레지스트리는 Windows 의 핵심 부분으로, 시스템 설정의 전체 데이터베이스에 해당하며, 시스템 설정과 관련된 거의 모든 옵션에서 해당 키를 찾을 수 있습니다. 2005 년 2 기' 루트 백업 Windows 암호 보존' 은 Windows 2000/XP/2003 계정 암호를 마이그레이션할 수 있는 방법을 제공합니다. 사실 [HKEY_LOCAL_MACHINE\SAM\SAM] 은 여전히 잠재력이 있습니다.
1 단계: 레지스트리의 권한 수정으로 인해 관리자 권한이 있는 계정을 사용하여 시스템에 로그인해야 합니다.
2 단계: 레지스트리 편집기를 열고 [HKEY_LOCAL_MACHINE\
SAM\SAM], 항목을 마우스 오른쪽 단추로 클릭하고 권한 (Windows 2000 에서 권한을 수정하는 regedt32.exe), 그룹 또는 사용자 이름 목록에서 관리자를 선택하고 전체 제어를 선택한 다음 확인을 클릭합니다 (그림 5 참조). 3 단계: F5 를 눌러 레지스트리를 새로 고치면 이 프로젝트의 하위 분기를 열 수 있습니다. [HKEY_LOCAL_MACHINE\SAM\SAM 을 찾습니다.
\Domains\Account\Users\Names], 그 아래의 하위는 시스템의 계정 이름이며 가장 안전한 조회 방법입니다.
끔찍한 실험: 계정 전이
첫 번째 단계: cfan 1 및 cfan2 계정을 설정하고, 비밀번호를 설정하고, 시스템에 한 번 로그인하고,' Documents and Settings' 디렉토리에 프로필을 생성하고, 레지스트리에 각각의 SID 값을 생성합니다 (SID 값은
2 단계: 시스템 관리자 계정을 사용하여 시스템에 로그인하고 레지스트리 편집기를 열고 [HKEY 로컬 시스템 \ Sam \ Sam \ domain \
Account\Users\Names], 계정 cfan 1 및 cfan2 의 키 이름을 바꾼 다음 시스템을 종료하고 각각 cfan 1 및 cfan2 로 로그인합니다. 원래 비밀번호가 만료되었지만 비밀번호를 교환한 후 정상적으로 로그인할 수 있습니다. 세 번째 단계: cfan 1 로그인 사용 후 현재 사용 중인 사용자 프로필이 cfan2 에 속한다는 것을 알게 되었습니다. 사용자 이름이 cfan 1 으로 변경되는 것을 제외한 모든 데이터 (암호, 사용자 설정 등). ) 는 cfan2 에 속합니다. 하지만 cfan2 로 로그인하는 것은 정반대입니다. 다만 사용자 이름이 다릅니다. cfan 1 입니다.
결론: [HKEY 로컬 컴퓨터 \ 샘 \ 샘 \ 도메인 \ 계정 \
Users\Names] 아래의 각 하위 항목은 사용자 프로필' 금고' 를 열 수 있는' 키' 와 같고 [HKEY _ local _ machine \ Sam \
Domains\Account\Users] 아래에 있는 다른 하위 항목 (Names 항목 제외) 은 사용자 데이터의 실제 레코드 위치입니다. 그림자 계정을 복제하는 것은 동일한 사용자 데이터 "금고" 에 두 개의 키를 할당하는 것과 같습니다. 그 중 어느 것도 "금고" 를 여는 데 사용할 수 있습니다.
기교
[HKEY _ local _ machine \ Sam \ domains \ account \ users \ names] 각 1 차 하위 구성요소의 기본값은 사용자 데이터를 포함하지 않는 포인터이며 값은 [hkk 즉, [HKEY _ local _ machine \ Sam \ Sam \ domain \
Account \ users \ names \ administrator 의 기본값은 "0x 1f4" (예: 16 진수 00000 1f4) 입니다
킬러: 자신의 그림자 계정을 만듭니다.
1 단계: 관리자 계정으로 시스템에 로그인하여 레지스트리 편집기를 열고 [HKEY 로컬 시스템 \ Sam \ Sam \ domain \ account] 를 선택합니다
Users\Names\Administrator] 를 클릭하고 마우스 오른쪽 버튼을 클릭한 다음 export 를 선택하여 ad.reg 로 저장합니다
두 번째 단계: 메모장으로 ad.reg 를 열고 "[HKEY _ local _ machine \ Sam \ Sam \ domain \ account \ user \ name" 을 넣습니다.
₩ administrator] "를" [HKEY _ local _ machine ₩ Sam ₩ Sam ₩ "으로 변경합니다
도메인 \ 계정 \ 사용자 \ 이름 \ cfan], 저장한 후 가져오기 레지스트리를 두 번 클릭합니다.
3 단계: 현재 로그인된 사용자를 로그오프하고,' cfan' 을 사용자 이름으로 사용하고, 관리자의 비밀번호를 사용하여 시스템에 로그인합니다.
해커라면 사용자 이름' 관리자' 가' 사용자123' 으로 바뀌든' user32 1' 으로 바뀌든' cfan' 을 사용할 수 있다. 더 무서운 것은 위에 소개된 6 가지 일반 계정 감지 방법을 통해 이 그림자 계정을 찾을 수 없다는 것입니다! 하지만 다행히도 이' 보이지 않는 살인자' 를 찾을 수 있는 방법이 있습니다.
기교
섀도우 계정을 사용하여 로그인한 후 수행하는 사용자 설정 및 수정은 원본 계정의 설정 및 수정과 동일합니다. 예를 들어 섀도우 계정을 사용하여 로그인 비밀번호를 수정하면 원본 계정을 사용하여 로그인할 때 새 비밀번호가 사용되고 그 반대의 경우도 마찬가지입니다.
형사 렌즈: 그림자 계정을 쉽게 찾을 수 있습니다.
그에게 보답하는 것이 상책이다. 해커가 레지스트리를 이용하여 그림자 계좌를 만들 수 있기 때문에, 나도 레지스트리를 통해 그림자 계좌를 찾을 수 있다.
1 단계: 레지스트리 편집기를 열고 왼쪽 분기를 클릭하여 [HKEY _ local _ machine \ Sam \ Sam \ domain \ account \ user \
이름 \ 관리자], 이 항목의 기본값을 보고 기록하십시오.
2 단계: [HKEY_LOCAL_MACHINE\SAM\SAM\
Domains\Account\Users\Names] 아래에 있는 모든 1 차 하위 구성요소의 경우 1 차 하위 구성요소의 기본값이 방금 기록한 관리자의 기본값과 같으면 그림자 계정입니다. 물론, 해커에게 뒷문' 열쇠' 를 남겨줄 수는 없고, 주저하지 않고 삭제할 수는 없다.
3 단계: 관리자 외에도 해커는 다른 계정의 사용자 데이터' 보관함' 의' 키' 를 복제할 수 있으므로 [HKEY _ 로컬 _ 시스템 \ 샘 \ 샘 \ 도메인 \ 계정 \ 사용자 \
Names] 아래의 모든 하위에 대한 기본값이 같은지, 그렇다면 조심해야 합니다.
방금 해커가 시스템을 침범한 후 종종 그림자 계좌를 만든다고 언급했다. 그림자 계정이라고 부르는 이유는 이 계정이 시스템에 제공된 도구나 방법으로 볼 수 없고 사용자 계정, 컴퓨터 관리 또는 명령줄에 의해 삭제될 수 없기 때문입니다. 삭제할 수 없습니까? 즉, 누군가가 뒷문을 만들었다는 것을 알면서도 그를 쫓아낼 수 없다는 것이다. 만약 당신이 이미' 중간 모집' 을 받았다면, 시스템을 다시 설치하느라 바쁘지 말고 아래의 분해를 보세요.
일반 계정 설정/조회 방법
① 사용자 계정: 제어판 → 사용자 계정을 열고 열린 사용자 계정 관리 창에서 "새 계정" 을 클릭하여 지시에 따라 새 사용자 설정을 완료합니다. 여기에서 시스템에 로그인한 계정을 볼 수도 있지만 문서 및 설정 디렉토리에 사용자 데이터가 생성되지 않은 계정은 표시되지 않습니다 (예: 시스템에 로그인하지 않은 관리자 계정). 여기 시스템에 존재하는 계좌를 확인하는 것은 어렵지 않으며, 약간의 경험이 있는 침입자도 여기에 남아 있는 흔적을 지울 수 없다.
(2) 콘솔: 시스템 콘솔은 Windows 2000 및 이후 릴리스에서 매우 중요한 시스템 구성 요소로서 시스템의 여러 시스템 구성 및 유지 관리 도구를 중앙에서 저장합니다. 제어판 → 컴퓨터 관리 열기 컴퓨터 관리 콘솔을 열고 창 왼쪽에서 로컬 사용자 및 그룹 → 사용자를 탐색하여 창 오른쪽에 현재 시스템에 설정된 계정을 나열합니다. 사용자 계정에 표시되지 않은 일부 계정은 여기에서 찾을 수 있습니다. 창 오른쪽을 마우스 오른쪽 버튼으로 클릭하고 새 사용자를 선택한 다음 계정 정보를 입력하여 새 사용자를 만듭니다.
③ 명령줄: 두 방법 모두 그래픽 인터페이스의 작동 방법이며 이제 명령줄 모드로 돌아갑니다. 현재 시스템의 계정을 보려면 CMD 를 실행하여 명령 프롬프트 창을 열고 "net user" 명령을 입력하면 시스템에 이미 있는 계정으로 돌아갑니다 (그림 2 참조). "net user cfan 123 /add" 명령을 입력하여 사용자 이름이 "cfan" 이고 암호가 "123" (사용자 그룹의 구성원) 인 새 제한 계정을 만듭니다 Cfan 계정을 관리자로 승격시키려면 계정을 관리자 사용자 그룹에 추가하고' net 로컬 그룹 관리자 cfan/add' 명령을 실행해야 합니다. 삭제하려면' net user cfan /del' 을 사용하십시오. 계정 상세 정보를 보려면' net user 사용자 이름' 을 실행하면 됩니다.
④ 계정 프로필 디렉토리: 시스템 문자 아래의' 문서 및 설정' 디렉토리에 로그인한 모든 시스템의 계정은 여기에 있는 계정 이름과 동일한 디렉토리를 생성합니다.
⑤ 사용자 프로필 보기: 내 컴퓨터 속성을 열고 고급으로 전환한 다음 사용자 프로필에 해당하는 설정 버튼을 클릭하면 팝업 사용자 프로필 창에 로그인 시스템의 계정이 표시됩니다 (그림 3 참조). 여기서 관리자 권한이 있는 사용자는 계정 및 프로필 (암호로 보호된 계정 포함) 을 삭제할 수 있습니다. ⑥ 사용 권한 설정: NTFS 형식의 파티션에서' 폴더 옵션 → 보기 → 간단한 파일로 저장 * * *' 을 선택 취소한 경우 파일이나 디렉토리를 마우스 오른쪽 단추로 클릭하고' 속성' 을 선택하면' 보안' 탭이 표시됩니다. 이 파일/디렉토리에 대한 권한이 있는 사용자 또는 그룹은 이 탭에 간단하게 나열됩니다 (그림 4 참조). 추가 → 고급 → 즉시 찾기를 클릭하면 전체 시스템의' 사용자, 그룹 또는 내장 보안 원칙' 이 표시됩니다. 시스템의 의심스러운 계정을 쉽게 찾을 수 있습니다.