建立、检查、删除克隆账号.doc

建立、检查、删除克隆账号 一、克隆账号的原理与危害 1.克隆账号的原理 在注册表中有两处保存了账号的SID相对标志符，一处是注册表HKEY_LOCAL_MACHINE\SAM\AMDomains\ AccountUsers 下的子键名，另一处是该子键的子项F的值。但微软犯了个不同步它们的错误，登录时用的是后者，查询时用前者。当用Administrator的F项覆盖其 他账号的F项后，就造成了账号是管理员权限，但查询还是原来状态的情况，这就是所谓的克隆账号。 安全小知识：SID也就是安全标识符（Security Identifiers），是标识用户、组和计算机账户的唯一的号码。在第一次创建该账户时，将给网络上的每一个账户发布一个唯一的 SID。Windows 2000 中的内部进程将引用账户的 SID 而不是账户的用户或组名。如果创建账户，再删除账户，然后使用相同的用户名创建另一个账户，则新账户将不具有授权给前一个账户的权力或权限，原因是该账户 具有不同的 SID 号。 2. 克隆账号的危害 当系统用户一旦被克隆，配合终端服务，就等于向攻击者开启了一扇隐蔽的后门，让攻击者可以随时进入你的系统，这一扇门你看不到,因为它依靠的是微软的终端服务，并没有释放病毒文件，所以也不会被杀毒软件所查杀。 二、克隆用户的常用方法. 手工克隆方法 手工克隆账户的方法是：首先运行regedt32.exe，展开注册表到HKEY_LOCAL_MACHINE\SAM\SAM，然后点菜单栏 的“编辑”→“权限”（Windows 2000是菜单栏的“安全”→“权限”），会弹出“SAM的权限”窗口，点击Administrators，在该窗口中勾选允许完全控制， (Windows 2000是在该窗口中勾选“允许将来自父系的可继承权限传播给该对象”)然后点击“确定”按钮。 再找到HKEY_LOCAL_MACHINE\SAM\SAM\DomainsAccount\Users\00001F4，双击右边窗口中的“F”项。 选取全部内容，然后点击鼠标右键选“复制”，再打开HKEY_LOCAL_MACHINE\SAM\SAM\DomainsAccount\Users \00003EB下的F项，将刚才复制的内容粘贴进去，这样我们就将IUSR_XODU5PTT910NHOO账号克隆成了管理员，再将刚才SAM目录的权限给删掉，以免被人发现。 2. 使用mt克隆 mt.exe是一款非常强大的网络工具，它主要以命令行方式执行，可以开启系统服务，检查用户以及直接显示用户登陆密码等。它就象一把双刃剑，入侵者和系统管理员都要使用它，但由于常被入侵者使用，所以被很多杀毒软件列为病毒。 克隆用户的用法：mt -clone 如：mt -clone adminstrator IUSR_XODU5PTT910NHOO 就是把管理员账号administrator克隆为IUSR_XODU5PTT910NHOO账号。最后执行“net user IUSR_XODU5PTT910NHOO n3tl04d”命令，修改IUSR_XODU5PTT910NHOO的密码为n3tl04d。 3. 使用AIO克隆 AIO(All In One)是WinEggDrop写的一个把很多小工具功能集成一体的一个“工具”，其中有克隆用户、修改服务的启动类型、删除系统账户、检查系统隐藏服务、端口扫描和端口转发等等。 使用AIO克隆很简单: Aio.exe -Clone 正常账号 要被克隆账户 密码 如: Aio.exe -Clone Administrator IUSR_XODU5PTT910NHOO n3tl04d 这样就可以用IUSR_XODU5PTT910NHOO\n3tl04d作为管理员登录了。 4. 使用CA克隆 ca.exe 小榕编写的一个远程克隆账号工具，当然本地克隆也没问题。 用法如下：ca \\ip地址 管理员用户名 管理员密码 克隆的用户 密码 如：ca \\127.0.0.1 administrator 123456 IUSR_XODU5PTT910NHOO 123456 5. 建立隐藏账号 需要使用的工具叫adhider，是锦毛鼠写的一个专门建立隐藏用户的工具。此工具有个缺点，那就是当服务器重启后，用户就隐藏不了，会在用户管理中显示出来。 用法如下：adhider 用户名 密码 如：adhider n3tl04d$\123456 创建成功后就可以使用n3tl04d$\123456登录，得到和管理员权限。 6. 使用clone克隆 clone是28度的冰写的一个克隆工具，只支持windows2003和windowsxp,不支持windows2000。此工具有个缺点，那就是当服务器重启后，用户就隐藏不了，会在用户