黑客攻防实战：Windows系统克隆攻击与防范

核心提示： 5.手工检查(1)对于系统默认用户，如guest、IUSR_XODU5PTT910NHOO，黑客攻防实战：Windows系统克隆攻击与防范(8)，可使用“net user IUSR_XODU5PTT910NHOO”命令查看最后登录日期，如图18所示，再找到HKEY_

5.手工检查

(1)对于系统默认用户，如guest、IUSR_XODU5PTT910NHOO，可使用“net user IUSR_XODU5PTT910NHOO”命令查看最后登录日期，如图18所示。

图18

从图可以看出，IUSR_XODU5PTT910NHOO在2008-12-4登录过系统，此账号默认是是显示“上次登录 从不”，因此可以判定账号已被克隆过。

(2)查看系统登录日志

Windows 2003的用户登录审核是默认开启的，如果有某个时间内发现不明的登录日志，如图19所示。

图19

在21:46左右,管理员并未登录系统，说明有其它用户登录过系统，点击就可以看到是哪个用户登录了，如图20所示。

图20

从图可以看出， n3tl04d$在21:46登录过系统，说明此账号就是被克隆的账号了。如果日志全没，管理员又没自己删除过，那肯定是入侵者删除的，说明系统肯定是被入侵了。此方法的不好之处就是要查看日志，如果攻击者很少登录的话，就难以被发现。

(3)查看注册表

首先运行regedt32.exe，展开注册表到HKEY_LOCAL_MACHINESAMSAM，然后点菜单栏的“编辑”→“权限”，会弹出“SAM的权限”窗口，点击Administrators，在该窗口中勾选允许完全控制，然后点击“确定”按钮。再找到HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames，查看是否存在不明的用户，如图21所示。