影子账户

1. 影子账户

按照上图，我在这里创建的是一个管理员账号通过CMD创建的管理员账号在本地用户组是现实的，在CMD的命令中也是显示的，下面是彻底隐藏的方法，有一部分方法来自百度百科。
第一步：给管理员注册表操作权限。
点击“开始”→“运行”，输入“regedt32.exe”后回车，定位到HKEY_LOCAL_MACHINE\SAM\SAM，点击右键，选择“权限”即可。在弹出的“SAM的权限”编辑窗口中选中“administrators”账户，在下方的权限设置处勾选“完全控制”，完成后点击“确定”。
第二部：将隐藏账户替换为管理员。
点击“开始”→“运行”，输入“regedit.exe”后回车，定位到“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names”处，点击新建的隐藏账户“xiaozheng$”，在右边显示的键值中的“类型”一项显示为0x3eb。
第三步：向上来到“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\”处，将“xiaozheng$”的键值导出为xiaozheng$.reg，同时将“000003EB”和“000001F4”项的F键值分别导出为user.reg，admin.reg。用“记事本”打开admin.reg，将其中“F”值后面的内容复制下来，替换user.reg中的“F”值内容，完成后保存。
第四步：进入“命令提示符”，输入“net user xiaozheng$ /del”将我们建立的隐藏账户删除。最后，将xiaozheng$.reg和user.reg导入注册表，至此，隐藏账户制作完成。
至此，你便看到用户，但注销用xiaozheng登陆，完全就可以登陆，而且桌面和administrator一样！

2. 建立影子帐户

之所以称其为“影子账户”，是因为这种账户用系统中提供的工具或方法都无法看到，并且无论是“用户账户”、“计算机管理”，还是命令行中，都无法删除此账户。无法删除？也就是说即使知道已经有人建立了后门，都无法将他赶出去。如果你已经“中招”了，先别忙着重装系统，且看下文分解。

常用的账户建立/查看方法

①用户账户:打开“控制面板→用户账户”,在打开的“用户账户”管理窗口中点击“创建一个新账户”，然后根据提示即可完成一个新用户的建立。在这里还可以查看曾经登录过系统的账户，但没有在“Documents and Settings”目录中生成用户数据的账户是不会显示的(如没有登录过系统的Administrator账户)，在这里检查系统中存在的账户是不准确的，对于稍微有点经验的入侵者而言，把残留在这里的痕迹抹去并非难事。

②控制台:系统控制台是Windows 2000及其后续版本中一个非常重要的系统组件，集中安置了系统中的多个系统配置维护工具。依次打开“控制面板→计算机管理”打开“计算机管理”控制台，在窗口左侧定位到“本地用户和组→用户”，在窗口右侧就罗列了当前系统已经建立的账户，一些在“用户账户”中没有显示的账户都可以在这里查到。在窗口右侧空白处点右键选择“新用户”，然后输入账户信息就可以建立一个新用户了。

③命令行:以上两种都是图形界面中的操作方法，现在我们回归到命令行模式。要查看当前系统中的账户，运行CMD打开“命令提示符”窗口，输入“net user”命令后系统就会返回系统中存在的账户。键入“net user cfan 123 /add”命令可以新建一个用户名为“cfan”，密码为“123”的受限账户(即Users组成员)。如果要将cfan账户提升为管理员，就需要将此账户加入Administrators用户组，运行命令“net localgroup Administrators cfan /add”即可，如果要删除则用“net user cfan /del”，要查看某个账户的详细情况则可以执行“net user 用户名”。
④账户配置文件目录:在系统盘符下的“Documents and Settings”目录中，凡是登录过系统的账户都会在此生成一个与账户名同名的目录。

⑤查看“用户配置文件”:打开“我的电脑”属性，切换到“高级”，单击“用户配置文件”对应的“设置”按钮，在弹出的“用户配置文件”窗口中显示了登录过系统的账户。在此具备管理员权限的用户可以删除账户及其配置文件(包括有密码保护的账户) ⑥巧用权限设置:在NTFS格式的分区中，如果已经取消了“文件夹选项→查看→使用简单文件共存”的勾选，那么右击一个文件或者目录选择“属性”后就能看到“安全”选项卡，在这个选项卡中简单罗列了对此文件/目录具备权限的用户或组，而依次单击“添加→高级→立即查找”后，系统就会显示整个系统中的“用户、组或内置安全性原则”，可以非常方便地找出系统中的可疑账户。