防止黑(hēi)客侵入你(nǐ)正在使用的Win系統

　　當黑(hēi)客入侵一台主機(jī)後，會想方設法保護自(zì)己的“勞動成果”，因此會在肉雞上留下種種後門(mén)來(lái)長時間得(de)控制肉雞,其中使用最多的就(jiù)是賬戶隐藏技術(shù)。在肉雞上建立一個隐藏的賬戶，以備需要的時候使用。賬戶隐藏技術(shù)可(kě)謂是最隐蔽的後門(mén)，一般用戶很難發現系統中隐藏賬戶的存在，因此危害性很大(dà)，本文就(jiù)對隐藏賬戶這種黑(hēi)客常用的技術(shù)進行揭密。

　　在隐藏系統賬戶之前，我們有必要先來(lái)了解一下如(rú)何才能查看(kàn)系統中已經存在的賬戶。在系統中可(kě)以進入“命令提示符”，控制面闆的“計(jì)算機(jī)管理(lǐ)”，“注冊表”中對存在的賬戶進行查看(kàn)，而管理(lǐ)員(yuán)一般隻在“命令提示符”和“計(jì)算機(jī)管理(lǐ)”中檢查是否有異常，因此如(rú)何讓系統賬戶在這兩者中隐藏将是本文的重點。

　　一、“命令提示符”中的陰謀

　　其實，制作(zuò)系統隐藏賬戶并不是十分(fēn)高深的技術(shù)，利用我們平時經常用到的“命令提示符”就(jiù)可(kě)以制作(zuò)一個簡單的隐藏賬戶。

　　點擊“開始”→“運行”，輸入“CMD”運行“命令提示符”，輸入“net user piao$ 123456 /add”，回車，成功後會顯示“命令成功完成”。接着輸入“net localgroup administrators piao$ /add”回車，這樣我們就(jiù)利用“命令提示符”成功得(de)建立了一個用戶名爲“piao$”，密碼爲“123456”的簡單“隐藏賬戶”,并且把該隐藏賬戶提升爲了管理(lǐ)員(yuán)權限。

　　我們來(lái)看(kàn)看(kàn)隐藏賬戶的建立是否成功。在“命令提示符”中輸入查看(kàn)系統賬戶的命令“net user”，回車後會顯示當前系統中存在的賬戶。從(cóng)返回的結果中我們可(kě)以看(kàn)到剛才我們建立的“piao$”這個賬戶并不存在。接着讓我們進入控制面闆的“管理(lǐ)工(gōng)具”，打開其中的“計(jì)算機(jī)”，查看(kàn)其中的“本地用戶和組”，在“用戶”一項中，我們建立的隐藏賬戶“piao$”暴露無疑。

　　可(kě)以總結得(de)出的結論是：這種方法隻能将賬戶在“命令提示符”中進行隐藏，而對于“計(jì)算機(jī)管理(lǐ)”則無能爲力。因此這種隐藏賬戶的方法并不是很實用，隻對那些粗心的管理(lǐ)員(yuán)有效，是一種入門(mén)級的系統賬戶隐藏技術(shù)。

　　二、在“注冊表”中玩轉賬戶隐藏

　　從(cóng)上文中我們可(kě)以看(kàn)到用命令提示符隐藏賬戶的方法缺點很明顯，很容易暴露自(zì)己。那麽有沒有可(kě)以在“命令提示符”和“計(jì)算機(jī)管理(lǐ)”中同時隐藏賬戶的技術(shù)呢(ne)？答案是肯定的，而這一切隻需要我們在“注冊表”中進行一番小小的設置，就(jiù)可(kě)以讓系統賬戶在兩者中完全蒸發。

　　1、峰回路(lù)轉，給管理(lǐ)員(yuán)注冊表操作(zuò)權限

　　在注冊表中對系統賬戶的鍵值進行操作(zuò)，需要到“HKEY_LOCAL_MACHINESAMSAM”處進行修改，但(dàn)是當我們來(lái)到該處時，會發現無法展開該處所在的鍵值。這是因爲系統默認對系統管理(lǐ)員(yuán)給予“寫入D AC”和“讀(dú)取控制”權限，沒有給予修改權限，因此我們沒有辦法對“SAM”項下的鍵值進行查看(kàn)和修改。不過我們可(kě)以借助系統中另一個“注冊表編輯器”給管理(lǐ)員(yuán)賦予修改權限。

　　點擊“開始”→“運行”，輸入“regedt32.exe”後回車，随後會彈出另一個“注冊表編輯器”，和我們平時使用的“注冊表編輯器”不同的是它可(kě)以修改系統賬戶操作(zuò)注冊表時的權限（爲便于理(lǐ)解，以下簡稱regedt32.exe）。在regedt32.exe中來(lái)到“HKEY_LOCAL_MACHINESAMSAM”處，點擊“安全”菜單→“權限”，在彈出的“SAM的權限”編輯窗(chuāng)口中選中“administrators”賬戶，在下方的權限設置處勾選“完全控制”，完成後點擊“确定”即可(kě)。然後我們切換回“注冊表編輯器”，可(kě)以發現“HKEY_LOCAL_MACHINESAMSAM”下面的鍵值都(dōu)可(kě)以展開了。

　　提示：上文中提到的方法隻适用于Windows NT/2000系統。在Windows XP系統中，對于權限的操作(zuò)可(kě)以直接在注冊表中進行，方法爲選中需要設置權限的項，點擊右鍵，選擇“權限”即可(kě)。

　　2、偷梁換柱，将隐藏賬戶替換爲管理(lǐ)員(yuán)

　　成功得(de)到注冊表操作(zuò)權限後，我們就(jiù)可(kě)以正式開始隐藏賬戶的制作(zuò)了。來(lái)到注冊表編輯器的“HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames”處，當前系統中所有存在的賬戶都(dōu)會在這裡(lǐ)顯示，當然包括我們的隐藏賬戶。點擊我們的隐藏賬戶“piao$”，在右邊顯示的鍵值中的“類型”一項顯示爲0x3e9，向上來(lái)到“HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers”處，可(kě)以找到“000003E9”這一項，這兩者是相(xiàng)互對應的，隐藏賬戶“piao$”的所有信息都(dōu)在“000003E9”這一項中。同樣的，我們可(kě)以找到“administrator”賬戶所對應的項爲“000001F4”。

　　将“piao$”的鍵值導出爲piao$.reg，同時将“000003E9”和“000001F4”項的F鍵值分(fēn)别導出爲user.reg，admin.reg。用“記事(shì)本”打開admin.reg，将其中“F”值後面的内容複制下來(lái)，替換user.reg中的“F”值内容，完成後保存。接下來(lái)進入“命令提示符”，輸入“net user piao$ /del”将我們建立的隐藏賬戶删除。最後，将piao$.reg和user.reg導入注冊表，至此，隐藏賬戶制作(zuò)完成。

　　3、過河拆橋，切斷删除隐藏賬戶的途徑

　　雖然我們的隐藏賬戶已經在“命令提示符”和“計(jì)算機(jī)管理(lǐ)”中隐藏了，但(dàn)是有經驗的系統管理(lǐ)員(yuán)仍可(kě)能通過注冊表編輯器删除我們的隐藏賬戶，那麽如(rú)何才能讓我們的隐藏賬戶堅如(rú)磐石呢(ne)？

　　打開“regedt32.exe”，來(lái)到“HKEY_LOCAL_MACHINESAMSAM”處，設置“SAM”項的權限，将“administrators”所擁有的權限全部取消即可(kě)。當真正的管理(lǐ)員(yuán)想對“HKEY_LOCAL_MACHINESAMSAM”下面的項進行操作(zuò)的時候将會發生(shēng)錯誤，而且無法通過“regedt32.exe”再次賦予權限。這樣沒有經驗的管理(lǐ)員(yuán)即使發現了系統中的隐藏賬戶，也是無可(kě)奈何的。