三 主机隐蔽账户的建立与查看.docVIP

实验 1、实目的 2、实 当黑客入侵一台主机后，会想方设法保护自己的“劳动成果”，因此会在目标主机上留下种种后门对其进行长久的控制，其中使用最多的就是账户隐藏技术。在目标机上建立一个隐藏的账户，以备需要的时候使用。账户隐藏技术可谓是比较隐蔽的后门，一般用户很难发现系统中隐藏账户的存在，因此危害性很大，本实验对隐藏账户这种黑客常用的技术进行验证和防护练习。 3、实内容 新账户的建立与查看； 新建账户的提权操作； 新建账户的隐藏； 隐蔽账户的查看与清除； 系统账户安全审计； 4、实步骤 步骤都是基于 Windows系统的应用。 ----?运行，输入cmd 确定。 在命令提示符输入：net user test$ 1234 /add 通过执行上面的命令操作，已经创建好一个帐号是test$，密码是1234的账户。 查看新建的账户：在命令提示符输入：net user 发现刚建立好的test$的账户，没有显示在列表中。 右键单击“我的电脑”，选择“管理”，选择“本地用户和组”，查看“用户”选项卡，在右侧的显示栏中，列出了刚刚添加的“test$”账户。 新建账户的提权操作 在命令提示符后输入“net localgroup administrators test$ /add”命令，将“test$”账户加入“管理员组” 在账户管理中，右击”test$”选项，选择“属性”，查看“隶属于”选项卡，发现“test$”已加入到管理员“Administrators”组中。 新建账户的隐藏 通过操纵注册表可以帮助“test$”账户进行隐藏 首先，点击“开始”——“运行”，输入“regedit”，进入注册表 在注册表左侧栏中，依次展开“HKEY_LOCAL_MACHINE\SAM\ SAM”处进行查看，但是会发现无法展开该处所在的键值。 这是因为系统默认对系统管理员给予“写入D AC”和“读取控制”权限，没有给予修改权限，因此没有办法对“SAM”项下的键值进行查看和修改。为了进行下一步操作首先重新进行授权。右击“SAM”，选择“权限”， 　在弹出的“SAM的权限”编辑窗口中选中“administrators”账户，在下方的权限设置处勾选“完全控制”，完成后点击“确定”即可。然后，重新关闭并进入“注册表编辑器”，可以发现“HKEY_LOCAL_MACHINE\SAM\SAM”下面的键值都可以展开了。 　如下图所示，从展开的键值中，可以查找到刚刚添加的“test$”账户的键值信息。 右键单击“test$”账户键值，选择“导出”，将“test$”账户键值导出到桌面上，保存为“test$.reg”文件 点击新建账户“test$”，在右边栏显示的键值中的“类型”一项显示为0x3eb，向上来到“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\”处，可以找到“000003EB”这一项，这两者是相互对应的，新建账户“test$”的所有信息都在“000003EB”这一项中。同样的，可以找到“Administrator”账户所对应的项为“000001F4”。 同时将“000003EB”和“000001F4”项的F键值分别导出为new user.reg，admin.reg。用“记事本”打开admin.reg，将其中“F”值后面的内容复制下来，替换user.reg中的“F”值内容，完成后保存。 进入“命令提示符”，输入“net user test$ /del”将建立的新账户“test$”删除。 最后，双击桌面上的test$.reg和new user.reg两个文件，将其重新导入注册表，至此，隐藏账户建立完成。 但是，使用“计算机账户管理”和“net user”查看系统用户，并没有发现“test$”账户的存在。 注销当前用户，用刚刚建立的隐蔽账户尝试登录。 隐蔽账户的查看与清除； 查看“$”符号型隐藏账户——可以直接打开“计算机管理”进行查看，添加“$”符号的账户是无法在这里隐藏的。 查看注册表中的隐藏账户——来到“HKEY_LOCAL_MACHINE\SAM\SAM\ Domains\Account\Users\Names”，把这里存在的账户和“计算机管理”中存在的账户进行比较，多出来的账户就是隐藏账户了。想要删除它也很简单，直接删除以隐藏账户命名的项即可。 系统账户安全审计； 借助“组策略”的帮助，让黑客无法通过隐藏账户登陆。点击“开始”→“运行”，输入“gpedit.msc”运行“组策略”，依次展开“计算机配置”→“Windows 设置”→“安全设置”→“本地策略”→“审核策略”，双击右边的“审核策略更改”，在弹出的设置窗口中勾选“成功”，然后点“确定”。对“审核登陆事件”和“审核过程追踪”进行相同的设置。 进行登陆审核后，