黑客攻防实战：Windows系统克隆攻击与防范

核心提示： 图14 从图中可以看出，IUSR_XODU5PTT910NHOO用户的ExpectedSID和CheckedSID不一样，黑客攻防实战：Windows系统克隆攻击与防范(7)，且它的CheckedSID值是和管理员administrator的CheckedSID值一样，很明显IUSR_XO

图14

从图中可以看出，IUSR_XODU5PTT910NHOO用户的ExpectedSID和CheckedSID不一样，且它的CheckedSID值是和管理员administrator的CheckedSID值一样，很明显IUSR_XODU5PTT910NHOO是一个克隆的账号。

2.使用AIO检查

不需要在system权限下也可用。

用法: Aio.exe –CheckClone，如图15所示。

图15

从图可以看出，n3tl04d,n3tl04d$都是克隆的账号。

3.使用CCA检查

CCA是小榕写的检查是否存在克隆的账号，支持远程检查，但必须有管理员账号。

用法如下：cca.exe ip地址 用户名 密码

检查本机是否存在克隆用户，如cca 127.0.0.1 administrator 123456

如图16所示。

图16

从图可以看出，n3tl04d,n3tl04d$都是克隆的账号。

4.使用LP_Check检查

如果系统存在克隆用户，软件将会显示红色。不过此工具检测不到使用adhider.exe克隆的用户。如图17所示。

图17

只检测到n3tl04d一个克隆的用户（显示红色）,事实上还存在另一个克隆的账号n3tl04d$，但它没有检测出来。