【IT168 专稿】黑客入侵服务器是一件很辛苦的事情，短则几十分钟，长则几个月，甚至还有无功而返的时候。所以为了保证入侵后的“胜利果实”，恶意人都会在其计算机里安装后门，以便下次自己能够方便进入。而且他们所选用的后门一般都较为隐蔽，如果不仔细查找很难发现它们的存在，本文以黑客克隆的后门账号为例，教你如何准确的快速查找出此类危险型账号。

    一、检查计算机里的用户账号
    要想检查计算机用户账号，大家这里可以打开“控制面板”对话框，然后在依次双击“管理”→“计算机管理”→“本地用户与组”选项，在弹出的“本地用户与组”对话框里，从中检查管理员组里是否存在可疑账号。默认情况下，系统管理组会存有administrator账号，以及Guest来宾账号，所以大家对于这两个账号无需过于担心。如果在没有安装其他服务的情况下，还有其他账号出现，那么就很有可能是黑客入侵后，加载进来的非法账号，我们一定要毫不客气的将其清除掉。

    二、检查账号所在的组
    每个账号都会有一个身份，而身份则是它所在的组确立的，比如Administrators组，里面就全都是拥有管理员权限的账号。要想查看其组里的账号，只要双击“计算机管理”中的“Administrators”组，就可对其组里的成员进行检查。当然你也可以采用命令的形式进行查询，这里打开“CMD”对话框，在光标闪烁处输入“net user”命令回车，就可查看到当前系统内的所有账号（如图1）。

    如果你想当独查看管理员组里的账号，只要输入“net localgroup administrators”命令回车，就可显示该组里所有用户成员。同时也排除你从中发现非法用户，可以在其命令行内，输入net user username(想要删除的账号名) /delete命令，执行后就可将其想要删除的账号，从系统里清除掉。当然入侵者添加账号后面有个“$符”，用户通过输入“net user”命令是无法查看此用户的，所以我们只能通过计算机用户管理的图形界面查看。

    三、对克隆账号的检查
    以上的检查方法，对于菜鸟所留下的后门账号管用，但是对于黑客老手可就是一道形同虚设的“屏障”。比如他们在系统里建设的克隆账号，我们通过以上常规的net user，以及计算机用户图形管理界面，是无法发现它的存在，必须采用工具进行检查。

    以下笔者将使用Mt和本地管理员检查工具，针对常规和非常规的用户进行检查。使用Mt工具的用户，要明白它是一款命令行下的工具，并非是图型化在系统界面里直接运行的，另外它还需要有管理员用户权限的支持，才能在“命令行”对话框内，使用Mt软件并且输入“Mt –chkuser”命令后，界面就会显示出每个账号所对应的值。如果ExpectedSID和CheckedSID两个值不一样，那就说明其账号被克隆了。如果你想非常直观的看到账号情况，可以直接运行“本地管理员检查”工具，此时就会弹出“本地管理员检查”的对话框，其编辑区就会给出账号的相应提示（如图2）。

    用户可以根据提示，在命令行下对其被克隆的账号进行删除或者降低其权限。