一、前言

之前对这几种手法也做过了解，但并未对其注册表进行过研究，最近在学习Windows的安全基础，打算提升一下自己基础知识。

二、Windows注册表简介

概念：注册表是Windows在win95/98系统开始引入的一种核心数据库，里面存放着各类的配置信息、参数等、直接控制着系统的启动、硬件的装载及Windows程序的运行。

结构：注册表由键、子键和值组成，一个键就是一个文件夹，子键可以理解为一个键的子目录，一个值则是一个键的当前定义，由名称、数据类型、及分配的值组成。

Windows注册表简介：Windows默认自带五个根键，win R进入运行会话框，输入regedit进入注册表编辑器。

下面简单介绍下几个根键的作用

HKEY_CLASSES_ROOT：

HKEY_CURRENT_USER：

HKEY_LOCAL_MACHINE:

HKEY_USERS：

HKEY_USERS仅包含了缺省用户设置和登录用户的信息。虽然它包含了所有独立用户的设置，但在用户未登录时用户的设置是不可用的。这些设置告诉系统哪些图标会被使用，什么组可用，哪个开始菜单可用，哪些颜色和字体可用，和控制面板上什么选项和设置可用。

HKEY_CURRENT_CONFIG：

HKEY_CURRENT_CONFIG包括了系统中现有的所有配置文件的细节。它与HKEY_LOCAL_MACHINE的不同之处是它的改变不会涉及到多个注册表信息的改变。

具体细节的内容自行百度。

三、常见的账户隐藏手法。

命令行隐藏手法

优点：简单、快捷、不需要花里胡哨的东西。一条命令搞定。

方法：net user 用户名$ /add

创建成功。

命令行下不易被发现。

图形化控制面板，发现admin$用户

注册表隐藏手法

优点：不易被发现。

缺点：注册表可见。

首先进入注册表regedit

找到根键名为HKEY_LOCAL_MACHINE的键，右键子键SAM下的sam，给用户配置权限，全部勾选。

继续找到HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users 展开，

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names，这里简单介绍下这两个键的作用。

Names里存放的子键是和Users里的子键一一对应的，如Names里的Administrator，点击后会出现0xF4的注册表，那么Users里也会有相同命名的子键。如下图

接下来我们导出一下我们刚才导出admin$用户的注册表，我命名为admin$.reg

继续导出对应的Names里的03f7，命名为0X3f7

导出administrator用户对应的的注册表01F4,命名为adminis.reg。如下

这时候，删除刚才创建的用户，admin$用户（net user发现不了，但可以删除）如下图；

Lusrmgr.msc进入图形化界面看下，已经没了，如下

先介绍下，比如导出来的admin$的注册表文件。

对应的admin$用户导出的0x3F7.reg   

接下来复制administrator的注册表文件（导出的adminis.reg）里的用户名到0x3F7.reg里相应位置，保存0x3F7.reg。

这时候adminis.reg可以删除了。依次双击admin$.reg、0x3F7.reg,即可，注册表里已经出现admin$的注册表。

检查一下，net user ，没有发现。

图形化看下，也没有。

注销下登陆尝试，这里分享一个思路：可以建个administrator的用户名来迷惑管理员。

超级隐藏账户。

优点：图形化、命令行、注册表都不可见。

缺点：杀软能检测出。（办法自己想）

继续接上，已经建立好的注册表影子账户如何隐藏？

首先把两个文件放到桌面，如下

编辑ini文件

然后保存，双击exe文件，发现一起消失了，查看注册表、命令行、图形化。都没有，注销验证，登陆。

登陆成功

Ok，基本的过程大概就是这样的，如果有错误欢迎相互学习讨论。谢谢。