如何檢查計算機賬號轉殖

2021-09-05 01:58:03 字數 2659 閱讀 5249

如何檢查計算機賬號轉殖

simeon

隨著個人計算機安全意識的提高,網路***程式的生命週期越來越短,而如果要對***軟體進行免殺,必須掌握軟體加殼、修改特徵碼等技術。對於網路上的計算機,特別是網路伺服器,當成功控制以後,對賬號進行轉殖基本上已經存在***者的慣例,使用無形無影的「轉殖使用者」,在系統管理員更改系統賬號以後,使用轉殖使用者賬號登陸並重新控制系統是乙個非常不錯的選擇,本文對就自己在維護網路伺服器過程中的一些經驗體會寫出來跟大家分享,共保伺服器安全。

(一)常規檢查

計算機的常規檢查主要通過「我的電腦」

-「管理」

-「計算機管理」

-「本地使用者與組」來實施檢查;主要檢查管理員組中是否存在多餘賬號,是否存在多個使用者賬號。 1

.檢查使用者

作業系統中預設存在

administrator

以及按照個人喜愛而新增的使用者名稱,例如本例中的

simeon

,其它還有一些使用者例如啟動

iis

程序帳戶、

internet

來賓帳戶等(圖

1),這些賬號往往跟系統中提供的服務或者安裝的軟體有關。如果在檢查過程中,發現了多餘的賬號,則極有可能是***者新增的賬號。

<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />

1檢查使用者賬號 2

.檢查組

任何乙個使用者賬號都必須有乙個組,在安全檢查中,需要特別注意

administrators

組,這個組是具有管理員許可權的組,在「計算機管理」中,雙擊「組」中的「

administrators

」即可檢視是否存在多於的管理員賬號(圖2)。

2 管理員組賬號檢查

說明: (

1)對賬號的檢查也可以在

dos提示符下實現,直接通過在「開始」

-「執行」中輸入「

cmd」或者「

command

」命令進入

dos提示符,然後輸入「

net user

」檢視系統所有使用者,輸入「

net localgroup administrators

」檢視管理員組(圖

3)。可以通過「

net user username /delete

」刪除使用者。

3 dos

檢視使用者和管理員 (

2)如果***者在新增賬號時在賬號末尾加上了「

$」符號,則使用「

net user

」命令檢視使用者時,以「

$」結束的使用者名稱不會顯示,只能計算使用者管理的圖形介面來檢視。

(二)非常規檢查

在系統中新增的非轉殖賬號,可以通過常規檢查檢查出來,但是如果***者在系統中對賬號進行了轉殖,一般轉殖系統中已經存在賬號,例如轉殖

aspnet

賬號、tsinternetuser

、guest

等賬號,通過「

net user

」、「net localgroup administrators

」以及計算使用者圖形管理都是查不出來的,如果計算機開放了遠端終端、安裝了

pcanywhere

等工具,則***者可以通過這些使用者賬號正常訪問系統。非常規檢查主要通過工具軟體

mt或本地管理員檢查工具來檢查。

mt只能執行在

dos介面下,而本地管理員檢查工具則是圖形介面,相對功能少些。

mt由於功能強大,目前很多防毒軟體都把其列為***工具進行查殺。

1.使用

mt檢查 mt

中有很多功能,

mt要求許可權為

system

,在xp

中可能會提示許可權不夠而無法使用。在

dos視窗或者其它管理軟體的

telnet

視窗下輸入「

mt」命令可以檢視其詳細的命令說明,本文中只是用到「

mt –chkuser

」命令(圖

4),檢查系統轉殖賬號,輸入命令後,會在螢幕中輸出結果,主要檢視

expectedsid

和checkedsid

,如果這兩個值不一樣則說明賬號被轉殖了。在本例中可以看到賬號

simeon$

的checkedsid

跟administrator

的checkedsid

值一樣,說明

simeon$

轉殖了administrator

賬號。

4 檢查轉殖賬號 2

.使用本地管理員檢查工具檢查

直接執行「本地管理員檢查工具」,程式會自動以圖形介面顯示系統中存在的賬號,並給出相應的提示,一般顯示為「影子管理員」

5 使用本地管理員檢查工具檢查轉殖賬號

(三)一些建議

如果計算機提供

3389

遠端終端服務或者安裝了

pcanywhere

等遠端控制工具,則系統需要定期檢查使用者賬號,一旦發現轉殖賬號,說明系統的安全風險非常大,單獨刪除轉殖賬號意義不大。建議使用系統備份恢復系統,並更改系統所有賬號密碼。

如何檢查計算機上的磁碟空間

第一步 對於pc 找到 我的電腦 桌面上的圖示。右擊該圖示並選擇 屬性 對於mac 找到 的macintosh hd 桌面上的圖示。右鍵單擊該圖示,選擇 獲取資訊 第二步 對於pc 磁碟空間將在 常規 作為乙個餡餅使用空間和自由空間,以上位元組兆位元組 mb 的數量組成的圖表中列出的每個標籤顯示。該...

計算機如何開機

作業系統是軟體,那麼計算機如何認識作業系統軟體並且執行它,開機時計算機還沒有任何軟體系統,那麼它如何讀取硬碟內的作業系統檔案,這裡就不得不講到開機程式了。bios 開機主動執行的乙個韌體 也是乙個軟體程式 會認識第乙個可開機的裝置 cmos 記錄各項硬體引數且嵌入在主機板上面的儲存器。介紹完這兩個,...

計算機如何程式設計,

北京看jkl那就看你你加兩件事就加急 裡的try catch只有try裡面丟擲異常才能被catch捕獲到 姑且猜測一下 websoket連線失敗內部處理 內部寫到console裡了 了,沒丟擲來,所以沒被catch捕獲到 再猜測一下 你是不希望console有太多的連線失敗資訊影響了其他資訊的讀取 ...