此文章僅供了解隱藏帳號的建立方法,以便知道如何檢查及防範。
一、建立隱藏帳號
1. 在命令提示字元下,輸入下列指令。(帳號名稱與密碼自訂,帳號名稱後需加上"$"符號)
> net user <username>$ <password> /add
2. 使用「net user」指令,無法顯示剛才建立的「admin$」帳號。
3. 在「本機使用者和群組」中可以看到「admin$」帳號。
4. 執行「regedit」,展開「電腦HKEY_LOCAL_MACHINE\SAM\SAM」,預設是無法看到 SAM 子項目,在 SAM 資料夾上,按滑鼠右鍵,選擇「使用權限」。
5. 選擇「Administrators」,勾選允許「完全控制」及「讀取」。
6. 展開「SAM\Domains\Users\Names」,在裡面看到「admin$」資料夾,「(預設值)」的「0x3f8」對應「Users\00003F8」資料夾。而「Administrator」對應「Users\00001F4」資料夾。
7. 選擇「000001F4」Administrator 資料夾,雙擊「F」參數,將裡面的值複製到「000003F8」裡的「F」參數。
8. 將「000003F8」及「admin$」的機碼匯出。
9. 分別儲存成兩個檔案。
10. 在命令提示字元中,刪除「admin$」帳號。
> net user <username>$ /del
11. 將剛剛匯出的登錄檔重新雙擊匯入。
12. 回到「本機使用者和群組」,已看不見「admin$」帳號。
13. 使用「net user」指令也看不到該帳號。
14. 但使用「net user admin$」可顯示該帳號資訊。
15. 使用「net user admin$ /del」也無法刪除該帳號。
二、缺點
- 如果修改 admin$ 的密碼,在「本機使用者和群組」就會顯示。
- 系統重新啟動,也會在「本機使用者和群組」中顯示。
三、如何發現隱藏帳號。
- 方法一:檢查登錄檔「電腦\HKEY_LOCAL_MACHINE\SAM\SAM」內是否有可疑帳號。
- 方法二:執行 gpedit.msc「本機群組原則編輯器」,將「稽核帳戶登入事件」、「稽核登入事件」,勾選「成功」及「失敗」。若有異常登入,可從事件檢視器裡的「安全性」發現登入訊息。
四、刪除隱藏帳號
- 方法一:在登錄檔「電腦\HKEY_LOCAL_MACHINE\SAM\SAM」內直接刪除該帳號,但開啟「本機使用者和群組」時會出現錯誤訊息,可是不影響操作。
- 方法二:因為無法刪除,故只能停用該帳號或變更密碼,讓他無法登入。
資料參考來源:
沒有留言:
張貼留言