。

SID綜合用戶賬戶創(chuàng)立的時(shí)間以及用戶名等信息創(chuàng)建，因而是唯一的，并且不會(huì)被重復(fù)使用。即使將某個(gè)用戶賬戶刪除之后，再添加一個(gè)相同名稱的賬戶，它們的SID也不會(huì)相同，這個(gè)新建的賬戶也無(wú)法擁有原先賬戶的權(quán)限。

比如新建一個(gè)名為bob，密碼為123的用戶，以bob的身份登錄系統(tǒng)，建一個(gè)文本文件test.txt并利用EFS方式將之加密。將系統(tǒng)用戶切換到administrator，將bob用戶刪除，然后再新建一個(gè)bob用戶，密碼仍為123。用新建的bob用戶登錄系統(tǒng)，則無(wú)法打開(kāi)加密文件test.txt，因?yàn)橛脩舻腟ID已經(jīng)變換了。

可以通過(guò)執(zhí)行“whoami /all”命令查看系統(tǒng)當(dāng)前用戶的SID：

一個(gè)完整的SID由多個(gè)不同部分的信息組成，其中最后一部分稱為相對(duì)標(biāo)識(shí)符RID。RID是500的SID是系統(tǒng)內(nèi)置Administrator賬戶，即使重命名，其RID仍保持為500不變，許多黑客正是通過(guò)RID找到真正的系統(tǒng)內(nèi)置Administrator賬戶。RID為501的SID是Guest賬戶，后來(lái)新建的用戶賬戶的RID都是從1000開(kāi)始，如RID為1015的SID就是系統(tǒng)中創(chuàng)建的第15個(gè)用戶賬戶。

3. 建立完全隱藏賬戶

下面我們通過(guò)偽造用戶SID來(lái)創(chuàng)建一個(gè)完全隱藏的用戶賬戶，偽造SID需要通過(guò)修改注冊(cè)表實(shí)現(xiàn)。

首先建立一個(gè)簡(jiǎn)單的隱藏賬戶“super$”，然后展開(kāi)注冊(cè)表[HKEY_LOCAL_MACHINE\SAM\SAM]，默認(rèn)情況下這個(gè)項(xiàng)里沒(méi)有任何內(nèi)容，這是因?yàn)橛脩魧?duì)它沒(méi)有權(quán)限。在這個(gè)項(xiàng)的右鍵菜單里，為administrator用戶賦予完全控制權(quán)限。

然后按F5鍵刷新，會(huì)看到里面多出2個(gè)子項(xiàng)。

在[SAM\Domains\Account\Users\Names]項(xiàng)里顯示了系統(tǒng)當(dāng)前存在的所有賬戶，選中super$，在其右側(cè)有一個(gè)名為“默認(rèn)”，類型為“0x3eb”的鍵值。其中的“3eb”就是super$用戶SID的結(jié)尾，即RID（這里使用十六進(jìn)制表示，將3eb轉(zhuǎn)換成十進(jìn)制就是1003）。

在[SAM\Domains\Account\Users]里有一個(gè)以“3EB”結(jié)尾的子項(xiàng)，這兩個(gè)項(xiàng)里都是存放了用戶super$的信息。

在這兩個(gè)項(xiàng)上單擊右鍵，執(zhí)行“導(dǎo)出”命令，將這兩個(gè)項(xiàng)的值分別導(dǎo)出成擴(kuò)展名為.reg的注冊(cè)表文件。

然后將super$用戶刪除，再次刷新注冊(cè)表，此時(shí)上述兩個(gè)項(xiàng)都沒(méi)了。

下面再將剛才導(dǎo)出的兩個(gè)注冊(cè)表文件重新導(dǎo)入，此時(shí)在注冊(cè)表里就有了super$賬戶的信息，但無(wú)論在命令行還是圖形界面都無(wú)法看到這個(gè)賬戶，賬戶就被徹底隱藏了。

使用這個(gè)隱藏賬戶可以登錄系統(tǒng)，但缺點(diǎn)是仍然會(huì)產(chǎn)生用戶配置文件，下面再對(duì)這個(gè)賬戶做進(jìn)一步處理，以使之完全隱藏。

還是展開(kāi)到上面的注冊(cè)表項(xiàng)中，找到administrator用戶的RID值“1f4”，展開(kāi)對(duì)應(yīng)的“000001F4”項(xiàng)，其右側(cè)有一個(gè)名為f的鍵值，這個(gè)鍵值中就存放了用戶的SID。下面將這個(gè)鍵值的數(shù)據(jù)全部復(fù)制，并粘貼到“000003EB”項(xiàng)的f鍵值中，也就是將administrator用戶的SID復(fù)制給了super$，這樣在操作系統(tǒng)內(nèi)部，實(shí)際上就把super$當(dāng)做是administrator，super$成了administrator的影子賬戶，與其使用同一個(gè)用戶配置文件，super$也就被徹底隱藏了。

建立隱藏賬戶是黑客比較喜歡的一種留后門(mén)方式，而且非常隱蔽，像上面的隱藏賬戶只能通過(guò)注冊(cè)表來(lái)發(fā)現(xiàn)。

本文出自 “一壺濁酒” 博客，轉(zhuǎn)載請(qǐng)與作者聯(lián)系！