怎么找找服务器中隐藏帐号方法

　　当黑客入侵一台主机后，会想方设法保护自己的“劳动成果”，因此会在服务器上留下种种后门来长时间得控制肉鸡,其中使用最多的就是账户隐藏技术。在服务器上建立一个隐藏的账户，以备需要的时候使用。账户隐藏技术可谓是最隐蔽的后门，一般用户很难发现系统中隐藏账户的存在，因此危害性很大，本节课就对隐藏账户这种黑客常用的技术的防范进行介绍。

　　7.4.1 介绍如何建立“影子管理员”

　　在隐藏系统账户之前，我们有必要先来了解一下如何才能查看系统中已经存在的账户。在系统中可以进入“命令提示符”，控制面板的“计算机管理”，“注册表”中对存在的账户进行查看，而管理员一般只在“命令提示符”和“计算机管理”中检查是否有异常。

　　克隆帐号的原理

　　在注册表中有两处保存了帐号的SID相对标志符,一处是SAM\Domains\Account\Users下的子键名，另一处是该子键的子项F的值中。这里微软犯了个不同步它们的错误，登陆时用的是后者，查询时用前者。当用admin的F项覆盖其他帐号的F项后，就造成了帐号是管理员权限但查询还是原来状态的情况。即所谓的克隆帐号。 www..com

　　明白原理后就应该明白，通过查看注册表内账户的方法比较有效。

　　7.4.2 如何查找出彻底隐藏的影子管理员

　　隐藏账户的危害可谓十分巨大。我们有必要对相应的防范技术作一个了解，把隐藏账户彻底请出系统。

　　1、添加“$”符号型隐藏账户

　　对于这类隐藏账户的检测比较简单。一般黑客在利用这种方法建立完隐藏账户后，会把隐藏账户提升为管理员权限。那么我们只需要在“命令提示符”中输入“net localgroup administrators”就可以让所有的隐藏账户现形。如果嫌麻烦，可以直接打开计算机管理”进行查看，添加“$”符号的账户是无法在这里隐藏的。

　　2、修改注册表型隐藏账户

　　由于使用这种方法隐藏的账户是不会在“命令提示符”和“计算机管理”中看到的，因此可以到注册表中删除隐藏账户。来到“HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/Names”，把这里存在的账户和“计算机管理”中存在的账户进行比较，多出来的账户就是隐藏账户了。想要删除它也很简单，直接删除以隐藏账户命名的项即可。

　　3、其他的办法：使用影子管理员建立工具 clone.exe 安全工具

　　操作注册表比较烦琐，我们可以用安全工具来进行查看，快捷方便，另外也可以通过本地审核策略才发现影子管理员的行踪 。