出处：比特网 作者：陈小兵

随着个人计算机意识的提高，网络木马程序的生命周期越来越短，而如果要对木马软件进行免杀，必须掌握软件加壳、修改特征码等技术。对于网络上的计算机，特别是网络服务器，当成功控制以后，对账号进行克隆基本上已经存在入侵者的惯例，使用无形无影的“克隆用户”，在系统管理员更改系统账号以后，使用克隆用户账号登陆并重新控制系统是一个非常不错的选择，本文对就自己在维护网络服务器过程中的一些经验体会写出来跟大家分享，共保服务器安全。

　　(一)常规检查

　　计算机的常规检查主要通过“我的电脑”-“管理”-“计算机管理”-“本地用户与组”来实施检查;主要检查管理员组中是否存在多余账号，是否存在多个用户账号。

　　1.检查用户

　　操作系统中默认存在Administrator以及按照个人喜爱而添加的用户名称，例如本例中的simeon，其它还有一些用户例如启动 IIS 进程帐户、Internet 来宾帐户等(图1)，这些账号往往跟系统中提供的服务或者安装的软件有关。如果在检查过程中，发现了多余的账号，则极有可能是入侵者添加的账号。

　　图1检查用户账号

　　2.检查组

　　任何一个用户账号都必须有一个组，在安全检查中，需要特别注意Administrators组，这个组是具有管理员权限的组，在“计算机管理”中，双击“组”中的“Administrators”即可查看是否存在多于的管理员账号(图2)。

　　图2 管理员组账号检查

　　说明：

　　(1)对账号的检查也可以在Dos提示符下实现，直接通过在“开始”-“运行”中输入“cmd”或者“command”命令进入Dos提示符，然后输入“net user”查看系统所有用户，输入“net localgroup administrators”查看管理员组(图3)。可以通过“net user username /delete”删除用户。

　　图3 Dos查看用户和管理员

　　(2)如果入侵者在添加账号时在账号末尾加上了“$”符号，则使用“net user”命令查看用户时，以“$”结束的用户名不会显示，只能计算用户管理的图形界面来查看。

(二)非常规检查

　　在系统中添加的非克隆账号，可以通过常规检查检查出来，但是如果入侵者在系统中对账号进行了克隆，一般克隆系统中已经存在账号，例如克隆aspnet账号、TsInternetuser、Guest等账号，通过“net user”、“net localgroup administrators”以及计算用户图形管理都是查不出来的，如果计算机开放了远程终端、安装了PcanyWhere等工具，则入侵者可以通过这些用户账号正常访问系统。非常规检查主要通过工具软件mt或本地管理员检查工具来检查。Mt只能运行在Dos界面下，而本地管理员检查工具则是图形界面，相对功能少些。Mt由于功能强大，目前很多杀毒软件都把其列为黑客工具进行查杀。

　　1.使用mt检查

　　mt中有很多功能，mt要求权限为system，在xp中可能会提示权限不够而无法使用。在dos窗口或者其它管理软件的telnet窗口下输入“mt”命令可以查看其详细的命令说明，本文中只是用到“mt –chkuser”命令(图4)，检查系统克隆账号，输入命令后，会在屏幕中输出结果，主要查看ExpectedSID和CheckedSID，如果这两个值不一样则说明账号被克隆了。在本例中可以看到账号simeon$的CheckedSID跟Administrator的CheckedSID值一样，说明simeon$克隆了Administrator账号。

　　图4 检查克隆账号

　　2.使用本地管理员检查工具检查

　　直接运行“本地管理员检查工具”，程序会自动以图形界面显示系统中存在的账号，并给出相应的提示，一般显示为“影子管理员”

　　图5 使用本地管理员检查工具检查克隆账号

　　(三)一些建议

　　如果计算机提供3389远程终端服务或者安装了PcAnywhere等远程控制工具，则系统需要定期检查用户账号，一旦发现克隆账号，说明系统的风险非常大，单独删除克隆账号意义不大。建议使用系统备份恢复系统，并更改系统所有账号密码。