查看在线登录用户
- 用query user去查看当前服务器上在线的用户
这个我电脑上的家庭版好像是没有这个 query 的,打个虚拟机康康
查看隐藏账号
账号后面加上$在命令终端是查看不到的,需要在计算机管理-本地用户和组查看,也可以使用命令 lusrmgr.msc 来查看
这里从头开始举个例子吧
- 首先用最普通的方法net user 账号$ 密码 /add创建一个隐藏用户
然后用 net user 这条命令去查看就是查看不到这个用户的
但是用net user Oyst3r$是可以看到这个账户的相关信息的
然后查看的话首先我们试一下在计算机管理 本地用户和组查看
其次还能在控制面板里面查看一下
通过这种办法去建立一个隐藏用户,用这些方法都是能被查看到的,我们换种思路也就是账号克隆
账号克隆
- regedit打开注册表,然后到这个路径–>计算机\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\,如果打开不了的话给当前用户设置一下权限即可,打开以后大概就是这个样子
然后就是理解克隆账号本质上还是先有一个隐藏的账号,然后把 administrator 里面的值都克隆到这个隐藏账户里面,那么不管怎么查就查不到这个克隆出来的隐藏用户了
我们来克隆一个账号试试,注意这个和这个都是一一对应好的
然后我们将 administrator 用户的 F 值复制出来,并把 Oyst3r$这个用户进行替换
最后将 Oyst3r$ 和 000003EC 从注册表中右键导出,并删除 Oyst3r$用户
此时发现这个用户就确实消失了
然后将刚刚导出的两个文件重新导入进注册表中即可实现 Oyst3r 用户的隐藏,点击刚刚导出保存的 1 和 2,点击之后会自动导入注册表,下图是导入成功的
然后我们常规的看一下,我就直接贴效果图了,都是查不到这个用户的
排查克隆账号
-
查看注册表,在注册表中 HKEY_LOCAL_MACHINE\SA\SAM\Domains\Account\Users\Names 位置可以看到所有的用户名,将这些用户名与 “控制面板–>用户账户–>管理账户”、”计算机管理–>本地用户和组–>用户”进行对比,不存在的账户就是隐藏账户
-
管理员运行 D 盾直接扫一下克隆账户
OK 结束!淦饭去!