一般过程如下：

方法1：
拿他的%system%\repair\sam.*，然后回去用l0pht破解，只要能拿到，肯花时间，就一定可以破解。

问题：(1)你不一定可以访问该文件（看你的身份和人家的设置）；
(2)同时这个文件是上次备份时的帐号列表（也可能是第一次安装时的），以后更改帐号的话，就没用了。

方法2：
使用pwdump（l0pht自带的，2000下无效）或单独的pwdump2，取得本机当前的用户列表和口令加密列表，然后用l0pht破解这个列表。

问题：一般guests，使用unicode漏洞运行cmd时是IUSR_computer身份，guests组的，没有权限这样做。

（以上两种是离线的）

方法3：
使用enum等程序进行远程破解，猜口令。

问题：（1）如果对方设置了帐号锁定的话，你破解几次，该帐号就锁定了，不能再破解；
（2）对方要开放netbios连接，如果用firewall过滤了的话就不行了。

以上方法是破解而得密码的，还有直接把现有用户提升权限或者添加用户的。

方法4：
getadmin － nt4 、pipeupadmin －2000, 在本机运行可以把当前用户帐号加入admin组。

问题：（1）getadmin在sp4有补丁修复了，不能再用，当然后来又有getadmin的增强版本，不过也在sp6a下好像都不行。
（2）pipeupadmin 可以由guest成功运行，现在有补丁了

方法5：
win2000的net dde服务漏洞可以执行任意程序，可以借此更改密码、添加用户等。

问题：需要正式用户才能运行攻击程序，guest不行。

方法6：
win2000的输入法漏洞，可以本地执行程序提升权限，如果开放终端服务的话，远程也可以。

另外还有变通的方法。

方法7：
木马：上传木马，然后运行，下次重起动后，就是本地登录用户的权限了。很可能就是admin 。

问题：(1)杀毒软件可能阻止你的木马运行；
(2)有的木马好像在guests下不能运行，可能与他添加自动运行的方式有关；如没有权限向注册表的自动运行位置添加，不能写入%system%\system32目录（据我所知，一般的木马都改变文件名，然后写入系统目录，如果你没有这个写入权限，就不能执行了）。
如果那位能试验出结果，不妨提出来。

另外提一句，虽然ntshell不算什么木马，我的定位是远程控制，我在做他的添加自动运行时没有向系统目录进行拷贝，只是引用当前程序（或者可以指定的其他程序），因此system32没有写权限也可以，不过在所有添加自动运行的位置要有一个位置有写权限才行。

解决：(1)可以使用压缩程序将木马压缩，从而逃过杀毒软件的特征码；可以使用aspack试试，我曾成功压缩了一个逃过了金山毒霸正式版。不过也有的木马压不了，如冰河。

方法8：
gina、ginastub木马。虽然这个也叫木马，但是它的功能和上边一个大不一样，因为一般的木马是在对方安装一个server端，一旦运行就可以使用client端连接对server端进行操作。而ginastub一般只有一个dll，需要手工安装和卸载，他的功能也不是client端控制server端，它仅仅就是捕获登录密码。

问题：安装较麻烦，成功的可能性低，安装不当被安装的系统有不能启动的危险。具体使用方法可以看看我在ntshell里提供的一个gina例子的使用方法http://netadmin.77169.com/HTML/20060415003116.html