1.
CMD: net localgroup administrators或者查看计算机管理管理员用户组,是否有未知的账户。
cmd:net user 用户名 查看用户详细详细,知道用户是什么时候创建和设置的密码
2.
注册表:HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names
和“计算机管理”中存在的账户进行比较
3.
运行“组策略”:gpedit.msc
依次展开“计算机配置”→“Windows 设置”→“安全设置”→“本地策略”→“审核策略”,双击右边的“审核策略更改”,在弹出的设置窗口中勾选“成功”,然后点“确定”。对“审核登陆事件”和“审核过程追踪”进行相同的设置。
4、开启登陆事件审核功能
进行登陆审核后,可以对任何账户的登陆操作进行记录,包括隐藏账户,这样我们就可以通过“计算机管理”中的“事件查看器”准确得知隐藏账户的名称,甚至黑客登陆的时间。即使黑客将所有的登陆日志删除,系统还会记录是哪个账户删除了系统日志,这样黑客的隐藏账户就暴露无疑了。
5、通过事件查看器找到隐藏帐户
得知隐藏账户的名称后就好办了,但是我们仍然不能删除这个隐藏账户,因为我们没有权限。但是我们可以在“命令提示符”中输入“net user 隐藏账户名称 654321”更改这个隐藏账户的密码。这样这个隐藏账户就会失效,黑客无法再用这个隐藏账户登陆。
版权声明:《 找到系统里被黑客建立的隐藏管理员 》为王健原创文章,转载请注明出处!
最后编辑:2012-10-30 09:10:54