漫畫影子賬戶

何謂“影子賬戶”?

系統(tǒng)由于存在漏洞或者因密碼被破解而被黑客入侵后，黑客為了方便自己下一次進(jìn)來(lái)，通常會(huì)留下一個(gè)比較特殊的賬戶，之所以特殊，是因?yàn)檫@種賬戶用系統(tǒng)中提供的工具或方法都無(wú)法看到，并且無(wú)論是“用戶賬戶”、“計(jì)算機(jī)管理”，還是命令行中，都無(wú)法刪除此賬戶。一般來(lái)說(shuō)，它是依附于系統(tǒng)內(nèi)置的默認(rèn)管理員賬戶——Administrafor而存在的，就好像是Administrator賬戶的影子一樣，因此人們給它起了個(gè)形象的名字——影子賬戶。

建立一個(gè)影子賬戶

第一步：?jiǎn)螕簟伴_始/運(yùn)行”，在運(yùn)行對(duì)話框內(nèi)輸入regedit.exe，然后回車打開“注冊(cè)表編輯器”，定位到[HKEY_I_DCAL_MACHNE\\SAM\\SAM]，右擊SAM項(xiàng)，選擇“權(quán)限”，打開“SAM的權(quán)限”窗口，選中“組或用戶名稱”列表中的“Administmtom”，勾選“完全控制”選項(xiàng)(如圖1)，最后單擊“確定”。

第二步：按下F5快捷鍵刷新一下注冊(cè)表。就會(huì)發(fā)現(xiàn)可以打開該項(xiàng)的下級(jí)分支了，找到[HKEY_LOCAL_MACHINE\\SAM\\SAMt\\Domains\\Accotmt\\Userst\\Names]，其下的子項(xiàng)就是系統(tǒng)中的賬戶名。

第三步：選中[HKEY_LOCAL_MACHINE\\SAM\\SAM\\Domains\\Account\\Users\\Names\\Administrator]項(xiàng)并右擊之，選擇“導(dǎo)出”，保存為ZhangHu.reg，并用記事本打開，將其中的Administrator替換為影子賬戶的名稱，如Computer，退出并保存，最后雙擊導(dǎo)人注冊(cè)表。

這樣，就創(chuàng)建好了一個(gè)影子賬戶，注銷系統(tǒng)并以“Computer”為用戶名重新登錄，使用Administrator賬戶的密碼，就可以重新登錄系統(tǒng)了。

如何找出并刪除影子賬戶

可以通過(guò)注冊(cè)表建立一個(gè)影子賬戶，當(dāng)然也可以通過(guò)查看注冊(cè)表的方式來(lái)查一下系統(tǒng)是否被黑客偷偷建立了影子賬戶，具體方法如下：

第一步：打開“注冊(cè)表編輯器”，定位到[HKEY_LOCAL_MACHINE\\SAM\\SAM\\Domains\\Account\\Users\\Names\\Administrafor]，查看并記錄下該項(xiàng)的默認(rèn)值(如圖2)。

第二步：檢查[HKEY_LOCAL_MACHINE\\SAM\\SAM\\Domains\\Accounf\\Users\\Names]下的所有子項(xiàng)的默認(rèn)值是否和圖2所示的默認(rèn)值相同，如果某個(gè)子項(xiàng)不同，那么可能黑客已經(jīng)在你的系統(tǒng)中建立了一個(gè)影子賬戶，我們要將這個(gè)子項(xiàng)刪除，切斷黑客入侵的通道。

如何預(yù)防黑客建立影子賬戶

我們知道，無(wú)論是建立還是刪除影子賬戶，都要修改注冊(cè)表，只要禁止修改注冊(cè)表，就可以達(dá)到預(yù)防影子賬戶的目的，具體的操作步驟如下：

打開“注冊(cè)表編輯器”，定位到[HKEY_LOCAL_MACHINE\\SAM\\SAM]，右擊SAM項(xiàng)，選擇“權(quán)限”，打開“SAM的權(quán)限”窗口，單擊“高級(jí)”命令按鈕，在“SAM的高級(jí)安全設(shè)置”窗口中，選中Administrator，再單擊“編輯”命令按鈕，打開“SAM的權(quán)限項(xiàng)目”窗口，勾選“查詢數(shù)值”、“枚舉子項(xiàng)”、“讀取控制”，最后單擊“確定”。經(jīng)過(guò)這樣的設(shè)置，黑客無(wú)法往注冊(cè)表的相關(guān)分支寫入數(shù)據(jù)，當(dāng)然也就無(wú)法建立影子賬戶了。