如何检查计算机账号克隆

simeon

随着个人计算机安全意识的提高，网络***程序的生命周期越来越短，而如果要对***软件进行免杀，必须掌握软件加壳、修改特征码等技术。对于网络上的计算机，特别是网络服务器，当成功控制以后，对账号进行克隆基本上已经存在***者的惯例，使用无形无影的“克隆用户”，在系统管理员更改系统账号以后，使用克隆用户账号登陆并重新控制系统是一个非常不错的选择，本文对就自己在维护网络服务器过程中的一些经验体会写出来跟大家分享，共保服务器安全。

（一）常规检查

计算机的常规检查主要通过“我的电脑”-“管理”-“计算机管理”-“本地用户与组”来实施检查；主要检查管理员组中是否存在多余账号，是否存在多个用户账号。

1．检查用户

操作系统中默认存在Administrator以及按照个人喜爱而添加的用户名称，例如本例中的simeon，其它还有一些用户例如启动 IIS 进程帐户、Internet 来宾帐户等（图1），这些账号往往跟系统中提供的服务或者安装的软件有关。如果在检查过程中，发现了多余的账号，则极有可能是***者添加的账号。<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />

图1检查用户账号

2．检查组

任何一个用户账号都必须有一个组，在安全检查中，需要特别注意Administrators组，这个组是具有管理员权限的组，在“计算机管理”中，双击“组”中的“Administrators”即可查看是否存在多于的管理员账号（图2）。

图2 管理员组账号检查

说明：

（1）对账号的检查也可以在Dos提示符下实现，直接通过在“开始”-“运行”中输入“cmd”或者“command”命令进入Dos提示符，然后输入“net user”查看系统所有用户，输入“net localgroup administrators”查看管理员组（图3）。可以通过“net user username /delete”删除用户。

图3 Dos查看用户和管理员

（2）如果***者在添加账号时在账号末尾加上了“$”符号，则使用“net user”命令查看用户时，以“$”结束的用户名不会显示，只能计算用户管理的图形界面来查看。

（二）非常规检查

在系统中添加的非克隆账号，可以通过常规检查检查出来，但是如果***者在系统中对账号进行了克隆，一般克隆系统中已经存在账号，例如克隆aspnet账号、TsInternetuser、Guest等账号，通过“net user”、“net localgroup administrators”以及计算用户图形管理都是查不出来的，如果计算机开放了远程终端、安装了PcanyWhere等工具，则***者可以通过这些用户账号正常访问系统。非常规检查主要通过工具软件mt或本地管理员检查工具来检查。Mt只能运行在Dos界面下，而本地管理员检查工具则是图形界面，相对功能少些。Mt由于功能强大，目前很多杀毒软件都把其列为***工具进行查杀。

1．使用mt检查

mt中有很多功能，mt要求权限为system，在xp中可能会提示权限不够而无法使用。在dos窗口或者其它管理软件的telnet窗口下输入“mt”命令可以查看其详细的命令说明，本文中只是用到“mt –chkuser”命令（图4），检查系统克隆账号，输入命令后，会在屏幕中输出结果，主要查看ExpectedSID和CheckedSID，如果这两个值不一样则说明账号被克隆了。在本例中可以看到账号simeon$的CheckedSID跟Administrator的CheckedSID值一样，说明simeon$克隆了Administrator账号。

图4 检查克隆账号

2．使用本地管理员检查工具检查

直接运行“本地管理员检查工具”，程序会自动以图形界面显示系统中存在的账号，并给出相应的提示，一般显示为“影子管理员”

图5 使用本地管理员检查工具检查克隆账号

（三）一些建议

如果计算机提供3389远程终端服务或者安装了PcAnywhere等远程控制工具，则系统需要定期检查用户账号，一旦发现克隆账号，说明系统的安全风险非常大，单独删除克隆账号意义不大。建议使用系统备份恢复系统，并更改系统所有账号密码。

如何检查计算机账号克隆相关推荐

如何在 Windows 中检查计算机正常运行时间
计算机正常运行时间是指系统在没有关机或重新启动的情况下运行的时间.计算机正常运行时间帮助我们找到任何系统的最后一次重启.这在许多方面都有帮助,例如故障排除或脚本编写等.在本教程中,我们将讨论检查 Wi ...
PowerShell通过安全组创建计算机账号
这是一个非常悲伤的需求,整个逻辑弄的我有点吐血,幸运的是终于做完了.由于用到了太多变量,不写备注自己也看不懂,记录一下. 需求是这样的:某个用户位于某个安全组内,安全组在某个OU下.现在需要创建一个新 ...
windows 2008 域删除不活动计算机账号,如何删除域内非活动计算机账号？
域内管理很多用户和计算机,但是常常有无用的用户和计算机没有退出域,而浪费域内的资源.如何删除一段时间内没有登录域非活动计算机账号呢?下文给出了详细的描述. 命令:dsquery http://tech ...
怎样检查计算机的网络配置,如何检查计算机内存和配置？(3种方法教你检查计算机的真实配置)...
随着互联网的飞速发展,无论是学习.工作还是生活,我们和电脑的关系越来越密切.因此,学习购买电脑已经成为一门必修课.然而,对于一些不了解计算机的白人来说,如果他们甚至不能检查计算机的配置,就很容易掉进坑 ...
计算机用户域怎么删除,如何删除域内非活动计算机账号？
域内管理很多用户和计算机,但是常常有无用的用户和计算机没有退出域,而浪费域内的资源.如何删除一段时间内没有登录域非活动计算机账号呢?下文给出了详细的描述. 命令:dsquery http://tech ...
哪看计算机的网络密码,如何检查计算机的无线网络密码？两种查看方法
有时,很长一段时间后,我们很容易忘记计算机的无线网络密码,即Wifi密码. 当来自朋友或家人的新无线设备需要无线Internet访问时,我们将告诉无线网络密码. 那么如何检查计算机的无线网络密码呢?下 ...
版本不兼容请检查计算机的系统,解决安装系统提示此文件的版本与正在运行的windows版本不兼容...
系统重装方法有各种各样,但在安装的过程中难免会遇到棘手的故障问题.近日有用户在豆豆系统中留言,在使用硬盘安装win7旗舰版的时候提示:此文件的版本与正在运行的windows版本不兼容,请检查计算机的系 ...
怎么检查计算机硬盘有没有供电,事实：如何检测计算机硬盘是否有问题？如何使用硬盘检测工具...
如何测试计算机硬盘是否正常?如何检查计算机硬盘的运行状况?本文将向您介绍三种工具的使用,以检测硬盘是否存在问题.有关详细信息,请参见下文. 一. Chkdsk工具 Windows Chkdsk工具是W ...
计算机电源检查照,如何测试计算机的电源？检查计算机功耗的操作方法
如何测试计算机的电源?当您安装新计算机或要升级旧计算机的硬件时,首先需要了解计算机电源的电源.据说仍然有一些合作伙伴不知道如何检查计算机的功耗,因此编辑特别组织了以下文章来帮助大家! 前言: 通常,新 ...

如何检查计算机账号克隆

如何检查计算机账号克隆相关推荐

最新文章

热门文章