删除Windows克隆帐户的方法.doc

删除Windows后门-克隆帐户的方法黑客在入侵目标后，通常会在目标电脑上留下后门，以便长期控制这台电脑。可是后门终归是黑客工具，是杀毒软件的查杀目标之一，可能杀毒软件升级后后门就被删除了。但是有一种后门是永远不会被杀毒软件查杀的，就是隐藏的系统克隆帐户。在Windows中（XP、Vista、Windows7等均如此），每一个帐户在注册表中都有对应的键值，这个键值影响着该帐户的权限。当黑客在注册表中动手脚复制键值后，就可以将一个用户权限的帐户克隆成具有管理员权限的帐户，并且将这个帐户进行隐藏。隐藏后的帐户无论是在“用户管理”还是“命令提示符”中都是不可见的。因此一般的计算机管理员很少会发现隐藏帐户，危害十分巨大。1 添加隐藏账户点击“开始”“运行”，输入“cmd”运行“命令提示符”，输入如下命令：net user test$ /add并回车，这样就可以在系统中建立一个名为test$的帐户。继续输入：net localgroup administrators test$ /add并回车，这样就可以把test$帐户提升到管理员权限。2 手工克隆账户2.1 设置注册表操作权限点击“开始”“运行”（Win7中可以在开始菜单的搜索框里面输入regedt32或者regedit），输入“regedt32.exe”后回车，弹出“注册表编辑器”。在regedt32.exe中来到“HKEY_LOCAL_MACHINESAMSAM”处；点击“编辑”菜单“权限”，在弹出的“SAM的权限”编辑窗口中选“administrators”帐户，在下方的权限设置处勾寻完全控制”，完成后点击“确定”即可。2.2 设置相同的SAM值在“运行”中输入“regedit.exe”运行“注册表编辑器”，定位到“HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames”处，点击隐藏帐户“test$”，在右边显示的键值中的“类型”一项显示为0x404，向上来到“HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers”处，可以找到“00000404”这一项，这两者是相互对应的，隐藏帐户“test$”的所有信息都在“00000404”这一项中。同样的，我们可以找到“administrator”帐户所对应的项为“000001F4”。将“test$”的键值导出为test$.reg，同时将“00000404”和“000001F4”项的F键值分别导出为user.reg，admin.reg。用“记事本”打开admin.reg，将其中“F”值后面的内容复制下来，替换user.reg中的“F”值内容，完成后保存。在“命令提示符”中输入“net user test$ /del”命令，将我们建立的隐藏帐户删除。这一步只是删除了隐藏帐户的“空壳”，就像入侵后清理痕迹一样，做好的隐藏帐户是不会发生改变的。最后，我们双击test$.reg和user.reg这两个注册表文件，将它们导入到注册表中就大功告成了。再将刚才Sam目录administrator完全控制的权限给删掉，以防被人发现。3 克隆用户安全检查3.1 手工检查(1) 对于系统默认用户，如guest、IUSR_XODU5PTT910NHOO，可使用“netuserIUSR_XODU5PTT910NHOO”命令查看最后登录日期。从图可以看出，IUSR_XODU5PTT910NHOO在2008-12-4登录过系统，此账号默认是是显示“上次登录从不”，因此可以判定账号已被克隆过。(2) 查看系统登录日志Windows2003的用户登录审核是默认开启的，如果有某个时间内发现不明的登录日志。在21:46左右,管理员并未登录系统，说明有其它用户登录过系统，点击就可以看到是哪个用户登录了。(3) 查看注册表查看注册表，查看是否存在不明的用户。此方法只能对添加新用户克隆有效，如果克隆的是系统默认账号，如guest、IUSR_MACHINE等账号，需要导出两个用户的键值，然后对比F项，如果IUSR_MACHINE的F值和管理员的F项的值相同，说明已被克隆了。4 删除克隆用户4.1 如果是添加用户式的克隆可使用以下方法（1）在“运行”中输入“regedit.exe”运行“注册表编辑器”，定位到“HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames”处，删除克隆账户test$；HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers”处，删除新添加账户对应的“00000404”这一项。4.2 如果是系统默认账户被克隆可使用以下方法先到一台正常电脑上，同样方法，复制相同用户下面的F项的值，如你发现的是IUSR_MACHINE(machine为机器名)用户被克隆，就打开一台正常电脑的注册表，找到HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers000003EA，导出注册表，保存为3EA.reg；同样，回到被入侵过的电脑，导出被克隆过的用户注册表值为3eb.reg，接着就是把3ea.reg里面的F值复制替换3eb.reg里