在隱藏系統(tǒng)賬戶之前，我們有必要先來了解一下如何才能查看系統(tǒng)中已經(jīng)存在的賬戶。在系統(tǒng)中可以進(jìn)入“命令提示符”，控制面板的“計算機管理”，“注冊表”中對存在的賬戶進(jìn)行查看，而管理員一般只在 “命令提示符”和“計算機管理”中檢查是否有異常，因此如何讓系統(tǒng)賬戶在這兩者中隱藏將是本文的重點 。

一、“命令提示符”中的陰謀

其實，制作系統(tǒng)隱藏賬戶并不是十分高深的技術(shù)，利用我們平時經(jīng)常用到的“命令提示符”就可以制作一個簡單的隱藏賬戶。

點擊“開始”→“運行”，輸入“CMD”運行“命令提示符”，輸入“net user kao$ 123456 /add”， 回車，成功后會顯示“命令成功完成”。接著輸入“net localgroup administrators kao$ /add”回車， 這樣我們就利用“命令提示符”成功得建立了一個用戶名為“kao$”，密碼為“123456”的簡單“隱藏賬戶 ”,并且把該隱藏賬戶提升為了管理員權(quán)限。

.建立一個簡單的隱藏帳戶

我們來看看隱藏賬戶的建立是否成功。在“命令提示符”中輸入查看系統(tǒng)賬戶的命令“net user”，回 車后會顯示當(dāng)前系統(tǒng)中存在的賬戶。從返回的結(jié)果中我們可以看到剛才我們建立的“kao$”這個賬戶并不存 在。接著讓我們進(jìn)入控制面板的“管理工具”，打開其中的“計算機”，查看其中的“本地用戶和組”，在 “用戶”一項中，我們建立的隱藏賬戶“kao$”暴露無疑。

可以總結(jié)得出的結(jié)論是：這種方法只能將賬戶在“命令提示符”中進(jìn)行隱藏，而對于“計算機管理”則 無能為力。因此這種隱藏賬戶的方法并不是很實用，只對那些粗心的管理員有效，是一種入門級的系統(tǒng)賬戶 隱藏技術(shù)。

二、在“注冊表”中玩轉(zhuǎn)賬戶隱藏

從上文中我們可以看到用命令提示符隱藏賬戶的方法缺點很明顯，很容易暴露自己。那么有沒有可以在 “命令提示符”和“計算機管理”中同時隱藏賬戶的技術(shù)呢?答案是肯定的，而這一切只需要我們在“注冊 表”中進(jìn)行一番小小的設(shè)置，就可以讓系統(tǒng)賬戶在兩者中完全蒸發(fā)。

1、峰回路轉(zhuǎn)，給管理員注冊表操作權(quán)限

在注冊表中對系統(tǒng)賬戶的鍵值進(jìn)行操作，需要到“HKEY_LOCAL_MACHINESAM\SAM”處進(jìn)行修改，但是當(dāng)我 們來到該處時，會發(fā)現(xiàn)無法展開該處所在的鍵值。這是因為系統(tǒng)默認(rèn)對系統(tǒng)管理員給予“寫入D AC”和“讀 取控制”權(quán)限，沒有給予修改權(quán)限，因此我們沒有辦法對“SAM”項下的鍵值進(jìn)行查看和修改。不過我們可以借助系統(tǒng)中另一個“注冊表編輯器”給管理員賦予修改權(quán)限。

點擊“開始”→“運行”，輸入“regedt32.exe”后回車，隨后會彈出另一個“注冊表編輯器”，和我 們平時使用的“注冊表編輯器”不同的是它可以修改系統(tǒng)賬戶操作注冊表時的權(quán)限(為便于理解，以下簡稱 regedt32.exe)。在regedt32.exe中來到“HKEY_LOCAL_MACHINE\SAM\SAM”處，點擊“安全”菜單→“權(quán)限” ，在彈出的“SAM的權(quán)限”編輯窗口中選中“administrators”賬戶，在下方的權(quán)限設(shè)置處勾選“完全控制 ”，完成后點擊“確定”即可。然后我們切換回“注冊表編輯器”，可以發(fā)現(xiàn)“HKEY_LOCAL_MACHINE\SAM\SAM ”下面的鍵值都可以展開了。

提示：上文中提到的方法只適用于Windows NT/2000系統(tǒng)。在Windows XP系統(tǒng)中，對于權(quán)限的操作可以直接在注冊表中進(jìn)行，方法為選中需要設(shè)置權(quán)限的項，點擊右鍵，選擇“權(quán)限”即可。

2、偷梁換柱，將隱藏賬戶替換為管理員

成功得到注冊表操作權(quán)限后，我們就可以正式開始隱藏賬戶的制作了。來到注冊表編輯器的 “HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\UsersNames”處，當(dāng)前系統(tǒng)中所有存在的賬戶都會在這里顯示 ，當(dāng)然包括我們的隱藏賬戶。點擊我們的隱藏賬戶“kao$”，在右邊顯示的鍵值中的“類型”一項顯示為 0x3e9，向上來到“HKEY_LOCAL_MACHINE\SAMS\AMDomains\Account\Users”處，可以找到“000003E9”這一項， 這兩者是相互對應(yīng)的，隱藏賬戶“kao$”的所有信息都在“000003E9”這一項中。同樣的，我們可以找到“ administrator”賬戶所對應(yīng)的項為“000001F4”。

將“kao$”的鍵值導(dǎo)出為kao$.reg，同時將“000003E9”和“000001F4”項的F鍵值分別導(dǎo)出為 user.reg，admin.reg。用“記事本”打開admin.reg，將其中“F”值后面的內(nèi)容復(fù)制下來，替換user.reg 中的“F”值內(nèi)容，完成后保存。接下來進(jìn)入“命令提示符”，輸入“net user kao$ /del”將我們建立的 隱藏賬戶刪除。最后，將kao$.reg和user.reg導(dǎo)入注冊表，至此，隱藏賬戶制作完成。

3、過河拆橋，切斷刪除隱藏賬戶的途徑

雖然我們的隱藏賬戶已經(jīng)在“命令提示符”和“計算機管理”中隱藏了，但是有經(jīng)驗的系統(tǒng)管理員仍可 能通過注冊表編輯器刪除我們的隱藏賬戶，那么如何才能讓我們的隱藏賬戶堅如磐石呢?

打開“regedt32.exe”，來到“HKEY_LOCAL_MACHINE\SAM\SAM”處，設(shè)置“SAM”項的權(quán)限，將 “administrators”所擁有的權(quán)限全部取消即可。當(dāng)真正的管理員想對“HKEY_LOCAL_MACHINE\SAM\SAM”下面 的項進(jìn)行操作的時候?qū)l(fā)生錯誤，而且無法通過“regedt32.exe”再次賦予權(quán)限。這樣沒有經(jīng)驗的管理員 即使發(fā)現(xiàn)了系統(tǒng)中的隱藏賬戶，也是無可奈何的。

三.專用工具，使賬戶隱藏一步到位

雖然按照上面的方法可以很好得隱藏賬戶，但是操作顯得比較麻煩，并不適合新手，而且對注冊表進(jìn)行 操作危險性太高，很容易造成系統(tǒng)崩潰。因此我們可以借助專門的賬戶隱藏工具來進(jìn)行隱藏工作，使隱藏賬 戶不再困難，只需要一個命令就可以搞定。

我們需要利用的這款工具名叫“HideAdmin”，下載下來后解壓到c盤。然后運行“命令提示符”，輸入 “HideAdmin kao$ 123456”即可，如果顯示“Create a hiden Administrator kao$ Successed!”，則表 示我們已經(jīng)成功建立一個賬戶名為kao$，密碼為123456的隱藏賬戶。利用這款工具建立的賬戶隱藏效果和上 文中修改注冊表的效果是一樣的。

四、把“隱藏賬戶”請出系統(tǒng)

隱藏賬戶的危害可謂十分巨大。因此我們有必要在了解了賬戶隱藏技術(shù)后，再對相應(yīng)的防范技術(shù)作一個 了解，把隱藏賬戶徹底請出系統(tǒng)

1、添加“$”符號型隱藏賬戶

對于這類隱藏賬戶的檢測比較簡單。一般黑客在利用這種方法建立完隱藏賬戶后，會把隱藏賬戶提升為 管理員權(quán)限。那么我們只需要在“命令提示符”中輸入“net localgroup administrators”就可以讓所有 的隱藏賬戶現(xiàn)形。如果嫌麻煩，可以直接打開“計算機管理”進(jìn)行查看，添加“$”符號的賬戶是無法在這 里隱藏的。

2、修改注冊表型隱藏賬戶

由于使用這種方法隱藏的賬戶是不會在“命令提示符”和“計算機管理”中看到的，因此可以到注冊表 中刪除隱藏賬戶。來到“HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames”，把這里存在的賬戶和“ 計算機管理”中存在的賬戶進(jìn)行比較，多出來的賬戶就是隱藏賬戶了。想要刪除它也很簡單，直接刪除以隱 藏賬戶命名的項即可。

3、無法看到名稱的隱藏賬戶

如果黑客制作了一個修改注冊表型隱藏賬戶，在此基礎(chǔ)上刪除了管理員對注冊表的操作權(quán)限。那么管理 員是無法通過注冊表刪除隱藏賬戶的，甚至無法知道黑客建立的隱藏賬戶名稱。不過世事沒有絕對，我們可 以借助“組策略”的幫助，讓黑客無法通過隱藏賬戶登陸。點擊“開始”→“運行”，輸入“gpedit.msc” 運行“組策略”，依次展開“計算機配置”→“Windows 設(shè)置”→“安全設(shè)置”→“本地策略”→“審核策 略”，雙擊右邊的“審核策略更改”，在彈出的設(shè)置窗口中勾選“成功”，然后“確定”。對“審核登陸事 件”和“審核過程追蹤”進(jìn)行相同的設(shè)置。

開啟登陸事件審核功能

進(jìn)行登陸審核后，可以對任何賬戶的登陸操作進(jìn)行記錄，包括隱藏賬戶，這樣我們就可以通過“計算機 管理”中的“事件查看器”準(zhǔn)確得知隱藏賬戶的名稱，甚至黑客登陸的時間。即使黑客將所有的登陸日志刪 除，系統(tǒng)還會記錄是哪個賬戶刪除了系統(tǒng)日志，這樣黑客的隱藏賬戶就暴露無疑了。通過事件查看器找到隱 藏帳戶

得知隱藏賬戶的名稱后就好辦了，但是我們?nèi)匀徊荒軇h除這個隱藏賬戶，因為我們沒有權(quán)限。但是我們 可以在“命令提示符”中輸入“net user 隱藏賬戶名稱 654321”更改這個隱藏賬戶的密碼。這樣這個隱藏賬戶就會失效，黑客無法再用這個隱藏賬戶登陸。

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。