服務(wù)器隱藏用戶的建立與查看

陳 晨

服務(wù)器隱藏用戶的建立與查看

通過(guò)操作注冊(cè)表以及工具Hacker Defender可在服務(wù)器中建立一個(gè)隱藏用戶，管理員無(wú)法通過(guò)命令“net user”或計(jì)算機(jī)管理對(duì)話框中的“本地用戶和組”或注冊(cè)表來(lái)查看，借助工具XueTr便可查看服務(wù)器中的隱藏用戶。

隱藏用戶；建立；查看；Hacker Defender；XueTr

1 建立隱藏用戶

首先，在服務(wù)器上新建一個(gè)用戶，假定用戶名為hacker$，密碼為123，可使用“net user hacker$ 123 /add”命令來(lái)創(chuàng)建，其中用戶名以“$”符號(hào)結(jié)尾，這樣做的好處是當(dāng)管理員通過(guò)“net user”命令查看本機(jī)用戶時(shí)，無(wú)法查看到該用戶，但在計(jì)算機(jī)管理對(duì)話框中的“本地用戶和組”可查看到該用戶。

圖1 展開(kāi)注冊(cè)表主鍵SAM

新建的用戶hacker$默認(rèn)屬于Users組，不具有管理員權(quán)限，可以通過(guò)修改注冊(cè)表將普通用戶hacker$克隆成管理員權(quán)限，但不屬于Administrators組。打開(kāi)注冊(cè)表，展開(kāi)HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users，如圖1所示。在一些Windows版本中，即使擁有管理員權(quán)限也不能對(duì)注冊(cè)表中的SAM進(jìn)行訪問(wèn)，需要設(shè)置Administrators對(duì)SAM具有完全控制的權(quán)限。

展開(kāi)HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/000001F4(即用戶名為Administrator的主鍵分支)，雙擊其鍵值項(xiàng)“F”并復(fù)制鍵值數(shù)據(jù)，進(jìn)入用戶名為hacker$的主鍵分支(即HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/000003EE)，將其鍵值項(xiàng)“F”的鍵值數(shù)據(jù)替換成剛才復(fù)制Administrator的“F”鍵值數(shù)據(jù)，此時(shí)用戶hacker$就被克隆成管理員權(quán)限了。

接著，分別將HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/Names/hacker$和HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/000003EE 導(dǎo)出，導(dǎo)出完畢后，使用“net user hacker$ /delete”命令將用戶hacker$刪除，然后合并剛才導(dǎo)出的2個(gè)注冊(cè)表文件，此時(shí)，利用“net user”命令或計(jì)算機(jī)管理對(duì)話框中的“本地用戶和組”均查看不到用戶hacker$的存在，但在注冊(cè)表中可查看到，如何做到在注冊(cè)表中也無(wú)法查看呢？辦法就是隱藏注冊(cè)表中該用戶的相關(guān)主鍵信息，利用工具Hacker Defender便可實(shí)現(xiàn)。

Hacker Defender 是一款內(nèi)核級(jí)后門軟件，通過(guò)該軟件可隱藏文件、進(jìn)程、系統(tǒng)服務(wù)、注冊(cè)表的鍵和鍵值、系統(tǒng)驅(qū)動(dòng)和端口等[1]，該軟件解壓后，由如圖2所示的文件組成。

圖2 Hacker Defender的文件組成

修改配置文件hxdef084.ini，在“[Hi:dden R“/”?egKeys]”與“/”“[Hid:den/gt; :RegValues]”之間輸入用戶hacker$的用戶名(即hacker$)及其對(duì)應(yīng)的主鍵(即OOOO3EE)，如圖3所示。最后，雙擊運(yùn)行文件hxdef084.exe，運(yùn)行完畢后，可發(fā)現(xiàn)注冊(cè)表中的 HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/Names/hacker$ 和 HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/000003EE 均自動(dòng)隱藏了，如圖4所示。這樣，便在服務(wù)器中創(chuàng)建了隱藏用戶hacker$，管理員無(wú)法通過(guò)命令“net user”或計(jì)算機(jī)管理對(duì)話框中的“本地用戶和組”查看，也無(wú)法通過(guò)注冊(cè)表來(lái)查看。

圖3 修改配置文件hxdef084.ini

圖4 注冊(cè)表鍵值被隱藏

2 查看隱藏用戶

圖5 顯示被隱藏的注冊(cè)表項(xiàng)

倘若服務(wù)器中存在諸如上述hacker$這樣的隱藏用戶，管理員該如何查看呢？可用借助工具XueTr來(lái)查看。XueTr是一款比冰刃(IceSword)更為優(yōu)秀的手工殺毒輔助工具，具有查看和管理系統(tǒng)隱藏進(jìn)程、驅(qū)動(dòng)模塊、內(nèi)核鉤子、啟動(dòng)項(xiàng)和注冊(cè)表等功能，XueTr支持 Win XP/Vista/2003/win7等主流操作系統(tǒng)，冰刃不支持win7。

XueTr具有注冊(cè)表管理功能，即完全顯現(xiàn)隱藏的注冊(cè)表鍵值、獲取任意注冊(cè)表鍵值的最高權(quán)限等；打開(kāi)工具XueTr，如圖5所示，可看到注冊(cè)表中被隱藏的HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users /Names/hacker$ 和 HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/000003EE，由此可見(jiàn)，服務(wù)器中存在隱藏用戶hacker$。

3 結(jié) 語(yǔ)

入侵者可以通過(guò)在服務(wù)器中建立后門賬號(hào)以達(dá)到長(zhǎng)期控制的目的，作為服務(wù)器的管理員，可以通過(guò)查看注冊(cè)表或利用工具M(jìn)T、AIO等來(lái)檢測(cè)系統(tǒng)中是否存在克隆賬號(hào)，以做到服務(wù)器的安全。

[1]鄧吉.黑客攻防實(shí)戰(zhàn)詳解[M].北京：電子工業(yè)出版社，2006.

[編輯] 洪云飛

TP393

A

1673-1409(2012)05-N145-02

10.3969/j.issn.1673-1409(N).2012.05.048

2012-02-23

陳晨(1987-)，女，2008年大學(xué)畢業(yè)，碩士生，現(xiàn)主要從事計(jì)算機(jī)應(yīng)用方面的研究工作。