|
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
RedHatCentOS等等.学习linux不是逛自由市场,选定版本就要静下心来学习.不要今天换版本明天要升级.这样对你没有好处。
避免黑客侵进你正在利用的Windows体系
当黑客进侵一台主机后,会千方百计回护本人的“休息功效”,因而会在肉鸡上留下各种后门来长工夫得把持肉鸡,个中利用最多的就是账户埋没手艺。在肉鸡上创建一个埋没的账户,以备必要的时分利用。账户埋没手艺可谓是最潜伏的后门,一样平常用户很难发明体系中埋没账户的存在,因而伤害性很年夜,本文就对埋没账户这类黑客经常使用的手艺举行揭密。
在埋没体系账户之前,我们有需要先来懂得一下怎样才干检察体系中已存在的账户。在体系中能够进进“命令提醒符”,把持面板的“盘算机办理”,“注册表”中对存在的账户举行检察,而办理员一样平常只在“命令提醒符”和“盘算机办理”中反省是不是有非常,因而怎样让体系账户在这二者中埋没将是本文的重点。
1、“命令提醒符”中的诡计
实在,制造体系埋没账户并非非常深邃的手艺,使用我们平常常常用到的“命令提醒符”就能够制造一个复杂的埋没账户。
点击“入手下手”→“运转”,输出“CMD”运转“命令提醒符”,输出“netuserpiao$123456/add”,回车,乐成后会显现“命令乐成完成”。接着输出“netlocalgroupadministratorspiao$/add”回车,如许我们就使用“命令提醒符”乐成得创建了一个用户名为“piao$”,暗码为“123456”的复杂“埋没账户”,而且把该埋没账户提拔为了办理员权限。
我们来看看埋没账户的创建是不是乐成。在“命令提醒符”中输出检察体系账户的命令“netuser”,回车后会显现以后体系中存在的账户。从前往的了局中我们能够看到方才我们创建的“piao$”这个账户其实不存在。接着让我们进进把持面板的“办理工具”,翻开个中的“盘算机”,检察个中的“当地用户和组”,在“用户”一项中,我们创建的埋没账户“piao$”表露无疑。
能够总结得出的结论是:这类办法只能将账户在“命令提醒符”中举行埋没,而关于“盘算机办理”则力所不及。因而这类埋没账户的办法并非很有用,只对那些大意的办理员无效,是一种进门级的体系账户埋没手艺。
2、在“注册表”中玩转账户埋没
从上文中我们能够看到用命令提醒符埋没账户的办法弱点很分明,很简单表露本人。那末有无能够在“命令提醒符”和“盘算机办理”中同时埋没账户的手艺呢?谜底是一定的,而这统统只必要我们在“注册表”中举行一番小小的设置,就能够让体系账户在二者中完整蒸发。
1、峰回路转,给办理员注册表操纵权限
在注册表中对体系账户的键值举行操纵,必要到“HKEY_LOCAL_MACHINESAMSAM”处举行修正,可是当我们离开该处时,会发明没法睁开该地方在的键值。这是由于体系默许对体系办理员赐与“写进DAC”和“读取把持”权限,没有赐与修正权限,因而我们没有举措对“SAM”项下的键值举行检察和修正。不外我们能够借助体系中另外一个“注册表编纂器”给办理员付与修正权限。
点击“入手下手”→“运转”,输出“regedt32.exe”后回车,随后会弹出另外一个“注册表编纂器”,和我们平常利用的“注册表编纂器”分歧的是它能够修正体系账户操纵注册表时的权限(为便于了解,以下简称regedt32.exe)。在regedt32.exe中离开“HKEY_LOCAL_MACHINESAMSAM”处,点击“平安”菜单→“权限”,在弹出的“SAM的权限”编纂窗口当选中“administrators”账户,鄙人方的权限设置处勾选“完整把持”,完成后点击“断定”便可。然后我们切换回“注册表编纂器”,能够发明“HKEY_LOCAL_MACHINESAMSAM”上面的键值都能够睁开了。
2、移花接木,将埋没账户交换为办理员
乐成失掉注册表操纵权限后,我们就能够正式入手下手埋没账户的制造了。离开注册表编纂器的“HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames”处,以后体系中一切存在的账户城市在这里显现,固然包含我们的埋没账户。点击我们的埋没账户“piao$”,在右侧显现的键值中的“范例”一项显现为0x3f0,向下去到“HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers”处,能够找到“000003f0”这一项,这二者是互相对应的,埋没账户“piao$”的一切信息都在“000003f0”这一项中。一样的,我们能够找到“administrator”账户所对应的项为“000001F4”。
将“piao$”的键值导出为piao$.reg,同时将“000003f0”和“000001F4”项的F键值分离导出为user.reg,admin.reg。用“记事本”翻开admin.reg,将个中“F”值前面的内容复制上去,交换user.reg中的“F”值内容,完成后保留。接上去进进“命令提醒符”,输出“netuserpiao$/del”将我们创建的埋没账户删除。最初,将piao$.reg和user.reg导进注册表,至此,埋没账户制造完成。
3、不知恩义,割断删除埋没账户的路子
固然我们的埋没账户已在“命令提醒符”和“盘算机办理”中埋没了,可是有履历的体系办理员仍大概经由过程注册表编纂器删除我们的埋没账户,那末怎样才干让我们的埋没账户固若金汤呢?
翻开“regedt32.exe”,离开“HKEY_LOCAL_MACHINESAMSAM”处,设置“SAM”项的权限,将“administrators”所具有的权限全体作废便可。认真正的办理员想对“HKEY_LOCAL_MACHINESAMSAM”上面的项举行操纵的时分将会产生毛病,并且没法经由过程“regedt32.exe”再次付与权限。如许没有履历的办理员即便发明了体系中的埋没账户,也是迫不得已的。
三.公用工具,使账户埋没一步到位
固然依照下面的办法能够很好得埋没账户,可是操纵显得对照贫苦,其实不合适老手,并且对注册表举行操纵伤害性太高,很简单形成体系溃散。因而我们能够借助专门的账户埋没工具来举行埋没事情,使埋没账户不再坚苦,只必要一个命令就能够弄定。
我们必要使用的这款工具名叫“HideAdmin”,下载上去后解压到c盘。然后运转“命令提醒符”,输出“HideAdminpiao$123456”便可,假如显现“CreateahidenAdministratorpiao$Successed!”,则暗示我们已乐成创建一个账户名为piao$,暗码为123456的埋没账户。使用这款工具创建的账户埋没效果和上文中修正注册表的效果是一样的。
4、把“埋没账户”请出体系
埋没账户的伤害可谓非常伟大。因而我们有需要在懂得了账户埋没手艺后,再对响应的提防手艺作一个懂得,把埋没账户完全请出体系
1、增加“$”标记型埋没账户
关于这类埋没账户的检测对照复杂。一样平常黑客在使用这类办法创建完埋没账户后,会把埋没账户提拔为办理员权限。那末我们只必要在“命令提醒符”中输出“netlocalgroupadministrators”就能够让一切的埋没账户现形。假如嫌贫苦,能够间接翻开“盘算机办理”举行检察,增加“$”标记的账户是没法在这里埋没的。
2、修正注册表型埋没账户
因为利用这类办法埋没的账户是不会在“命令提醒符”和“盘算机办理”中看到的,因而能够到注册表中删除埋没账户。离开“HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames”,把这里存在的账户和“盘算机办理”中存在的账户举行对照,多出来的账户就是埋没账户了。想要删除它也很复杂,间接删除以埋没账户定名的项便可。
3、没法看到称号的埋没账户
假如黑客制造了一个修正注册表型埋没账户,在此基本上删除办理员对注册表的操纵权限。那末办理员是没法经由过程注册表删除埋没账户的,乃至没法晓得黑客创建的埋没账户称号。不外世事没有相对,我们能够借助“组战略”的匡助,让黑客没法经由过程埋没账户上岸。点击“入手下手”→“运转”,输出“gpedit.msc”运转“组战略”,顺次睁开“盘算机设置”→“Windows设置”→“平安设置”→“当地战略”→“考核战略”,双击右侧的“考核战略变动”,在弹出的设置窗口中勾选“乐成”,然后点“断定”。对“考核上岸事务”和“考核历程追踪”举行不异的设置。
4、开启上岸事务考核功效
举行上岸考核后,能够对任何账户的上岸操纵举行纪录,包含埋没账户,如许我们就能够经由过程“盘算机办理”中的“事务检察器”正确得知埋没账户的称号,乃至黑客上岸的工夫。即便黑客将一切的上岸日记删除,体系还会纪录是哪一个账户删除体系日记,如许黑客的埋没账户就表露无疑了。
5、经由过程事务检察器找到埋没帐户
得知埋没账户的称号后就好办了,可是我们仍旧不克不及删除这个埋没账户,由于我们没有权限。可是我们能够在“命令提醒符”中输出“netuser埋没账户称号654321”变动这个埋没账户的暗码。如许这个埋没账户就会生效,黑客没法再用这个埋没账户上岸。
安装和登录命令:login、shutdown、halt、reboot、mount、umount、chsh |
|
|Archiver|手机版|仓酷云
鄂ICP备14007578号-2
发表于 2015-1-16 16:20:57
收藏
转播
分享
淘帖
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜