服務器隱藏用戶的建立與查看

陳 晨

服務器隱藏用戶的建立與查看

通過操作注冊表以及工具Hacker Defender可在服務器中建立一個隱藏用戶，管理員無法通過命令“net user”或計算機管理對話框中的“本地用戶和組”或注冊表來查看，借助工具XueTr便可查看服務器中的隱藏用戶。

隱藏用戶；建立；查看；Hacker Defender；XueTr

1 建立隱藏用戶

首先，在服務器上新建一個用戶，假定用戶名為hacker$，密碼為123，可使用“net user hacker$ 123 /add”命令來創建，其中用戶名以“$”符號結尾，這樣做的好處是當管理員通過“net user”命令查看本機用戶時，無法查看到該用戶，但在計算機管理對話框中的“本地用戶和組”可查看到該用戶。

圖1 展開注冊表主鍵SAM

新建的用戶hacker$默認屬于Users組，不具有管理員權限，可以通過修改注冊表將普通用戶hacker$克隆成管理員權限，但不屬于Administrators組。打開注冊表，展開HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users，如圖1所示。在一些Windows版本中，即使擁有管理員權限也不能對注冊表中的SAM進行訪問，需要設置Administrators對SAM具有完全控制的權限。

展開HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/000001F4(即用戶名為Administrator的主鍵分支)，雙擊其鍵值項“F”并復制鍵值數據，進入用戶名為hacker$的主鍵分支(即HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/000003EE)，將其鍵值項“F”的鍵值數據替換成剛才復制Administrator的“F”鍵值數據，此時用戶hacker$就被克隆成管理員權限了。

接著，分別將HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/Names/hacker$和HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/000003EE 導出，導出完畢后，使用“net user hacker$ /delete”命令將用戶hacker$刪除，然后合并剛才導出的2個注冊表文件，此時，利用“net user”命令或計算機管理對話框中的“本地用戶和組”均查看不到用戶hacker$的存在，但在注冊表中可查看到，如何做到在注冊表中也無法查看呢？辦法就是隱藏注冊表中該用戶的相關主鍵信息，利用工具Hacker Defender便可實現。

Hacker Defender 是一款內核級后門軟件，通過該軟件可隱藏文件、進程、系統服務、注冊表的鍵和鍵值、系統驅動和端口等[1]，該軟件解壓后，由如圖2所示的文件組成。

圖2 Hacker Defender的文件組成

修改配置文件hxdef084.ini，在“[Hi:dden R“/”?egKeys]”與“/”“[Hid:den/gt; :RegValues]”之間輸入用戶hacker$的用戶名(即hacker$)及其對應的主鍵(即OOOO3EE)，如圖3所示。最后，雙擊運行文件hxdef084.exe，運行完畢后，可發現注冊表中的 HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/Names/hacker$ 和 HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/000003EE 均自動隱藏了，如圖4所示。這樣，便在服務器中創建了隱藏用戶hacker$，管理員無法通過命令“net user”或計算機管理對話框中的“本地用戶和組”查看，也無法通過注冊表來查看。

圖3 修改配置文件hxdef084.ini

圖4 注冊表鍵值被隱藏

2 查看隱藏用戶

圖5 顯示被隱藏的注冊表項

倘若服務器中存在諸如上述hacker$這樣的隱藏用戶，管理員該如何查看呢？可用借助工具XueTr來查看。XueTr是一款比冰刃(IceSword)更為優秀的手工殺毒輔助工具，具有查看和管理系統隱藏進程、驅動模塊、內核鉤子、啟動項和注冊表等功能，XueTr支持 Win XP/Vista/2003/win7等主流操作系統，冰刃不支持win7。

XueTr具有注冊表管理功能，即完全顯現隱藏的注冊表鍵值、獲取任意注冊表鍵值的最高權限等；打開工具XueTr，如圖5所示，可看到注冊表中被隱藏的HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users /Names/hacker$ 和 HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/000003EE，由此可見，服務器中存在隱藏用戶hacker$。

3 結 語

入侵者可以通過在服務器中建立后門賬號以達到長期控制的目的，作為服務器的管理員，可以通過查看注冊表或利用工具MT、AIO等來檢測系統中是否存在克隆賬號，以做到服務器的安全。

[1]鄧吉.黑客攻防實戰詳解[M].北京：電子工業出版社，2006.

[編輯] 洪云飛

TP393

A

1673-1409(2012)05-N145-02

10.3969/j.issn.1673-1409(N).2012.05.048

2012-02-23

陳晨(1987-)，女，2008年大學畢業，碩士生，現主要從事計算機應用方面的研究工作。