註冊表是Windows的核心部分,相當於系統設置的總數據庫,幾乎所有與系統設置相關的選項都可以在裏面找到對應的鍵值。2005年第二期《保留Roots備份Windows密碼》提供了壹種移植Windows 2000/XP/2003賬號密碼的方法。其實[HKEY_LOCAL_MACHINE\SAM\SAM]還是很有潛力的。
第壹步:由於註冊表的權限修改,您必須使用具有管理員權限的帳戶登錄系統。
步驟2:打開註冊表編輯器並找到[HKEY_LOCAL_MACHINE\
SAM\SAM],右鍵單擊該項目並選擇權限(regedt32.exe用於在Windows 2000中修改權限),在組或用戶名列表中選擇管理員,選中完全控制並單擊確定(參見圖5)。第三步:按F5刷新註冊表,妳會發現妳可以打開這個項目的下級分支。找到[HKEY_LOCAL_MACHINE\SAM\SAM。
\Domains\Account\Users\Names],其下的子項是系統中的帳戶名,這是最安全的查看方式。
2.可怕的實驗:賬戶換位
第壹步:設置cfan1和cfan2兩個賬號,設置密碼,登錄系統壹次,在“Documents and Settings”目錄下生成各自的配置文件,在註冊表中生成各自的SID值(SID值是Windows中為區分不同賬號而設計的隨機代碼,即使在同壹個系統中用相同的帳戶名新建賬號,其SID值也是不同的)。
第二步:使用系統管理員帳戶登錄系統,打開註冊表編輯器,找到[HKEY本地機器\山姆\山姆\域\
Account\Users\Names],交換賬號cfan1和cfan2的鍵名,然後退出系統,分別用cfan1和cfan2登錄。原密碼已過期,但您可以在交換他們的密碼後正常登錄。第三步:使用cfan1登錄後,發現當前使用的用戶配置文件屬於cfan2,除了用戶名改為cfan1外,其他所有數據(密碼、用戶設置等。)屬於cfan2。但是用cfan2登錄正好相反,只是用戶名不同,是cfan1。
結論:[HKEY本地計算機\薩姆\薩姆\域\帳戶\
Users\Names]下的每個子項相當於壹把可以打開用戶配置文件“保險箱”的“鑰匙”,而[HKEY_LOCAL_MACHINE\SAM\SAM\
Domains\Account\Users]下的其他子項(Names項除外)是用戶數據實際記錄的位置,復制影子賬戶相當於給同壹個用戶數據“保險箱”分配了兩把鑰匙,其中任何壹把都可以用來打開“保險箱”。
技巧
【HKEY _ local _ machine \ Sam \ domains \ account \ users \ names】每個子項的默認值是壹個指針,不包含用戶的數據,其值與【HKEY _ local _ machine \ Sam \ domains \ account \ users】下的壹個子項的值相同。也就是說,它指向保存用戶數據的子項,比如[HKEY _本地_機器\薩姆\薩姆\域\
account \ users \ names \ Administrator的默認值是“0x1f4”(即十六進制的000001f4),那麽管理員的用戶數據在[HKEY _本地_機器\ Sam \ domains \ account \ users \ 0000065433]中。
3.做殺手:自己創建影子賬號。
第壹步:以管理員帳戶登錄系統,打開註冊表編輯器,選擇[HKEY本地機器\山姆\山姆\域\帳戶]
Users\Names\Administrator]並單擊右鍵,選擇“export”並將其另存為ad.reg
第二步:用記事本打開ad.reg,把“[HKEY _本地_機器\山姆\山姆\域\帳戶\用戶\名稱”放進去。
\Administrator]”更改為“[HKEY_LOCAL_MACHINE\SAM\SAM\
域\帳戶\用戶\名稱\ cfan],保存並雙擊導入註冊表。
第三步:註銷當前登錄的用戶,使用“cfan”作為用戶名,使用管理員的密碼登錄系統。
如果妳是黑客,無論用戶名“Administrator”改成“user123”還是“user321”,都可以用“cfan”登錄。更可怕的是,通過上面介紹的六種常規賬號檢測方法,都無法發現這個影子賬號!不過好在還是有辦法找到這個“隱形殺手”的。
技巧
使用影子帳戶登錄後進行的用戶設置和修改等同於在原始帳戶中進行的設置和修改(例如,如果使用影子帳戶修改了登錄密碼,則使用原始帳戶登錄時將使用新密碼,反之亦然)。
4.偵探鏡頭:輕松找出影子賬戶
回報他壹把是上策。既然黑客可以利用註冊表建立影子賬戶,我也可以通過註冊表找出影子賬戶。
第壹步:打開註冊表編輯器,然後點擊左邊的分支找到[HKEY _本地_機器\薩姆\薩姆\域\帳戶\用戶\
姓名\管理員],查看並記錄此項的默認值。
步驟2:檢查[HKEY_LOCAL_MACHINE\SAM\SAM\
對於Domains\Account\Users\Names]下的所有子項,如果壹個子項的默認值與剛才記錄的管理員的默認值相同,那麽這就是壹個影子帳戶。當然,妳不可能給黑客留個後門“鑰匙”,毫不猶豫地刪除。
第三步:除了管理員,黑客還可能復制其他賬號的用戶數據“保管箱”的“鑰匙”,所以需要查看【HKEY _本地_機器\薩姆\薩姆\域\賬戶\用戶\
Names]下所有子項的默認值是否相同,如果是,就要小心了。
剛才提到黑客侵入系統後往往會建立壹個影子賬戶。之所以稱之為“影子賬號”,是因為這個賬號不能被系統中提供的工具或方法看到,也不能被用戶賬號、電腦管理或命令行刪除。無法刪除?也就是說,即使妳知道有人建了後門,妳也不能把他趕出去。如果妳已經被“中招”了,不要忙著重裝系統,看下面的分解。
普通賬戶建立/查看方法
①用戶賬戶:打開控制面板→用戶賬戶,在打開的用戶賬戶管理窗口中點擊“新建賬戶”,根據提示完成新用戶的建立。在這裏還可以查看已經登錄系統的賬戶,但是在“文檔和設置”目錄中沒有生成用戶數據的賬戶不會顯示(比如沒有登錄系統的管理員賬戶)。檢查這裏系統中存在的賬戶並不難,稍有經驗的入侵者也不難抹去這裏留下的痕跡。
(2)控制臺:系統控制臺是Windows 2000及其後續版本中非常重要的系統組件,集中存放了系統中的幾個系統配置和維護工具。依次打開控制面板→計算機管理打開計算機管理控制臺,在窗口左側導航到本地用戶和組→用戶,在窗口右側列出當前系統建立的賬戶。壹些沒有顯示在用戶帳戶中的帳戶可以在這裏找到。右鍵單擊窗口的右邊並選擇“新用戶”,然後輸入帳戶信息以創建壹個新用戶。
③命令行:以上兩種方法都是圖形界面中的操作方法,現在我們回到命令行模式。要查看當前系統中的賬戶,運行CMD打開“命令提示符”窗口,輸入“net user”命令,系統將返回到系統中已有的賬戶(見圖2)。鍵入命令“net user cfan 123 /add”創建壹個新的受限帳戶,用戶名為“cfan”,密碼為“123”(即用戶組的成員)。如果要將cfan帳戶提升為管理員,需要將該帳戶添加到管理員用戶組,並運行命令“net本地組管理員cfan/add”。如果要刪除,使用“net user cfan /del”。如果想查看某個賬戶的詳細信息,可以執行“net user用戶名”。
④賬戶配置文件目錄:在系統盤符下的“文檔和設置”目錄下,所有登錄系統的賬戶都會生成壹個與此處賬戶名稱相同的目錄。
⑤查看用戶資料:打開我的電腦屬性,切換到高級,點擊用戶資料對應的設置按鈕,在彈出的用戶資料窗口中會顯示登錄系統的賬號(見圖3)。此處具有管理員權限的用戶可以刪除帳戶及其配置文件(包括受密碼保護的帳戶)。⑥巧用權限設置:在NTFS格式的分區中,如果已經取消了“文件夾選項→查看→用簡單文件保存* * *”的勾選,那麽右擊壹個文件或目錄,選擇“屬性”即可看到“安全”選項卡。對該文件/目錄有權限的用戶或組簡單地列在該選項卡中(見圖4),依次點擊添加→高級→立即查找後,系統會顯示整個系統中的“用戶、組或內置安全原則”,可以很容易地查出系統中的可疑賬戶。