|
什么是最隐蔽的后门?答案不是远程控制型木马,也不是专业的后门程序,而是我们系统中的隐藏账户。由于隐藏账户制作简单,隐藏效果好,最重要的一点是永远不会被杀毒软件和安全工具查杀,因此黑客入侵电脑后,很有可能会在电脑中制作隐藏账户,以方便下次“光临”。那么我们该如何检测自己系统中的隐藏账户呢?让我们一起来看看吧。
1.检测“命令提示符”型隐藏账户 黑客的这类隐藏账户的手法比较简单,只是在建立账户时,在用户名后添加了一个“$”号,这样该账户就在“命令提示符”中隐藏了。而我们要检测的话也比较简单,一般黑客在利用这种方法建立完隐藏账户后,会把隐藏账户提升为管理员权限。那么我们只需点击“开始”菜单→“运行”,输入“cmd”运行“命令提示符”,在其中输入“net localgroup administrators”命令并回车就可以让所有的隐藏账户现形。如果嫌麻烦,可以直接打开“计算机管理”进行查看,添加“$”符号的账户是无法在这里隐藏的。 2.删除注册表修改式隐藏账户 这种隐藏账户的制作方法相对来说比较麻烦一些,需要在注册表中克隆相关的管理员键值,以实现账户的隐藏。但是这种方法的隐藏效果是比较好的,因为我们无论在“命令提示符”中和“计算机管理”中都无法找到隐藏账户的踪影。那么如何进行检测和删除呢?解铃还须系铃人,我们检测和删除隐藏账户的工作同样需要在注册表中进行。点击“开始”→“运行”,输入“regedit”运行“注册表编辑器”,定位到“HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers Names”处,把这里存在的账户和“计算机管理”中存在的账户进行比较,多出来的账户就是隐藏账户了。删除的方法很简单,选中以隐藏账户命名的项,右键点击选择“删除”即可。 3.用审核策略找出超隐蔽隐藏账户 为了达到最好的隐藏效果,黑客可能会使用一些专业的账户隐藏工具来制作隐藏账户,这样制作出来的隐藏账户我们根本无法用普通的方法看到。比较好的检测方法是通过Windows系统自带的审核策略功能来让隐藏账户现行。 点击“开始”→“运行”,输入“gpedit.msc”运行“组策略”,依次展开“计算机配置”→“Windows 设置”→“安全设置”→“本地策略”→“审核策略”,双击右边的“审核策略更改”,在弹出的设置窗口中勾寻成功”,然后点“确定”。对“审核登录事件”和“审核过程追踪”进行相同的设置。 .开启登录事件审核功能 进行登录审核后,可以对任何账户的登录操作进行记录,包括隐藏账户,这样我们就可以通过“计算机管理”中的“事件查看器”准确得知隐藏账户的名称,甚至黑客登录的时间。 得知隐藏账户的名称后我们无法删除它,因为我们没有相应的操作权限。但是我们可以在“命令提示符”中输入“net user 隐藏账户名称 新密码”更改这个隐藏账户的密码,这样这个隐藏账户就会失效,黑客将无法再用这个隐藏账户登录。 |
|
|
