駭客入侵一臺 WordPress 主機後,會想方設法保護自己的 “勞動成果”,因此會在肉雞上留下種種後門來長時間得控制肉雞,其中使用最多的就是賬戶隱藏技術。
在隱藏系統賬戶之前,我們有必要先來了解一下如何才能檢視系統中已經存在的賬戶。在系統中可以進入 “命令提示符”,控制面板的 “計算機管理”,“登入檔” 中對存在的賬戶進行檢視,而管理員一般只在 “命令提示符” 和 “計算機管理” 中檢查是否有異常,因此如何讓系統賬戶在這兩者中隱藏將是本文的重點 。
一、 “命令提示符” 中的陰謀
其實,製作系統隱藏賬戶並不是十分高深的技術,利用我們平時經常用到的 “命令提示符” 就可以製作一個簡單的隱藏賬戶。
點選 “開始”→“執行”,輸入 “CMD” 執行 “命令提示符”,輸入 “net user kao$ 123456 /add”, 回車,成功後會顯示 “命令成功完成” 。接著輸入 “net localgroup administrators kao$ /add” 回車, 這樣我們就利用 “命令提示符” 成功得建立了一個使用者名稱為 “kao$”,密碼為 “123456” 的簡單 “隱藏賬戶 ”, 並且把該隱藏賬戶提升為了管理員許可權。
. 建立一個簡單的隱藏帳戶
我們來看看隱藏賬戶的建立是否成功。在 “命令提示符” 中輸入檢視系統賬戶的命令 “net user”,回 車後會顯示當前系統中存在的賬戶。從返回的結果中我們可以看到剛才我們建立的 “kao$” 這個賬戶並不存 在。接著讓我們進入控制面板的 “管理工具”,開啟其中的 “計算機”,檢視其中的 “本地使用者和組”,在 “使用者” 一項中,我們建立的隱藏賬戶 “kao$” 暴露無疑。
可以總結得出的結論是:這種方法只能將賬戶在 “命令提示符” 中進行隱藏,而對於 “計算機管理” 則 無能為力。因此這種隱藏賬戶的方法並不是很實用,只對那些粗心的管理員有效,是一種入門級的系統賬戶 隱藏技術。
二、在 “登入檔” 中玩轉賬戶隱藏
從上文中我們可以看到用命令提示符隱藏賬戶的方法缺點很明顯,很容易暴露自己。那麼有沒有可以在 “命令提示符” 和 “計算機管理” 中同時隱藏賬戶的技術呢? 答案是肯定的,而這一切只需要我們在 “註冊 表” 中進行一番小小的設定,就可以讓系統賬戶在兩者中完全蒸發。
1 、峰迴路轉,給管理員登入檔操作許可權
在登入檔中對系統賬戶的鍵值進行操作,需要到 “HKEY_LOCAL_MACHINESAMSAM” 處進行修改,但是當我 們來到該處時,會發現無法展開該處所在的鍵值。這是因為系統預設對系統管理員給予 “寫入 D AC” 和 “讀 取控制” 許可權,沒有給予修改許可權,因此我們沒有辦法對 “SAM” 項下的鍵值進行檢視和修改。不過我們可以藉助系統中另一個 “登入檔編輯器” 給管理員賦予修改許可權。
點選 “開始”→“執行”,輸入 “regedt32.exe” 後回車,隨後會彈出另一個 “登入檔編輯器”,和我 們平時使用的 “登入檔編輯器” 不同的是它可以修改系統賬戶操作登入檔時的許可權 (為便於理解,以下簡稱 regedt32.exe) 。在 regedt32.exe 中來到 “HKEY_LOCAL_MACHINESAMSAM” 處,點選 “安全” 選單→“許可權” ,在彈出的 “SAM 的許可權” 編輯視窗中選中 “administrators” 賬戶,在下方的許可權設定處勾選 “完全控制 ”,完成後點選 “確定” 即可。然後我們切換回 “登入檔編輯器”,可以發現 “HKEY_LOCAL_MACHINESAMSAM ” 下面的鍵值都可以展開了。
提示:上文中提到的方法只適用於 Windows NT/2000 系統。在 Windows XP 系統中,對於許可權的操作可以直接在登入檔中進行,方法為選中需要設定許可權的項,點選右鍵,選擇 “許可權” 即可。
2 、偷樑換柱,將隱藏賬戶替換為管理員
成功得到登入檔操作許可權後,我們就可以正式開始隱藏賬戶的製作了。來到登入檔編輯器的 “HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames” 處,當前系統中所有存在的賬戶都會在這裡顯示 ,當然包括我們的隱藏賬戶。點選我們的隱藏賬戶 “kao$”,在右邊顯示的鍵值中的 “型別” 一項顯示為 0x3e9,向上來到 “HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers” 處,可以找到 “000003E9” 這一項, 這兩者是相互對應的,隱藏賬戶 “kao$” 的所有資訊都在 “000003E9” 這一項中。同樣的,我們可以找到 “ administrator” 賬戶所對應的項為 “000001F4” 。
將 “kao$” 的鍵值匯出為 kao$.reg,同時將 “000003E9” 和 “000001F4” 項的 F 鍵值分別匯出為 user.reg,admin.reg 。用 “記事本” 開啟 admin.reg,將其中 “F” 值後面的內容複製下來,替換 user.reg 中的 “F” 值內容,完成後儲存。接下來進入 “命令提示符”,輸入 “net user kao$ /del” 將我們建立的 隱藏賬戶刪除。最後,將 kao$.reg 和 user.reg 匯入登入檔,至此,隱藏賬戶製作完成。
3 、過河拆橋,切斷刪除隱藏賬戶的途徑
雖然我們的隱藏賬戶已經在 “命令提示符” 和 “計算機管理” 中隱藏了,但是有經驗的系統管理員仍可 能透過登入檔編輯器刪除我們的隱藏賬戶,那麼如何才能讓我們的隱藏賬戶堅如磐石呢?
開啟 “regedt32.exe”,來到 “HKEY_LOCAL_MACHINESAMSAM” 處,設定 “SAM” 項的許可權,將 “administrators” 所擁有的許可權全部取消即可。當真正的管理員想對 “HKEY_LOCAL_MACHINESAMSAM” 下面 的項進行操作的時候將會發生錯誤,而且無法透過 “regedt32.exe” 再次賦予許可權。這樣沒有經驗的管理員 即使發現了系統中的隱藏賬戶,也是無可奈何的。
三. 專用工具,使賬戶隱藏一步到位
雖然按照上面的方法可以很好得隱藏賬戶,但是操作顯得比較麻煩,並不適合新手,而且對登入檔進行 操作危險性太高,很容易造成系統崩潰。因此我們可以藉助專門的賬戶隱藏工具來進行隱藏工作,使隱藏賬 戶不再困難,只需要一個命令就可以搞定。
我們需要利用的這款工具名叫 “HideAdmin”,下載下來後解壓到 c 盤。然後執行 “命令提示符”,輸入 “HideAdmin kao$ 123456” 即可,如果顯示 “Create a hiden Administrator kao$ Successed!”,則表 示我們已經成功建立一個賬戶名為 kao$,密碼為 123456 的隱藏賬戶。利用這款工具建立的賬戶隱藏效果和上 文中修改登入檔的效果是一樣的。
四、把 “隱藏賬戶” 請出系統
隱藏賬戶的危害可謂十分巨大。因此我們有必要在瞭解了賬戶隱藏技術後,再對相應的防範技術作一個 瞭解,把隱藏賬戶徹底請出系統
1 、新增 “$” 符號型隱藏賬戶
對於這類隱藏賬戶的檢測比較簡單。一般駭客在利用這種方法建立完隱藏賬戶後,會把隱藏賬戶提升為 管理員許可權。那麼我們只需要在 “命令提示符” 中輸入 “net localgroup administrators” 就可以讓所有 的隱藏賬戶現形。如果嫌麻煩,可以直接開啟 “計算機管理” 進行檢視,新增 “$” 符號的賬戶是無法在這 裡隱藏的。
2 、修改登入檔型隱藏賬戶
由於使用這種方法隱藏的賬戶是不會在 “命令提示符” 和 “計算機管理” 中看到的,因此可以到登入檔 中刪除隱藏賬戶。來到 “HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames”,把這裡存在的賬戶和 “ 計算機管理” 中存在的賬戶進行比較,多出來的賬戶就是隱藏賬戶了。想要刪除它也很簡單,直接刪除以隱 藏賬戶命名的項即可。
3 、無法看到名稱的隱藏賬戶
如果駭客製作了一個修改登入檔型隱藏賬戶,在此基礎上刪除了管理員對登入檔的操作許可權。那麼管理 員是無法透過登入檔刪除隱藏賬戶的,甚至無法知道駭客建立的隱藏賬戶名稱。不過世事沒有絕對,我們可 以藉助 “組策略” 的幫助,讓駭客無法透過隱藏賬戶登陸。點選 “開始”→“執行”,輸入 “gpedit.msc” 執行 “組策略”,依次展開 “計算機配置”→“Windows 設定”→“安全設定”→“本地策略”→“稽核策 略”,雙擊右邊的 “稽核策略更改”,在彈出的設定視窗中勾選 “成功”,然後 “確定” 。對 “稽核登陸事 件” 和 “稽核過程追蹤” 進行相同的設定。
開啟登陸事件稽核功能
進行登陸稽核後,可以對任何賬戶的登陸操作進行記錄,包括隱藏賬戶,這樣我們就可以透過 “計算機 管理” 中的 “事件檢視器” 準確得知隱藏賬戶的名稱,甚至駭客登陸的時間。即使駭客將所有的登陸日誌刪 除,系統還會記錄是哪個賬戶刪除了系統日誌,這樣駭客的隱藏賬戶就暴露無疑了。透過事件檢視器找到隱 藏帳戶
得知隱藏賬戶的名稱後就好辦了,但是我們仍然不能刪除這個隱藏賬戶,因為我們沒有許可權。但是我們 可以在 “命令提示符” 中輸入 “net user 隱藏賬戶名稱 654321” 更改這個隱藏賬戶的密碼。這樣這個隱藏賬戶就會失效,駭客無法再用這個隱藏賬戶登陸。
