消滅永遠(yuǎn)不會(huì)被殺毒軟件查殺的Windows后門(mén)

Win7之家（ afsion.com.cn）：消滅永遠(yuǎn)不會(huì)被殺毒軟件查殺的Windows后門(mén)

黑客在入侵目標(biāo)后，通常會(huì)在目標(biāo)電腦上留下后門(mén)，以便長(zhǎng)期控制這臺(tái)電腦�？墒呛箝T(mén)終歸是黑客工具，是殺毒軟件的查殺目標(biāo)之一，可能殺毒軟件升級(jí)后后門(mén)就被刪除了。但是有一種后門(mén)是永遠(yuǎn)不會(huì)被殺毒軟件查殺的，就是隱藏的系統(tǒng)克隆帳戶。

　　★軟媒小編提示：

　　克隆帳戶是最隱蔽的后門(mén)

　　在Windows中（XP、Vista、Windows7等均如此），每一個(gè)帳戶在注冊(cè)表中都有對(duì)應(yīng)的鍵值，這個(gè)鍵值影響著該帳戶的權(quán)限。當(dāng)黑客在注冊(cè)表中動(dòng)手腳復(fù)制鍵值后，就可以將一個(gè)用戶權(quán)限的帳戶克隆成具有管理員權(quán)限的帳戶，并且將這個(gè)帳戶進(jìn)行隱藏。隱藏后的帳戶無(wú)論是在“用戶管理”還是“命令提示符”中都是不可見(jiàn)的。因此一般的計(jì)算機(jī)管理員很少會(huì)發(fā)現(xiàn)隱藏帳戶，危害十分巨大。

　　用命令行模式添加帳戶

　　點(diǎn)擊“開(kāi)始”→“運(yùn)行”，輸入“cmd”運(yùn)行“命令提示符”，輸入如下命令：net user test$ /add并回車(chē)，這樣就可以在系統(tǒng)中建立一個(gè)名為test$的帳戶。繼續(xù)輸入：net localgroup administrators test$ /add并回車(chē)，這樣就可以把test$帳戶提升到管理員權(quán)限。

　　● 添加一個(gè)隱藏帳戶

　　點(diǎn)擊“開(kāi)始”→“運(yùn)行”（Win7中可以在開(kāi)始菜單的搜索框里面輸入regedt32或者regedit），輸入“regedt32.exe”后回車(chē)，彈出“注冊(cè)表編輯器”。在regedt32.exe中來(lái)到“HKEY_LOCAL_MACHINE\SAM\SAM”處——

　　點(diǎn)擊“編輯”菜單→“權(quán)限”，在彈出的“SAM的權(quán)限”編輯窗口中選“administrators”帳戶，在下方的權(quán)限設(shè)置處勾尋完全控制”，完成后點(diǎn)擊“確定”即可。

　　● 設(shè)置注冊(cè)表操作權(quán)限

　　在“運(yùn)行”中輸入“regedit.exe”運(yùn)行“注冊(cè)表編輯器”，定位到“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\AccountUsers\Names”處，點(diǎn)擊隱藏帳戶“test$”，在右邊顯示的鍵值中的“類(lèi)型”一項(xiàng)顯示為0x404，向上來(lái)到“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\AccountUsers”處，可以找到“00000404”這一項(xiàng)，這兩者是相互對(duì)應(yīng)的，隱藏帳戶“test$”的所有信息都在“00000404”這一項(xiàng)中。同樣的，我們可以找到“administrator”帳戶所對(duì)應(yīng)的項(xiàng)為“000001F4”。

　　將“test$”的鍵值導(dǎo)出為test$.reg，同時(shí)將“00000404”和“000001F4”項(xiàng)的F鍵值分別導(dǎo)出為user.reg，admin.reg。用“記事本”打開(kāi)admin.reg，將其中“F”值后面的內(nèi)容復(fù)制下來(lái)，替換user.reg中的“F”值內(nèi)容，完成后保存

　　● 查找隱藏帳戶對(duì)應(yīng)鍵值

　　在“命令提示符”中輸入“net user test$ /del”命令，將我們建立的隱藏帳戶刪除。別緊張，這一步只是刪除了隱藏帳戶的“空殼”，就像入侵后清理痕跡一樣，做好的隱藏帳戶是不會(huì)發(fā)生改變的。最后，我們雙擊test$.reg和user.reg這兩個(gè)注冊(cè)表文件，將它們導(dǎo)入到注冊(cè)表中就大功告成了。