三 主机隐蔽账户的建立与查看.doc

实验五 主机隐蔽账户的建立与清除1、实验目的本实验旨在使学员掌握Windows操作系统中建立与查找隐蔽账户的方法，从而了解主机系统账户面临的安全威胁及安全防护方法。2、实验背景当黑客入侵一台主机后，会想方设法保护自己的“劳动成果”，因此会在目标主机上留下种种后门对其进行长久的控制，其中使用最多的就是账户隐藏技术。在目标机上建立一个隐藏的账户，以备需要的时候使用。账户隐藏技术可谓是比较隐蔽的后门，一般用户很难发现系统中隐藏账户的存在，因此危害性很大，本实验对隐藏账户这种黑客常用的技术进行验证和防护练习。3、实验内容及环境（1） 新账户的建立与查看； （2） 新建账户的提权操作；（3） 新建账户的隐藏；（4） 隐蔽账户的查看与清除；（5） 系统账户安全审计；4、实验步骤 以下实验步骤都是基于 Windows XP系统的应用。 （1） 新账户的建立与查看首先，建立新用户：开始-运行，输入cmd 确定。在命令提示符输入：net user test$ 1234 /add通过执行上面的命令操作，已经创建好一个帐号是test$，密码是1234的账户。查看新建的账户：在命令提示符输入：net user发现刚建立好的test$的账户，没有显示在列表中。右键单击“我的电脑”，选择“管理”，选择“本地用户和组”，查看“用户”选项卡，在右侧的显示栏中，列出了刚刚添加的“test$”账户。（2） 新建账户的提权操作在命令提示符后输入“net localgroup administrators test$ /add”命令，将“test$”账户加入“管理员组”在账户管理中，右击”test$”选项，选择“属性”，查看“隶属于”选项卡，发现“test$”已加入到管理员“Administrators”组中。（3） 新建账户的隐藏通过操纵注册表可以帮助“test$”账户进行隐藏首先，点击“开始”“运行”，输入“regedit”，进入注册表在注册表左侧栏中，依次展开“HKEY_LOCAL_MACHINESAM SAM”处进行查看，但是会发现无法展开该处所在的键值。这是因为系统默认对系统管理员给予“写入D AC”和“读取控制”权限，没有给予修改权限，因此没有办法对“SAM”项下的键值进行查看和修改。为了进行下一步操作首先重新进行授权。右击“SAM”，选择“权限”，在弹出的“SAM的权限”编辑窗口中选中“administrators”账户，在下方的权限设置处勾选“完全控制”，完成后点击“确定”即可。然后，重新关闭并进入“注册表编辑器”，可以发现“HKEY_LOCAL_MACHINESAMSAM”下面的键值都可以展开了。如下图所示，从展开的键值中，可以查找到刚刚添加的“test$”账户的键值信息。右键单击“test$”账户键值，选择“导出”，将“test$”账户键值导出到桌面上，保存为“test$.reg”文件点击新建账户“test$”，在右边栏显示的键值中的“类型”一项显示为0x3eb，向上来到“HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers”处，可以找到“000003EB”这一项，这两者是相互对应的，新建账户“test$”的所有信息都在“000003EB”这一项中。同样的，可以找到“Administrator”账户所对应的项为“000001F4”。同时将“000003EB”和“000001F4”项的F键值分别导出为new user.reg，admin.reg。用“记事本”打开admin.reg，将其中“F”值后面的内容复制下来，替换user.reg中的“F”值内容，完成后保存。进入“命令提示符”，输入“net user test$ /del”将建立的新账户“test$”删除。最后，双击桌面上的test$.reg和new user.reg两个文件，将其重新导入注册表，至此，隐藏账户建立完成。但是，使用“计算机账户管理”和“net user”查看系统用户，并没有发现“test$”账户的存在。注销当前用户，用刚刚建立的隐蔽账户尝试登录。（4） 隐蔽账户的查看与清除；查看“$”符号型隐藏账户可以直接打开“计算机管理”进行查看，添加“$”符号的账户是无法在这里隐藏的。查看注册表中的隐藏账户来到“HKEY_LOCAL_MACHINESAMSAM DomainsAccountUsersNames”，把这里存在的账户和“计算机管理”中存在的账户进行比较，多出来的账户就是隐藏账户了。想要删除它也很简单，直接删除以隐藏账户命名的项即可。（5） 系统账户安全审计；借助“组策略”的帮助，让黑客无法通过隐藏账户登陆。点击“开始”“运行”，输入“gpedit.msc”运行“组策略”，依次展开“计算机配置”“Windows 设置”“安全设置”“本地策略”“审核策略”，双击右边的“审核策略更改”，在弹出的设置窗口中勾选“成功”，然后点“确定”。对“审核登陆事件”和“审核过程追踪”进行相同的设置。进行登陆审核后，可以对任何账户的登陆操作进行记录，包括隐藏账户，这样就可以通过“计算机管理”中的“事件查看器”准确得知隐藏账户的名称，甚至黑客登陆的时间。即使黑客将所有的登陆日志删除，系统还会记录是哪个账户删除了系统日志，这样黑客的隐藏账户就暴露无疑了。得知隐藏账户的名称后就好办了，但是仍然不能删除这个隐藏账户，因为没有权限。但是可以在“命令提示符”中输入“net user 隐藏账户名称 654321”更改这个隐藏账户的密码。这样这个隐藏账户就会失效，黑客无法再用这个隐藏账户登陆。5 实验思考题 1）如何在Win