建立隐藏的超级用户

/ns/wz/sys/data/20040827214330.htm

---由《建立隐藏的超级用户》一文引出

近来一段时间,网上到处转贴《建立隐藏的超级用户》这样一篇文章,文中提出可以通过修改Win2k注册表的sam数据库内容来添加一个隐藏的超级用户,在net user和用户管理下面都看不到踪迹,可以算是一个非常好的Rootkit了,于是引起了我的极大兴趣,摸索了有一周,自认为对windows的用户管理已经很是熟悉了,得出了这样一个结论:关于建立隐藏的超级用户,完全是一个骗局,呵呵。你一定有些惊讶吧,既然是骗局,怎么还那么多人转贴和叫好呢?好,听我慢慢给你解释:

一、关于SAM数据库的内容
首先从windows的用户管理来说起吧,由于windows系统是建立在注册表之上的,所以,关于所有的用户信息也是存放在注册表的HKLM下的SAM项中,关于SAM项的内容,我简单提一下,只要知道个大概就可以了。

存放用户信息的具体地方是HKLM\SAM\SAM\Domains\Account\Users中,下面的十六进制项都是用户的sid,比如用户Administrator的sid是000001F4,guest的sid是000001F5,其他的每一个十六进制项都对应一个用户名。同时,在Names项下面保存的是用户名,下面的每一个都是你机器中的用户名。OK,基本的用户信息就是这些了,下面来看windows如何管理这些用户:

添加一个新用户的时候,系统会在HKLM\SAM\SAM\Domains\Account\Users下面添加一个新的sid项来标记用户,同时在HKLM\SAM\SAM\Domains\Account\Users\Names下建立一个用户名的项,而项的类型为这个新的sid。比如添加一个名为xiaobai的用户,系统就会在HKLM\SAM\SAM\Domains\Account\Users下添加一个新的sid项,假设是000003ED,与此同时,你会发现在HKLM\SAM\SAM\Domains\Account\Users\Names下面多了一个名为xiaobai的项,类型为0x3ed。这就是windows系统处理添加用户的方式。

删除用户的时候,系统所做的工作就是把上面对应添加的两个项删除。大体的原理应该就是这样,那些有关键值内容的东西,因为与下面的主题没有很大关系,所以,我就不细说了。


二、查看本机用户信息
现在,已经了解了系统是如何管理用户的原理了,我们再回到系统管理员的角度,作为一个系统管理员,查看本机的用户情况是最常见的行为了,一般通过两种方式来查看,net命令和MMC管理控制台。两种方式取得本机用户信息的方式稍有不同。

首先是net命令,每次执行net命令的时候,系统去注册表的HKLM\SAM\SAM\Domains\Account\Users\Names下面取项值,然后打印在屏幕上,就是你看到的结果,所以,即使你随便在这个项值下面添加一项,也会通过net命令显示出来的。其中的一个小技巧就是如果用户名后面带一个$符号的时候,就不会显示出来,所以,在net命令下隐身很容易的,只要你添加的用户名是以$结尾的就可以了。

然后是MMC管理控制台,它与net命令稍有不同,不同处在于显示用户信息的时候不是现场去注册表中取,而是每次系统启动时,所有的用户信息都已经被读入了,只是显示出来就可以了。除非你做了添加或者删除用户的操作,否则,MMC不会去读注册表的信息的。

所以,当我们按照《建立隐藏的超级用户》这篇文章的方法做的时候,添加用户后又删除了,所以不会在 MMC中留下痕迹,此时再通过添加注册表的项来使帐号复活,登录windows的时候系统对比注册表中的内容,发现这个用户有足够的信息,所以允许登录。正如前面所说,除非有添加删除操作,否则,MMC不临时去取注册表的用户信息,所以,在MMC中是看不到这个用户的,也就是《建立隐藏的超级用户》这篇文章所说的成功添加了一个隐藏的超级用户。似乎这个后门留地是天衣无缝,可是一旦你重新启动呢,你会发现,你刚才添加的隐藏的用户又明明白白地显示在用户列表中,呵呵,至于原因么,是因为系统每次重启动的时候,MMC都要重新读取一下注册表的SAM数据库,所以,这个你复活的帐号也被读到了MMC的记录中,这样,也就不是什么隐藏的用户了。

呵呵,到现在你应该清楚为什么《建立隐藏的超级用户》这篇文章是个骗局了吧,有无数人为之欢呼,以为找到了一个超级的Rootkit,当然也包括我,不过,假的毕竟是假的,因为这个而搞清楚了windows的用户管理机制,这个收获也不小啊,呵呵。
=========================
文章类型:转载 提交:绝地苍狼 核查:NetDemon