详解Windows隐藏账户的常规手法及原理
一、前言
之前对这几种手法也做过了解,但并未对其注册表进行过研究,最近在学习Windows的安全基础,打算提升一下自己基础知识。
二、Windows注册表简介
概念:注册表是Windows在win95/98系统开始引入的一种核心数据库,里面存放着各类的配置信息、参数等、直接控制着系统的启动、硬件的装载及Windows程序的运行。
结构:注册表由键、子键和值组成,一个键就是一个文件夹,子键可以理解为一个键的子目录,一个值则是一个键的当前定义,由名称、数据类型、及分配的值组成。
Windows注册表简介:Windows默认自带五个根键,win R进入运行会话框,输入regedit进入注册表编辑器。
下面简单介绍下几个根键的作用
HKEY_CLASSES_ROOT:
HKEY_CLASSES_ROOT是应用程序运行时必需的信息,包括扩展名和关联、所有的驱动程序名称、类的ID数字(所要存取项的名字用数字来代替)、用于应用程序和文件的图标。
HKEY_CURRENT_USER:
HKEY_CURRENT_USER管理系统当前的用户信息。在这个根键中保存了本地计算机中存放的当前登录的用户信息,包括用户登录用户名和暂存的密码。在用户登录Windows时,其信息从HKEY_USERS(另一个根键)中相应的项拷贝到HKEY_CURRENT_USER中。
HKEY_LOCAL_MACHINE:
HKEY_LOCAL_MACHINE保存了注册表里的所有与这台计算机有关的配置信息。
HKEY_USERS:
HKEY_USERS仅包含了缺省用户设置和登录用户的信息。虽然它包含了所有独立用户的设置,但在用户未登录时用户的设置是不可用的。这些设置告诉系统哪些图标会被使用,什么组可用,哪个开始菜单可用,哪些颜色和字体可用,和控制面板上什么选项和设置可用。
HKEY_CURRENT_CONFIG:
HKEY_CURRENT_CONFIG包括了系统中现有的所有配置文件的细节。它与HKEY_LOCAL_MACHINE的不同之处是它的改变不会涉及到多个注册表信息的改变。
具体细节的内容自行百度。
三、常见的账户隐藏手法。
命令行隐藏手法
优点:简单、快捷、不需要花里胡哨的东西。一条命令搞定。
缺点:只限于不被cmd命令行模式发现用户,容易被稍有经验的人发现
方法:net user 用户名$ /add
创建成功。
命令行下不易被发现。
图形化控制面板,发现admin$用户
注册表隐藏手法
优点:不易被发现。
缺点:注册表可见。
继续用上面的admin$账户进行演示,创建后注册表里会有对应的账户信息。
首先进入注册表regedit
找到根键名为HKEY_LOCAL_MACHINE的键,右键子键SAM下的sam,给用户配置权限,全部勾选。
继续找到HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers 展开,
HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames,这里简单介绍下这两个键的作用。
Names里存放的子键是和Users里的子键一一对应的,如Names里的Administrator,点击后会出现0xF4的注册表,那么Users里也会有相同命名的子键。如下图
接下来我们导出一下我们刚才导出admin$用户的注册表,我命名为admin$.reg
继续导出对应的Names里的03f7,命名为0X3f7
导出administrator用户对应的的注册表01F4,命名为adminis.reg。如下
这时候,删除刚才创建的用户,admin$用户(net user发现不了,但可以删除)如下图;
Lusrmgr.msc进入图形化界面看下,已经没了,如下
先介绍下,比如导出来的admin$的注册表文件。
对应的admin$用户导出的0x3F7.reg
接下来复制administrator的注册表文件(导出的adminis.reg)里的用户名到0x3F7.reg里相应位置,保存0x3F7.reg。
这时候adminis.reg可以删除了。依次双击admin$.reg、0x3F7.reg,即可,注册表里已经出现admin$的注册表。
检查一下,net user ,没有发现。
图形化看下,也没有。
注销下登陆尝试,这里分享一个思路:可以建个administrator的用户名来迷惑管理员。
遇到有经验的运维怎么办?往下看。
超级隐藏账户。
优点:图形化、命令行、注册表都不可见。
缺点:杀软能检测出。(办法自己想)
继续接上,已经建立好的注册表影子账户如何隐藏?
这里用到一款工具rootkit,这里不在放工具,百度一大把,进入正题。
首先把两个文件放到桌面,如下
编辑ini文件
然后保存,双击exe文件,发现一起消失了,查看注册表、命令行、图形化。都没有,注销验证,登陆。
登陆成功
Ok,基本的过程大概就是这样的,如果有错误欢迎相互学习讨论。谢谢。
相关文章
-
李开复:未来几年,中国最赚钱的工作是什么?
文章来源:老铁商城2019-10-29 -
2019年全球十大突破性技术
文章来源:老铁商城2019-10-29 -
科学家为什么钟情艺术?因为数学和绘画、音乐有相似的美感
文章来源:老铁商城2019-10-20 -
价格上涨“劝退”用户,奈飞为何逆流而行?
文章来源:老铁商城2019-10-18 -
王思聪“股权遭冻结”又上热搜!王健林当初给的“练手资金”还好吗?
文章来源:老铁商城2019-10-18 -
滴滴宣布开放城市交通指数数据集 助力交通领域科研发展
文章来源:老铁商城2019-10-18 -
A16Z合伙人:那些“连错都谈不上”的技术预测
文章来源:老铁商城2019-10-18