无忧启动论坛

标题: 肉机怎样查看隐藏的帐户 [打印本页]
作者: 2013kyj    时间: 前天 05:53
标题: 肉机怎样查看隐藏的帐户
最近看到了一个文章, 说黑客破解肉机后, 会创建一个隐藏的帐户, 这个帐户在注销列表还不显示, 所以有点胆心, 怎样判断是否存在这种帐户呢,

另外怎样加强系统的帐户安全呢, 现在不少电脑系统登陆就是administrator帐户, 还不设密码或设置非常简单的密码, 怎样在这方面加强设置? 求路过大佬支招
作者: wangyibin    时间: 前天 07:40
判断是否存在隐藏账户:


使用命令行工具:
在Windows系统中,你可以使用命令提示符(CMD)或PowerShell输入
  1. net user
复制代码
来查看所有用户账户。如果有可疑的用户名,可以进一步调查。


在Linux系统中,可以使用
  1. cat /etc/passwd
复制代码

  1. getent passwd
复制代码
命令来列出所有用户。


检查用户文件夹:
检查C:\Users\(Windows)或/home/(Linux)目录下是否有未知的用户文件夹。


查看登录历史:
在Windows上,可以通过查看
  1. %SystemRoot%\System32\winevt\Logs\Security.evtx
复制代码
来检查登录事件。
在Linux上,可以检查/var/log/auth.log或/var/log/secure文件。


使用安全软件:
一些高级的安全软件可以扫描和检测潜在的未授权账户。

作者: ihealer0    时间: 前天 08:20
最近考了信息安全,windows 上net user 是不会显示隐藏账户的,查看隐藏主要用注册表,还有控制面板里的账户管理,创建隐藏账户的方法就是 dos命令net user test¥/add
作者: yyz2191958    时间: 前天 09:05
wangyibin 发表于 2024-11-20 07:40
判断是否存在隐藏账户:

好人
作者: likeyouli    时间: 前天 10:51
ihealer0 发表于 2024-11-20 08:20
最近考了信息安全,windows 上net user 是不会显示隐藏账户的,查看隐藏主要用注册表,还有控制面板里的账 ...

谁给你说的 net user test¥/add 这样可以建立隐藏账户  ?
   net user test$ /add 这样才可以建立隐藏账户,net user 查看不到,但是net localgroup users可以查看到,因为新建用户默认属于user组。
   你也可以 net localgroup administrators test$ /add 加入到管理员组,由于一个用户可以属于多个组,所以此时需从users组里删除net localgroup users test$ /delete  这样net localgroup users就查看不到了,但会在net localgroup administrators 查看到。
如想查看是否有隐藏账户,只能先查看所有组net localgroup,再net localgroup 每个组,当然这样就有些麻烦了。
作者: mimi820    时间: 前天 10:54
都什么年代了,还肉鸡。。。。。。。
作者: guong    时间: 前天 11:04
来了解下
作者: wn168cn@163.com    时间: 前天 11:10
感谢2楼分享
作者: smalldimple    时间: 前天 11:49
5楼的回答也很棒
作者: szwp    时间: 前天 11:55
likeyouli 发表于 2024-11-20 10:51
谁给你说的 net user test¥/add 这样可以建立隐藏账户  ?
   net user test$ /add 这样才可以建立隐藏 ...

试试能不能加隐藏组
作者: wang1126    时间: 前天 12:47
谢谢5楼分享
作者: 邪恶海盗    时间: 前天 14:59
装个安全工具就好了,不用追究原理...


二○二四年十一月二十日
作者: jabbie    时间: 前天 15:14
看看咋说的
作者: 2013Varg    时间: 前天 15:19
感觉有可能就可以直接断网重装了,安全要紧
作者: likeyouli    时间: 前天 15:36
szwp 发表于 2024-11-20 11:55
试试能不能加隐藏组

隐藏组不会弄啊,需要您亲自出马了
又研究了以下隐藏账户,net user test$ 123 /add 建立的test$用户虽然在net user看不到,但在“本地用户和组”里能够看到,为了能够在这里也看不到,还需要进行如下操作:
第三步 操作注册表,实现隐藏用户
在上文中,我已经介绍过注册表,它几乎是windows系统的核心所在,它也几乎可以更改windows 所有的操作,接下来我们就进行windows注册表的操作来真正实现用户隐藏。
regedit
1

我们输入regedit来进入注册表界面。

通过上文的介绍,我们了解了注册表中关于用户的操作是在HKEY_LOCAL_MACHINE(HKLM)表项中,但是用户信息具体在那个位置呢?接下来我带你进行更深一步的操作
我们打开HKEY_LOCAL_MACHINE->SAM->SAM
发现这个文件夹下面已经没有文件,其实不然,是因为你没有操作它的权限,在此我们需要提升我们对此文件的操作权限。
选中SAM鼠标右键,选择权限
因为这次是做一个实验,并没有真正的准备账号入侵,所以在这里我就以administrator账号来演示操作,日后真正在物理机上实操的时候,就以你现在登陆的账号操作就好

在此我们选择administrator 和administrator的权限 选择完成控制,在点应用->确认,就完成了对该文件权限的提升。
我们在推出注册表重新进入就会发现SAM文件夹下又有文件了可以操作了
在这里我们依次选择SAM->SAM->Domains->Users->Names就可以发现我们刚才创建的账号了以及目前系统存在的账号。

这里有几个值我们要关注一个是账户的类型例如:hack$的类型是0x3ea 这里的0x表示的是16进制后面的3ea则就表示账号的基本信息,我们进行账号隐藏的关键点就在于此。

我们要根据这个信息找到对应的账号信息,看下图



以此类推我们把administrator的账号信息也找出来。



接下来我们继续操作,先把 administrator和hack$的信息导出



a为administrator的账号信息

h为hack$的账号信息



我们需要选择编辑 去复制administrator的账号信息



这些都是账号的基本信息,我么要做的就是偷梁换柱,把administrator的账号信息换给hack$账号中去

接着我们在cmd命令行中删除刚才我们创建的账号hack$





现在用户组里也没有hack$的账号信息了



net user hack$ /delete
1
我们在CMD命令行中把hack$账户给删除

然后再讲刚刚修改好的注册表从新导入进来,双击



现在我们再来查看一下cmd命令行中、用户管理工具以及注册表中是否还有用户







此时我们发现只有注册表才有该用户,这就表示我们成功的隐藏了用户,如果是一般人,它们都不会注册表,更别提去查注册表发现我们了,但是有一定安全经验的安全人士就能从注册表中把我们账号抓出来,如果想在注册表中也隐藏那就需要额外的工具了,例如使用rootkit工具就可以把账号更隐蔽的隐藏起来
————————————————

                            版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
                        
原文链接:https://blog.csdn.net/weixin_44369049/article/details/131314363

来自:https://blog.csdn.net/weixin_44369049/article/details/131314363
作者: looxxp    时间: 前天 15:40
本帖最后由 looxxp 于 2024-11-20 15:54 编辑

编辑了   玩渗透教坏小盆友

作者: onlychinese    时间: 昨天 10:11
looxxp 发表于 2024-11-20 15:40
编辑了   玩渗透教坏小盆友

就是,好好做事吧
作者: cqh    时间: 昨天 12:33
学习



欢迎光临 无忧启动论坛 (http://bbs.wuyou.net/) Powered by Discuz! X3.3