神秘的影子帐号揭秘

影子帐号： 见名思义，帐号具有隐蔽性，不容易被发现（只是在一定程度上）。即一般的菜鸟发现不了。 多余的话我在这里就不说了，进入正题： 首先，我们需要在命令提示符窗口即就是dos下创建一个用户。 需要以下命令： net user $a 123 /add(这里的$符号是唯一的，可以理解为隐藏的条件，密码为123) 命令执行成功后，可以关闭命令提示符窗口了。 回到桌面，右击我的电脑——管理——本地用户和组（双击）——用户（双击），你会发现我们创建的用户$a。（不要着急，这只是影子帐号的准备阶段） 接着，我们需要在运行窗口下打开注册表，在我以前的文章中曾有注册表的详细介绍介绍。 键入regedit,回车确定。进入注册表： 路径：HKEY_LOCAL_MACHINE\\SAM,双击SAM，你会发现大不开SAM。双击SAM时，仍然会发现打不开SAM。右键SAM——权限，Administrators的权限，在完全控制前打上钩，确定。此时我们可以关闭注册表窗口。重新打开并最终实现SAM的目录打开。 从完整的路径来看（在以上基础上） 路径：HKEY_LOCAL_MACHINE\\SAM\\SAM\\Domains\\Account\\Users\\Names \\$a 右键$a——导出，此时命名一个注册表文件.reg,保存。 接着，继续点$a,右边的类型会有一个象“0x3ef”类似的， 看清楚后，在HKEY_LOCAL_MACHINE\\SAM\\SAM\\Domains\\Account\\Users下000003EF的文件夹。此时右键导出，命名.reg 的文件，保存。 此时去本地用户和组中删掉$a用户。 之后找到刚刚保存的两个.reg的文件，逐个双击。 文件数据会自动注入到注册表中。 此时我们在到本地用户和组去看，并不会看到$a。 惊心时刻，到dos下，键入：net user命令，$a以存在计算机用户中。 影子帐户谜底揭穿。 在此情况下，我们可以给$a提权， net localgroup administrators $a /add 实现影子帐号的更大作用（注意当进入一个远程系统时，这种情况不可想，要提防这样的黑客）下面就是影子账户的检测与防范问题：一般情况下我们可以使用mcafee或服务器安全狗禁止用户账户的创建等。如果没有安装可以使用这个工具查找是不是有后门。