3.1 通过账号入侵系统的常用手段

入侵计算机系统是黑客的首要任务,无论采用什么手段,只要入侵到目标主机的系统当中,这一台计算机就相当于是黑客的了。本节介绍几种常见的入侵计算机系统的方式。

3.1.1 使用DOS命令创建隐藏账号

黑客在成功入侵一台主机后,会在该主机上建立隐藏账号,以便长期控制该主机,下面介绍使用命令创建隐藏账号的操作步骤。

Step 01 右击“开始”按钮,在弹出的快捷菜单中选择“运行”选项,打开“运行”对话框,在“打开”文本框中输入cmd。

Step 02 单击“确定”按钮,打开“命令提示符”窗口。在其中输入net user ty$ 123456/add命令,按Enter键,即可成功创建一个名为“ty$”、密码为“123456”的隐藏账号。

Step 03 输入net localgroup administrators ty$ /add命令,按Enter键后,即可为该隐藏账号赋予管理员权限。

Step 04 再次输入net user命令,按Enter键后,即可显示当前系统中所有已存在的账号信息,但是发现刚刚创建的“ty$”并没有显示。

由此可见,隐藏账号可以不被命令查看到。不过,这种方法创建的隐藏账号并不能完美被隐藏。查看隐藏账号的具体操作步骤如下。

Step 01 在桌面上右击“此电脑”图标,在弹出的快捷菜单中选择“管理”选项,打开“计算机管理”窗口。

Step 02 依次展开“系统工具”→“本地用户和组”→“用户”选项,这时在右侧的窗格中可以发现创建的“ty$”隐藏账号依然会被显示。

提示:这种隐藏账号的方法并不实用,只能做到在“命令提示符”窗口中隐藏,属于入门级的系统账户隐藏技术。

3.1.2 在注册表中创建隐藏账号

注册表是Windows操作系统的数据库,包含系统中非常多的重要信息,也是黑客最多关注的地方。下面就来看看黑客是如何使用注册表来隐藏账号的。

Step 01 选择“开始”→“运行”选项,打开“运行”对话框,在“打开”文本框中输入regedit。

Step 02 单击“确定”按钮,打开“注册表编辑器”窗口,在左侧窗口中,依次选择HKEY_LOCAL_MACHINE\SAM\SAM注册表项,右击SAM,在弹出的快捷菜单中选择“权限”选项。

Step 03 打开“SAM的权限”对话框,在“组或用户名”栏中选择“Administrators(DESKTOP-JMQAAOB\Administrators)”,然后在“Administrators的权限”栏中勾选“完全控制”和“读取”复选框,单击“确定”按钮保存设置。

Step 04 依次选择HKEY_LOCAL_MACHINE\ SAM\SAM\Domains\Account\Users\ Names注册表项,即可查看到以当前系统中的所有系统账户名称命名的子项。

Step 05 右键单击“ty$”项,在弹出的快捷菜单中选择“导出”选项。

Step 06 打开“导出注册表文件”对话框,将该项命名为ty.reg,然后单击“保存”按钮,即可导出ty.reg。

Step 07 按照Step05和Step06的方法,将HKEY_LOCAL_MACHINE\SAM\SAM\ Domains\ Account\Users\下的000001F4和000003E9项分别导出并命名为administrator. reg和user.reg。

Step 08 用记事本打开administrator.reg,选中“"F"=后面”的内容并复制下来,然后打开user.reg,将“"F"=后面”的内容替换掉。完成后,将user.reg进行保存。

Step 09 打开“命令提示符”窗口,输入net user ty$ /del命令,按Enter键后,即可将建立的隐藏账号“ty$”删除。

Step 10 分别将ty.reg和user.reg导入到注册表中,即可完成注册表隐藏账号的创建。此时在“本地用户和组”窗口中,也查看不到隐藏账号。

提示:利用此种方法创建的隐藏账号在注册表中还是可以查看到的。为了保证建立的隐藏账号不被管理员删除,还需要对HKEY_LOCAL_MACHINE\SAM\SAM注册表项的权限进行取消。这样,即便是真正的管理员发现了并要删除隐藏账号,系统就会报错,并且无法再次赋予权限。经验不足的管理员就只能束手无策了。