防止黑客侵入你正在使用的(de)Win系統

　　當黑客入侵一(yī)台主機後，會想方設法保護自(zì)己的(de)“勞動成果”，因此會在肉雞上留下種種後門來長(cháng)時間得控制肉雞,其中使用最多的(de)就是賬戶隐藏技術。在肉雞上建立一(yī)個隐藏的(de)賬戶，以備需要的(de)時候使用。賬戶隐藏技術可(kě)謂是最隐蔽的(de)後門，一(yī)般用戶很難發現系統中隐藏賬戶的(de)存在，因此危害性很大，本文就對隐藏賬戶這種黑客常用的(de)技術進行揭密。

　　在隐藏系統賬戶之前，我們有必要先來了解一(yī)下如(rú)何才能查看系統中已經存在的(de)賬戶。在系統中可(kě)以進入“命令提示符”，控制面闆的(de)“計算機管理(lǐ)”，“注冊表”中對存在的(de)賬戶進行查看，而管理(lǐ)員一(yī)般隻在“命令提示符”和(hé)“計算機管理(lǐ)”中檢查是否有異常，因此如(rú)何讓系統賬戶在這兩者中隐藏将是本文的(de)重點。

　　一(yī)、“命令提示符”中的(de)陰謀

　　其實，制作系統隐藏賬戶并不是十分高(gāo)深的(de)技術，利用我們平時經常用到的(de)“命令提示符”就可(kě)以制作一(yī)個簡單的(de)隐藏賬戶。

　　點擊“開始”→“運行”，輸入“CMD”運行“命令提示符”，輸入“net user piao$ 123456 /add”，回車，成功後會顯示“命令成功完成”。接着輸入“net localgroup administrators piao$ /add”回車，這樣我們就利用“命令提示符”成功得建立了一(yī)個用戶名為(wèi)“piao$”，密碼為(wèi)“123456”的(de)簡單“隐藏賬戶”,并且把該隐藏賬戶提升為(wèi)了管理(lǐ)員權限。

　　我們來看看隐藏賬戶的(de)建立是否成功。在“命令提示符”中輸入查看系統賬戶的(de)命令“net user”，回車後會顯示當前系統中存在的(de)賬戶。從返回的(de)結果中我們可(kě)以看到剛才我們建立的(de)“piao$”這個賬戶并不存在。接着讓我們進入控制面闆的(de)“管理(lǐ)工具”，打開其中的(de)“計算機”，查看其中的(de)“本地(dì)用戶和(hé)組”，在“用戶”一(yī)項中，我們建立的(de)隐藏賬戶“piao$”暴露無疑。

　　可(kě)以總結得出的(de)結論是：這種方法隻能将賬戶在“命令提示符”中進行隐藏，而對于“計算機管理(lǐ)”則無能為(wèi)力。因此這種隐藏賬戶的(de)方法并不是很實用，隻對那些粗心的(de)管理(lǐ)員有效，是一(yī)種入門級的(de)系統賬戶隐藏技術。

　　二、在“注冊表”中玩轉賬戶隐藏

　　從上文中我們可(kě)以看到用命令提示符隐藏賬戶的(de)方法缺點很明顯，很容易暴露自(zì)己。那麽有沒有可(kě)以在“命令提示符”和(hé)“計算機管理(lǐ)”中同時隐藏賬戶的(de)技術呢(ne)？答案是肯定的(de)，而這一(yī)切隻需要我們在“注冊表”中進行一(yī)番小小的(de)設置，就可(kě)以讓系統賬戶在兩者中完全蒸發。

　　1、峰回路轉，給管理(lǐ)員注冊表操作權限

　　在注冊表中對系統賬戶的(de)鍵值進行操作，需要到“HKEY_LOCAL_MACHINESAMSAM”處進行修改，但是當我們來到該處時，會發現無法展開該處所在的(de)鍵值。這是因為(wèi)系統默認對系統管理(lǐ)員給予“寫入D AC”和(hé)“讀取控制”權限，沒有給予修改權限，因此我們沒有辦法對“SAM”項下的(de)鍵值進行查看和(hé)修改。不過我們可(kě)以借助系統中另一(yī)個“注冊表編輯器”給管理(lǐ)員賦予修改權限。

　　點擊“開始”→“運行”，輸入“regedt32.exe”後回車，随後會彈出另一(yī)個“注冊表編輯器”，和(hé)我們平時使用的(de)“注冊表編輯器”不同的(de)是它可(kě)以修改系統賬戶操作注冊表時的(de)權限（為(wèi)便于理(lǐ)解，以下簡稱regedt32.exe）。在regedt32.exe中來到“HKEY_LOCAL_MACHINESAMSAM”處，點擊“安全”菜單→“權限”，在彈出的(de)“SAM的(de)權限”編輯窗口中選中“administrators”賬戶，在下方的(de)權限設置處勾選“完全控制”，完成後點擊“确定”即可(kě)。然後我們切換回“注冊表編輯器”，可(kě)以發現“HKEY_LOCAL_MACHINESAMSAM”下面的(de)鍵值都可(kě)以展開了。

　　提示：上文中提到的(de)方法隻适用于Windows NT/2000系統。在Windows XP系統中，對于權限的(de)操作可(kě)以直接在注冊表中進行，方法為(wèi)選中需要設置權限的(de)項，點擊右鍵，選擇“權限”即可(kě)。

　　2、偷梁換柱，将隐藏賬戶替換為(wèi)管理(lǐ)員

　　成功得到注冊表操作權限後，我們就可(kě)以正式開始隐藏賬戶的(de)制作了。來到注冊表編輯器的(de)“HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames”處，當前系統中所有存在的(de)賬戶都會在這裏顯示，當然包括我們的(de)隐藏賬戶。點擊我們的(de)隐藏賬戶“piao$”，在右邊顯示的(de)鍵值中的(de)“類型”一(yī)項顯示為(wèi)0x3e9，向上來到“HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers”處，可(kě)以找到“000003E9”這一(yī)項，這兩者是相互對應的(de)，隐藏賬戶“piao$”的(de)所有信息都在“000003E9”這一(yī)項中。同樣的(de)，我們可(kě)以找到“administrator”賬戶所對應的(de)項為(wèi)“000001F4”。

　　将“piao$”的(de)鍵值導出為(wèi)piao$.reg，同時将“000003E9”和(hé)“000001F4”項的(de)F鍵值分别導出為(wèi)user.reg，admin.reg。用“記事本”打開admin.reg，将其中“F”值後面的(de)內(nèi)容複制下來，替換user.reg中的(de)“F”值內(nèi)容，完成後保存。接下來進入“命令提示符”，輸入“net user piao$ /del”将我們建立的(de)隐藏賬戶删除。最後，将piao$.reg和(hé)user.reg導入注冊表，至此，隐藏賬戶制作完成。

　　3、過河拆橋，切斷删除隐藏賬戶的(de)途徑

　　雖然我們的(de)隐藏賬戶已經在“命令提示符”和(hé)“計算機管理(lǐ)”中隐藏了，但是有經驗的(de)系統管理(lǐ)員仍可(kě)能通過注冊表編輯器删除我們的(de)隐藏賬戶，那麽如(rú)何才能讓我們的(de)隐藏賬戶堅如(rú)磐石呢(ne)？

　　打開“regedt32.exe”，來到“HKEY_LOCAL_MACHINESAMSAM”處，設置“SAM”項的(de)權限，将“administrators”所擁有的(de)權限全部取消即可(kě)。當真正的(de)管理(lǐ)員想對“HKEY_LOCAL_MACHINESAMSAM”下面的(de)項進行操作的(de)時候将會發生錯誤，而且無法通過“regedt32.exe”再次賦予權限。這樣沒有經驗的(de)管理(lǐ)員即使發現了系統中的(de)隐藏賬戶，也是無可(kě)奈何的(de)。