宇文辑录

我今天说的隐藏帐户或者影子帐户是跟用户名后面跟$符号的隐藏没有关系，因为这样的隐藏，从偶的角度说，是没有一点点用处的，懂得使用net user命令的人，我想更懂得使用"计算机管理"里面的"本地用户和组"，察看了本地用户和组，那$类的隐藏就没有一点点意义了。至少偶觉得是这样。所以以下主要从修改注册表添加隐藏帐户说起。
    以下我们都假设在我们的每台windows服务器上（此处我分为windows2000和windows2003），最少有200个用户，各属于不同的组，但只有一个是管理员，也就是说只有一个用户是administrator

    对于windows2000，如果感觉被设置里隐藏帐户，比较好用的我觉得有两个，一个是mt.exe,一个是LP_check.exe,其中，LP_check有人还做了绿色汉化，呵呵，自己感觉汉化不汉化没什么关系。不过偶觉得mt.exe用起来更顺手，mt.exe -chkuser,马上就可以把隐藏帐户定位出来，一旦定位出来，想删就删，想改密码就该密码，反正是有的放矢了，如果在操作的过程中，mt.exe -chkuser检查定位不出来隐藏帐户，偶得意思是说，连自己的管理员都列不出来的话，那很有可能是注册表里HKEY_LOCAL_MACHINE\SAM\SAM\健值管理员没有权限，权限加上，应该就没有问题了。

    对于windows2003，查找隐藏帐户就没这么简单了，mt.exe和lp_check.exe都不能在win2003下运行，有的人说，把““HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names”，把这里存在的账户和“计算机管理”中存在的账户进行比较，多出来的账户就是隐藏账户了”。问题是我的服务器上的帐户最少有200多个，如果来对照着找，这可是全手工活，还不一定能查出来，而且也不符合系统管理员的思想，呵呵。
    偶在翻看了N次注册表后，终于发现一个规则，健值路径是：“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4”如下图：


我们可以看到蓝色圈起来的地方，是“F4 01”问题就在这里，以系统管理员的F键值添加的隐藏帐户的，这里的”F4 01”是不变的，而且前面一定是0030,并且总是处于这个位置，好了，那我们就可以把注册表导出来，来搜索相应的字段，来确定哪个帐户是被克隆的，或者说那个帐户是隐藏/影子管理员。导出注册表时有好几个选项，如下图所示，


到处注册表时，请选中文本文件（*.exe）否则导出的注册表无法进行搜索，就算是用文本编辑器打开也是不行的，里面的F键值会乱七八糟，好了，一旦是用这种方法导出注册表，我们就能找出隐藏账户了。