當(dāng)系統(tǒng)用戶(hù)被克隆之后，更改管理員也無(wú)濟(jì)于事，服務(wù)器上面的信息和數(shù)據(jù)還是被攻擊者隨意竊取。所以必須把克隆的用戶(hù)清除，再做其它方面的安全檢查。
在檢查是否存在克隆用戶(hù)前，最好重啟一下系統(tǒng)。對(duì)于上面第六和第七種方法克隆的，就會(huì)在用戶(hù)管理里顯示出來(lái)了，一看就知道。如圖13所示。

圖13

1.使用MT檢查

在cmd命令行下，使用“mt–chkuser”命令，檢查系統(tǒng)克隆賬號(hào)，輸入命令后，會(huì)在屏幕中輸出結(jié)果，主要查看ExpectedSID和CheckedSID，如果這兩個(gè)值不一樣則說(shuō)明賬號(hào)被克隆了。如圖14所示。

圖14

從圖中可以看出，IUSR_XODU5PTT910NHOO用戶(hù)的ExpectedSID和CheckedSID不一樣，且它的CheckedSID值是和管理員administrator的CheckedSID值一樣，很明顯IUSR_XODU5PTT910NHOO是一個(gè)克隆的賬號(hào)。

2.使用AIO檢查

不需要在system權(quán)限下也可用。
用法: Aio.exe –CheckClone，如圖15所示。

圖15

從圖可以看出，n3tl04d,n3tl04d$都是克隆的賬號(hào)。

3.使用CCA檢查

CCA是小榕寫(xiě)的檢查是否存在克隆的賬號(hào)，支持遠(yuǎn)程檢查，但必須有管理員賬號(hào)。
用法如下：cca.exe \\ip地址 用戶(hù)名 密碼
檢查本機(jī)是否存在克隆用戶(hù)，如cca \\127.0.0.1 administrator 123456
如圖16所示。

圖16

4.使用LP_Check檢查

如果系統(tǒng)存在克隆用戶(hù)，軟件將會(huì)顯示紅色。不過(guò)此工具檢測(cè)不到使用adhider.exe克隆的用戶(hù)。如圖17所示。

圖17

只檢測(cè)到n3tl04d一個(gè)克隆的用戶(hù)（顯示紅色）,事實(shí)上還存在另一個(gè)克隆的賬號(hào)n3tl04d$，但它沒(méi)有檢測(cè)出來(lái)。

5.手工檢查

(1)對(duì)于系統(tǒng)默認(rèn)用戶(hù)，如guest、IUSR_XODU5PTT910NHOO，可使用“net user IUSR_XODU5PTT910NHOO”命令查看最后登錄日期，如圖18所示。

圖18

從圖可以看出，IUSR_XODU5PTT910NHOO在2008-12-4登錄過(guò)系統(tǒng)，此賬號(hào)默認(rèn)是是顯示“上次登錄 從不”，因此可以判定賬號(hào)已被克隆過(guò)。

(2)查看系統(tǒng)登錄日志

Windows 2003的用戶(hù)登錄審核是默認(rèn)開(kāi)啟的，如果有某個(gè)時(shí)間內(nèi)發(fā)現(xiàn)不明的登錄日志，如圖19所示。

圖19

在21:46左右,管理員并未登錄系統(tǒng)，說(shuō)明有其它用戶(hù)登錄過(guò)系統(tǒng)，點(diǎn)擊就可以看到是哪個(gè)用戶(hù)登錄了，如圖20所示。

圖20

從圖可以看出， n3tl04d$在21:46登錄過(guò)系統(tǒng)，說(shuō)明此賬號(hào)就是被克隆的賬號(hào)了。如果日志全沒(méi)，管理員又沒(méi)自己刪除過(guò)，那肯定是入侵者刪除的，說(shuō)明系統(tǒng)肯定是被入侵了。此方法的不好之處就是要查看日志，如果攻擊者很少登錄的話(huà)，就難以被發(fā)現(xiàn)。

(3)查看注冊(cè)表

首先運(yùn)行regedt32.exe，展開(kāi)注冊(cè)表到HKEY_LOCAL_MACHINE\SAM\SAM，然后點(diǎn)菜單欄的“編輯”→“權(quán)限”，會(huì)彈出“SAM的權(quán)限”窗口，點(diǎn)擊Administrators，在該窗口中勾選允許完全控制，然后點(diǎn)擊“確定”按鈕。再找到HKEY_LOCAL_MACHINE\SAM\SAM\DomainsAccount\Users\Names，查看是否存在不明的用戶(hù)，如圖21所示。

圖21

此方法只能對(duì)添加新用戶(hù)克隆有效，如果克隆的是系統(tǒng)默認(rèn)賬號(hào)，如guest、IUSR_MACHINE等賬號(hào)，需要導(dǎo)出兩個(gè)用戶(hù)的鍵值，然后對(duì)比F項(xiàng)，如果IUSR_MACHINE的F值和管理員的F項(xiàng)的值相同，說(shuō)明已被克隆了。如圖22所示。

圖22

從圖中可以看出，3EB的F項(xiàng)的值和管理員1F4的值是一樣，說(shuō)明SID為3EB的這個(gè)賬號(hào)是克隆賬號(hào)。

6.刪除克隆用戶(hù)

（1） 如果是系統(tǒng)默認(rèn)賬號(hào)被克隆的話(huà)，先到一臺(tái)正常電腦上，同樣方法，復(fù)制相同用戶(hù)下面的F項(xiàng)的值，如你發(fā)現(xiàn)的是IUSR_MACHINE(machine為機(jī)器名)用戶(hù)被克隆，就打開(kāi)一臺(tái)正常電腦的注冊(cè)表，找到HKEY_LOCAL_MACHINE\SAM\SAM\DomainsAccount\Users\000003EA，導(dǎo)出注冊(cè)表，保存為3EA.reg，同樣，回到被入侵過(guò)的電腦，導(dǎo)入被克隆過(guò)的用戶(hù)注冊(cè)表值為3eb.reg，接著就是把3ea.reg里面的F值復(fù)制替換3eb.reg里的F值，再把里面的ea改為eb（改這個(gè)的原因是因?yàn)閮膳_(tái)電腦的IUSR_MACHINE用戶(hù)的SID不一樣，如果是一樣，就不需要更改），如圖23所示。

圖23

保存后再導(dǎo)入注冊(cè)表，然后在cmd下使用“net user IUSR_MACHINE n3tl04d520mm”更換密碼。

如果是添加用戶(hù)式的克隆可使用以下方法

（2）使用MT刪除克隆用戶(hù)

在cmd命令下輸入“mt -killuser 用戶(hù)名”
如：mt -killuser n3tl04d，成功后n3tl04d賬號(hào)就不存在了，如圖24所示。

圖24

（3）使用AIO刪除克隆用戶(hù)

在cmd命令下輸入“Aio.exe -DelUser 用戶(hù)名”
如: Aio.exe -DelUser n3tl04d，成功后n3tl04d用戶(hù)就被刪除了。如圖25所示。

圖25

四、總結(jié)與探討

由于條件等各方面的限制，此次全部操作都是在Windows 2003環(huán)境下完成，可能會(huì)有些不對(duì)的地方，請(qǐng)大家多多指正。

如果發(fā)現(xiàn)被克隆，有人說(shuō)要重裝系統(tǒng)，個(gè)人認(rèn)為那是不明智的選擇，特別是服務(wù)器作為虛擬主機(jī)的時(shí)候，你把客戶(hù)的網(wǎng)站都停掉，造成的損失，誰(shuí)來(lái)負(fù)責(zé)？再說(shuō)，如果入侵是服務(wù)器配置不當(dāng)，或者其它網(wǎng)站漏洞造成的，單單重裝系統(tǒng)，并沒(méi)有把原來(lái)的漏洞修補(bǔ)上，攻擊者可以照著原路再一次把你的系統(tǒng)攻陷。但僅僅刪除被克隆的用戶(hù)也是遠(yuǎn)遠(yuǎn)不夠的，還需要更改所有管理員密碼。除此之外，個(gè)人認(rèn)為還是應(yīng)該對(duì)服務(wù)器做一次完整的安全檢測(cè)和安全加固，如果能力有限，可以找相關(guān)的安全組織或公司幫你做。如果有需要，安天365團(tuán)隊(duì)愿意提供服務(wù)。

最新評(píng)論