Windows 安全基础（黑客）

admin管理员组

文章数量:1637805

Windows 隐藏账号

攻击方法：

命令行输入以下命令，可以进行简单的隐藏（ 命令行下不可见 ） net user test$ 123456 /add net localgroup administrators test$ /add 通过注册表隐藏用户（ 实现步骤如下 ）： 要实现很好的隐藏，需要通过注册表，运行中输入regedit，然后点击 HKEY_LOCAL_MACHINE>SAM>SAM,，然后添加相应的权限：

打开可以看到SAM目录签有+号可以打开

 

对test$和0x3F0目录右键导出 （若想给test$用户赋权，则可以将该用户的键值（例子中为0x3f0）改为Administrator 的所对应的键值即可。）

导出0x1F4目录。 接着打开0x3F0目录导出的文件，可以看到F表示用户信息，V表示权限信息 接着，用1f4文件中F的键值替换3f0中F的键值：  接着在命令行删除test$用户：

可以看到test$用户的信息被删除了。

然后双击刚刚修改过的3f0文件，提示是否将内容添加进注册表

选择Yes，接着对刚刚导出的test$.reg文件进行同样的操作，然后进入注册表中查看

查看得到刚刚删除的test$用户又显示出来了。 重新刷新查看计算机管理中的用户和命令行下的net users命令，没有显示该用户 接着注销当前账户后就可以使用test$用户登录了。 但是上述的方法在注册表中仍然可以查看到（ 容易被杀毒软件查杀，且注册表可见用户名称及对应的盐值 ）， 这时可以通过rootkit工具实现超级隐藏。

防御方法：

通过任务管理器查看是否存在用户名后接$的用户，若存在则需要通过杀毒软件找到相 应的隐藏文件再将其删除。

Windows 账号克隆

Windows账号克隆的整个步骤为： 1、禁用账号guest 2、改guest密码：net user guest pass 3、运行>regedit>HKEY_LOCAL_MACHINE>SAM>SAM>Domains>Account>Users， 1F4：Administrator，1F5：guest 4、将Administrator中1F4的F值复制给guest中1F5的F值即可

Windows 日志与审计

windows有3种类型的事件日志：

a) 系统日志，用于跟踪系统时间，跟踪系统的启动过程中的事件或控制器的故障 b) 应用程序日志，跟踪用户程序关联的事件，比如应用程序加载的dll，或失败的信息 c) 安全日志，安全日志的默认状态是关闭的，用于记录登录上网和下网，改变访问权限以及系统的启动和关闭， 日志的默认存储路径在%systemroot%\system32\config中， 位于注册表的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog后， 下面的Application，Security，System三个子文件分别对应了应用程序，安全，系统三个日志

Windows事件日志简介

打开控制面板->系统与安全->事件查看器 本质上是数据库：发生什么--什么时间--与谁有关--是否系统相关--访问什么资源 共有五种事件级别：所有的事件必须只能拥有其中的一种事件级别 成功的审核安全访问尝试，主要指安全性日志，所有的成功登录系统都会被记录为成 功审核事件

日志审计的基本规则:

FTP日志分析，在#DATE后面显示的为日期，然后在下面显示的信息依次是： 时间，IP地址，USER，用户名， 331（试图登录） 时间，IP地址，PASS – 530（登录失败） 时间，IP地址，PASS – 230（登录成功） 时间，IP地址，PASS – 530（登录失败） HTTP日志分析，基本内容为： 日期，时间，访客IP，访问的IP，端口，后面可能是GET 然后一个文件（或网页）， 后面的信息是浏览器和操作系统

Windows 安全策略

本地安全策略：

本地安全策略影响本地计算机的安全设置，当用户登录到系统时，就会受到本地 安全策略的影响，他会限制用户的一些操作，如密码长度等等。 win+r -->Secpol.msc 开启本地安全策略管理器 a) 密码策略，这个可以在控制面板本地安全策略里面找到，设置的密码必需符合安全性要求，并且有效期默认为42天，其中所有的选择的都是可以自己设置的，包括密码的安全性要求的开关等 b) 锁定策略，可以在本地安全策略里面设置账户锁定策略，就是输入多少次密码输入错误之后执行的操作 c) 审核策略，审核策略是网络安全的核心之一，这个也是在本地安全策略secpol.msc里面的，审核报告会被写入安全日志，可以使用事件查看器来查看 d) 用户权力指派，安全组定义了从建立页面文件到登录服务器控制台的各种权力。用户和组通过被添加到相应的安全组页面而得到的这些系统权限 e) 安全选项：安全选项包括了一些与安全有关的注册表项，这些表项与用户无关，只影响到常规的系统操作，可以使用secedit命令来更改，可以使用Refresh-policyMachine_policy在不重启计算机的情况下刷新策略

本地安全组策略：

win+r -->gpedit.msc 开启本地组策略管理器

Windows 服务器权限分析

常见用户（权限从高到低）：SYSTEM、Administrator、Guest（默认是禁用的） 常见用户组：Administrators（最高权限）、Backup Operators（不如Administrators权限高，但差不多）、Guests（与USER组权限相同）、Distributed COM Users、Network Configuration Operators、Performance Log Users、Performance Monitor Users、Power Users、Print Operators、Users、IIS_WPG Windows2003默认权限： 1、默认只安装静态HTTP服务器 2、增强的文件访问控制 3、父目录被禁用 4、坚持最小特权原则

Windows 密码安全性测试

本地管理员密码如何获取：Mimikatz（ 渗透测试常用工具。法国一个牛B的人写的轻量 级调试器，可以帮助安全测试人员抓取Windows密码。 ） 使用方法： privilege::debug 提升权限 sekurlsa::logonpassWords 抓取密码 （ 根据电脑的位数，选择对应位数的版本 ）

Windows 7 shift后门

攻击方法：

五次shift（粘滞键>sethc.exe 替换为cmd.exe、explorer.exe），前提是破坏WFP即Windows文件保护

Shift后门制作 cd c:\windows\system32 attrib -s -r -h sethc.exe +r或-r [文件名] 设置文件属性是否为只读 +h或-h [文件名] 设置文件属性是否隐含 +s或-s [文件名] 设置文件属性是否为系统文件 copy cmd.exe sethc.exe 注销用户，在登录界面中连续输入5次shift键： 输入explorer.exe直接绕过登录成功：

防御方法：

cd c:\windows\system32 cacls sethc.exe /p everyone:n 再去尝试5次shift已经没有效果了。

软件捆绑类远控、后门查杀

1、查看进程： netstat -an netstat -ano多显示一个PID tasklist /svc 2、查看服务： 可以使用工具XueTr 微软服务的描述在最后都是由句号的，而第三方的服务是没有的。 先将dll文件删除，然后终止进程关闭服务。

其他

小窍门：

离开电脑时，一定要锁屏

快捷键是：WIN+L

安装杀毒软件

切勿随意共享文件

定期备份重要数据

本文标签： 黑客基础Windows