在建立用戶賬戶時(shí)，可以通過(guò)添加$符號(hào)來(lái)創(chuàng)建一個(gè)簡(jiǎn)單的隱藏賬戶，例如“test$”。這樣，在字符界面下執(zhí)行net user命令就無(wú)法查看到這個(gè)賬戶，但在圖形界面的“本地用戶和組”中仍然可見。黑客往往會(huì)在

在建立用戶賬戶時(shí)，可以通過(guò)添加$符號(hào)來(lái)創(chuàng)建一個(gè)簡(jiǎn)單的隱藏賬戶，例如“test$”。這樣，在字符界面下執(zhí)行net user命令就無(wú)法查看到這個(gè)賬戶，但在圖形界面的“本地用戶和組”中仍然可見。黑客往往會(huì)在入侵一臺(tái)主機(jī)后留下一個(gè)后門，給自己添加一個(gè)管理員組的賬戶是常用手法之一。然而，帶有“$”符號(hào)的賬戶容易被發(fā)現(xiàn)，因此一些人會(huì)在賬戶的顯示名稱上下功夫，建立一個(gè)看起來(lái)和系統(tǒng)賬戶類似的名字來(lái)迷惑管理員，比如admin、sysadmin、Billgates、root等。另外，也可以將普通用戶組的賬戶提升到管理員組中，例如將guest賬戶加入管理員組。如果我們發(fā)現(xiàn)管理員組中多了一個(gè)未知賬戶、普通用戶組的賬戶或者帶有“$”的賬戶，那么就應(yīng)該意識(shí)到可能存在入侵。

安全標(biāo)識(shí)符（SID）

在Windows系統(tǒng)中，每個(gè)用戶賬戶都有一個(gè)唯一的安全標(biāo)識(shí)符（Security Identifier，SID），系統(tǒng)內(nèi)部核心使用SID而不是用戶賬戶名稱來(lái)表示和識(shí)別每個(gè)用戶。SID由用戶賬戶創(chuàng)建時(shí)間、用戶名等信息綜合生成，因此是唯一的，不會(huì)重復(fù)使用。即使刪除某個(gè)用戶賬戶后再添加一個(gè)相同名稱的賬戶，它們的SID也不會(huì)相同，新建的賬戶也無(wú)法擁有原先賬戶的權(quán)限。例如，新建一個(gè)名為bob、密碼為123的用戶，以bob的身份登錄系統(tǒng)，并創(chuàng)建一個(gè)加密文件test.txt。然后切換到administrator賬戶，刪除bob用戶，并再次新建一個(gè)名為bob、密碼為123的用戶。使用新建的bob用戶登錄系統(tǒng)時(shí)，無(wú)法打開加密文件test.txt，因?yàn)橛脩舻腟ID已經(jīng)變化了。可以通過(guò)執(zhí)行“whoami /all”命令查看系統(tǒng)當(dāng)前用戶的SID。一個(gè)完整的SID由多個(gè)部分組成，其中最后一部分稱為相對(duì)標(biāo)識(shí)符（RID）。RID為500的SID是系統(tǒng)內(nèi)置Administrator賬戶，即使重命名，其RID仍保持為500不變，許多黑客正是通過(guò)RID找到真正的系統(tǒng)內(nèi)置Administrator賬戶。RID為501的SID是Guest賬戶，后來(lái)新建的用戶賬戶的RID都從1000開始，例如RID為1015的SID就是系統(tǒng)中創(chuàng)建的第15個(gè)用戶賬戶。

建立完全隱藏賬戶

下面介紹如何通過(guò)偽造用戶SID來(lái)創(chuàng)建一個(gè)完全隱藏的用戶賬戶，這需要通過(guò)修改注冊(cè)表實(shí)現(xiàn)。首先，建立一個(gè)簡(jiǎn)單的隱藏賬戶“super$”，然后展開注冊(cè)表[HKEY_LOCAL_MACHINESAMSAM]，默認(rèn)情況下這個(gè)項(xiàng)為空，因?yàn)橛脩魶](méi)有權(quán)限訪問(wèn)它。右鍵點(diǎn)擊這個(gè)項(xiàng)，在菜單中為administrator用戶賦予完全控制權(quán)限。按下F5鍵刷新后，會(huì)發(fā)現(xiàn)多出兩個(gè)子項(xiàng)。在[SAMDomainsAccountUsers ames]項(xiàng)中顯示了系統(tǒng)當(dāng)前存在的所有賬戶，選中super$，在其右側(cè)有一個(gè)名為“Default”的鍵值，類型為“0x3eb”。其中的“3eb”就是super$用戶SID的結(jié)尾，即RID（這里使用十六進(jìn)制表示，將3eb轉(zhuǎn)換成十進(jìn)制就是1003）。在[SAMDomainsAccountUsers]中有一個(gè)以“3EB”結(jié)尾的子項(xiàng)，這兩個(gè)項(xiàng)中存放了用戶super$的信息。右鍵點(diǎn)擊這兩個(gè)項(xiàng)，執(zhí)行“導(dǎo)出”命令，將這兩個(gè)項(xiàng)的值分別導(dǎo)出成擴(kuò)展名為.reg的注冊(cè)表文件。然后刪除super$用戶，再次刷新注冊(cè)表，此時(shí)上述兩個(gè)項(xiàng)都消失了。接下來(lái)，將導(dǎo)出的兩個(gè)注冊(cè)表文件重新導(dǎo)入，此時(shí)注冊(cè)表中就有了super$賬戶的信息，但無(wú)論在命令行還是圖形界面都無(wú)法看到這個(gè)賬戶，它徹底隱藏了。使用這個(gè)隱藏賬戶可以登錄系統(tǒng)，但缺點(diǎn)是仍會(huì)產(chǎn)生用戶配置文件。為了實(shí)現(xiàn)完全隱藏，可以繼續(xù)對(duì)這個(gè)賬戶進(jìn)行處理，將其與administrator賬戶關(guān)聯(lián)，使之共享同一個(gè)用戶配置文件。找到administrator用戶的RID值“1f4”，展開對(duì)應(yīng)的“000001F4”項(xiàng)，其右側(cè)有一個(gè)名為“f”的鍵值，其中存放了administrator的SID。將這個(gè)鍵值的數(shù)據(jù)復(fù)制并粘貼到“000003EB”項(xiàng)的“f”鍵值中，即將administrator的SID復(fù)制給super$，實(shí)際上將super$視為administrator，使其共享administrator的用戶配置文件，從而完全隱藏super$賬戶。建立隱藏賬戶是黑客常用的一種留后門方式，且非常隱蔽，像上述的隱藏賬戶只能通過(guò)注冊(cè)表才能發(fā)現(xiàn)。