Load注册键 HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load Userinit注册键 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit ExplorerRun注册键 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run 和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrent\Version\Policies\Explorer\Run RunServicesOnce注册键 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices\Once 和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServicesOnce RunServices注册键 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices 和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Services RunOnceSetup注册键 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceSetup 和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceSetup RunOnce注册键 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce Run注册键 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
1.CMD:netlocalgroupadministrators或者查看计算机管理管理员用户组,是否有未知的账户。cmd:netuser用户名查看用户详细详细,知道用户是什么时候创建和设置的密码2.注册表:HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names和“计算机管理”中存在的账户进行比较3.运行“组策略”:gpedit.msc依次展开“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“审核策略”,双击右边的“审核策略更改”,在弹出的设置窗口中勾选“成功”,然后点“确定”。对“审核登陆事件”和“审核过程追踪”进行相同的设置。4、开启登陆事件审核功能 进行登陆审核后,可以对任何账户的登陆操作进行记录,包括隐藏账户,这样我们就可以通过“计算机管理”中的“事件查看器”准确得知隐藏账户的名称,甚至黑客登陆的时间。即使黑客将所有的登陆日志删除,系统还会记录是哪个账户删除了系统日志,这样黑客的隐藏账户就暴露无疑了。 5、通过事件查看器找到隐藏帐户 得知隐藏账户的名称后就好办了,但是我们仍然不能删除这个隐藏账户,因为我们没有权限。但是我们可以在“命令提示符”中输入“netuser隐藏账户名称654321”更改这个隐藏账户的密码。这样这个隐藏账户就会失效,黑客无法再用这个隐藏账户登陆。