當黑客入侵后，除了安放木馬遠程控制外，還往往會(huì )對入侵主機上的帳號作一番手腳，如新建并隱藏管理員帳號，或者克隆管理員帳號權限等。因此揪出帳號中的陰謀，管理本機的帳號成了網(wǎng)絡(luò )安全的重中之重！
　　一、關(guān)閉電腦大門(mén)，禁止新建用戶(hù)
　　在入侵了一臺電腦后，黑客一般先會(huì )使用“net user用戶(hù)名 密碼/add”命令新建一個(gè)用戶(hù)，并用“net localgroup administrators 用戶(hù)名/add”命令，將新用戶(hù)添加到Administrator管理員組中。這樣黑客就可以用添加的用戶(hù)名登錄，并擁有管理員權限了。如何才能防止用戶(hù)添加新用戶(hù)呢？
可以看到在黑客添加新用戶(hù)的過(guò)程中，net命令是必不可少的，如果讓黑客無(wú)法運行net命令的話(huà)，也就間接的阻止了黑客新建用戶(hù)。net命令的執行文件位于系統目錄“c:\windows\system32”下，文件名為“net.exe”，我們只要將此文件重命名，改為如“netno.exe”等。當黑客入侵后添加新用戶(hù)時(shí)，就會(huì )顯示命令錯誤，從而無(wú)法新建用戶(hù)了（如圖1）。


　　二、陌生人不得入內，禁止新建用戶(hù)登錄
　　如果碰上比較厲害的黑客，他們可能會(huì )使出“殺手锏”，自己上傳一個(gè)“net.exe”文件，從而恢復新建用戶(hù)名的功能。魔高一尺，道高一丈�晤U且廊揮邪旆ǘ愿墩庹?mdash;—直接禁止新建的用戶(hù)登錄，對黑客下一道逐客令，黑客即使擁有管理員帳號，也無(wú)法登錄。
　　打開(kāi)資源管理器，定位到文件夾“C:\Documents and Settings”，可以看到在此文件夾下有以系統中用戶(hù)名命名的目錄，這些目錄中就包含了每個(gè)用戶(hù)登錄信息。其中“Default User”目錄管理著(zhù)所有用戶(hù)默認配置，每個(gè)新建的用戶(hù)在首次登錄時(shí)，都必須從這個(gè)目錄中調用一些信息。首先將此文件夾改名，例如可改為“No Users”（如圖2）。

　　當黑客新建了一個(gè)普通權限的用戶(hù)，在第一次登錄時(shí)將出現錯誤無(wú)法登錄成功，會(huì )提示“……無(wú)法加載您的配置文件……”（如圖3），這就禁止了黑客以新帳號登錄。但是如果黑客新建立的是一個(gè)管理員權限用戶(hù)時(shí)，雖然也會(huì )彈出無(wú)法加載配置文件的提示，但是系統還會(huì )允許新建的管理員登錄。這是因為存放管理員的默認配置文件存放在另一個(gè)目錄中，路徑為“C:\WINDOWS\system32 \config\systemprofile”，將“systemprofile”文件夾改名后，即可防止任意新建的管理員用戶(hù)登錄了。



　　三、揪出克隆的帳號
　　經(jīng)過(guò)上面的兩個(gè)步驟，黑客已經(jīng)無(wú)法在我們的系統中添加任何帳戶(hù)了，但是這還不能保證帳號足夠安全，因為高明的黑客一般是不會(huì )主動(dòng)添加帳號的，而是采用最隱藏厲害的“帳號克隆”。顧名思義，帳號克隆就是對某個(gè)帳號所具有的權限進(jìn)行完整的復制，黑客一般是對系統中已有的帳號Guest進(jìn)行復制，克隆提升成具有管理員權限的用戶(hù)帳號，而被克隆的帳號往往看不出絲毫破綻，依然顯示為原來(lái)的普通權限。
　　1.克隆帳號現身
　　具體如何克隆帳號這里就不多說(shuō)了，我們主要來(lái)看看如何讓克隆帳號現身。一般克隆的Guest帳號，在“用戶(hù)帳戶(hù)”管理器中會(huì )顯示為Guest組，而且是未啟用激活狀態(tài)（如圖4），但是卻具有管理員權限，登錄后可進(jìn)行各種管理員權限的操作，危害十分的大。如何才能檢測出這類(lèi)克隆帳號呢？

　　這里使用一款名為L(cháng)P_Check的帳號克隆檢測工具，程序運行后檢測系統中的所有用戶(hù)帳號信息，如果發(fā)現某一個(gè)帳號有問(wèn)題的話(huà)，會(huì )在列表中以紅色三角符號重點(diǎn)標記出來(lái)，并在“Important”中提示發(fā)現隱藏或克隆的管理員帳號（如圖5）。




　　2.清除克隆帳號
　　檢測出了系統中的克隆管理員帳號后，需要清除已克隆的帳號。但是由于Guest帳號是內置帳號，因此無(wú)法直接通過(guò)帳號管理器將其刪除。雖然可以更改該帳號的密碼，讓黑客無(wú)法用該帳號登錄，不過(guò)該帳號依然還是具有管理員權限，非常的危險，因此需要清除克隆帳號所具有的權限。
　　在命令提示符下進(jìn)入MT所在的文件夾，執行命令“mt-killuser guest”，提示“Kill User: guest Success!”刪除Guest帳號成功（如圖6）。執行命令“net user”，顯示系統中的所有用戶(hù)列表，可以看到Guest帳號已經(jīng)不存在了。最后再執行命令“net user guest”，重新添加一個(gè)Guest帳號，新添加的帳號權限就恢復正常了。