隨著電腦技術的發展和電腦的普及，還有大大小小的“駭客”網站和越來越簡單的工具，使得目前攻擊變得日趨頻繁，被植入木馬的電腦或服務器也越來越多，與此同時系統管理員的安全意識也在不斷提高，加上殺毒軟件的發展，網絡木馬的生命周期也越來越短，所以攻擊者在獲取了服務器的控制權限后，一般使用克隆用戶或者安裝SHIFT后門達到隱藏自己的目的，下面就由我給大家介紹一些常見的克隆用戶和檢查是否存在克隆用戶及清除的方法。

一、克隆賬號的原理與危害

1.克隆賬號的原理

在注冊表中有兩處保存了賬號的SID相對標志符，一處是注冊表HKEY_LOCAL_MACHINE\SAM\AMDomains\AccountUsers 下的子鍵名，另一處是該子鍵的子項F的值。但微軟犯了個不同步它們的錯誤，登錄時用的是后者，查詢時用前者。當用Administrator的F項覆蓋其他賬號的F項后，就造成了賬號是管理員權限，但查詢還是原來狀態的情況，這就是所謂的克隆賬號。

安全小知識：SID也就是安全標識符（Security Identifiers），是標識用戶、組和計算機賬戶的唯一的號碼。在第一次創建該賬戶時，將給網絡上的每一個賬戶發布一個唯一的 SID。Windows 2000 中的內部進程將引用賬戶的 SID 而不是賬戶的用戶或組名。如果創建賬戶，再刪除賬戶，然后使用相同的用戶名創建另一個賬戶，則新賬戶將不具有授權給前一個賬戶的權力或權限，原因是該賬戶具有不同的 SID 號。

2. 克隆賬號的危害

當系統用戶一旦被克隆，配合終端服務，就等于向攻擊者開啟了一扇隱蔽的后門，讓攻擊者可以隨時進入你的系統，這一扇門你看不到,因為它依靠的是微軟的終端服務，并沒有釋放病毒文件，所以也不會被殺毒軟件所查殺。

二、克隆用戶的常用方法

1.手工克隆方法一

在Windows 2000/xp/2003和Windows NT里，默認管理員賬號的SID是固定的500（0x1f4），那么我們可以用機器里已經存在的一個賬號將SID為500的賬號進行克隆，在這里我們選擇的賬號是IUSR_XODU5PTT910NHOO（XODU5PTT910NHOO為已被攻陷的服務器機器名。為了加強隱蔽性，我們選擇了這個賬號，所有用戶都可以用以下的方法，只不過這個用戶較常見罷了）

我們這里要用到的一個工具是PsExec，一個輕型的 telnet 替代工具，它使您無需手動安裝客戶端軟件即可執行其他系統上的進程，并且可以獲得與控制臺應用程序相當的完全交互性。PsExec 最強大的功能之一是在遠程系統和遠程支持工具（如 IpConfig）中啟動交互式命令提示窗口，以便顯示無法通過其他方式顯示的有關遠程系統的信息。
執行：psexec -i -s -d cmd運行一個System的CMD Shell，如圖1所示。

圖1

得到一個有system權限的cmd shell，然后在該CMD Shell里面運行“regedit /e admin.reg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4”，這樣我們將SID為500（0x1f4）的管理員賬號的相關信息導出，如圖2所示。