入侵计算机系统是黑客的首要任务,无论采用什么手段,只要入侵到目标主机的系统中,这一台计算机就相当于是黑客的了,下面介绍入侵系统的常用手段与防御方法。
注册表是Windows系统的数据库,包含系统中非常多的重要信息,也是黑客最多关注的地方,下面就来看看黑客是如何使用注册表来更好地隐藏入侵账号的。具体操作步骤如下。
Step 01 选择“开始”→“运行”选项,打开“运行”对话框,在“打开”文本框中输入regedit,如下图所示。
Step 02 单击“确定”按钮,打开“注册表编辑器”窗口,在左侧窗口中,依次选择HKEY_LOCAL_MACHINE\SAM\SAM注册表项,右击SAM,在弹出的快捷菜单中选择“权限”选项,如下图所示。
Step 03 打开“SAM的权限”对话框,在“组或用户名”栏中选择Administrators,然后在“Administrators的权限”栏中选中“完全控制”和“读取”复选框,单击 “确定”按钮保存设置,如下图所示。
Step 04 依次选择HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\ Names注册表项,即可查看到以当前系统中的所有系统账户名称命名的子项,如下图所示。
Step 05 右击ty$项,在弹出的快捷菜单中选择“导出”选项,如下图所示。
Step 06 打开“导出注册表文件”对话框,将该项命名为ty.reg,然后单击“保存”按钮,即可导出ty.reg,如下图所示。
Step 07 按照步骤5的方法,将HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\下的000001F4和000003E9项分别导出并命名为administrator.reg和user.reg,如下图所示。
Step 08 用记事本打开administrator.reg,选中"F"=后面的内容并复制下来,然后打开user.reg,将"F"=后面的内容替换掉,如下图所示。完成后,将user.reg进行保存。
Step 09 打开“命令提示符”窗口,输入net user ty$ /del命令,按Enter键,即可将建立的隐藏账号ty$删除,如下图所示。
Step 10 分别将ty.reg和user.reg导入到注册表中,即可完成注册表隐藏账号的创建,在“本地用户和组”窗口中,也查看不到隐藏账号,如下图所示。
提示: 利用此种方法创建的隐藏账号在注册表中还是可以查看到的。为了保证建立的隐藏账号不被管理员删除,还需要对HKEY_LOCAL_MACHINE\SAM\SAM注册表项的权限取消。这样,即便是真正的管理员发现并要删除隐藏账号,系统就会报错,并且无法再次赋予权限。经验不足的管理员会束手无策。
黑客在成功入侵一台主机后,会在该主机上建立隐藏账号,以便长期控制该主机,下面介绍使用命令创建隐藏账号的具体操作步骤。
Step 01 右击“开始”按钮,在弹出的快捷菜单中选择“运行”菜单命令,打开“运行”对话框,在“打开”文本框中输入cmd,如下图所示。
Step 02 单击“确定”按钮,打开“命令提示符”窗口,在其中输入net user ty$ 123456/add命令,按Enter键,即可成功创建一个名为ty$,密码为“123456”的隐藏账号,如下图所示。
Step 03 在“命令提示符”窗口中输入net localgroup administrators ty$ /add命令,按Enter键,即可对该隐藏账号赋予管理员权限。
Step 04再次输入net user命令,按Enter键,即可显示当前系统中所有已存在的账号信息,但是却发现刚刚创建的ty$并没有显示,如下图所示。
由此可见,隐藏账号可以不被命令查看到,不过,这种方法创建的隐藏账号并不能完美被隐藏。查看隐藏账号的具体操作步骤如下。
Step 01 在桌面上右击“此电脑”图标,在弹出的快捷菜单中选择“管理”选项,打开“计算机管理”窗口,如下图所示。
Step 02 依次展开“系统工具”→“本地用户和组”→“用户”选项,这时在右侧的窗格中可以发现创建的ty$隐藏账号依然会被显示,如下图所示。
提示: 这种隐藏账号的方法并不实用,只能做到在“命令提示符”窗口中隐藏,属于入门级的系统账户隐藏技术。
隐藏账号的危害是不容忽视的,用户可以通过设置组策略,使黑客无法使用隐藏账号登录。具体的操作步骤如下。
Step 01 右击“开始”按钮,在弹出的快捷菜单中选择“运行”菜单命令,打开“运行”对话框,在“打开”文本框中输入gpedit.msc,如下图所示。
Step 02 单击“确定”按钮,打开“本地组策略编辑器”窗口,依次展开“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“审核策略”选项,如下图所示。
Step 03 双击右侧窗口中的“审核策略更改”选项,打开“审核策略更改 属性”对话框,选中“成功”复选框,单击“确定”按钮保存设置,如下图所示。
Step 04 按照上述步骤,将“审核登录事件”选项进行同样的设置,如下图所示。
Step 05 按照上述步骤,将“审核进程跟踪”选项进行同样的设置,如下图所示。
Step 06 设置完成后,用户就可以通过“计算机管理”窗口中的“事件查看器”选项,查看所有登录过系统的账号及登录的时间,如果有可疑的账号,在这里一目了然,即便黑客删除了登录日志,系统也会自动记录删除日志的账号,如下图所示。
提示: 在确定了黑客的隐藏账号之后,却无法删除。这时,可以通过“命令提示符”窗口,运行net user“隐藏账号”“新密码”命令来更改隐藏账号的登录密码,使黑客无法登录该账号。