首页 | 安全文章 | 安全工具 | Exploits | 本站原创 | 关于我们 | 网站地图 | 安全论坛
  当前位置:主页>安全文章>文章资料>系统安全>文章内容
黑客攻防实战:Windows系统克隆攻击与防范
来源:51CTO.com 作者:安天365 发布时间:2008-12-19  

在检查是否存在克隆用户前,最好重启一下系统。对于上面第六和第七种方法克隆的,就会在用户管理里显示出来了,一看就知道。如图13所示。

 

 
图13
如果发现有克隆账号,可以用mt或AIO软件进行删除。

1.使用MT检查

在cmd命令行下,使用“mt–chkuser”命令,检查系统克隆账号,输入命令后,会在屏幕中输出结果,主要查看ExpectedSID和CheckedSID,如果这两个值不一样则说明账号被克隆了。如图14所示。

 

 
图14

从图中可以看出,IUSR_XODU5PTT910NHOO用户的ExpectedSID和CheckedSID不一样,且它的 CheckedSID值是和管理员administrator的CheckedSID值一样,很明显IUSR_XODU5PTT910NHOO是一个克隆的账号。

2.使用AIO检查

不需要在system权限下也可用。
用法: Aio.exe –CheckClone,如图15所示。

 

 
图15

从图可以看出,n3tl04d,n3tl04d$都是克隆的账号。

3.使用CCA检查

CCA是小榕写的检查是否存在克隆的账号,支持远程检查,但必须有管理员账号。
用法如下:cca.exe \\ip地址 用户名 密码
检查本机是否存在克隆用户,如cca \\127.0.0.1 administrator 123456
如图16所示。

 

 
图16
从图可以看出,n3tl04d,n3tl04d$都是克隆的账号。

4.使用LP_Check检查

如果系统存在克隆用户,软件将会显示红色。不过此工具检测不到使用adhider.exe克隆的用户。如图17所示。

 

 
共6页: 上一页 [1] [2] [3] 4 [5] [6] 下一页
 
[推荐] [评论(0条)] [返回顶部] [打印本页] [关闭窗口]  
匿名评论
评论内容:(不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
 §最新评论:
  热点文章
·Windows 系统调用功能列表
·windows入侵提权-创建隐藏帐号(
· CC_STACKPROTECTOR防止内核stac
·Linux内核安全研究之Stack Overf
· Exploit The Linux Kernel NULL
·Kernel Locking 中文版
·IA32上Linux内核中断机制分析
·Award BIOS Rootkit,universal
·PHP代码审计
·N种内核注入DLL的思路及实现
·glibc 2.3.5 的一些新安全特性
·Struts2/XWork < 2.2.0 Remote C
  相关文章
·N种内核注入DLL的思路及实现
·N种内核注入DLL的思路及实现
·构造无人之境: Exploiting Realt
·打造Linux下超级安全的LAMP服务
·MySQL数据库安全配置指南
·使用Ophcrack破解系统Hash密码
·windows入侵提权-创建隐藏帐号(
·Linux Hardening & Security (cP
·熟悉Linux系统的安全和优化
·系统安全防护之UNIX下入侵检测方
·突破 Windows NT 内核进程监视设
·构建免受Fso威胁Windows虚拟主机
  推荐广告
CopyRight © 2002-2022 VFocuS.Net All Rights Reserved