肉机怎样查看隐藏的帐户

2013kyj

最近看到了一个文章， 说黑客破解肉机后， 会创建一个隐藏的帐户， 这个帐户在注销列表还不显示， 所以有点胆心， 怎样判断是否存在这种帐户呢，

另外怎样加强系统的帐户安全呢， 现在不少电脑系统登陆就是administrator帐户， 还不设密码或设置非常简单的密码， 怎样在这方面加强设置？ 求路过大佬支招

wangyibin

判断是否存在隐藏账户：


使用命令行工具：
在Windows系统中，你可以使用命令提示符（CMD）或PowerShell输入

1. net user

复制代码

来查看所有用户账户。如果有可疑的用户名，可以进一步调查。


在Linux系统中，可以使用

1. cat /etc/passwd

复制代码

或

1. getent passwd

复制代码

命令来列出所有用户。


检查用户文件夹：
检查C:\Users\（Windows）或/home/（Linux）目录下是否有未知的用户文件夹。


查看登录历史：
在Windows上，可以通过查看

1. %SystemRoot%\System32\winevt\Logs\Security.evtx

复制代码

来检查登录事件。
在Linux上，可以检查/var/log/auth.log或/var/log/secure文件。


使用安全软件：
一些高级的安全软件可以扫描和检测潜在的未授权账户。

ihealer0

最近考了信息安全，windows 上net user 是不会显示隐藏账户的，查看隐藏主要用注册表，还有控制面板里的账户管理，创建隐藏账户的方法就是 dos命令net user test￥/add

yyz2191958

wangyibin 发表于 2024-11-20 07:40
判断是否存在隐藏账户：

好人

likeyouli

ihealer0 发表于 2024-11-20 08:20
最近考了信息安全，windows 上net user 是不会显示隐藏账户的，查看隐藏主要用注册表，还有控制面板里的账 ...

谁给你说的 net user test￥/add 这样可以建立隐藏账户  ？
   net user test$ /add 这样才可以建立隐藏账户，net user 查看不到，但是net localgroup users可以查看到，因为新建用户默认属于user组。
   你也可以 net localgroup administrators test$ /add 加入到管理员组，由于一个用户可以属于多个组，所以此时需从users组里删除net localgroup users test$ /delete  这样net localgroup users就查看不到了，但会在net localgroup administrators 查看到。
如想查看是否有隐藏账户，只能先查看所有组net localgroup，再net localgroup 每个组，当然这样就有些麻烦了。

mimi820

都什么年代了，还肉鸡。。。。。。。

guong

来了解下

wn168cn@163.com

感谢2楼分享

smalldimple

5楼的回答也很棒

szwp

likeyouli 发表于 2024-11-20 10:51
谁给你说的 net user test￥/add 这样可以建立隐藏账户  ？
   net user test$ /add 这样才可以建立隐藏 ...

试试能不能加隐藏组

wang1126

谢谢5楼分享

邪恶海盗

装个安全工具就好了，不用追究原理...


二○二四年十一月二十日

jabbie

看看咋说的

2013Varg

感觉有可能就可以直接断网重装了，安全要紧

likeyouli

szwp 发表于 2024-11-20 11:55
试试能不能加隐藏组

隐藏组不会弄啊，需要您亲自出马了
又研究了以下隐藏账户，net user test$ 123 /add 建立的test$用户虽然在net user看不到，但在“本地用户和组”里能够看到，为了能够在这里也看不到，还需要进行如下操作：

第三步 操作注册表，实现隐藏用户
在上文中，我已经介绍过注册表，它几乎是windows系统的核心所在，它也几乎可以更改windows 所有的操作，接下来我们就进行windows注册表的操作来真正实现用户隐藏。
regedit
1

我们输入regedit来进入注册表界面。

通过上文的介绍，我们了解了注册表中关于用户的操作是在HKEY_LOCAL_MACHINE（HKLM）表项中，但是用户信息具体在那个位置呢？接下来我带你进行更深一步的操作
我们打开HKEY_LOCAL_MACHINE->SAM->SAM
发现这个文件夹下面已经没有文件，其实不然，是因为你没有操作它的权限，在此我们需要提升我们对此文件的操作权限。
选中SAM鼠标右键，选择权限
因为这次是做一个实验，并没有真正的准备账号入侵，所以在这里我就以administrator账号来演示操作，日后真正在物理机上实操的时候，就以你现在登陆的账号操作就好

在此我们选择administrator 和administrator的权限 选择完成控制，在点应用->确认，就完成了对该文件权限的提升。
我们在推出注册表重新进入就会发现SAM文件夹下又有文件了可以操作了
在这里我们依次选择SAM->SAM->Domains->Users->Names就可以发现我们刚才创建的账号了以及目前系统存在的账号。

这里有几个值我们要关注一个是账户的类型例如：hack$的类型是0x3ea 这里的0x表示的是16进制后面的3ea则就表示账号的基本信息，我们进行账号隐藏的关键点就在于此。

我们要根据这个信息找到对应的账号信息，看下图



以此类推我们把administrator的账号信息也找出来。



接下来我们继续操作，先把 administrator和hack$的信息导出



a为administrator的账号信息

h为hack$的账号信息



我们需要选择编辑 去复制administrator的账号信息



这些都是账号的基本信息，我么要做的就是偷梁换柱，把administrator的账号信息换给hack$账号中去

接着我们在cmd命令行中删除刚才我们创建的账号hack$





现在用户组里也没有hack$的账号信息了



net user hack$ /delete
1
我们在CMD命令行中把hack$账户给删除

然后再讲刚刚修改好的注册表从新导入进来，双击



现在我们再来查看一下cmd命令行中、用户管理工具以及注册表中是否还有用户







此时我们发现只有注册表才有该用户，这就表示我们成功的隐藏了用户，如果是一般人，它们都不会注册表，更别提去查注册表发现我们了，但是有一定安全经验的安全人士就能从注册表中把我们账号抓出来，如果想在注册表中也隐藏那就需要额外的工具了，例如使用rootkit工具就可以把账号更隐蔽的隐藏起来
————————————————

                            版权声明：本文为博主原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接和本声明。
                        
原文链接：https://blog.csdn.net/weixin_44369049/article/details/131314363

来自：https://blog.csdn.net/weixin_44369049/article/details/131314363

looxxp

编辑了   玩渗透教坏小盆友

onlychinese

looxxp 发表于 2024-11-20 15:40
编辑了   玩渗透教坏小盆友

就是，好好做事吧

cqh

学习