在这之前,需要大家了解几个问题,一个是SID,一个是账号的F值。
Windows账户的SID
在Windows系统中,系统会为每个用户账户建立一个唯一的安全标识符(Security Identifier,SID),在Windows系统的内部核心,都是利用SID而不是用户的账户名称来表示或识别每个用户的。SID综合用户账户创立的时间以及用户名等信息创建,因而是唯一的,并且不会被重复使用,通俗的说windows的账户的SID相当于身份证号码一样,能够唯一的标识某个系统用户的身份。
用户账户在注册表中的F值就是上述的用户的SID号。
“影子账户”从字面上来看,就是依附于某个特定的内置用户,并且无法通过用户管理器和net user命令查看的用户,一种简单的办法是通过net user zhangsan $ 这样创建的账户,这样创建的账户无法使用net user 命令进行查看,但是可以再用户管理器中看到末尾以$终结的账户。
另外的一种则是无论从windows用户管理器中还是使用net user 都无法进行查看的完全影子账户,具体的操作办法如下:
1、 使用net user 命令创建一个隐藏账户,这里以zhangsan为例。
2、 将Administrator账户的 F值覆盖zhangsan$的F值
3、 导出zhangsan$的账户信息和 SID信息。
4、 删除创建的账户zhangsan$
5、 导入导出的zhangsan$的账户信息到注册表。
6、 重启计算机,使用zhangsan$登陆系统,查看当前登陆账户
7、 影子账户扫描,如下:
时间: 2024-10-11 14:08:51