黑客攻防实战：Windows系统克隆攻击与防范

核心提示：随着电脑技术的发展和电脑的普及，还有大大小小的“骇客”网站和越来越简单的工具，黑客攻防实战：Windows系统克隆攻击与防范，使得目前攻击变得日趋频繁，被植入木马的电脑或服务器也越来越多，这一扇门你看不到,因为它依靠的是微软的终端服务，并没有释放病毒文件，与此同时系统管理员的安全意识也在不断提高

随着电脑技术的发展和电脑的普及，还有大大小小的“骇客”网站和越来越简单的工具，使得目前攻击变得日趋频繁，被植入木马的电脑或服务器也越来越多，与此同时系统管理员的安全意识也在不断提高，加上杀毒软件的发展，网络木马的生命周期也越来越短，所以攻击者在获取了服务器的控制权限后，一般使用克隆用户或者安装SHIFT后门达到隐藏自己的目的，下面就由我给大家介绍一些常见的克隆用户和检查是否存在克隆用户及清除的方法。

一、克隆账号的原理与危害

1.克隆账号的原理

在注册表中有两处保存了账号的SID相对标志符，一处是注册表HKEY_LOCAL_MACHINESAMAMDomainsAccountUsers 下的子键名，另一处是该子键的子项F的值。但微软犯了个不同步它们的错误，登录时用的是后者，查询时用前者。当用Administrator的F项覆盖其他账号的F项后，就造成了账号是管理员权限，但查询还是原来状态的情况，这就是所谓的克隆账号。

安全小知识：SID也就是安全标识符（Security Identifiers），是标识用户、组和计算机账户的唯一的号码。在第一次创建该账户时，将给网络上的每一个账户发布一个唯一的 SID。Windows 2000 中的内部进程将引用账户的 SID 而不是账户的用户或组名。如果创建账户，再删除账户，然后使用相同的用户名创建另一个账户，则新账户将不具有授权给前一个账户的权力或权限，原因是该账户具有不同的 SID 号。

2. 克隆账号的危害

当系统用户一旦被克隆，配合终端服务，就等于向攻击者开启了一扇隐蔽的后门，让攻击者可以随时进入你的系统，这一扇门你看不到,因为它依靠的是微软的终端服务，并没有释放病毒文件，所以也不会被杀毒软件所查杀。

二、克隆用户的常用方法