最新国产欧美一区二区三区_ 建立隱藏的超級用戶(hù) 是個(gè)騙局

2005-8-13 16:38
---由《建立隱藏的超級用戶(hù)》一文引出

近來(lái)一段時(shí)間，網(wǎng)上到處轉貼《建立隱藏的超級用戶(hù)》這樣一篇文章，文中提出可以通過(guò)修改Win2k注冊表的sam數據庫內容來(lái)添加一個(gè)隱藏的超級用戶(hù)，在net user和用戶(hù)管理下面都看不到蹤跡，可以算是一個(gè)非常好的Rootkit了，于是引起了我的極大興趣，摸索了有一周，自認為對windows的用戶(hù)管理已經(jīng)很是熟悉了，得出了這樣一個(gè)結論：關(guān)于建立隱藏的超級用戶(hù)，完全是一個(gè)騙局，呵呵。你一定有些驚訝吧，既然是騙局，怎么還那么多人轉貼和叫好呢？好，聽(tīng)我慢慢給你解釋?zhuān)?br>
一、關(guān)于SAM數據庫的內容
首先從windows的用戶(hù)管理來(lái)說(shuō)起吧，由于windows系統是建立在注冊表之上的，所以，關(guān)于所有的用戶(hù)信息也是存放在注冊表的HKLM下的SAM項中，關(guān)于SAM項的內容，我簡(jiǎn)單提一下，只要知道個(gè)大概就可以了。

存放用戶(hù)信息的具體地方是HKLM\SAM\SAM\Domains\Account\Users中，下面的十六進(jìn)制項都是用戶(hù)的sid，比如用戶(hù)Administrator的sid是000001F4，guest的sid是000001F5，其他的每一個(gè)十六進(jìn)制項都對應一個(gè)用戶(hù)名。同時(shí)，在Names項下面保存的是用戶(hù)名，下面的每一個(gè)都是你機器中的用戶(hù)名。OK，基本的用戶(hù)信息就是這些了，下面來(lái)看windows如何管理這些用戶(hù)：

添加一個(gè)新用戶(hù)的時(shí)候，系統會(huì )在HKLM\SAM\SAM\Domains\Account\Users下面添加一個(gè)新的sid項來(lái)標記用戶(hù)，同時(shí)在HKLM\SAM\SAM\Domains\Account\Users\Names下建立一個(gè)用戶(hù)名的項，而項的類(lèi)型為這個(gè)新的sid。比如添加一個(gè)名為xiaobai的用戶(hù)，系統就會(huì )在HKLM\SAM\SAM\Domains\Account\Users下添加一個(gè)新的sid項，假設是000003ED，與此同時(shí)，你會(huì )發(fā)現在HKLM\SAM\SAM\Domains\Account\Users\Names下面多了一個(gè)名為xiaobai的項，類(lèi)型為0x3ed。這就是windows系統處理添加用戶(hù)的方式。

刪除用戶(hù)的時(shí)候，系統所做的工作就是把上面對應添加的兩個(gè)項刪除。大體的原理應該就是這樣，那些有關(guān)鍵值內容的東西，因為與下面的主題沒(méi)有很大關(guān)系，所以，我就不細說(shuō)了。

二、查看本機用戶(hù)信息
現在，已經(jīng)了解了系統是如何管理用戶(hù)的原理了，我們再回到系統管理員的角度，作為一個(gè)系統管理員，查看本機的用戶(hù)情況是最常見(jiàn)的行為了，一般通過(guò)兩種方式來(lái)查看，net命令和MMC管理控制臺。兩種方式取得本機用戶(hù)信息的方式稍有不同。

首先是net命令，每次執行net命令的時(shí)候，系統去注冊表的HKLM\SAM\SAM\Domains\Account\Users\Names下面取項值，然后打印在屏幕上，就是你看到的結果，所以，即使你隨便在這個(gè)項值下面添加一項，也會(huì )通過(guò)net命令顯示出來(lái)的。其中的一個(gè)小技巧就是如果用戶(hù)名后面帶一個(gè)$符號的時(shí)候，就不會(huì )顯示出來(lái)，所以，在net命令下隱身很容易的，只要你添加的用戶(hù)名是以$結尾的就可以了。

然后是MMC管理控制臺，它與net命令稍有不同，不同處在于顯示用戶(hù)信息的時(shí)候不是現場(chǎng)去注冊表中取，而是每次系統啟動(dòng)時(shí)，所有的用戶(hù)信息都已經(jīng)被讀入了，只是顯示出來(lái)就可以了。除非你做了添加或者刪除用戶(hù)的操作，否則，MMC不會(huì )去讀注冊表的信息的。

所以，當我們按照《建立隱藏的超級用戶(hù)》這篇文章的方法做的時(shí)候，添加用戶(hù)后又刪除了，所以不會(huì )在 MMC中留下痕跡，此時(shí)再通過(guò)添加注冊表的項來(lái)使賬號復活，登錄windows的時(shí)候系統對比注冊表中的內容，發(fā)現這個(gè)用戶(hù)有足夠的信息，所以允許登錄。正如前面所說(shuō)，除非有添加刪除操作，否則，MMC不臨時(shí)去取注冊表的用戶(hù)信息，所以，在MMC中是看不到這個(gè)用戶(hù)的，也就是《建立隱藏的超級用戶(hù)》這篇文章所說(shuō)的成功添加了一個(gè)隱藏的超級用戶(hù)。似乎這個(gè)后門(mén)留地是天衣無(wú)縫，可是一旦你重新啟動(dòng)呢，你會(huì )發(fā)現，你剛才添加的隱藏的用戶(hù)又明明白白地顯示在用戶(hù)列表中，呵呵，至于原因么，是因為系統每次重啟動(dòng)的時(shí)候，MMC都要重新讀取一下注冊表的SAM數據庫，所以，這個(gè)你復活的賬號也被讀到了MMC的記錄中，這樣，也就不是什么隱藏的用戶(hù)了。

呵呵，到現在你應該清楚為什么《建立隱藏的超級用戶(hù)》這篇文章是個(gè)騙局了吧，有無(wú)數人為之歡呼，以為找到了一個(gè)超級的Rootkit，當然也包括我，不過(guò)，假的畢竟是假的，因為這個(gè)而搞清楚了windows的用戶(hù)管理機制，這個(gè)收獲也不小啊，呵呵。

附《建立隱藏的超級用戶(hù)》：

這個(gè)賬戶(hù)可以在用戶(hù)完全不知情的情況下創(chuàng )建，方法如下：
首先打開(kāi)注冊表編輯器regedit，找到[HKEY_LOCAL_MACHINE\SAM\SAM]這個(gè)里面存貯了Windows系統的所有用戶(hù)信息，右鍵這個(gè)鍵值，選擇權限，添加現在用的這個(gè)賬戶(hù)的完全控制權限，然后刷新就會(huì )多出Domains這個(gè)子項，打開(kāi)Account項，然后再打開(kāi)users，這里面就是系統用戶(hù)信息，點(diǎn)開(kāi)Names一項就看到了所有用戶(hù)?，F在我們添加一個(gè)賬戶(hù)，開(kāi)始-運行 cmd，輸入net
user haohao$ 123 /add 這樣就添加了一個(gè)賬戶(hù)，$在命令行下是不顯示的，所以輸入net user查看，不會(huì )看到haohao$這個(gè)賬戶(hù)，但是在計算機管理的本地用戶(hù)和組中是可以看到的。下面就解決這個(gè)問(wèn)題，刷新注冊表，會(huì )發(fā)現Names多了一個(gè)haohao$項，打開(kāi)發(fā)現鍵值為0X3ED，我們在Users這項會(huì )發(fā)現多了一個(gè)000003ED的項，里面有F和V兩個(gè)鍵值，然后找到administrator這個(gè)賬戶(hù)，查看對應的F鍵值，把這個(gè)鍵值覆蓋掉haohao$對應的F鍵值，然后分別導出haohao$和000003ED這兩個(gè)鍵值，然后cmd刪除haohao$這個(gè)賬戶(hù)，net user haohao$ /del，成功后再導入剛才的haohao$和000003ED這兩個(gè)注冊表文件，導入成功后在net user和計算機管理中都看不到haohao$這個(gè)賬戶(hù)，但是其實(shí)這個(gè)賬戶(hù)是真實(shí)存在的而且是管理員權限，驗證下，cmd輸入runas /profile /user:haohao$ cmd.exe回車(chē)輸入密碼，這樣就啟動(dòng)一個(gè)以haohao$賬戶(hù)的cmd窗口，用這個(gè)窗口可以創(chuàng )建其他賬戶(hù)，說(shuō)明已經(jīng)是管理員權限，最后建議把注冊表SAM鍵值的權限改回默認，這樣就成功在系統中建立了一個(gè)隱藏的管理員賬戶(hù)。

建立WIN2003超級隱藏用戶(hù)- -

隱藏的超級用戶(hù)建好后，在帳戶(hù)管理器看不到建立的這個(gè)用戶(hù)，在命令行用"net user"命令也看不到哦??！
2K中的regedit.exe和regedt32.exe
XP中的regedit.exe和regedt32.exe
win2003中的regedit.exe和regedt32.exe
都有兩個(gè)注冊表編輯器，實(shí)為一個(gè)程序。對regedit.exe我想大家都應該很熟悉的啦，但卻不能對注冊表的項鍵設置權限，而regedt32.exe最
大的優(yōu)點(diǎn)就是能夠對注冊表的項鍵設置權限。nt/2000/xp/2003的帳戶(hù)信息都在注冊表的HKEY_LOCAL_MACHINE\SAM\SAM鍵下，但是除了系統用戶(hù)
SYSTEM外，其它用戶(hù)都無(wú)權查看到里面的信息。下面介紹一下這個(gè)sam

SAM（Security Accounts Manager安全帳戶(hù)管理器）負責SAM數據庫的控制和維護。SAM數據庫位于注冊表HKLM\SAM\SAM下，受到ACL保護，可以使用regedt32.exe打開(kāi)注冊表編輯器并設置適當權限查看SAM中的內容。SAM數據庫在磁盤(pán)上就保存在%systemroot%system32\config\目錄下的sam文件中，在這個(gè)目錄下還包括一個(gè)security文件，是安全數據庫的內容，聽(tīng)高手說(shuō)兩者有不少關(guān)系。（由于本人太菜，并不太了解）

SAM數據庫中包含所有組、帳戶(hù)的信息，包括密碼HASH、帳戶(hù)的SID等?，F以我分析的系統---中文Win2003 Server為例

首先用regedt32.exe(2003用regedit也一樣)對SAM鍵為我設置為"完全控制"權限。這樣就可以對SAM鍵內的信息進(jìn)行讀寫(xiě)了了。展開(kāi)注冊
表HKEY_LOCAL_MACHINE_SAM:
|---- SAM
|----Domains
| |----Account
| | |---- Aliaese
| | | |---- 000003E8
| | | |----000003EA
| | | |----000003EA
| | | |---- Members
| | | | |----S-1-5
| | | | | |----000003EA
| | | | | |----00000013
| | | | | |----00000013
| | | | |----S-1-5-21-3179286488-61192537-2235348617
| | | | |----000003E9
| | | | |----000003ED
| | | |----Name
| | | |----HelpServicesGroup
| | | |----IIS_WPG
| | | |----TelnetClients
| | |----Grpup
| | | |----00000201
| | | |----Name
| | | |----None
| | |----Users
| | |----000001F4
| | |----000001F5
| | |----000003E9
| | |----000003EC
| | |----000003ED
| | |----Names
| | |----Net2k$
| | |----Guest
| | |----IUSR_NET2K-KAXXY6SZ3
| | |----IWAM_NET2K-KAXXY6SZ3
| | |----SUPPORT_388945a0
| |----Builtin
| |----Aliases
| | |----00000220
| | |----00000221
| | |----00000222
| | |----00000223
| | |----00000226
| | |----00000227
| | |----00000228
| | |----0000022B
| | |----0000022C
| | |----0000022E
| | |----0000022F
| | |----Members
| | | |----S-1-5
| | | | |----00000004
| | | | |----0000000B
| | | | |----00000014
| | | |----S-1-5-21-3179286488-61192537-2235348617
| | | |----000001F4
| | | |----000001F5
| | | |----000003EC
| | |----Names
| | |----Administrators
| | |----Backup Operators
| | |----Guests
| | |----Network Configuration Operators
| | |----Performance Log Users
| | |----Performance Monitor Users
| | |----Power Users
| | |----Print Operators
| | |----Remote Desktop Users
| | |----Replicator
| | |----Users
| |----Groups
| | |---Names
| |----Users
| |----Names
|----RXACT


這是我機器上注冊表中SAM數據庫的結構，SAM樹(shù)。在整個(gè)數據庫中，賬號主要內容存在于下面這些位置：在\Domains\下就是域（或本機）中的SAM內容，其下有兩個(gè)分支"Account"和"Builtin"。\Domains\Account是用戶(hù)賬號內容。\Domains\Account\Users下就是各個(gè)賬號的信息。

其下的子鍵就是各個(gè)賬號的SID相對標志符。比如000001F4，每個(gè)賬號下面有兩個(gè)子項，F和V。其中\Names\下是用戶(hù)賬號名，每個(gè)賬號名只有一個(gè)默認的子項，項中類(lèi)型不是一般的注冊表數據類(lèi)型，而是指向標志這個(gè)賬號的SID最后一項（相對標識符），比如其下的Administrator，類(lèi)型為0x1F4，于是從前面的000001F4就對應著(zhù)帳戶(hù)名administrator的內容。如果我們把某個(gè)賬號中的類(lèi)型改為0x1F4，那么這個(gè)賬號將被指向類(lèi)000001F4的帳戶(hù)。而這個(gè)賬號000001F4就是administrator帳戶(hù)，這樣，系統在登錄過(guò)程中就把被修改的賬號完全轉為了administrator賬號，經(jīng)過(guò)修改的賬號所使用的所有內容、信息都是adminisrtator內容，包括密碼、權限、桌面、記錄、訪(fǎng)問(wèn)時(shí)間等等，這就是達到了所謂的克隆超級管理員賬號的目的。由于本人水平所限，SAM數據庫的不再多作介紹了，想要了解更多的，可以自己去查找資料.下面主要是介紹如何實(shí)現這個(gè)克隆并隱藏賬號的步驟了。了解了這些，接下來(lái)的工作也就更容易去做了。

   具體步聚如下：
   1、假設我們是以超級用戶(hù)administrator登錄到開(kāi)有終端服務(wù)的肉雞上的，首先在命令行下或帳戶(hù)管理器中建立一個(gè)帳戶(hù):
net2$,這里我在命令行下建立這個(gè)帳戶(hù),如下:
net user net2k$ 123456 /add

2、在"開(kāi)始"→"運行"并輸入"regedit.exe" 回車(chē),啟動(dòng)注冊表編輯器regedit.exe。
打開(kāi)鍵：HKEY_LOCAL_MAICHINE\SAM\SAM\Domains\account\user\names\net2k$"

3、將項net2$、000003F2、000001F4導出為kelong.reg、3f2.reg、admin.reg，用記事本分別把這幾個(gè)導出的文件進(jìn)行編輯，將超級用戶(hù)對
應的項000001F4下的鍵"F"的值復制，并覆蓋NET2K$對應的項000003F2下的鍵"F"的值，詳細步驟、內容如下：

項000001F4下的鍵"F"的內容：

"F"=hex:02,00,01,00,00,00,00,00,58,35,e6,ba,b7,85,c4,01,00,00,00,00,00,00,00,\
  00,6a,09,b0,b2,6f,71,c4,01,00,00,00,00,00,00,00,00,32,47,ec,f7,5c,84,c4,01,\
  f4,01,00,00,01,02,00,00,10,02,00,00,00,00,00,00,00,00,86,00,01,00,00,00,00,\
  00,00,00,00,00,00,00

賬號NET2K$對應的SID項000003F2下的鍵"F"的內容：

"F"=hex:02,00,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,ce,21,90,ca,eb,85,c4,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  f2,03,00,00,01,02,00,00,10,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,\
  00,00,00,00,00,5f,00
然后再將03F2.reg與kelong.reg合并后執行導入。

4、在命令行下執行net user net2k$ /del將用戶(hù)net2k$刪除：net user net2k$ /del
到此，隱藏的超級用戶(hù)hacker$已經(jīng)建好了，然后關(guān)閉regedit.exe。在regedt32.exe窗口內把HKEY_LOCAL_MACHINE\SAM\SAM鍵權限改回原
來(lái)的樣子。
注意：隱藏的超級用戶(hù)建好后，在帳戶(hù)管理器看不到net2k$這個(gè)用戶(hù)，在命令行用"net user"命令也看不到，但是超級用戶(hù)建立以后，
就不能再改密碼了，如果用net user命令來(lái)改hacker$的密碼的話(huà)，那么在帳戶(hù)管理器中將又會(huì )看這個(gè)隱藏的超級用戶(hù)了，據說(shuō)不能刪除。至于如何在命令行下遠程建立隱藏的超級用戶(hù)，這里就不多說(shuō)了，只要你dos命令好，手工克隆也完全不是問(wèn)題，方法都一樣，只是要講究操作技巧了......
建立WIN2003超級隱藏用戶(hù)- -

隱藏的超級用戶(hù)建好后，在帳戶(hù)管理器看不到建立的這個(gè)用戶(hù)，在命令行用"net user"命令也看不到哦??！
2K中的regedit.exe和regedt32.exe
XP中的regedit.exe和regedt32.exe
win2003中的regedit.exe和regedt32.exe
都有兩個(gè)注冊表編輯器，實(shí)為一個(gè)程序。對regedit.exe我想大家都應該很熟悉的啦，但卻不能對注冊表的項鍵設置權限，而regedt32.exe最
大的優(yōu)點(diǎn)就是能夠對注冊表的項鍵設置權限。nt/2000/xp/2003的帳戶(hù)信息都在注冊表的HKEY_LOCAL_MACHINE\SAM\SAM鍵下，但是除了系統用戶(hù)
SYSTEM外，其它用戶(hù)都無(wú)權查看到里面的信息。下面介紹一下這個(gè)sam

SAM（Security Accounts Manager安全帳戶(hù)管理器）負責SAM數據庫的控制和維護。SAM數據庫位于注冊表HKLM\SAM\SAM下，受到ACL保護，可以使用regedt32.exe打開(kāi)注冊表編輯器并設置適當權限查看SAM中的內容。SAM數據庫在磁盤(pán)上就保存在%systemroot%system32\config\目錄下的sam文件中，在這個(gè)目錄下還包括一個(gè)security文件，是安全數據庫的內容，聽(tīng)高手說(shuō)兩者有不少關(guān)系。（由于本人太菜，并不太了解）

SAM數據庫中包含所有組、帳戶(hù)的信息，包括密碼HASH、帳戶(hù)的SID等?，F以我分析的系統---中文Win2003 Server為例

首先用regedt32.exe(2003用regedit也一樣)對SAM鍵為我設置為"完全控制"權限。這樣就可以對SAM鍵內的信息進(jìn)行讀寫(xiě)了了。展開(kāi)注冊
表HKEY_LOCAL_MACHINE_SAM:
|---- SAM
|----Domains
| |----Account
| | |---- Aliaese
| | | |---- 000003E8
| | | |----000003EA
| | | |----000003EA
| | | |---- Members
| | | | |----S-1-5
| | | | | |----000003EA
| | | | | |----00000013
| | | | | |----00000013
| | | | |----S-1-5-21-3179286488-61192537-2235348617
| | | | |----000003E9
| | | | |----000003ED
| | | |----Name
| | | |----HelpServicesGroup
| | | |----IIS_WPG
| | | |----TelnetClients
| | |----Grpup
| | | |----00000201
| | | |----Name
| | | |----None
| | |----Users
| | |----000001F4
| | |----000001F5
| | |----000003E9
| | |----000003EC
| | |----000003ED
| | |----Names
| | |----Net2k$
| | |----Guest
| | |----IUSR_NET2K-KAXXY6SZ3
| | |----IWAM_NET2K-KAXXY6SZ3
| | |----SUPPORT_388945a0
| |----Builtin
| |----Aliases
| | |----00000220
| | |----00000221
| | |----00000222
| | |----00000223
| | |----00000226
| | |----00000227
| | |----00000228
| | |----0000022B
| | |----0000022C
| | |----0000022E
| | |----0000022F
| | |----Members
| | | |----S-1-5
| | | | |----00000004
| | | | |----0000000B
| | | | |----00000014
| | | |----S-1-5-21-3179286488-61192537-2235348617
| | | |----000001F4
| | | |----000001F5
| | | |----000003EC
| | |----Names
| | |----Administrators
| | |----Backup Operators
| | |----Guests
| | |----Network Configuration Operators
| | |----Performance Log Users
| | |----Performance Monitor Users
| | |----Power Users
| | |----Print Operators
| | |----Remote Desktop Users
| | |----Replicator
| | |----Users
| |----Groups
| | |---Names
| |----Users
| |----Names
|----RXACT


這是我機器上注冊表中SAM數據庫的結構，SAM樹(shù)。在整個(gè)數據庫中，賬號主要內容存在于下面這些位置：在\Domains\下就是域（或本機）中的SAM內容，其下有兩個(gè)分支"Account"和"Builtin"。\Domains\Account是用戶(hù)賬號內容。\Domains\Account\Users下就是各個(gè)賬號的信息。

其下的子鍵就是各個(gè)賬號的SID相對標志符。比如000001F4，每個(gè)賬號下面有兩個(gè)子項，F和V。其中\Names\下是用戶(hù)賬號名，每個(gè)賬號名只有一個(gè)默認的子項，項中類(lèi)型不是一般的注冊表數據類(lèi)型，而是指向標志這個(gè)賬號的SID最后一項（相對標識符），比如其下的Administrator，類(lèi)型為0x1F4，于是從前面的000001F4就對應著(zhù)帳戶(hù)名administrator的內容。如果我們把某個(gè)賬號中的類(lèi)型改為0x1F4，那么這個(gè)賬號將被指向類(lèi)000001F4的帳戶(hù)。而這個(gè)賬號000001F4就是administrator帳戶(hù)，這樣，系統在登錄過(guò)程中就把被修改的賬號完全轉為了administrator賬號，經(jīng)過(guò)修改的賬號所使用的所有內容、信息都是adminisrtator內容，包括密碼、權限、桌面、記錄、訪(fǎng)問(wèn)時(shí)間等等，這就是達到了所謂的克隆超級管理員賬號的目的。由于本人水平所限，SAM數據庫的不再多作介紹了，想要了解更多的，可以自己去查找資料.下面主要是介紹如何實(shí)現這個(gè)克隆并隱藏賬號的步驟了。了解了這些，接下來(lái)的工作也就更容易去做了。

   具體步聚如下：
   1、假設我們是以超級用戶(hù)administrator登錄到開(kāi)有終端服務(wù)的肉雞上的，首先在命令行下或帳戶(hù)管理器中建立一個(gè)帳戶(hù):
net2$,這里我在命令行下建立這個(gè)帳戶(hù),如下:
net user net2k$ 123456 /add

2、在"開(kāi)始"→"運行"并輸入"regedit.exe" 回車(chē),啟動(dòng)注冊表編輯器regedit.exe。
打開(kāi)鍵：HKEY_LOCAL_MAICHINE\SAM\SAM\Domains\account\user\names\net2k$"

3、將項net2$、000003F2、000001F4導出為kelong.reg、3f2.reg、admin.reg，用記事本分別把這幾個(gè)導出的文件進(jìn)行編輯，將超級用戶(hù)對
應的項000001F4下的鍵"F"的值復制，并覆蓋NET2K$對應的項000003F2下的鍵"F"的值，詳細步驟、內容如下：

項000001F4下的鍵"F"的內容：

"F"=hex:02,00,01,00,00,00,00,00,58,35,e6,ba,b7,85,c4,01,00,00,00,00,00,00,00,\
  00,6a,09,b0,b2,6f,71,c4,01,00,00,00,00,00,00,00,00,32,47,ec,f7,5c,84,c4,01,\
  f4,01,00,00,01,02,00,00,10,02,00,00,00,00,00,00,00,00,86,00,01,00,00,00,00,\
  00,00,00,00,00,00,00

賬號NET2K$對應的SID項000003F2下的鍵"F"的內容：

"F"=hex:02,00,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,ce,21,90,ca,eb,85,c4,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  f2,03,00,00,01,02,00,00,10,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,\
  00,00,00,00,00,5f,00
然后再將03F2.reg與kelong.reg合并后執行導入。

4、在命令行下執行net user net2k$ /del將用戶(hù)net2k$刪除：net user net2k$ /del
到此，隱藏的超級用戶(hù)hacker$已經(jīng)建好了，然后關(guān)閉regedit.exe。在regedt32.exe窗口內把HKEY_LOCAL_MACHINE\SAM\SAM鍵權限改回原
來(lái)的樣子。
注意：隱藏的超級用戶(hù)建好后，在帳戶(hù)管理器看不到net2k$這個(gè)用戶(hù)，在命令行用"net user"命令也看不到，但是超級用戶(hù)建立以后，
就不能再改密碼了，如果用net user命令來(lái)改hacker$的密碼的話(huà)，那么在帳戶(hù)管理器中將又會(huì )看這個(gè)隱藏的超級用戶(hù)了，據說(shuō)不能刪除。至于如何在命令行下遠程建立隱藏的超級用戶(hù)，這里就不多說(shuō)了，只要你dos命令好，手工克隆也完全不是問(wèn)題，方法都一樣，只是要講究操作技巧了......

本站僅提供存儲服務(wù)，所有內容均由用戶(hù)發(fā)布，如發(fā)現有害或侵權內容，請點(diǎn)擊舉報。

欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久