2003 Server下隐藏帐号的建立

简介

　　前段时间在帮客户处理一台服务器的安全问题时，发现该服务器被人远程***了，并且在系统中加入了隐藏帐户。可能是***人员的技术问题，虽然加入了隐藏帐户却使得系统的“用户管理”面板打开异常。为了防止再出现类似的问题，特重新测试了在2003 Server系统下建立及检测隐藏帐户的方法。

　　影子账户，顾名思义就是隐藏的账户，在“控制面板-用户账户”里面是看不见，但却有管理员权限的账户。

　　整个操作过程已用视频记录，如果查看本文仍有不清楚之处，可下载该视频：http://down.51cto.com/data/142363。

操作方法

查看系统帐户

　　以正常的管理员用户进入系统，查看系统中所有帐户，如下图所示。可以看到正常情况下操作系统的所有已启用和禁用的帐户。

查看注册表中帐户的对应关系

　　系统中账户的信息存储在注册表HKEY_LOCAL_MACHINE\SAM\SAM键中，正常情况下用户（包括管理员）是无法查看其中的内容的。如下图所示。

　　通过给该键值赋予控制权限，可以使相应帐户能正常查看该键值的内容，如下图所示。其中domains下包括Users键值和Names键值，其中Names键值中的内容对应相应的帐户（如administrator），帐户下的键值(0X1F4)对应Users中的值（000001F4），该值下的F键和V键代表帐户及权限。

增加帐户

　　在命令行方式下用“net user”命令增加测试用户，如下图所示。

导出测试账户的注册表键值

　　增加测试账户后，在注册表中找到测试用户及键值并导出该键值。如下图所示。

删除已建立的测试账户

　　删除系统帐户后，在“用户管理”面板中将清除该用户同时注册表中的相应键值也会一并清除，如下图所示。

导入注册表键值

　　重导入先前的注册表键值，如下图所示。该键值导入后可在注册表键值中看到该用户的信息。

恢复注册表原有权限

　　用户账户导入后，为了保证效果及系统的正常，重新将注册表键值恢复到初始状态，如下图所示。

将该用户加入管理员组

　　在命令行方式下将该账户加入管理员组，使其具有管理员权限能进行系统登陆和相应的操作，如下图所示。

帐户测试

查看系统用户

　　用户添加成功并加入管理员组后，先在控制面板的“用户管理”中查看所有的用户，然后使用命令行的方式显示系统中的所有用户，同时使用帐户检测工具来查看系统中的所有用户。在对比中会发现只有检测工具可以检测到test$用户。（该检测工具将在附件中提供下载）如下图所示。

使用test$用户登陆

　　在完成以上的所有操作后，为了测试该用户是否正常添加，可以使用该用户登陆系统作检测，如下图所示。