怎么查找windows系统中是否有隐藏的账号
老眼 2018-01-31 12:47:15
分 享


背景简介


电脑被黑,电脑中毒等都有可能存在一个被黑客创建的一个隐藏的系统账号的后门。黑客一般会采取两种方法,在服务器系统中创建隐藏账号,一是通过修改注册表生成隐藏账号,二是直接使用“$”符号生成隐藏账号


检查方法


1、对于直接通过$符号生成的隐藏账号,我们可以通过以下方式进行查看


(1)dos命令行窗口执行 net localgroup administrators 命令查看管理员组中的成员信息


net localgroup administrators


注意:当然黑客创建的隐藏账号通常存在于administrators组,因为权限高。单也不仅仅限于该组中,你也可以查看其它组的成员信息


(2)直接通过windows自带的用户管理窗口查看隐藏账号


计算机---右键 管理---本地用户和组---用户



2、对于通过系统注册表生成的隐藏账号,通常使用上面的方法是看不到的。必须进入windows系统的注册表编辑界面,才能发现这类隐藏账号


在 【运行】 中输入 regedit 打开系统注册表,找到注册表以下的位置


HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names



这里显示了所有的系统账号,我们可以比对一下方法一步骤2中的本地用户和组中的用户,多余出来的账号名称显然就是黑客偷偷创建的隐藏账号了。如果想将隐藏账号删除时,可以直接用鼠标右键单击目标账号,执行快捷菜单中的“删除”命令即可。


补充说明


为了能及时监控到隐藏账号的行踪,建议开启系统的审核功能,来追踪并切断恶意用户通过隐藏账号攻击服务器的途径。打开系统【运行】对话框,执行“gpedit.msc”命令,切换到系统组策略编辑界面,将鼠标定位到【计算机配置】--【Windows设置】--【安全设置】--【本地策略】--【审核策略】节点上,用鼠标双击目标节点下的【审核登录事件】选项,打开对应选项设置对话框,选中“成功”、“失败”选项,确认后退出设置对话框。同样地,还可以对“审核过程追踪”、“审核策略更改”等选项,进行合适的设置。设置成功后,Windows 就能自动监控所有用户账号的登录痕迹了。



本文属原创文章,转载请注明来自(www.lybbn.cn-老眼帮帮你)

吐槽一下

游客

所有吐槽
  • 暂时还没有吐槽,赶紧来吐槽!