漫畫影子賬戶

何謂“影子賬戶”?

系統由于存在漏洞或者因密碼被破解而被黑客入侵后，黑客為了方便自己下一次進來，通常會留下一個比較特殊的賬戶，之所以特殊，是因為這種賬戶用系統中提供的工具或方法都無法看到，并且無論是“用戶賬戶”、“計算機管理”，還是命令行中，都無法刪除此賬戶。一般來說，它是依附于系統內置的默認管理員賬戶——Administrafor而存在的，就好像是Administrator賬戶的影子一樣，因此人們給它起了個形象的名字——影子賬戶。

建立一個影子賬戶

第一步：單擊“開始/運行”，在運行對話框內輸入regedit.exe，然后回車打開“注冊表編輯器”，定位到[HKEY_I_DCAL_MACHNE\\SAM\\SAM]，右擊SAM項，選擇“權限”，打開“SAM的權限”窗口，選中“組或用戶名稱”列表中的“Administmtom”，勾選“完全控制”選項(如圖1)，最后單擊“確定”。

第二步：按下F5快捷鍵刷新一下注冊表。就會發現可以打開該項的下級分支了，找到[HKEY_LOCAL_MACHINE\\SAM\\SAMt\\Domains\\Accotmt\\Userst\\Names]，其下的子項就是系統中的賬戶名。

第三步：選中[HKEY_LOCAL_MACHINE\\SAM\\SAM\\Domains\\Account\\Users\\Names\\Administrator]項并右擊之，選擇“導出”，保存為ZhangHu.reg，并用記事本打開，將其中的Administrator替換為影子賬戶的名稱，如Computer，退出并保存，最后雙擊導人注冊表。

這樣，就創建好了一個影子賬戶，注銷系統并以“Computer”為用戶名重新登錄，使用Administrator賬戶的密碼，就可以重新登錄系統了。

如何找出并刪除影子賬戶

可以通過注冊表建立一個影子賬戶，當然也可以通過查看注冊表的方式來查一下系統是否被黑客偷偷建立了影子賬戶，具體方法如下：

第一步：打開“注冊表編輯器”，定位到[HKEY_LOCAL_MACHINE\\SAM\\SAM\\Domains\\Account\\Users\\Names\\Administrafor]，查看并記錄下該項的默認值(如圖2)。

第二步：檢查[HKEY_LOCAL_MACHINE\\SAM\\SAM\\Domains\\Accounf\\Users\\Names]下的所有子項的默認值是否和圖2所示的默認值相同，如果某個子項不同，那么可能黑客已經在你的系統中建立了一個影子賬戶，我們要將這個子項刪除，切斷黑客入侵的通道。

如何預防黑客建立影子賬戶

我們知道，無論是建立還是刪除影子賬戶，都要修改注冊表，只要禁止修改注冊表，就可以達到預防影子賬戶的目的，具體的操作步驟如下：

打開“注冊表編輯器”，定位到[HKEY_LOCAL_MACHINE\\SAM\\SAM]，右擊SAM項，選擇“權限”，打開“SAM的權限”窗口，單擊“高級”命令按鈕，在“SAM的高級安全設置”窗口中，選中Administrator，再單擊“編輯”命令按鈕，打開“SAM的權限項目”窗口，勾選“查詢數值”、“枚舉子項”、“讀取控制”，最后單擊“確定”。經過這樣的設置，黑客無法往注冊表的相關分支寫入數據，當然也就無法建立影子賬戶了。