| 本文将介绍在Win7环境下,通过修改注册表建立、检测隐藏用户的方法。 1、首先创建一个隐身用户user001$,加入到管理员组。此时在“计算机管理”中仍能看到该用户。 net user user001$ pwd /add net localgroup administrators user001$ /add 2、运行regedit,打开注册表管理界面,依次打开目录“HKEY_LOCAL_MACHINE”-“SAM”-“SAM”,右键“权限”,设置Aministrators用户组的“完全控制”权限  Win7系统下建立、检测隐藏用户的方法(图1) 3、重新打开注册表管理界面,依次展开目录“HKEY_LOCAL_MACHINE”-“SAM”-“SAM”-“Domains”-“Account”-“Users”-“Names”,Users目录和Names目录的顺序是一一对应的,此时做法是将具有超级管理员权限的Administrator账户(如果该账号被禁用,也可以找到具有超管权限的其他账户替代)对应的F的数据拷贝给第四项user001$用户的F值  Win7系统下建立、检测隐藏用户的方法(图2) 4、导出user001$的两个注册表信息,并删除user001$账户  Win7系统下建立、检测隐藏用户的方法(图3) 5、最后双击将两个注册表文件导入,最后将administrators的SAM控制权限取消。在本地组策略中,启用“交互式登录:不显示最后的用户名”,抹除最近登录日志。注销主机,即实现user001$的完全隐藏,试试用user001$登录吧。  Win7系统下建立、检测隐藏用户的方法(图4) 检测与防范 1、net user或net localgroup administrators,查看用户列表 2、打开“计算机管理”,带有$的即为隐藏账户 3、比较注册表“HKEY_LOCAL_MACHINE”-“SAM”-“SAM”-“Domains”-“Account”-“Users”-“Names”与“计算机管理”中的用户列表 4、查看“组策略”管理控制台,输入“gpedit.msc”运行“组策略”,依次展开“计算机配置”→“Win 设置”→“安全设置”→“本地策略”→“审核策略”,双击右边的“审核策略更改”,启用审计功能。 5、打开“计算机管理”控制台,通过“系统工具”-“事件查看器”-“windows日志”-“安全”,即可查看所有用户的登录日志 |
|Archiver|手机版|家电维修论坛
( 蜀ICP备19011473号-4 川公网安备51102502000164号 )
GMT+8, 2025-8-4 06:23 , Processed in 0.189912 second(s), 17 queries .
Powered by Discuz! X3.5
© 2001-2025 Discuz! Team.
