菜鸟进阶（9）

关于克隆帐号

简单说明：

克隆帐号的原理简单的说是这样：在注册表中有两处保存了帐号的SID相对标志符,一处是SAMDomainsAccountUsers下的子键名，另一处是该子键的子项F的值中。这里微软犯了个不同步它们的错误，登陆时用的是后者，查询时用前者。当用admin的F项覆盖其他帐号的F项后，就造成了帐号是管理员权限但查询还是原来状态的情况。即所谓的克隆帐号。（前辈就是前辈把大家想到的都写出来了，我实在不知道这里在加些什么了。看来也只有这样了。大家如果还有什么不明白的就到论坛里发贴子吧。

具体的看这里：

解剖安全帐号管理器（SAM）结构 http://www.sixthroom.com/ailan/f ... 3&RootID=387&ID=387

明白原理后就可以手动或者用现成的工具克隆帐号了。

相关工具：

克隆ca.exe http://www.netxeyes.org/CA.exe

检查克隆cca.exe http://www.netxeyes.org/CCA.exe

手动克隆需要SYSTEM权限，用它 psu.exe

http://www.sandflee.net/down/show.asp?id=176&down=1

相关帖子：

工具克隆：ca和cca 请访问作者主页 http://www.nuoha.cn/

psu用法：psu.exe提升为system权限 http://www.sixthroom.com/ailan/f ... 2&RootID=390&ID=390

手动克隆：如何克隆管理员帐号 http://www.sixthroom.com/ailan/f ... 3&RootID=388&ID=388

如何克隆管理员帐号的补充 http://www.sixthroom.com/ailan/f ... 3&RootID=389&ID=389

木马防范及一些端口的关闭

一、防范木马应该注意的一些问题

1、不到不受信任的网站上下载软件运行

2、不随便点击来历不明邮件所带的附件

3、及时安装相应的系统补丁程序

4、为系统选用合适的正版杀毒软件，并及时升级相关的病毒库

5、为系统所有的用户设置合理的用户口令

口令设置要求：

1.口令应该不少于8个字符；

2.不包含字典里的单词、不包括姓氏的汉语拼音；

3.同时包含多种类型的字符，比如

o大写字母（A,B,C,..Z）

o小写字母（a,b,c..z）

o数字（0,1,2,…9）

o标点符号（@,#,!,,%,& …）

win2000口令设置方法:

当前用户口令：在桌面环境下按crtl+alt+del键后弹出选项单，选择其中的更改密码项后按要求输入你的密码（注意：如果以前administrator没有设置密码的话，旧密码那项就不用输入，只需直接输入新的密码）。

其他用户口令：

在开始->控制面板->用户和密码->选定一个用户名->点击设置密码

二、检查和清除木马可能会使用到命令

1、如何进入命令行方式？

win98下在开始-->运行中输入command点确定

winnt、win2000、winxp下在开始-->运行中输入cmd后点确定

2、如何使用netstat命令？

netstat是用来显示网络连接、路由表和网络接口信息的命令，使用方法是在命令行下输入netstat -an后回车，输出结果格式如下：

Active Connections

Proto Local Address Foreign Address State

TCP 0.0.0.0:135 0.0.0.0:0 LISTENING

TCP 0.0.0.0:445 0.0.0.0:0 LISTENING

TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING

TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING

UDP 0.0.0.0:445 *:*

UDP 0.0.0.0:2967 *:*

UDP 0.0.0.0:38037 *:*

这其中Proto项代表是协议类型，Local Address项代表的是本地IP地址和端口（冒号后面为端口号），Foreign Address项代表的是外部IP地址和端口,State表示的是当前状态。上面这个结果表示这台机器开放了TCP的135、445、1025和1026端口，UDP的445、2967和38027端口

3、如何使用Fport命令？

Fport是查看系统进程与端口关联的命令，使用方法是在命令行方式下输入Fport后回车，输出结果格式如下：

Pid Process Port Proto Path

472 svchost -> 135 TCP C:\WINNT\system32\svchost.exe

8 System -> 445 TCP

580 MSTask -> 1025 TCP C:\WINNT\system32\MSTask.exe

8 System -> 1026 TCP

8 System -> 445 UDP

444 rtvscan -> 2967 UDP C:\Program Files\NavNT\rtvscan.exe

812 MsgSys -> 38037 UDP C:\WINNT\System32\MsgSys.EXE

这其中port下面代表的是系统当前开放的端口而path下面列出的是与该端口关联的程序及其所在位置。

从上面这个结果看，系统上135、445端口是与C:\winnt\system32\svchost.exe程序关联的1025、1026、445（udp）端口与　　　　　　　　c:\winnt\system32\mstask.exe程序关联的2967（udp）端口是与C:\Program Files\NavNT\rtvscan.exe程序关联的38027（udp）端口是与　　C:\WINNT\System32\MsgSys.EXE程序关联的

注：fport仅适用于winnt、win2000和winxp，在win98下无法使用

4、如何编辑注册表？

请在开始--〉运行中输入regedit后点确定进入注册表编辑状态。注册表编辑框左边显示的是注册表的项，右边显示的是注册的键值，要删除键值请点中该键值后点右键选择其中的删除。要修改键值请点中该键值后点鼠标右键选择修改。要删除项请选中该项后点右键选删除。

5、如何关闭服务？

开始-->控制面版-->管理工具-->服务进入服务管理工具，选中要关闭的服务后点右键选停止

注：上面方法仅适用于WINNT、WIN2000和WINXP

6、如何进入安全模式？

系统启动时按F8

7、如何杀进程？

win98下按ALT+CTRL+DEL，在弹出的对话框中选中你要结束的进程后点关闭，winnt、win2000和winxp下按ALT+CTRL+DEL弹出窗口后选择任务管理器，在进程一项里选中你要结束的进程后点击结束进程

三、常见木马及控制软件的服务端口与关闭方法

注意：下文中提到的相关路径根据您的操作系统版本不同会有所不同，请根据自己的系统做相应的调整

win98系统： c:\windows c:\windows\system

winnt和win2000系统： c:\winnt c:\winnt\system32

winxp系统： c:\windows c:\windows\system32

根据系统安装的路径不同，目录所在盘符也可能不同，如系统安装在D盘，请将C:\windows改为D:\windows依此类推大部分的木马程序都可以改变默认的服务端口，我们应该根据具体的情况采取相应的措施，一个完整的检查和删除过程如下例所示：

例：113端口木马的清除（仅适用于windows系统）：

这是一个基于irc聊天室控制的木马程序。

1.首先使用netstat -an命令确定自己的系统上是否开放了113端口

2.使用fport命令察看出是哪个程序在监听113端口

例如我们用fport看到如下结果：

Pid Process Port Proto Path

392 svchost -> 113 TCP C:\WINNT\system32\vhos.exe

我们就可以确定在监听在113端口的木马程序是vhos.exe而该程序所在的路径为

c:\winnt\system32下。

3.确定了木马程序名（就是监听113端口的程序）后，在任务管理器中查找到该进程，并使用管理器结束该进程。

4.在开始-运行中键入regedit运行注册表管理程序，在注册表里查找刚才找到那个程序，并将相关的键值全部删掉。

5.到木马程序所在的目录下删除该木马程序。（通常木马还会包括其他一些程序，如，rscan.exe、p***ec.exe、ipcpass.dic、ipcscan.txt等，根据木马程序不同，文件也有所不同，你可以通过察看程序的生成和修改的时间来确定与 监听113端口的木马程序有关的其他程序）

6.重新启动机器。