标题: [已结]很有挑战的任务:用批处理检测克隆账户 [打印本页]
作者: fonlan 时间: 2007-8-30 02:28 标题: [已结]很有挑战的任务:用批处理检测克隆账户
用批处理检测克隆账户!
允许使用第三方软件,不过最好不用!
[ Last edited by HAT on 2008-11-15 at 10:10 ]
作者: slore 时间: 2007-8-30 10:33
克隆账户?
作者: fonlan 时间: 2007-8-30 13:46
| Quote: | |
|
是啊,是一个隐藏的账户,很难发现,但可以拥有管理员权限。
作者: yishanju 时间: 2007-8-30 13:59
用批处理读注册表?
作者: my3439955 时间: 2007-8-30 15:19
检查"C:\Documents and Settings"下的目录是一个办法,但是如果创建的用户还没有登陆过,那么将不会有任何对应的目录
我想是不是可以使用这样一个办法,对于新创建的帐户abcd$,使用Net user命令查看不到这个帐户,我们可以到它所在的组中去找寻.用net localgroup命令可以列举出所有的组.选择一个组,例如users,使用命令net localgroup users将显示出组中的所有帐户,无论隐藏与否.如果abcd$在这里面,那么它就现身了.
一个帐户总回属于一个组,我们枚举了所有的组,就可以得到所有的帐户.
作者: fonlan 时间: 2007-8-30 15:41
这对隐藏帐户应该有用,不过对克隆帐户不一定有用啊。克隆帐户本身是不存在的,只有在注册表中能看出稍许。不过用SetACL工具无法获得HKLM\SAM\SAM键的权限啊!
作者: slore 时间: 2007-8-30 18:42
呵呵,克隆账户还是第一次听。自己的电脑就自己一个用户,不了解它,所以帮不上。
作者: fonlan 时间: 2007-8-30 20:39
经过试验已确定C:\Documents and Settings下是没有克隆账户的文件夹的,理论上应该用的就是管理员账户的配置文件。而且用net user和net localgroup administrators命令都无法发现这个账户,组策略里也没有这个账户,隐蔽性一流啊!!
作者: fonlan 时间: 2007-8-30 20:41
| Quote: | |
|
你认为只有你一个账户,搞不好还有一个克隆账户哦,按现在的情况看在不使用第三方图形界面工具的情况下,注册表是唯一能发现隐藏账户的方法,你怎么知道你没有呢?;)
作者: fonlan 时间: 2007-8-30 20:46
我说一下我的方法,用mt生成一个system权限的命令行,system权限是可以读取SAM键值的,然后判断。这个方法理论上可行,不过mt被大多数杀毒软件列为病毒,在装有杀毒软件的电脑上无法运行啊。不知道有没有其他的可以提权到system权限又不会被杀毒软件干掉的命令行工具啊?
作者: HAT 时间: 2007-8-30 21:36
@echo off
rem 假设现在的系统时间是13:16
rem 运行下面的命令可以在两分钟后获得一个具有system权限的shell
at 13:18 /interactive %systemroot%\system32\cmd.exe
[ Last edited by HAT on 2007-8-30 at 09:39 PM ]
作者: slore 时间: 2007-8-30 21:51
| Quote: | |
|
呵呵~直觉+经验……恩,网上查了如何创建……发现原来我还真只有1个用户嗬~
不用cmd
直接at 那个启动regedit就可以看sam了
作者: fonlan 时间: 2007-8-30 23:00
果然可以哈,又学到一招,谢谢!!
作者: fonlan 时间: 2007-8-31 15:16
不过at命令至少要延迟一分钟才行的么?有没有立即启动system权限cmd的方法?
作者: slore 时间: 2007-8-31 18:39 标题: 修改时间也许吧……不过还是不乱改时间的好
……
附件 1:CheckClUser.rar (2007-8-31 18:39, 38.79 K, 下载附件所需积分 1点 ,下载次数: 38)
作者: fonlan 时间: 2007-8-31 20:12
slore大侠果然厉害,马上就编了个程序出来。不过这个程序怎么用?它只能启动system权限的注册表么?我现在是要在批处理里检查克隆账户,所以能不能用它来启动命令行??
作者: slore 时间: 2007-8-31 20:19
=。= 为了防止干坏事所以不想启动cmd……启动了cmd,在cmd下运行的程序都可以拥有SYSTEM权限了……
这个程序可以启动cmd,不过方法……算了,希望你不要干坏事情=。=
CheckClUser.exe /Slore cmd
作者: fonlan 时间: 2007-8-31 20:53
| Quote: | |
|
哈哈,谢谢大侠啊!放心,我不是做坏事,我是想编一个批处理自动检测系统中的危险因素,比如说可疑的模块啊,克隆账户啊,隐藏的服务啊之类的,方便自己给别人修电脑。最后还是要谢谢你啊,好人啊!!!!!!!:D:D
作者: slore 时间: 2007-8-31 22:03
哦,那你写好了再这里放一份……
作者: fonlan 时间: 2007-8-31 23:18
嗯,一定。对了,有没有能不跳出那个确定对话框的参数?
作者: slore 时间: 2007-8-31 23:55
没有设置……调试失败=。=干什么都IDE崩溃……
作者: fonlan 时间: 2007-9-1 00:12
又遇到一个难题,一个文件里有几行数字(就是每个用户的SID),每行都有160个数字组成,现在要判断这个文件里有没有重复行,如果有的话就输出重复行。
本想试试findstr,结果报搜索的字符串太长。
作者: qcqtye 时间: 2007-10-2 00:07
唉.还是看得一头污水呀!!
作者: wjdidi 时间: 2007-10-2 15:03
克隆账号其实没什么,在计算机管理,本地用户和组里可以看得清清楚楚的
作者: zlovex123 时间: 2008-11-15 09:57
20分钟不能发言啊
作者: everest79 时间: 2008-11-15 10:31
win的账号与组的关联是以SAM注册表路径来完成指向的,而SID与权限的关联又是通过各用户ID下的F键的值来完成的,所以当别的低权限账号拥有了跟管理员账号一样的F值,理论上就可以得到跟管理员相同的高权限,但在账号管理中显示的还是原来的低权限账号,这种克隆主要针对服务器,个人电脑一般只有一个账号,再NB的克隆也没用