Windows黑客基础

windows设置隐藏账户

注：以下命令需要cmd在管理员权限下运行

优点：命令行下不可见
缺点：本地用户和组中可见、注册表中可见
命令：net user 用户名密码 /add
- 如：创建net user ty 123456 /add
为该隐藏账号赋予管理员权限：net localgroup administrators ty /add
效果
- 使用net user命令无法查看到该隐藏账户
- 在计算机管理中的本地用户和组中可见。在win+R调出运行框后，输入lusrmgr.msc打开本地用户和组。在win+R调出运行框后，输入secpol.msc打开本地安全策略

优点：在本地用户和组中不可见、命令行下不可见
缺点：注册表下可见
在win+R调出运行框后，输入regedit，打开注册表
找到根键名为HKEY_LOCAL_MACHINE的键，右键子键SAM下的sam，给用户配置权限，全部勾选。添加了权限，才能看到子目录（记得刷新）
继续找到HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers 展开，
HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames。
- 这里简单介绍下这两个键的作用。
  Names里存放的子键是和Users里的子键一一对应的，如Names里的Administrator，点击后会出现0xF4的注册表，那么Users里也会有相同命名的子键
接下来我们导出一下我们刚才添加的admin$用户的注册表，我命名为admin$.reg
继续导出对应Names里的03f7，命名为0X3f7
导出administrator用户对应的的注册表01F4,命名为adminis.reg
这时候，删除刚才创建的用户，admin$用户（net user发现不了，但可以删除）
使用命令：net user 用户名 /del
Lusrmgr.msc进入图形化界面看下，已经没了，如下
先介绍下，比如导出来的admin$的注册表文件。
对应的admin$用户导出的0x3F7.reg
接下来复制administrator的注册表文件（导出的adminis.reg）里的用户名到0x3F7.reg里相应位置，保存0x3F7.reg。
这时候adminis.reg可以删除了。依次双击admin$.reg、0x3F7.reg,即可，注册表里已经出现admin$的注册表。

win.ini文件中加载，位于c:windows下，在文件的[windows]段中有启动命令run=和load=，一般此两项为空，如果等号后有程序名，可能就是木马
system.ini文件在加载，位于c:windows下，其[boot]字段的shell=Explorer.exe是木马喜欢的地方。另外，[386Enh]字段，要注意检查driver=

强制清除管理员账户密码
- 启动计算机，开机画面出现后，按F8，进入Windows高级选项，选择带命令行提示的安全模式
- 运行结束后，系统列出了超级用户administrator和本地用户的选项，选择administrator，进入命令行模式
- 输入命令 net user Administrator 123456 /add 强制将密码改为123456，重启后即可用123456密码登录