本机有可疑用户名（SID形式）但无隐藏用户，各位兄弟帮忙啊！

鹤冲天

本机有可疑用户名（SID形式）但无隐藏用户，各位兄弟帮忙啊！
用户名是SID码但不是偶本机的SID码。我在注册表里也没看到隐藏用户。想不明白请无优各位兄弟帮忙看看啊！谢谢先！！
我先不说了，上图各位帮我看看先！

下图是本机SID玛和用户

M

N久没用过XP了.一直使用2003,这时看了前面的几位发言.觉得应该是冲装系统而且是NTFS格式的才会出现的,不过这个没什么很大关系吧?

[ 本帖最后由 msad 于 2007-10-8 12:55 AM 编辑 ]

stlyq123

同意36楼的观点，我每次格系统盘重装系统后，都有这种现象。

xinyubbl

可能是重装之前的用户或者是你删除了的用户。

zgzxp

这有两种可能出现

1、多系统中（nt系列）

2、重新安装系统后

EnsonKing

今天有空 做了下测试


环境说明：

本地计算机+虚拟机+移动硬盘 且移动硬盘格式化为NTFS
注意：不要使用映射网络驱动器的方法 NTFS流在网上传播时会丢失

帐户说明：

local=本地计算机 XP内置管理员Administrator（只隶属于Administrators）
vm=虚拟机 XP内置管理员Administrator（只隶属于Administrators）
testA=虚拟机 （只隶属于Administrators）
testB=虚拟机 （同时隶属于Administrators和Users）
testC=虚拟机 （只隶属于Users）

下面是测试的结果：
　　测试时 登录相应的帐号 创建文件和文件夹 结果如下图：



结论：

在没有手动更改权限的情况下 NTFS分区上的文件或文件夹会保留其创建者的信息 注意 复制/移动过来的文件或文件夹则会保留复制者/移动者的信息 原始创建者的信息会丢失

补充说明：

1.本来以为只隶属于Users用户组的用户会由于没有权限而不保留 结果却不是这样的 比较意外
2.发现只隶属于Users用户组的用户是没有创建文件的权限的 只能创建文件夹 然后可以在自己创建的文件夹里面创建文件 这个以前还不知道 有收获 :lol
3.这个测试很不完整 只测试了一小部分的情况 还有好多情况没有测试  如果你有兴趣 可以自己再测试一下其他的 比如 文件修改后是否会加入修改者的信息等（最近比较忙 接下来会更忙 所以没办法帮你测试啦）
4.另外 你说你测试时没有出现这类情况 请把具体测试信息描述一下
5.Ghost安装或还原的用户SID是一样的
6.注意观察 XP内置管理员的帐号SID末尾都是500 这个就是为什么上次我说你那个帐号是管理员的原因

[ 本帖最后由 EnsonKing 于 2007-10-2 06:03 AM 编辑 ]

6618

各位朋友的回复已由头至尾看完，弄不清是什么原因造成的。看看有没有高手能解决这个问题，顶一帖。

鹤冲天

原帖由 kai2002 于 2007-9-26 04:22 PM 发表
我的理解，该SID号是上个系统遗留下的，前个系统时估计曾改过文件夹的安全属性，把文件的一些安全属性都赋予给这个用户帐户，系统重装后，新系统是不存在这个用户的，而且就算是重建同名用户，SID也是不同的。所 ...

没记得改过安全属性。
现在在想看什么情况能在出现这种现象。
我改改安全属性试试看，看会不会出显这种情况。
在有，这的却不影响使用！只是看着不爽。

鹤冲天

原帖由 EnsonKing 于 2007-9-26 01:53 AM 发表
你取消继承看看
（晕 字数不够的说:L ）

说详细点。
说详细了你就不会字数不够了！;P

kai2002

我的理解，该SID号是上个系统遗留下的，前个系统时估计曾改过文件夹的安全属性，把文件的一些安全属性都赋予给这个用户帐户，系统重装后，新系统是不存在这个用户的，而且就算是重建同名用户，SID也是不同的。所以在这些文件夹的安全属性中会出现SID,，可以直接在安全属性中删去这SID号，不影响系统正常使用的。

[ 本帖最后由 kai2002 于 2007-9-26 04:24 PM 编辑 ]

EnsonKing

你取消继承看看
（晕 字数不够的说:L ）

鹤冲天

最近有空，在虚拟机中测试下了，用光盘直接安装和PE下安装都没出现1楼的情况。
郁闷！
这到底是怎么回事？？
什么情况才会产生？！！？

鹤冲天

恩，星期一了从单位把移动硬盘拿回来44，要是郁闷了，一会我就用虚拟机44。
现在就是删除比较郁闷！！
在有要是格了装有1个SID，那要在格在装呢？？不会2吧！！？:L

EnsonKing

这个我也不清楚 没注意过 我一直都是用ghost还原的 SID不变 所以不存在这个问题

要证明其实不难 把移动硬盘格式化成NTFS 然后到其他电脑的NTFS分区上复制文件（一定要用管理员帐号登录 受限用户是不能更改权限的） 复制好后查看一下移动硬盘上刚刚复制的文件的用户权限 里面应该有那台电脑上的管理员帐号的权限存在（默认本身就有的 不要手动去改权限） 然后再回到自己电脑上 看刚刚复制的文件上有没有出现SID标识的不存在用户

鹤冲天

那是不是可以这么理解，只要是NTFS分区，格盘从做后，都会有这样的问题/？？

EnsonKing

原帖由 鹤冲天 于 2007-9-13 11:03 PM 发表
郁闷的是，在逻辑驱动器上没有这个用户，要删除要一个一个文件夹那样删除。痛苦啊！

那我也没办法了 用cacls命令好像也不能直接修改 实在不行就不要删了 反正留着也没什么大碍

原帖由 鹤冲天 于 2007-9-13 11:03 PM 发表
在有，我实在想不通为什么会遗留下上次系统的用户呢？？
兄可知道什么操作肯定会留下？！偶没操作什么啊！

是这样的 如果你的注册表中有这个SID 那么说明是当前系统的用户删除后留下的 但是 你的注册表中没有 所以并非当前系统的（手动删除注册表中该SID的除外:L ） 另外 从其他机器上复制过来的文件也可能保留相关的用户权限 不过同时还要满足相关的存储设备都是NTFS文件系统的分区 至于什么操作会留下 我所知道的 只要单独修改过权限的一般都会留下 还有管理员帐号的权限好像不修改也会留下来（这个不是很确定）

鹤冲天

原帖由 EnsonKing 于 2007-9-13 02:25 PM 发表
只要你设置了从父项继承权限项目 那么在该分区上删除此用户就可以了

郁闷的是，在逻辑驱动器上没有这个用户，要删除要一个一个文件夹那样删除。痛苦啊！
在有，我实在想不通为什么会遗留下上次系统的用户呢？？
兄可知道什么操作肯定会留下？！偶没操作什么啊！

EnsonKing

只要你设置了从父项继承权限项目 那么在该分区上删除此用户就可以了

隐藏的用户可以同时在net命令下以及用户管理器中隐藏（注册表中可以查到） 而要得到权限 只要赋予相关用户组就可以 所以也可以不在安全选项卡中出现

濁酒半壺

不好意思我没有和过个版本的，我还以为是GHO版的，:L
不是GHO版的哪可能是其他原因，

鹤冲天

原帖由 zgzxp 于 2007-9-12 08:21 PM 发表
这个在多系统中很常见的了
不过楼主有心了

可俺是单系统:L
如果PE也算的话偶但是多系统！呵呵！！

鹤冲天

原帖由 EnsonKing 于 2007-9-12 04:09 PM 发表
基本可以肯定是原来的系统遗留的 而且是原来系统的管理员帐号 因为你重装系统的时候只是格式化了系统分区 其他分区（NTFS）的用户权限还是保留的
总之  这样的用户在当前系统是不存在的 放心删吧 没问题的 真正 ...

偶也极度怀疑是原系统的问题，但是自己解释不通，为什么会遗留下来？
删除？！嘿嘿。兄可有批量删除的方法？一个一个删就累死了！！:L

1. 真正隐藏的用户你是看不到的

复制代码

这句兄是虾米意思？是说在安全中不会显示？还是......

鹤冲天

原帖由 濁酒半壺 于 2007-9-12 09:50 AM 发表
你的问题就是用的GHOST版本的XP的问题，
哪个SID是在制作GHO文件前生成的，因为没有用工具删除他才会留下哪个用户，你如果想用安全点的XP最好用原版 手工安装，或是用原版的手工集成个自己的XP安装盘，（我就是 ...

感谢兄弟的回复，偶从来不用GHOST版本的系统，偶还没那么懒，呵呵！！
偶用的是红叶的那个半原创
【半原创】深度XP5.7纯净、安全版！
http://bbs.wuyou.net/forum.php?mod=viewthread&tid=107807&highlight=%2Bemca
之所以用这个那到是因为懒，呵呵。

1. 系统外壳对Autorun病毒免疫，用此重装系统后，根本不可能再重新自动激活其他磁盘中的Autorun型病毒；

复制代码

偶懒的自己改这个！

[ 本帖最后由 鹤冲天 于 2007-9-12 09:39 PM 编辑 ]

鹤冲天

回15楼，那个SID不是偶现在系统的SID，一楼图上有！

zgzxp

这个在多系统中很常见的了
不过楼主有心了

EnsonKing

基本可以肯定是原来的系统遗留的 而且是原来系统的管理员帐号 因为你重装系统的时候只是格式化了系统分区 其他分区（NTFS）的用户权限还是保留的
总之  这样的用户在当前系统是不存在的 放心删吧 没问题的 真正隐藏的用户你是看不到的

濁酒半壺

你的问题就是用的GHOST版本的XP的问题，
哪个SID是在制作GHO文件前生成的，因为没有用工具删除他才会留下哪个用户，你如果想用安全点的XP最好用原版 手工安装，或是用原版的手工集成个自己的XP安装盘，（我就是在论坛学习了知识后自己集成安装盘的，我心眼小怕别人的不安全 @^_^！）哪样就不会有隐藏用户和后门了，不过微软留下的后门，什么方法也解决不了，;P

jdssong

用whoami /user命令看看你的sid是什么和注册表对照一下，一样的话应该没问题，不同的话是不是红叶修改了什么。看lz的贴图这个sid应该是admin帐户

[ 本帖最后由 jdssong 于 2007-9-12 08:54 AM 编辑 ]

鹤冲天

什么意思？
全盘都格了？
GO回去在看看？

netwinxp

全格了，用DOS GHOST再看看

鹤冲天

偶装的是红叶修改的DEEPINV5.7应该不会的，有也应该能查到啊！偶什么都没查到·？

netwinxp

你装哪个版本的XP？有好几个版本的有后门