三、对克隆账号的检查
以上的检查方法,对于菜鸟所留下的后门账号管用,但是对于黑客老手可就是一道形同虚设的“屏障”。比如他们在系统里建设的克隆账号,我们通过以上常规的net user,以及计算机用户图形管理界面,是无法发现它的存在,必须采用工具进行检查。
以下笔者将使用Mt和本地管理员检查工具,针对常规和非常规的用户进行检查。使用Mt工具的用户,要明白它是一款命令行下的工具,并非是图型化在系统界面里直接运行的,另外它还需要有管理员用户权限的支持,才能在“命令行”对话框内,使用Mt软件并且输入“Mt –chkuser”命令后,界面就会显示出每个账号所对应的值。如果ExpectedSID和CheckedSID两个值不一样,那就说明其账号被克隆了。如果你想非常直观的看到账号情况,可以直接运行“本地管理员检查”工具,此时就会弹出“本地管理员检查”的对话框,其编辑区就会给出账号的相应提示(如图2)。
用户可以根据提示,在命令行下对其被克隆的账号进行删除或者降低其权限。
