20CN网络安全小组论坛 - 菜鸟乐园 - 如何建立隐身用户？？

论坛: 菜鸟乐园标题: 如何建立隐身用户？？

复制本贴地址

作者: etony [etony]

论坛用户

请教如何在2000下建立隐身用户？？？
即此用户不在用户列表中出现！！

地主发表时间: 11/18 22:29

回复: xtay [xtay]

高就是高，我还没有想过呢

B1层发表时间: 11/18 22:49

回复: etony [etony]

论坛用户

呵呵，那么现在考虑一下？？？

B2层发表时间: 11/18 23:00

回复: ypy [ypy]

见习版主

记得《黑客防线》有过一片文章《空帐号是怎样练成的》
哪一期忘记了

B3层发表时间: 11/18 23:34

回复: xtay [xtay]

帮帮忙找一找。

B4层发表时间: 11/19 12:40

回复: imstone [imstone]

论坛用户

有意思,不过我没用过2000~~~,请大家指教

B5层发表时间: 11/19 17:52

回复: xtay [xtay]

有没有那位哓得呀

B6层发表时间: 12/05 18:41

回复: dsds [winmen]

论坛用户

是指空看起来没有名字的帐号？（看上去是一快空白）是的话我就知道

B7层发表时间: 12/06 00:41

回复: Badboy [ydf]

论坛用户

现在流行的隐藏帐户一般都是增加个全是空格的帐户或增加一个特别符号的帐号，例如"  $$"
这类的帐户.用空格做成的帐户在中文的系统中因为帐户会放在最后一行，所以很难留意，但
在英文系统中，那空格帐户会显示在第一行的(net user就可以看得很清楚),一个象"  $$"的
帐户用net user是无法看到的，那是应该微软系统对于$字符都会过滤，象C$,D$等都是一样的.
但是这些隐藏帐户如果打开电脑管理下的用户，就可以看得一清二楚。如果能在界面中一样
看不到，那就比较好点。现在介绍一个不太好的方法让管理员在界面中看不到任一个帐户.
流程如下:
   建立一个用户，例如abc,这个用户必定是有一个对应的ID的，例如ID是0x4eb,那么在
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users会有一个000004EB的键，你只要将
abc这个帐户对应的ID 0x4eb改为一个不存在的ID,例如改成0x6eb,那么这个abc的帐户就没
有了ID了，重启后，用net user还可以看到abc这个帐户，但如果用net user abc的话，就会
返回错误，而且用界面亦看不到任何帐户的.如果嫌abc这个帐户用net user还会显示的话，
可以将abc帐户改成"   $"这类用net user看不到的帐户,看在命令行就看不到这个帐户的了。
这不是一种好的方法，因为这样做法会令管理员在界面中看不到任何帐户.至于让管理员在
命令行中用net user不能看到任何帐户的方法很久前就有了，Slackbot以前亦写过一个程序
可以实现，自己找找.
以上方法只对不是域控的系统有效。很多克隆帐户后都不能用的原因是因为那台系统是域控
的，域控的系统克隆后的帐户都是无法用的.HKEY_LOCAL_MACHINE\SAM\SAM下的数据都是很
敏感的,如果弄不好的话，系统随时会无法加载。所以如果你想在自己系统测试的话，你最好
对那些数据有一定认识.其实如果对注册表那里的数据很熟悉的话，可以写程序操作sam下的
数据去随意读取,创建，删除，克隆任何帐户,而且如果不是通过api hooking去隐藏帐户的话，
只要能操作sam下的数据，就没可能可以隐藏到帐户。

B8层发表时间: 12/06 19:14