在命令模式下删除
1.你在MS-dos下先输入net user 看有那些用户, 注意第一步看不出隐藏的用户
2.然后在输入net localgroup administrators 或者 net localgroup users 说一下第2步是看出隐藏用户属于那个组,你明白我的意思吗? aministrators和users 是组,我们以组的名义查看,一目了然!~隐藏用户出现了。
在注册表中删除
去注册表里删除你在注册表下,打开你的SAM把里面的东西删除!再在用户管理面中把这个帐号删除掉!HKEY_LOCAL_MACHINESAMSAMDomainsaccountusers
使用regedit打开注册表编辑器
找到[HKEY_LOCAL_MACHINE]——[SAM]——[SAM]——[Domains]——[Account]——[Users],这里下面的数字和字母组合的子键是你计算机中所有用户帐户的SAM项。
子分支[Names]下是用户名,每个对应上面的SAM项。
查找隐藏的帐户就比较两个用户名的SAM值完全一样的就说明其中一个是克隆帐户。你可以在这里删除其用户名。
一般推荐分别导出用户名项和对应的SAM,然后找一个关键字分析比较。具体比较的方法多种多样自己看了。
目前有种系统级后门,可以在有管理员帐户登入的时候自动删除这里的克隆帐户值,等你退出了又自动恢复。遇到这种的情况,这里是查不出来的。一般这种后门都是高手搞的,免杀。
遇到这种情况,建议找专业安全人员处理。
另外:本地安全策略——本地策略——安全选项中可以查看默认管理员和贵宾帐户,这里可以查出默认的guest是否被克隆了,如果这个帐户被克隆这里会显示出真正的克隆后的用户名。
时间: 2024-09-20 09:31:51