Windows XP Windows 7 Windows 2003 Windows Vista Windows教程綜合 Linux 系統教程
Windows 10 Windows 8 Windows 2008 Windows NT Windows Server 電腦軟件教程
 Windows教程網 >> Windows教程綜合 >> 系統常見問題解答 >> 五大策略清除黑客的克隆賬戶

五大策略清除黑客的克隆賬戶

日期:2017/4/18 11:45:27      編輯:系統常見問題解答

  我們的電腦一旦被黑客入侵成功,他們便會留下後門通道以便能長期控制我們的電腦。雖然我們日常的殺毒軟件能起到一定的查殺功效,但是仍舊有一種後門是無法被殺毒軟件發覺的,這個後門便是隱藏的系統克隆賬戶,而這個克隆賬戶危害結果是非常嚴重的,因此,我們便著重為大家分享清除該克隆賬戶的五大策略。

  ●什麼是克隆賬戶?

  克隆帳戶是最隱蔽的後門在Windows中,每一個帳戶在注冊表中都有對應的鍵值,這個鍵值影響著該帳戶的權限。當黑客在注冊表中動手腳復制鍵值後,就可以將一個用戶權限的帳戶克隆成具有管理員權限的帳戶,並且將這個帳戶進行隱藏。隱藏後的帳戶無論是在“用戶管理”還是“命令提示符”中都是不可見的。因此一般的計算機管理員很少會發現隱藏帳戶,危害十分巨大。

  ●用命令行模式添加帳戶

  點擊“開始”→“運行”,輸入“cmd”運行“命令提示符”,輸入如下命令:net user test$ /add並回車,這樣就可以在系統中建立一個名為test$的帳戶。繼續輸入:net localgroup administrators test$ /add並回車,這樣就可以把test$帳戶提升到管理員權限。

  ●添加一個隱藏帳戶

  Step 01點擊“開始”→“運行”,輸入“regedt32.exe”後回車,彈出“注冊表編輯器”。在regedt32.exe中來到“HKEY_LOCAL_MACHINESAMSAM”處,點擊“編輯”菜單→“權限”,在彈出的“SAM的權限”編輯窗口中選“administrators”帳戶,在下方的權限設置處勾尋完全控制”,完成後點擊“確定”即可。

  ●設置注冊表操作權限

  Step 02在“運行”中輸入“regedit.exe”運行“注冊表編輯器”,定位到“HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames”處,點擊隱藏帳戶“test$”,在右邊顯示的鍵值中的“類型”一項顯示為0x404,向上來到“HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers”處,可以找到“00000404”這一項,這兩者是相互對應的,隱藏帳戶“test$”的所有信息都在“00000404”這一項中。同樣的,我們可以找到“administrator”帳戶所對應的項為“000001F4”。

  Step 03將“test$”的鍵值導出為test$.reg,同時將“00000404”和“000001F4”項的F鍵值分別導出為user.reg,admin.reg。用“記事本”打開admin.reg,將其中“F”值後面的內容復制下來,替換user.reg中的“F”值內容,完成後保存

  ●查找隱藏帳戶對應鍵值

  Step 04在“命令提示符”中輸入“net user test$ /del”命令,將我們建立的隱藏帳戶刪除。別緊張,這一步只是刪除了隱藏帳戶的“空殼”,就像入侵後清理痕跡一樣,做好的隱藏帳戶是不會發生改變的。最後,我們雙擊test$.reg和user.reg這兩個注冊表文件,將它們導入到注冊表中就大功告成了。

  一般情況下我們更多地會依賴殺毒軟件來維護我們的系統安全,而有些病毒是殺毒軟件也無法查殺的,比如我們今天所說的克隆賬戶。如果你的電腦被攻擊過一次,那可不能掉以輕心了,趕緊運用以上的五大策略來清除黑客隱藏在我們系統中的賬戶,打造系統安全。

Copyright © Windows教程網 All Rights Reserved