影子帳戶

定義：影子賬戶，顧名思義就是隱藏的賬戶，在“控制臺-用戶賬戶”裡面是看不見，但卻有管理員許可權的賬戶

可行性：這一概念是隨著windows系統產生的；在黑客技術里與後門安裝技術掛鈎；由於它的隱藏性強， 入侵者多在被入侵的電腦里加上這樣的賬戶，用於遠程登錄以便控制客戶機。影子賬戶的創建在windows98\2000\xp系統下是可以實施的，在windowsNT系統下理論上也應該可行，但是由於這類系統的安全機制不同於xp系統，加之該編者本人各方面的局限性，目前還不得知可否創建（以期高手補充）

賬戶的創建：

a.建立隱藏帳戶

點擊“開始”→“運行”，輸入“CMD”運行“命令提示符”，輸入“net user root2$ password /add”，回車，成功後會顯示“命令成功完成”。接著輸入“net localgroup administrators root2$ /add”回車，利用“命令提示符”建立一個用戶名為“root2$”，密碼為“password”的簡單“隱藏賬戶”,並且把該隱藏賬戶提升為了管理員許可權。

進入控制臺的“管理工具”，打開其中的“計算機”，查看其中的“本地用戶和組”，在“用戶”一項中，我們建立的隱藏賬戶“root2$”暴露無疑。

因此這種方法只能將賬戶在“命令提示符”中進行隱藏，而對於“計算機管理”則無能為力。

b.徹底隱藏賬戶

1、給管理員註冊表操作許可權

點擊“開始”→“運行”，輸入“regedt32.exe”後回車（注意：不是regedit.exe)，定位到HKEY_LOCAL_MACHINE\SAM\SAM，點擊右鍵，選擇“許可權”即可。在彈出的“SAM的許可權”編輯視窗中選中“administrators”賬戶，在下方的許可權設定處勾選“完全控制”，完成後點擊“確定”。

2、將隱藏賬戶替換為管理員

點擊“開始”→“運行”，輸入“regedit.exe”後回車（注意：不是regedt32.exe)，定位到“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names”處，點擊新建的隱藏賬戶“root2$”，在右邊顯示的鍵值中的“類型”一項顯示為0x3eb。

向上來到“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\”處，將“root2$”的鍵值導出為root2$.reg，同時將“000003EB”和“000001F4”項的F鍵值分別導出為user.reg，admin.reg。用“記事本”打開admin.reg，將其中“F”值後面的內容複製下來，替換user.reg中的“F”值內容，完成後保存。

接下來進入“命令提示符”，輸入“net user root2$ /del”將我們建立的隱藏賬戶刪除。最後，將root2$.reg和user.reg導入註冊表，至此，隱藏賬戶製作完成。

至此，你便看到用戶，但註銷用root2登入，完全就可以登入，而且桌面和administrator一樣！

c.遠程計算機上影子賬戶的建立

遠程控制電腦創建影子帳戶（後門）

步驟：

1、取得遠程電腦的最高許可權（管理員許可權），要取得遠程電腦管理員許可權的方法很多，

難度視對方電腦的防備水平如何。如何取得許可權，就不多介紹了。

2、利用各種工具，開啟遠程電腦的遠程註冊表、定時任務服務.server服務功能。

3、編寫“添加管理員帳戶”的DOS命令程式，也就是COM或BAT程式，程式要內含運行視窗自動關閉和自我清除功能以便清除痕跡（俗稱擦'屁股')。並上傳這些檔案到對方電腦上（隱藏在不容易發現的角落即可）。

4、為了遠程在對方電腦上運行這些DOS命令，現製作遠程電腦的任務定時計畫（系統級別運行的），在本地DOS環境下輸入如下命令：at \\xx.xx.xx.xx time\\xx.xx.xx.xx\DOS程式的檔案路徑

5、可以通過如下命令測試遠程添加帳戶是否成功：

net use \\xx.xx.xx.xx\ipc$ "密碼" /user:"帳戶名"，如果顯示遠程連線成功。則添加帳戶成功！

6、退出已經連線的添加帳戶：net use \\xx.xx.xx.xx\ipc$ /del

7、運行本機電腦的regedt32.exe 程式，連線遠程電腦xx.xx.xx.xx，給SAM註冊表項設定自己擁有的遠程電腦的管理員許可權為完全控制。退出regedt32程式。開啟regedit.exe程式，連線遠程電腦註冊表。在SAM下面的項中的,把目前已擁有的管理員帳戶的F項鍵值複製到添加的管理員帳戶對應的F鍵值。

8、把遠程電腦上的註冊表上的新管理員帳戶鍵值導出，可用如下命令：at \\xx.xx.xx.xx time \\xx.xx.xx.xx\admin$\regedit.exe /e 註冊表名.reg 要導出的註冊表路徑

9、製作刪除剛添加的管理員帳戶的DOS命令程式，並定時在遠程電腦上運行。測試,確保帳戶刪除成功。

10、在遠程電腦上導入剛才導出的註冊表：

at \\xx.xx.xx.xx time \\xx.xx.xx.xx\admin$\regedit.exe /s 註冊表名.reg (/S,靜默方式導入）

11、將遠程註冊表上的SAM許可權改為只保留系統級帳戶修改的許可權，。也就是還原原許可權。

12、利用MT程式，在遠程電腦上刪除系統記錄的日誌。擦除掉一切顯露你痕跡的尾巴。記得做事要乾淨。

13、遠程連線電腦，用建立的影子帳戶登錄。測試成功並查看遠程電腦里的帳戶里沒有顯出帳戶即可！影子帳戶相當於一個administrator帳戶，密碼administrator相同，當administrator密碼變時，影子帳戶密碼不變，而帳戶密碼改變時administrator帳戶密碼跟著改變，常規方法看不到影子帳戶，只能到註冊表去。建立影子帳戶步驟如下： 定位 “HKEY_MACHNE\SAM\SAM\Domains\Account\user\Names\Administrator記住就行了)保存雙擊導入註冊表。

《XXX為任意名》查找影子帳戶辦法：”打開註冊表，定位到“HKEY_MACHNE\SAM\SAM\Domains\Account\user\Names\Administrator”查看默認值。2 “HKEY_MACHNE\SAM\SAM\Domains\Account\user\Names”只要跟上邊值相同就為影子帳戶。（有時影子帳戶不一定是Administrator的，也可能是普通帳戶的