Win7系统下建立、检测隐藏用户的方法

　　本文将介绍在Win7环境下，通过修改注册表建立、检测隐藏用户的方法。

　　1、首先创建一个隐身用户user001$，加入到管理员组。此时在“计算机管理”中仍能看到该用户。

　　net user user001$ pwd /add

　　net localgroup administrators user001$ /add

　　2、运行regedit，打开注册表管理界面，依次打开目录“HKEY_LOCAL_MACHINE”-“SAM”-“SAM”，右键“权限”，设置Aministrators用户组的“完全控制”权限

Win7系统下建立、检测隐藏用户的方法（图1）

　　3、重新打开注册表管理界面，依次展开目录“HKEY_LOCAL_MACHINE”-“SAM”-“SAM”-“Domains”-“Account”-“Users”-“Names”，Users目录和Names目录的顺序是一一对应的，此时做法是将具有超级管理员权限的Administrator账户（如果该账号被禁用，也可以找到具有超管权限的其他账户替代）对应的F的数据拷贝给第四项user001$用户的F值

Win7系统下建立、检测隐藏用户的方法（图2）

　　4、导出user001$的两个注册表信息，并删除user001$账户

Win7系统下建立、检测隐藏用户的方法（图3）

　　5、最后双击将两个注册表文件导入，最后将administrators的SAM控制权限取消。在本地组策略中，启用“交互式登录：不显示最后的用户名”，抹除最近登录日志。注销主机，即实现user001$的完全隐藏，试试用user001$登录吧。

Win7系统下建立、检测隐藏用户的方法（图4）

检测与防范

　　1、net user或net localgroup administrators，查看用户列表

　　2、打开“计算机管理”，带有$的即为隐藏账户

　　3、比较注册表“HKEY_LOCAL_MACHINE”-“SAM”-“SAM”-“Domains”-“Account”-“Users”-“Names”与“计算机管理”中的用户列表

　　4、查看“组策略”管理控制台，输入“gpedit.msc”运行“组策略”，依次展开“计算机配置”→“Win 设置”→“安全设置”→“本地策略”→“审核策略”，双击右边的“审核策略更改”，启用审计功能。

　　5、打开“计算机管理”控制台，通过“系统工具”-“事件查看器”-“windows日志”-“安全”，即可查看所有用户的登录日志