增添影子账号
(0)

所谓的影子账号就是创建一个跟主题一模一样但是在 net user 等等看不到的地方,只能在注册表中看到

首先打开 CMD 窗口,然后输入net user suibianxie$ 123456 /add
这里用户名可以随便写,别忘了加美元符 就好,这样当你再 net user 的时候就看不到啦~
a1e6169eee67b3fae401b0e027b2e0b.png

但是呢,你在控制面板->用户控制这里头还是可以看到用户的:
6316695b5581ce0a787dad06e31d1ad.png

那怎么继续隐藏的?这个问题问得好:)
win+R 输入 regedit 打开注册表
然后如下,找到 “HKEY_LOCAL_MACHINESAMSAM” --> 右键--> 选择权限 --> 选择完全控制 --> 应用 --> 确定
4b76b9c9d0e37a26c91cdac92598cee.png
7c45d56a534a2daab6a29b297e52148.png
2c013b64a7d51d8ccf24b5b7f07dfe8.png

重新打开注册表 regedit 会发现多了一些东西:
71692cf1230ece0f8781337a5a28ef4.png

继续选择 “HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames” 处,双击刚刚创建的 suibianxie$ 可以看到:
188d7a7f3aba26d9ac58656ee5abe77.png

同时也可以知道 Administrator 的什么:
f695800a032eab7d97ac50ee6b1255e.png

我们把对应着 Administrator 的 000001F4 文件夹中的 F 值复制,复制到 000003EC 的 F 值中
164ec1e35d4bf5c045133fe1952a4a2.png

随后将 000003EC 和 suibianxie$ 导出,这里我导出到了桌面:
183d5952160af093c22a92c8423749c.png

将注册表中的 suibianxie$ 和 000003EC 删除,然后分别双击刚刚导出的 .reg 注册表文件,注意命名的时候 $ 不要丢,然后关闭注册表,你会发现:
0982bbb5650514e8fd9535dff28af72.png
刚刚创建的账户不存在了,只要在注册表中才看得见这个账号

可使用 D盾_web查杀工具 来发现,或者偶尔直接到注册表看一看:)不亏

本文为作者HD_More发布,未经允许禁止转载!
上一篇 下一篇
评论
暂无评论 >_<
加入评论