windows服务隐藏后门之克隆帐号

zoukankan html css js c++ java

windows服务隐藏后门之克隆帐号

windows服务隐藏后门之克隆帐号

1、CMD命令行下，建立了一个用户名为“test$”，密码为“abc123!”的简单隐藏账户,并且把该隐藏账户提升为了管理员权限。

PS:CMD命令行使用"net user",看不到"test$"这个账号，但在控制面板和本地用户和组是可以显示此用户的。

2、“开始”→“运行”，输入“regedt32.exe”后回车,需要到“HKEY_LOCAL_MACHINESAMSAM”，单机右建权限，把名叫：administrator的用户给予：完全控制以及读取的权限，在后面打勾就行，然后关闭注册表编辑器，再次打开即可。

3、来到注册表编辑器的“HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames”处，点击test$用户，得到在右边显示的键值中的“类型”一项显示为0x3ec，找到箭头所指目录。

4、扎到administrator所对应的的项为“000001F4”，将“000001F4”的F值复制到“000003EC”的F值中，保存。

5、分别test$和“000003EC导出到桌面，删除test$用户 net user test$ /del

6、将刚才导出的两个后缀为.reg的注册表项导入注册表中。这样所谓的隐藏账户就创建好了。

PS：不管你是在命令提示符下输入net user 或者在系统用户管理界面都是看不到test$r这个账户的，只有在注册表中才能看得到。

检测和清理方法：

使用D盾_web查杀工具，使用克隆账号检测功能进行查看，可检测出隐藏、克隆账号。

查看全文

相关阅读:
移动端开发必须知道的小技巧
 前端程序员被聘用的13个开发技能
 AIOps产品与架构浅析【华为云技术分享】
su和sudo的区别与使用【华为云技术分享】
为什么我不喜欢数据库三范式【华为云技术分享】
python推导式pythonic必备【华为云技术分享】
理解递归与动态规划【华为云技术分享】
Spring Boot 最流行的 16 条实践解读！【华为云技术分享】
机器学习笔记（六） ---- 支持向量机（SVM）【华为云技术分享】
独立物理机和虚拟机比较有什么优势？【华为云技术分享】

原文地址：https://www.cnblogs.com/-qing-/p/10513033.html

windows服务隐藏后门之克隆帐号

windows服务隐藏后门之克隆帐号

1、CMD命令行下，建立了一个用户名为“test$”，密码为“abc123!”的简单隐藏账户,并且把该隐藏账户提升为了管理员权限。

PS:CMD命令行使用"net user",看不到"test$"这个账号，但在控制面板和本地用户和组是可以显示此用户的。

2、“开始”→“运行”，输入“regedt32.exe”后回车,需要到“HKEY_LOCAL_MACHINESAMSAM”，单机右建权限，把名叫：administrator的用户给予：完全控制以及读取的权限，在后面打勾就行，然后关闭注册表编辑器，再次打开即可。

3、来到注册表编辑器的“HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames”处，点击test$用户，得到在右边显示的键值中的“类型”一项显示为0x3ec，找到箭头所指目录。

4、扎到administrator所对应的的项为“000001F4”，将“000001F4”的F值复制到“000003EC”的F值中，保存。

5、分别test$和“000003EC导出到桌面，删除test$用户 net user test$ /del

6、将刚才导出的两个后缀为.reg的注册表项导入注册表中。这样所谓的隐藏账户就创建好了。

PS：不管你是在命令提示符下输入net user 或者在系统用户管理界面都是看不到test$r这个账户的，只有在注册表中才能看得到。

检测和清理方法：

使用D盾_web查杀工具，使用克隆账号检测功能进行查看，可检测出隐藏、克隆账号。