WIXOO

Digest

win2003 下帐号的克隆和隐藏

作者:不详 发布时间 10/05/15 来源 来自网络

 

这是一个win2003的机器前提是我们要有理员的权限
为了方便 我们做一个账户出来 让他看上去是禁用并且是guest或者user权限 但是 他却是可以登陆的administrator权限

现在新建一个 账户 webuser设置为user组
而且现在已经禁用了

那么下面来客隆一下 让他从administrator身上客隆过来 administrator的权限和登陆环境

我们打开注册表 要找到 HKEY_LOCAL_MACHINE\SAM\SAM 位置
现在是打不开的 默认没有权限
我们要加上可以修改的完全控制权限

在win2000里面 做这个动作要用到regedt32.exe 
在win2003 就不需要了 直接用 regedit.exe 也可以输入regedt32.exe执行 但是他们是同一个程序

在注册表HKEY_LOCAL_MACHINE\SAM\SAM位置的权限属性里面 添加上 自己登陆账户 并且给完全控制权限
最好不要修改原来的信息 因为破坏了默认的权限 很可能以后再也打不开 这个位置的注册表了

修改后 从新运行 regedit.exe


找到 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users 这个位置
我们以下的操作都是在这里进行
这个位置存储了 本地用户名称和权限

从HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names这位置 找我们的的webuser用户名
选中他 看右边 出现的默认值 0x44e
然后 去HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users 这个地方 找 0000044e 这个就是webuser在注册表里面存贮权限的地方

找到! 现在导出为 44f.reg

现在找 administrator 对应的 注册表存储权限的地方 同样导出
导出为 1f4.reg

现在进行克隆 -- 就是把 代表adinistrator的1f4.reg 里面存储权限的部分 覆盖到 代表webuser的44e.reg 里面去

要复制的是 "F"后面的部分

然后导入 修改后的44f.reg , 就可隆好了.


好, 现在看看用户管理器里面.  webuser 还是禁用的 而且属于 users组 。。。

我们用webuser 登陆看看就会登陆成功了。

从任务管理器 看用户 当前用户 也就是自己 的名字不是webuser  , 而是administrator.  绿色的自己
这是克隆账户的特点 , 以被克隆账户名称出现,而且是被克隆账户的登陆环境,比如桌面 我的文档……
最近的文档 浏览器的历史 都是 administrator的
菜单注销那里还是webuser
像tsadmin 和 任务管理器 这种体现权限的地方都是 administrator.
都已经登陆过了 webuser还是禁用状态呢 而且还是 users组

 

现在来做个 隐藏的账户看看

建立个用户叫做 webhide111

这是一个win2003的机器前提是我们要有理员的权限
为了方便 我们做一个账户出来 让他看上去是禁用并且是guest或者user权限 但是 他却是可以登陆的administrator权限

现在新建一个 账户 webuser设置为user组
而且现在已经禁用了

那么下面来客隆一下 让他从administrator身上客隆过来 administrator的权限和登陆环境

我们打开注册表 要找到 HKEY_LOCAL_MACHINE\SAM\SAM 位置
现在是打不开的 默认没有权限
我们要加上可以修改的完全控制权限

在win2000里面 做这个动作要用到regedt32.exe
在win2003 就不需要了 直接用 regedit.exe 也可以输入regedt32.exe执行 但是他们是同一个程序

在注册表HKEY_LOCAL_MACHINE\SAM\SAM位置的权限属性里面 添加上 自己登陆账户 并且给完全控制权限
最好不要修改原来的信息 因为破坏了默认的权限 很可能以后再也打不开 这个位置的注册表了

修改后 从新运行 regedit.exe


找到 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users 这个位置
我们以下的操作都是在这里进行
这个位置存储了 本地用户名称和权限

从HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names这位置 找我们的的webuser用户名
选中他 看右边 出现的默认值 0x44e
然后 去HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users 这个地方 找 0000044e 这个就是webuser在注册表里面存贮权限的地方

找到! 现在导出为 44f.reg

现在找 administrator 对应的 注册表存储权限的地方 同样导出
导出为 1f4.reg

现在进行克隆 -- 就是把 代表adinistrator的1f4.reg 里面存储权限的部分 覆盖到 代表webuser的44e.reg 里面去

要复制的是 "F"后面的部分

然后导入 修改后的44f.reg , 就可隆好了.


好, 现在看看用户管理器里面. webuser 还是禁用的 而且属于 users组 。。。

我们用webuser 登陆看看就会登陆成功了。

从任务管理器 看用户 当前用户 也就是自己 的名字不是webuser , 而是administrator. 绿色的自己
这是克隆账户的特点 , 以被克隆账户名称出现,而且是被克隆账户的登陆环境,比如桌面 我的文档……
最近的文档 浏览器的历史 都是 administrator的
菜单注销那里还是webuser
像tsadmin 和 任务管理器 这种体现权限的地方都是 administrator.
都已经登陆过了 webuser还是禁用状态呢 而且还是 users组

现在来做个 隐藏的账户看看

建立个用户叫做 webhide111$
一般是把这个用户可隆为管理员 然后再隐藏 这里克隆就免了

主要是如何隐藏 还有从新启动 ……他就曝光啦!

这种$用户 在net user下面是看不到的

导出 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\webhide111$ 为 webhide111.reg

导出 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\00000450 为 450.reg

为什么导出 00000450 这个位置 上面客隆的时候 有说明


然后删掉这个用户

在用户管理器里面 删掉就没有了 注册表编辑器里面 刷新一下 也没有了


在然后 把 两个.reg 文件导入 进注册表

好了 webhide111$ 隐藏完毕 ...

检验一下 :
首先是 net user 没有 webhide111$
其次是用户管理器 没有 webhide111$

好像消失一样
但是注册表里面因为导入了 ……还能看到


我们来登陆看看
看来是没有权限登陆 ……
因为事先没有给 webhide111$ administrators权限
现在就证明一下 这个用户存在吧 权限先放一边

看到了 已经可以用webhide111$ 运行程序了 只要建立的时候 给管理员权限就可以登陆终端 和和


……
现在从新启动一下看看 这个用户名 是不是会出现了
一会从新启动后 可以从 用户管理器里面看到 webhide111$ 这个账户
net user 看不到 因为它是 $ 用户
就好像 加$ 共享用 net share 看不到一样


看到了吗? webhide111$ 跃然纸上 曝光了 而且是个带有$的账户 很显眼

nbsp;
一般是把这个用户可隆为管理员 然后再隐藏  这里克隆就免了

主要是如何隐藏 还有从新启动 ……他就曝光啦!

这种$用户 在net user下面是看不到的

导出 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\webhide111

这是一个win2003的机器前提是我们要有理员的权限
为了方便 我们做一个账户出来 让他看上去是禁用并且是guest或者user权限 但是 他却是可以登陆的administrator权限

现在新建一个 账户 webuser设置为user组
而且现在已经禁用了

那么下面来客隆一下 让他从administrator身上客隆过来 administrator的权限和登陆环境

我们打开注册表 要找到 HKEY_LOCAL_MACHINE\SAM\SAM 位置
现在是打不开的 默认没有权限
我们要加上可以修改的完全控制权限

在win2000里面 做这个动作要用到regedt32.exe
在win2003 就不需要了 直接用 regedit.exe 也可以输入regedt32.exe执行 但是他们是同一个程序

在注册表HKEY_LOCAL_MACHINE\SAM\SAM位置的权限属性里面 添加上 自己登陆账户 并且给完全控制权限
最好不要修改原来的信息 因为破坏了默认的权限 很可能以后再也打不开 这个位置的注册表了

修改后 从新运行 regedit.exe


找到 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users 这个位置
我们以下的操作都是在这里进行
这个位置存储了 本地用户名称和权限

从HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names这位置 找我们的的webuser用户名
选中他 看右边 出现的默认值 0x44e
然后 去HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users 这个地方 找 0000044e 这个就是webuser在注册表里面存贮权限的地方

找到! 现在导出为 44f.reg

现在找 administrator 对应的 注册表存储权限的地方 同样导出
导出为 1f4.reg

现在进行克隆 -- 就是把 代表adinistrator的1f4.reg 里面存储权限的部分 覆盖到 代表webuser的44e.reg 里面去

要复制的是 "F"后面的部分

然后导入 修改后的44f.reg , 就可隆好了.


好, 现在看看用户管理器里面. webuser 还是禁用的 而且属于 users组 。。。

我们用webuser 登陆看看就会登陆成功了。

从任务管理器 看用户 当前用户 也就是自己 的名字不是webuser , 而是administrator. 绿色的自己
这是克隆账户的特点 , 以被克隆账户名称出现,而且是被克隆账户的登陆环境,比如桌面 我的文档……
最近的文档 浏览器的历史 都是 administrator的
菜单注销那里还是webuser
像tsadmin 和 任务管理器 这种体现权限的地方都是 administrator.
都已经登陆过了 webuser还是禁用状态呢 而且还是 users组

现在来做个 隐藏的账户看看

建立个用户叫做 webhide111$
一般是把这个用户可隆为管理员 然后再隐藏 这里克隆就免了

主要是如何隐藏 还有从新启动 ……他就曝光啦!

这种$用户 在net user下面是看不到的

导出 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\webhide111$ 为 webhide111.reg

导出 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\00000450 为 450.reg

为什么导出 00000450 这个位置 上面客隆的时候 有说明


然后删掉这个用户

在用户管理器里面 删掉就没有了 注册表编辑器里面 刷新一下 也没有了


在然后 把 两个.reg 文件导入 进注册表

好了 webhide111$ 隐藏完毕 ...

检验一下 :
首先是 net user 没有 webhide111$
其次是用户管理器 没有 webhide111$

好像消失一样
但是注册表里面因为导入了 ……还能看到


我们来登陆看看
看来是没有权限登陆 ……
因为事先没有给 webhide111$ administrators权限
现在就证明一下 这个用户存在吧 权限先放一边

看到了 已经可以用webhide111$ 运行程序了 只要建立的时候 给管理员权限就可以登陆终端 和和


……
现在从新启动一下看看 这个用户名 是不是会出现了
一会从新启动后 可以从 用户管理器里面看到 webhide111$ 这个账户
net user 看不到 因为它是 $ 用户
就好像 加$ 共享用 net share 看不到一样


看到了吗? webhide111$ 跃然纸上 曝光了 而且是个带有$的账户 很显眼

nbsp; 为 webhide111.reg

导出 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\00000450 为 450.reg

为什么导出 00000450 这个位置 上面客隆的时候 有说明


然后删掉这个用户

在用户管理器里面 删掉就没有了  注册表编辑器里面 刷新一下 也没有了


在然后 把 两个.reg 文件导入 进注册表

好了 webhide111$ 隐藏完毕 ...

检验一下 :
首先是 net user  没有 webhide111

这是一个win2003的机器前提是我们要有理员的权限
为了方便 我们做一个账户出来 让他看上去是禁用并且是guest或者user权限 但是 他却是可以登陆的administrator权限

现在新建一个 账户 webuser设置为user组
而且现在已经禁用了

那么下面来客隆一下 让他从administrator身上客隆过来 administrator的权限和登陆环境

我们打开注册表 要找到 HKEY_LOCAL_MACHINE\SAM\SAM 位置
现在是打不开的 默认没有权限
我们要加上可以修改的完全控制权限

在win2000里面 做这个动作要用到regedt32.exe
在win2003 就不需要了 直接用 regedit.exe 也可以输入regedt32.exe执行 但是他们是同一个程序

在注册表HKEY_LOCAL_MACHINE\SAM\SAM位置的权限属性里面 添加上 自己登陆账户 并且给完全控制权限
最好不要修改原来的信息 因为破坏了默认的权限 很可能以后再也打不开 这个位置的注册表了

修改后 从新运行 regedit.exe


找到 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users 这个位置
我们以下的操作都是在这里进行
这个位置存储了 本地用户名称和权限

从HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names这位置 找我们的的webuser用户名
选中他 看右边 出现的默认值 0x44e
然后 去HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users 这个地方 找 0000044e 这个就是webuser在注册表里面存贮权限的地方

找到! 现在导出为 44f.reg

现在找 administrator 对应的 注册表存储权限的地方 同样导出
导出为 1f4.reg

现在进行克隆 -- 就是把 代表adinistrator的1f4.reg 里面存储权限的部分 覆盖到 代表webuser的44e.reg 里面去

要复制的是 "F"后面的部分

然后导入 修改后的44f.reg , 就可隆好了.


好, 现在看看用户管理器里面. webuser 还是禁用的 而且属于 users组 。。。

我们用webuser 登陆看看就会登陆成功了。

从任务管理器 看用户 当前用户 也就是自己 的名字不是webuser , 而是administrator. 绿色的自己
这是克隆账户的特点 , 以被克隆账户名称出现,而且是被克隆账户的登陆环境,比如桌面 我的文档……
最近的文档 浏览器的历史 都是 administrator的
菜单注销那里还是webuser
像tsadmin 和 任务管理器 这种体现权限的地方都是 administrator.
都已经登陆过了 webuser还是禁用状态呢 而且还是 users组

现在来做个 隐藏的账户看看

建立个用户叫做 webhide111$
一般是把这个用户可隆为管理员 然后再隐藏 这里克隆就免了

主要是如何隐藏 还有从新启动 ……他就曝光啦!

这种$用户 在net user下面是看不到的

导出 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\webhide111$ 为 webhide111.reg

导出 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\00000450 为 450.reg

为什么导出 00000450 这个位置 上面客隆的时候 有说明


然后删掉这个用户

在用户管理器里面 删掉就没有了 注册表编辑器里面 刷新一下 也没有了


在然后 把 两个.reg 文件导入 进注册表

好了 webhide111$ 隐藏完毕 ...

检验一下 :
首先是 net user 没有 webhide111$
其次是用户管理器 没有 webhide111$

好像消失一样
但是注册表里面因为导入了 ……还能看到


我们来登陆看看
看来是没有权限登陆 ……
因为事先没有给 webhide111$ administrators权限
现在就证明一下 这个用户存在吧 权限先放一边

看到了 已经可以用webhide111$ 运行程序了 只要建立的时候 给管理员权限就可以登陆终端 和和


……
现在从新启动一下看看 这个用户名 是不是会出现了
一会从新启动后 可以从 用户管理器里面看到 webhide111$ 这个账户
net user 看不到 因为它是 $ 用户
就好像 加$ 共享用 net share 看不到一样


看到了吗? webhide111$ 跃然纸上 曝光了 而且是个带有$的账户 很显眼

nbsp;
其次是用户管理器 没有 webhide111$

好像消失一样
但是注册表里面因为导入了 ……还能看到


我们来登陆看看
看来是没有权限登陆 ……
因为事先没有给 webhide111$ administrators权限
现在就证明一下 这个用户存在吧 权限先放一边

看到了 已经可以用webhide111$ 运行程序了 只要建立的时候 给管理员权限就可以登陆终端 和和


……
现在从新启动一下看看  这个用户名 是不是会出现了
一会从新启动后 可以从 用户管理器里面看到 webhide111$ 这个账户
net user 看不到 因为它是 $ 用户
就好像 加$ 共享用 net share 看不到一样


看到了吗? webhide111$ 跃然纸上 曝光了 而且是个带有$的账户 很显眼