详解Windows隐藏账户的常规手法及原理

2019-08-12 14:25:21 admin

一、前言


之前对这几种手法也做过了解,但并未对其注册表进行过研究,最近在学习Windows的安全基础,打算提升一下自己基础知识。


二、Windows注册表简介


概念:注册表是Windows在win95/98系统开始引入的一种核心数据库,里面存放着各类的配置信息、参数等、直接控制着系统的启动、硬件的装载及Windows程序的运行。


结构:注册表由键、子键和值组成,一个键就是一个文件夹,子键可以理解为一个键的子目录,一个值则是一个键的当前定义,由名称、数据类型、及分配的值组成。


Windows注册表简介:Windows默认自带五个根键,win R进入运行会话框,输入regedit进入注册表编辑器。



下面简单介绍下几个根键的作用

HKEY_CLASSES_ROOT:

HKEY_CLASSES_ROOT是应用程序运行时必需的信息,包括扩展名和关联、所有的驱动程序名称、类的ID数字(所要存取项的名字用数字来代替)、用于应用程序和文件的图标。

HKEY_CURRENT_USER:

HKEY_CURRENT_USER管理系统当前的用户信息。在这个根键中保存了本地计算机中存放的当前登录的用户信息,包括用户登录用户名和暂存的密码。在用户登录Windows时,其信息从HKEY_USERS(另一个根键)中相应的项拷贝到HKEY_CURRENT_USER中。

HKEY_LOCAL_MACHINE:


HKEY_LOCAL_MACHINE保存了注册表里的所有与这台计算机有关的配置信息。

HKEY_USERS:


HKEY_USERS仅包含了缺省用户设置和登录用户的信息。虽然它包含了所有独立用户的设置,但在用户未登录时用户的设置是不可用的。这些设置告诉系统哪些图标会被使用,什么组可用,哪个开始菜单可用,哪些颜色和字体可用,和控制面板上什么选项和设置可用。

HKEY_CURRENT_CONFIG:


HKEY_CURRENT_CONFIG包括了系统中现有的所有配置文件的细节。它与HKEY_LOCAL_MACHINE的不同之处是它的改变不会涉及到多个注册表信息的改变。


具体细节的内容自行百度。


三、常见的账户隐藏手法。


命令行隐藏手法


优点:简单、快捷、不需要花里胡哨的东西。一条命令搞定。

缺点:只限于不被cmd命令行模式发现用户,容易被稍有经验的人发现

方法:net user 用户名$ /add



创建成功。




命令行下不易被发现。



图形化控制面板,发现admin$用户



注册表隐藏手法

优点:不易被发现。

缺点:注册表可见。


继续用上面的admin$账户进行演示,创建后注册表里会有对应的账户信息。

首先进入注册表regedit



找到根键名为HKEY_LOCAL_MACHINE的键,右键子键SAM下的sam,给用户配置权限,全部勾选。



继续找到HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers 展开,

HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames,这里简单介绍下这两个键的作用。


Names里存放的子键是和Users里的子键一一对应的,如Names里的Administrator,点击后会出现0xF4的注册表,那么Users里也会有相同命名的子键。如下图



接下来我们导出一下我们刚才导出admin$用户的注册表,我命名为admin$.reg



继续导出对应的Names里的03f7,命名为0X3f7



导出administrator用户对应的的注册表01F4,命名为adminis.reg。如下



这时候,删除刚才创建的用户,admin$用户(net user发现不了,但可以删除)如下图;



Lusrmgr.msc进入图形化界面看下,已经没了,如下



先介绍下,比如导出来的admin$的注册表文件。



对应的admin$用户导出的0x3F7.reg   

        


接下来复制administrator的注册表文件(导出的adminis.reg)里的用户名到0x3F7.reg里相应位置,保存0x3F7.reg。



这时候adminis.reg可以删除了。依次双击admin$.reg、0x3F7.reg,即可,注册表里已经出现admin$的注册表。



检查一下,net user ,没有发现。



图形化看下,也没有。



注销下登陆尝试,这里分享一个思路:可以建个administrator的用户名来迷惑管理员。



遇到有经验的运维怎么办?往下看。

超级隐藏账户。

优点:图形化、命令行、注册表都不可见。

缺点:杀软能检测出。(办法自己想)


继续接上,已经建立好的注册表影子账户如何隐藏?

这里用到一款工具rootkit,这里不在放工具,百度一大把,进入正题。

首先把两个文件放到桌面,如下



编辑ini文件

 


然后保存,双击exe文件,发现一起消失了,查看注册表、命令行、图形化。都没有,注销验证,登陆。



登陆成功



Ok,基本的过程大概就是这样的,如果有错误欢迎相互学习讨论。谢谢。

服务热线

17884544032

公司地址

安徽省合肥市蜀山区鑫鹏大厦

作息时间

周一至周五 9:00-18:00