在建立用戶賬戶時，可以通過添加$符號來創(chuàng)建一個簡單的隱藏賬戶，例如“test$”。這樣，在字符界面下執(zhí)行net user命令就無法查看到這個賬戶，但在圖形界面的“本地用戶和組”中仍然可見。黑客往往會在

在建立用戶賬戶時，可以通過添加$符號來創(chuàng)建一個簡單的隱藏賬戶，例如“test$”。這樣，在字符界面下執(zhí)行net user命令就無法查看到這個賬戶，但在圖形界面的“本地用戶和組”中仍然可見。黑客往往會在入侵一臺主機后留下一個后門，給自己添加一個管理員組的賬戶是常用手法之一。然而，帶有“$”符號的賬戶容易被發(fā)現(xiàn)，因此一些人會在賬戶的顯示名稱上下功夫，建立一個看起來和系統(tǒng)賬戶類似的名字來迷惑管理員，比如admin、sysadmin、Billgates、root等。另外，也可以將普通用戶組的賬戶提升到管理員組中，例如將guest賬戶加入管理員組。如果我們發(fā)現(xiàn)管理員組中多了一個未知賬戶、普通用戶組的賬戶或者帶有“$”的賬戶，那么就應該意識到可能存在入侵。

安全標識符（SID）

在Windows系統(tǒng)中，每個用戶賬戶都有一個唯一的安全標識符（Security Identifier，SID），系統(tǒng)內部核心使用SID而不是用戶賬戶名稱來表示和識別每個用戶。SID由用戶賬戶創(chuàng)建時間、用戶名等信息綜合生成，因此是唯一的，不會重復使用。即使刪除某個用戶賬戶后再添加一個相同名稱的賬戶，它們的SID也不會相同，新建的賬戶也無法擁有原先賬戶的權限。例如，新建一個名為bob、密碼為123的用戶，以bob的身份登錄系統(tǒng)，并創(chuàng)建一個加密文件test.txt。然后切換到administrator賬戶，刪除bob用戶，并再次新建一個名為bob、密碼為123的用戶。使用新建的bob用戶登錄系統(tǒng)時，無法打開加密文件test.txt，因為用戶的SID已經(jīng)變化了?？梢酝ㄟ^執(zhí)行“whoami /all”命令查看系統(tǒng)當前用戶的SID。一個完整的SID由多個部分組成，其中最后一部分稱為相對標識符（RID）。RID為500的SID是系統(tǒng)內置Administrator賬戶，即使重命名，其RID仍保持為500不變，許多黑客正是通過RID找到真正的系統(tǒng)內置Administrator賬戶。RID為501的SID是Guest賬戶，后來新建的用戶賬戶的RID都從1000開始，例如RID為1015的SID就是系統(tǒng)中創(chuàng)建的第15個用戶賬戶。

建立完全隱藏賬戶

下面介紹如何通過偽造用戶SID來創(chuàng)建一個完全隱藏的用戶賬戶，這需要通過修改注冊表實現(xiàn)。首先，建立一個簡單的隱藏賬戶“super$”，然后展開注冊表[HKEY_LOCAL_MACHINESAMSAM]，默認情況下這個項為空，因為用戶沒有權限訪問它。右鍵點擊這個項，在菜單中為administrator用戶賦予完全控制權限。按下F5鍵刷新后，會發(fā)現(xiàn)多出兩個子項。在[SAMDomainsAccountUsers ames]項中顯示了系統(tǒng)當前存在的所有賬戶，選中super$，在其右側有一個名為“Default”的鍵值，類型為“0x3eb”。其中的“3eb”就是super$用戶SID的結尾，即RID（這里使用十六進制表示，將3eb轉換成十進制就是1003）。在[SAMDomainsAccountUsers]中有一個以“3EB”結尾的子項，這兩個項中存放了用戶super$的信息。右鍵點擊這兩個項，執(zhí)行“導出”命令，將這兩個項的值分別導出成擴展名為.reg的注冊表文件。然后刪除super$用戶，再次刷新注冊表，此時上述兩個項都消失了。接下來，將導出的兩個注冊表文件重新導入，此時注冊表中就有了super$賬戶的信息，但無論在命令行還是圖形界面都無法看到這個賬戶，它徹底隱藏了。使用這個隱藏賬戶可以登錄系統(tǒng)，但缺點是仍會產(chǎn)生用戶配置文件。為了實現(xiàn)完全隱藏，可以繼續(xù)對這個賬戶進行處理，將其與administrator賬戶關聯(lián)，使之共享同一個用戶配置文件。找到administrator用戶的RID值“1f4”，展開對應的“000001F4”項，其右側有一個名為“f”的鍵值，其中存放了administrator的SID。將這個鍵值的數(shù)據(jù)復制并粘貼到“000003EB”項的“f”鍵值中，即將administrator的SID復制給super$，實際上將super$視為administrator，使其共享administrator的用戶配置文件，從而完全隱藏super$賬戶。建立隱藏賬戶是黑客常用的一種留后門方式，且非常隱蔽，像上述的隱藏賬戶只能通過注冊表才能發(fā)現(xiàn)。