システム内の隠しアカウントを作成および削除する方法を教える

ハッカーがホストに侵入した場合、彼は自分の作業結果を保護しようとするため、ブロイラーを制御するためにさまざまなバックドアをブロイラーに残します。最も多いのはアカウント隠蔽技術です。必要に応じて使用するために、ブロイラーに隠しアカウントを作成します。この記事では、ハッカーがアカウントを隠すために一般的に使用している手法を明らかにしています。システムアカウントを非表示にする前に、まずシステム内の既存のアカウントを表示する方法を理解する必要があります。システムでは、[コマンドプロンプト]、[コントロールパネル]、[コンピュータの管理]の順に移動して、レジストリ内の既存のアカウントを確認できますが、管理者は通常[コマンドプロンプト]と[コンピュータの管理]のみを確認します。例外があるため、両方でシステムアカウントを非表示にする方法がこの記事の焦点となります。まず、コマンドプロンプトでの陰謀実運用システムの隠しアカウントは、非常に高度なテクノロジではありません。「よく使うコマンド」コマンドプロンプトを使用すると、簡単な隠しアカウントを作成できます。 [スタート]をクリックして[実行]をクリックし、[CMDを実行]コマンドプロンプトを入力して、[net user kao $ 123456 /追加]と入力し、Enterキーを押すと、コマンドが正常に表示されます。次に、「ローカルローカルグループ管理者kao $ /add」と入力して入力します。そのため、'コマンドプロンプトを使用して、隠しアカウント123456用の単純なユーザー名" kao $、パスワードを作成します。この隠されたアカウントは管理者権限のために昇格されます。簡単な隠しアカウントの作成隠しアカウントの作成が成功したかどうかを見てみましょう。 「コマンドプロンプト」と「ネットユーザー」にシステムアカウントを表示するためのコマンドを入力すると、現在のシステムに存在するアカウントが表示されます。返された結果から、作成したアカウントが存在しないことがわかります。それからコントロールパネルの「管理ツール」に行き、「ローカルユーザーとグループ」を見るために「コンピュータ」を開きましょう「ユーザー」セクションで、隠しアカウント「kao $」を作成しました。この方法では「コマンドプロンプト」でアカウントを隠すことしかできないという結論を下すことができますが、「コンピュータの管理」とは関係ありません。したがって、アカウントを隠すこの方法はあまり実用的ではなく、不注意な管理者にのみ有効であり、エントリレベルのシステムアカウント隠蔽テクノロジです。第二に、上記から隠されたレジストリの「登録アカウント」で、アカウントを隠すためにコマンドプロンプトを使用することの欠点は非常に明白であることがわかります、それはあなた自身を露出するのは簡単です。それで、「コマンドプロンプト」と「コンピュータの管理」で同時にアカウントを隠すことができる技術はありますか？答えは「はい」です、これにはレジストリに小さな設定をする必要があります。システムアカウントが両方で完全に蒸発してみましょう。 1、ピークループは、システムアカウントのキー値を操作するためにレジストリ内の管理者レジストリ操作権限を与える、あなたは "HKEY_LOCAL_MACHINESAMSAMを変更する必要がありますが、我々は場所に来たとき、あなたは場所を展開できないことがわかりますキー値これは、システムがシステム管理者にデフォルトで "write AC"および "read control"のアクセス許可、変更権を与えないため、 "SAM"の下のキー値を表示および変更する方法がないためです。ただし、システム内の別のレジストリエディタを使用して、管理者に変更の権限を与えることができます。 [スタート]ボタンをクリックし、[ファイル名を指定して実行]をクリックして「regedt32.exe」と入力し、Enterキーを押すと、別の "レジストリエディタ"がポップアップ表示され、通常の "レジストリエディタ"と異なりシステムを変更できます。アカウントがレジストリを操作するときのアクセス許可（わかりやすくするため、以降regedt32.exeと呼びます）。 regedt32.exeで、 "HKEY_LOCAL_MACHINESAMSAM"アクセスをクリックして、 "セキュリティメニュー↠"アクセス許可をクリックし、ポップアップ "SAMのアクセス許可編集"ウィンドウで、 "管理者アカウント"を選択し、下のアクセス許可設定を確認 "'フルコントロール、完了したら[OK]をクリックします。その後、「レジストリエディタ」に戻り、「HKEY_LOCAL_MACHINESAMSAM」の下のキー値を展開できることを確認できます。ヒント：上記の方法は、Windows NT /2000システムでのみ利用可能です。 Ｗｉｎｄｏｗｓ（登録商標）ＸＰシステムでは、設定が必要な項目を選択して右クリックし、「特権」を選択することで、許可の操作をレジストリ内で直接行うことができる。 2.列を盗んで隠しアカウントを管理者に置き換えるレジストリ操作権限の取得に成功したら、隠しアカウントの作成を正式に開始できます。レジストリエディタのHKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNamesに移動すると、隠しアカウントを含め、現在のシステム内の既存のアカウントがすべて表示されます。私たちの隠しアカウント<; kao $をクリックすると、右側に表示されるキー値の種類が0x3e9と表示され、< HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersに移動します。<; 000003E9というアイテムが見つかります。隠しアカウント「kao $」に関するすべての情報は、アイテム「000003E9」にあります。同様に、管理者アカウントに対応する項目は「000001F4」と表示されます。 「kao $」のキー値をkao $ .regにエクスポートし、「' 000003E9」および「l0003F4」のFキー値をそれぞれuser.reg、admin.regにエクスポートします。 「メモ帳」でadmin.regを開き、「F」の値の後にコンテンツをコピーし、user.regの「Fの値」を置き換えて、完了後に保存します。次に、「コマンドプロンプト」に進み、「ld user; net user kao $ /del」と入力して、作成した隠しアカウントを削除します。最後に、kao $ .regとuser.regがレジストリにインポートされ、隠しアカウントが作成されます。 3、川を渡って橋を壊し、隠しアカウントを削除する方法を遮断しました隠しアカウントは "コマンドプロンプト"と "コンピュータの管理"に隠されていますが、経験豊富なシステム管理者はレジストリエディタを通して隠しアカウントを削除できますでは、どうすれば隠しアカウントを堅牢なものにすることができますか？regedt32.exeを開いてHKEY_LOCAL_MACHINESAMSAMに移動し、SAM項目の権限を設定して、管理者が所有するすべての権限を取り消します。実際の管理者が "HKEY_LOCAL_MACHINESAMSAM"の下のアイテムを操作しようとすると、エラーが発生し、' regedt32.exeを介してアクセス許可を再度付与することはできません。このような経験の浅い管理者は、システム内に隠されたアカウントを見つけたとしても無力です。アカウントをワンステップで非表示にするための特別なツールアカウントは上記の方法に従って簡単に非表示にすることができますが、初心者には適しておらず、レジストリ操作は面倒ですが、システムクラッシュを引き起こすのは簡単です。そのため、特別なアカウント非表示ツールを使用して作業を非表示にすることができます。これにより、非表示のアカウントはもはや困難ではなくなり、1つのコマンドしか実行できなくなります。使用する必要があるツールは「HideAdmin」と呼ばれ、それをダウンロードしてcドライブに解凍します。次に、「コマンドプロンプト」を実行して「HideAdmin kao $ 123456」と入力します。「hiden管理者kao $ Successedを作成します」と表示されたら、アカウント名kao $とパスワード123456の隠しアカウントを作成しました。 。このツールで作成されたアカウント隠蔽効果は、上記の記事のレジストリを変更した効果と同じです。第四に、システムの隠れアカウントのハザードのうちの "隠れアカウント"は非常に大きいと説明することができます。そのため、アカウント隠蔽技術を理解した上で対応する隠し技術を理解し、システムから完全に隠しアカウントを削除する必要があります1.「＃symbolic hidden account」を追加するこのような隠しアカウントの検出は比較的簡単です。一般に、この方法を使用して隠しアカウントを確立した後、ハッカーはその隠しアカウントを管理者権限に昇格させます。それから、隠しアカウントをすべて表示するには、「コマンドプロンプト」に「ローカルグループ管理者」と入力するだけです。あなたが問題を抱えているならば、あなたはそれを直接「コンピュータの管理」に開いて、ここで隠すことができない「＃」シンボルアカウントを追加することができます。 2、レジストリタイプの隠しアカウントを変更するこの方法で隠されたアカウントは「コマンドプロンプト」および「コンピュータの管理」に表示されないため、レジストリ内の隠しアカウントを削除できます。 「HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames」に移動し、ここに存在するアカウントとComputer Managementに存在するアカウントを比較します追加のアカウントは、隠しアカウントです。隠しアカウントの名前のアイテムを削除するだけでも簡単に削除できます。 3、隠しアカウントの名前を見ることができないハッカーが変更されたレジストリタイプの隠しアカウントを作成した場合、これに基づいてレジストリの管理者の操作権限を削除しました。その場合、管理者はレジストリから隠しアカウントを削除できず、ハッカーによって設定された隠しアカウント名を知ることもできません。しかし、世界は絶対的なものではありません。ハッカーが隠しアカウントを介してログインするのを防ぐために、グループポリシーの助けを借りることができます。 [スタート]をクリックして[実行]をクリックし、[gpedit.msc]と入力して[グループポリシー]を展開し、[コンピュータの構成]、[Windowsの設定]、[セキュリティの設定]、[ローカル戦略]の順にクリックします。戦略を確認し、[監査ポリシーの変更]の右側をダブルクリックして、ポップアップ設定ウィンドウで[成功]を確認し、[OK]をクリックします。 [ログインイベントの監査]と[プロセスの追跡の監査]についても同じ設定を行います。ログインイベントレビュー機能にログインした後、隠しアカウントを含む任意のアカウントのログイン操作をログインできるので、コンピュータ管理の「イベントビューア」を通して隠しアカウントの名前やハッカーさえ正確に知ることができます。着陸の時。ハッカーがすべてのログインログを削除したとしても、システムはどのアカウントがシステムログを削除したかを記録するため、ハッカーの隠しアカウントは公開されます。イベントビューアで隠しアカウントを検索する隠しアカウントの名前がわかったら簡単ですが、権限がないため、この隠しアカウントを削除することはできません。ただし、「コマンドプロンプト」に「ネットユーザーの隠しアカウント名654321」と入力すると、この隠しアカウントのパスワードを変更できます。この隠しアカウントは無効になり、ハッカーはこの隠しアカウントでログインできなくなります。