别躲!系统里的秘密特工

开篇：润墨网以专业的文秘视角，为您筛选了一篇别躲!系统里的秘密特工范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

俗话说：眼见为实。生活中很多人根据自己亲眼所见来判断事情的真伪，但是在Windows世界里，有时候眼见却不为实，因为系统里隐藏了不少秘密“特工”，给我们带来潜在的危险。

实例1：点亮注册表神灯，影子账户无处遁形

风险描述：

黑客在侵入别人电脑后，为了方便以后再次“光顾”，有些人会建立一个影子账户。影子账户，也称克隆账户，它复制了系统管理员账户的权限，并具有隐身的效果，通过“net user”命令或者计算机管理工具是很难检测出来的。

现场模拟：

为让大家更真实地感受到影子账户的危险，让我们自己模拟一个。

第一步：以系统管理员身份登录系统，启动命令提示符后输入“net user cfan$ 123 /add”，新建一个名为cfan的隐身账户，登录密码是123。

第二步：启动注册表编辑器，依次展开[HKLM\SAM\SAM]，右击选择“权限”，单击“添加”，将当前用户添加到列表并将权限设置为“完全控制”。刷新注册表后展开[HKLM\SAM\SAM\Domains\Account\Users\000001F4]，将其右侧窗口的“F”值打开后全选复制，然后粘贴到 [HKLM\SAM\SAM\Domains\Account\Users\000003EF]下的对应的“F”值处（见图）。

第三步：在注册表编辑器中依次导出 [HKLM\SAM\SAM\Domains\Account\Users\000003EF]为cfan1.reg、[HKLM\SAM\SAM\Domains\Account\Users\Names\cfan$]为cfan2.reg。

第四步：在命令提示符中执行“net user cfan$ /del”将账户删除，然后双击cfan1.reg和cfan2.reg导入注册表。这样就在我们的系统中添加了一个具备系统管理员权限的影子账户。重启后，试试以此账户（cfan$，密码为123）登录系统，果然能登录系统，并具备系统管理员权限（隶属Administrators组）。

解决之道：

孙悟空总是跑不出如来佛的手心，通过上面的“现场模拟”，可见影子账户再隐蔽，它也得在注册表中留下踪迹。一旦怀疑自己的系统被做了手脚，只要依次展开[HKLM\SAM\SAM\Domains\Account\Users\Names]，然后看看其中是否有带$的帐户，如有则删除该账户在注册表中上述两处键值并重启就可以了。

实例2：揪出隐身的病毒服务

风险描述：

现在很多病毒伪装为硬件（通过*.sys文件）服务，对于硬件的查看自然是借助设备管理器，但是病毒又不是真正的硬件，在设备管理器中通过常规的查看方法是无法发现它们的。

解决之道：

如果怀疑自己的电脑中了驱动级的病毒，可以通过杀毒软件的报警进行判断。比如，中招驱动木马pcshare的变种后，杀毒软件会提示在“C:\windows\system32\drivers\”发现木马文件dmserver.sys，但是无法删除它。此时可以依次执行下述操作：

第一步：右击桌面“我的电脑”，选择“管理”打开计算机管理窗口，展开“系统工具设备管理器”，单击“查看显示隐藏的设备”。

第二步：在右侧窗格展开“非即插即用驱动程序”，这里我们就可以看到所有驱动型软件的服务程序，本例中可以看到一个名为“dmserver”的硬件。双击打开该服务，切换到“驱动程序”，单击“驱动程序详细信息”，将其启动类型设置为“已禁用”，接着单击“驱动程序详细信息”，即可看到病毒的真身是“C:\windows\system32\dmserver.sys”。重启电脑，按上述路径删除木马文件dmserver.sys即可。

小提示

[HKLM\SAM\SAM\Domains\Account\Users\Names\Administrator]表示系统内置Administrators账户， [HKLM\SAM\SAM\Domains\Account\Users\000001F4]表示Administrators账户的权限和设置，具体权限由其中的F值指定。具体账户名对应的[Users]值可以从账户类型看到，如cfan$对应000003EF（账户类型为0x3ef，16进制）。

网络大补贴

本文只是复制了管理员账户中的F值，其实我们还可以一并复制其下的V值进行完全克隆，具体原理，请参阅：.cn/index.php/11702/action_viewspace_itemid_291783。

系统中存在超级文件扩展名，如SHS、URL、SHB、SCF等等，即使将文件夹查看方式设置为显示所有文件扩展名，系统默认也不会显示，这带来很大风险。更详细介绍请参考/html/Safety_virus/2006-11/8/0611811215177432_50.shtml