当前位置:文档之家 › 安全帐号管理器的常识

安全帐号管理器的常识

  • 格式:doc
  • 大小:33.00 KB
  • 文档页数:5

下载文档原格式

  / 5

合集下载

2000 SAM脆弱的安全机制

2000 SAM脆弱的安全机制

NT/2000 SAM脆弱的安全机制*** SAM文件基础知识***windows NT及win2000中对用户帐户的安全管理使用了安全帐号管理器(security account manager)的机制,安全帐号管理器对帐号的管理是通过安全标识进行的,安全标识在帐号创建时就同时创建,一旦帐号被删除,安全标识也同时被删除。

安全标识是唯一的,即使是相同的用户名,在每次创建时获得的安全标识都时完全不同的。

因此,一旦某个帐号被删除,它的安全标识就不再存在了,即使用相同的用户名重建帐号,也会被赋予不同的安全标识,不会保留原来的权限。

安全账号管理器的具体表现就是%SystemRoot%\system32\config\sam文件。

sam文件是windows NT的用户帐户数据库,所有NT用户的登录名及口令等相关信息都会保存在这个文件中。

sam文件可以认为类似于unix系统中的passwd文件,不过没有这么直观明了。

passwd使用的是存文本的格式保存信息,这是一个linux passwd文件内容的例子0: root:8L7v6:0:0:root:/root:/bin/bash1: bin:*:1:1:bin:/bin:2: daemon:*:2:2:daemon:/sbin:3: adm:*:3:4:adm:/var/adm:4: lp:*:4:7:lp:/var/spool/lpd:5: sync:*:5:0:sync:/sbin:/bin/sync6: shutdown:*:6:0:shutdown:/sbin:/sbin/shutdown7: halt:*:7:0:halt:/sbin:/sbin/halt8: mail:*:8:12:mail:/var/spool/mail:9: news:*:9:13:news:/var/spool/news:10: uucp:*:10:14:uucp:/var/spool/uucp:11: operator:*:11:0:operator:/root:12: games:*:12:100:games:/usr/games:13: gopher:*:13:30:gopher:/usr/lib/gopher-data:14: ftp:*:14:50:FTP User:/home/ftp:15: nobody:I0iJ.:99:99:Nobody:/home/httpd:/bin/bash 16: david:c6CuzM:500:500::/home/david:/bin/bash17: dummy:fIVTl4IgU:501:503::/home/dummy:/bin/bash 18: msql:!!:502:504::/home/msql:/bin/bashunix中的passwd文件中每一行都代表一个用户资料,每一个账号都有七部分资料,不同资料中使用":"分割格式如下账号名称:密码:uid:gid:个人资料:用户目录:shell 除了密码是加密的以外(这里的密码部分已经shadow了)其他项目非常清楚明了。

网络安全试题3

网络安全试题3

网络安全试题三一.判断题(每题1分,共25分)1.在网络建设初期可以不考虑自然和人为灾害。

2.计算机病毒具有破坏性和传染性。

3.确认数据是由合法实体发出的是一种抗抵赖性的形式。

4.EDS和IDEA是非对称密钥技术。

5.在非对称密钥密码体制中,发信方与收信方使用相同的密钥。

6.数据加密只能采用软件方式加密。

7.数字签名与传统的手写签名是一样的。

8.识别数据是否被篡改是通过数据完整性来检验的。

9.PGP是基于RSA算法和IDEA算法的。

10.在PGP信任网中用户之间的信任关系不是无限制的。

11.在Internet 中,每一台主机都有一个唯一的地址,但IP地址不是唯一的。

12.通过设置防火墙和对路由器的安全配置无法限制用户的访问资源范围。

13.系统管理员可以使用防火墙对主机和网络的活动、状态进行全面的了解和监视。

14.网络服务对系统的安全没有影响,因此可以随意的增加网络服务。

15.在系统中,不同的用户可以使用同一个帐户和口令,不会到系统安全有影响。

16.在Windows NT操作系统中,用户不能定义自已拥有资源的访问权限。

17.在Windows NT操作系统中,文件系统的安全性能可以通过控制用户的访问权限来实现。

18.在NetWare操作系统中,访问权限可以继承。

19.口令机制是一种简单的身份认证方法。

20.用户身份认证和访问控制可以保障数据库中数据完整、保密及可用性。

21.数据原发鉴别服务对数据单元的重复或篡改提供保护。

22.防火墙是万能的,可以用来解决各种安全问题。

23.在防火墙产品中,不可能应用多种防火墙技术。

24.入侵检测系统可以收集网络信息对数据进行完整性分析,从而发现可疑的攻击特征。

25.依靠网络与信息安全技术就可以保障网络安全,而不需要安全管理制度。

二.单项选择题(每题1分,共25分)1.按TCSEC安全级别的划分,D级安全具有的保护功能有:A 对硬件有某种程度的保护措施B 是操作系统不易收到损害C 具有系统和数据访问限制D 需要帐户才能进入系统E 以上都不是2.网络与信息安全的主要目的是为了保证信息的:A. 完整性、保密性和可用性B. 完整性、可用性和安全性C. 完整性、安全性和保密性D. ? 可用性、传播性和整体性3."DES是一种数据分组的加密算法, DES它将数据分成长度为多少位的数据块,其中一部分用作奇偶校验,剩余部分作为密码的长度?"A 56位B 64位C 112位D 128位4.下列哪种完整性控制方法使用单向散列函数计算信息的“摘要”,连同信息发送给接收方,接收方重新计算“摘要”,并进行比较验证信息在传输过程中的完整性。

私域微信科学防封号及解封风控管理手册

私域微信科学防封号及解封风控管理手册

关于微信风控,我的一个基调就是:从官方资料和常识出发,基于微信号生命周期,做科学的微信风控管理。

首先,我们确定风控的基本准则。

如果在基本准则上不能达成共识,后面的很多讲述就具备普适性。

比如有的人是做灰产,讲究快进快出,必然会采用一些高风险的措施。

一、风控三准则A: 可持续发展——建立长远而忠诚的私域用户资产•不乱加好友•不欺骗、骚扰好友•不发违规内容•了解平台规范B: 合理高效——充分利用好微信分配给你的添加好友额度•充分利用每天的额度•借助工具模拟人工操作•合理的智能的添加逻辑•规模化操作建立量级优势C: 安全可靠——务必高度重视账号安全、数据安全账号安全很多人知道,但数据安全却往往忽视了。

比如把数据上传添加好友。

•任何切换登陆环境都是自杀•必须是本地部署操作•不使用云手机、云操作•不要扫码来远程登陆二、为什么说要从官方资料和常识出发,做科学的微信风控管理我阅读了大量的官方资料、微信安全中心的内容。

并整理了大部分的提醒、限制、封号说明。

还有去微信开放平台检索相关问题答案。

在这个过程中,越来越发现微信风控并不像我之前认为是那么玄乎。

至少说,更加清楚自己要做某个动作可能会触发的风险。

官方资料中有99% 的标准答案,做出一个负责任的判断与操作从学习了解官方风控资料开始。

另外,整理他人遇到的问题和自己遇到的问题。

我这边对接了一些客户,分布在多个行业。

他们遇到的问题五花八门,给我提供了很多的分析案例。

这些案例也有一些局限性,就是我给他们的指导是偏向保守的。

所以在操作上是尽可能去刻意规避一些风险。

所以我们被限制功能的很少,被封号的情况还没有出现过。

举个例子——从常识出发即可判断的谣言1、连续一周每天发布(图片或金融类字眼的消息)7条以上的微信用户2、注册时间一年以内,好友数量2000以上的微信用户,没绑银行卡的优先封号3、连续4周不切换IP地址、位置信息不曾变过的微信用户4、群发消息一个月内,每周超过2次的微信用户5、每周好友增加数量在20以上的微信用户6、与多个陌生好友(非手机号或扫二维码添加的好友)频繁互动的微信用户7、每天有点赞行为,或多次发朋友圈的,并持续一周记录的微信用户8、同质化内容(包括字眼及图片,主要针对微商)发布超过一个月以上的微信用户9、大量微信转账(每周1万元以上),大量群发红包(每周2000以上)的微信用户10、建群数量超过20的微信用户(群很活跃)。

安全管理常识

安全管理常识

安全管理常识以下是 9 条关于安全管理常识的内容及例子:1. 嘿,你可知道家里的电器安全多重要啊!就像咱每天都得吃饭一样,要是电插板老插着不拔,那可危险得很呐!我家邻居有次出门忘了拔电暖器插头,回来差点就出事了,吓人不!所以啊,用完电器一定要随手拔掉插头。

2. 你们想想,过马路不看红绿灯像不像在悬崖边走钢丝啊?那多危险呀!有次我看到一个人闯红灯,差点被车撞到,这多悬呀!咱可得遵守交通规则,别拿自己的生命开玩笑。

3. 哎呀呀,厨房的用火安全可不能忽视呀!这就好比战场上不能马虎一样。

我朋友有次做饭火没关就去忙别的,差点引发火灾,多后怕呀!做饭时人可千万别走开。

4. 大家知道不,在工地干活时不戴安全帽那可是在拿脑袋开玩笑啊!这就如同上战场不穿铠甲呀!上次看到新闻说有个工人没戴安全帽,结果被高空坠物砸到,多可怜呐!所以安全装备一定要戴好。

5. 出门旅行的时候,一定要记得锁好门窗,这就好像给自己的家穿上一层铠甲一样重要!我亲戚有次出去玩没锁好门,回来家里被翻得乱七八糟,损失惨重呀!咱可别犯这样的错。

6. 开汽车的时候系安全带多关键呀,就跟战士上战场要拿武器一样!有一次我坐一个朋友的车,他嫌麻烦不系安全带,我赶紧提醒他,这可不是闹着玩的呀!7. 你们说,在高处作业不系安全绳是不是像在走钢丝还不带保护呀!那简直是太可怕了。

我听说有个工人就因为这个从高处掉了下来,伤得很重,咱可得注意这些细节啊!8. 咱在厂里操作机器的时候,一定要严格按照规程来呀,不然就像没头苍蝇到处乱撞!我同事有次不按规程操作,机器出故障了,还差点伤了自己,咱别干这种蠢事呀!9. 游泳的时候注意安全多重要啊,这好比在大海里航行要掌好舵一样!有次我看到有人在不熟悉的水域游泳,差点溺水,多吓人!所以一定要去安全的地方游泳。

结论:安全无小事,不管在生活还是工作中,都要时刻牢记这些安全管理常识,保护自己和他人的生命财产安全。

模块4:保护用户帐户安全。

模块4:保护用户帐户安全。
网上交易不是面对面交易客户可以在任何时间地点发出请求传统的身份识别方法只靠用户名和登录密码对用户身份进行认证这些密码在登录时以明文方式在互联网上传输很容易被黑客截知识准备433什么是数字证书数字证书是银行系统依用户的有效证件如银行卡号身份证号码等为依据生成一个数字证书文件配合用户自定义的用户名和密码使用
知识准备
4.2.3 Administrator帐户改名
方法二:在“我的电脑”上点右键,选择“管理”,打开“计算机 管理”后,选择“本地用户和组”中的“用户”选项,在右侧窗口中就 会出现该计算机中的所有帐户。
找到“Administrator”后,单击右键打开快捷菜单,选择“重命名” 选择后,然后输入新的名字,如图4-2-1所示。
项目分解
任务2:保护Windows系统帐户安全
任务描述
为了保护网络中心机房存放有重要考试资源的计算机 安全,网络中心的管理员小明决定关闭该计算机上的 “Administrator”系统管理员帐户 ,改用新创建的“标准 用户”帐户登录系统,并赋予该“标准用户”帐户管理员 的权限。
任务分析
每台安装有Windows操作系统的计算机,均有一个 Administrator系统管理员帐号,通过该帐号管理计算机 系统安全策略,创建其他“标准帐户”,赋予其他帐户 的权限,实现Windows操作系统的安全防护,保障本机 安全。
知识准备
4.1.2 计算机用户帐户密码
说到Windows系统用户帐户,很多人就会联想到系统登录时,输入的 用户名和密码,如图4-1-1所示。没错,建立用户帐户的目的,就是为了区 分不同用户使用公用计算机的权限。在公用的计算机上,用户帐户是计算 机的角色控制,Windows 操作系统提供了用户帐户的权限设置。
知识准备

WINDOWS安全运维培训

WINDOWS安全运维培训

国家信息安全工程技术研究中心-教育培训中心
Windows系统的安全架构
Windows NT的安全包括6个主要的安全元素:Audit, Administration, Encryption, Access Control, User Authentication, Corporate Security Policy。
国家信息安全工程技术研究中心-教育培训中心
Windows系统的用户权利
权利适用于对整个系统范围内的对象和任务的操作,通常是用来授权用户执 行某些系统任务。当用户登录到一个具有某种权利的帐号时,该用户就可以执行 与该权利相关的任务。 下面列出了用户的特定权利:

Access this computer from network 可使用户通过网络访问该计算 机。 Add workstation to a domain 允许用户将工作站添加到域中。 Backup files and directories 授权用户对计算机的文件和目录进行备 份。 Change the system time 用户可以设置计算机的系统时钟。 Load and unload device drive 允许用户在网络上安装和删除设备的 驱动程序。 Restore files and directories 允许用户恢复以前备份的文件和目录。 Shutdown the system 允许用户关闭系统。
当一个Windows系统加入某个域的时,域控制器为它创建的一个 计算机帐户。
国家信息安全工程技术研究中心-教育培训中心
用户权限
权限:可以授予用户或组的文件系统能力:
有了相应的用户权限,账户才有权去进行特定的操作。
两类用户权限:
登陆权限:账户在通过身份验证之前所具备的权限。 操作权限:账户在通过身份验证之后所具备的权限。

了解sam

SAM文件基础知识windows NT及win2000中对用户帐户的安全管理使用了安全帐号管理器(security account manager)的机制,安全帐号管理器对帐号的管理是通过安全标识进行的,安全标识在帐号创建时就同时创建,一旦帐号被删除,安全标识也同时被删除。

安全标识是唯一的,即使是相同的用户名,在每次创建时获得的安全标识都时完全不同的。

因此,一旦某个帐号被删除,它的安全标识就不再存在了,即使用相同的用户名重建帐号,也会被赋予不同的安全标识,不会保留原来的权限。

安全账号管理器的具体表现就是%SystemRoot%\system32\config\sam文件。

sam文件是windows NT的用户帐户数据库,所有NT 用户的登录名及口令等相关信息都会保存在这个文件中。

sam文件可以认为类似于unix系统中的passwd文件,不过没有这么直观明了。

SAM文件是WIN2000里面保存密码信息的文件WinXP的SAM文件位于C:\Windows/system32/config/下,如果SAM文件损坏或丢失了,WinXP中的所有帐号就会丢失,而且还无法通过WinXP登录界面。

要恢复SAM文件,你可以把Win XP安装光盘上的sam文件(H:\windows\repair\sam)复制到C:\Windows/system32/config/下即可。

即打开命令行模式,输入copy H:\windows\repair\samC:\windows\system32\config\sam回车,就大功告成了。

如果你安装XP后,还创建了其他用户和用户组,按以上方法操作之后,这些帐号就会丢失啦,因为现在的Sam文件,只含有安装WinXP 时产生的帐号。

为此,你可以先登录WinXP,点击“开始”/程序/附件/系统工具/系统还原,把系统还原到最新的还原点、如此恢复这些用户设置。

如解除密码的话就要以下操作,从DOS下运行解密软件,把SAM里存有的密码清除掉,现在的GHOSTXP盘大多集成了解密软件:Win2000==>C:\winnt\system32\config\samwinXP==>C:\windows\system32\config\sam恢复XP管理员密码的五大秘诀秘诀1:大家知道,WindowsXP的密码存放在系统所在的Winnt\System32\Config下SAM文件中,SAM文件即账号密码数据库文件。

实训1 本地用户和组的管理


1.1.2 帐户的类型
Windows Server 2003有两种工作模式,工作 2003有两种工作模式 有两种工作模式, 组模式和域模式。针对这两种工作模式, 组模式和域模式。针对这两种工作模式,也有 两种用户身份,本地帐户和域帐户。 两种用户身份,本地帐户和域帐户。本章只介 绍本地帐户管理,域帐户的管理将在第7 绍本地帐户管理,域帐户的管理将在第7章进 行介绍。 行介绍。 本地帐户都是在Windows 2003独立服 本地帐户都是在Windows Server 2003独立服 务器、域中的成员服务器以及Windows XP客 务器、域中的成员服务器以及Windows XP客 户端上建立。 户端上建立。本地帐户只能在本地计算机上登 在本地计算机上进行身份认证, 录,在本地计算机上进行身份认证,只能按权 限访问本地计算机的资源。 限访问本地计算机的资源。
2、密码命名规则: 密码命名规则:
为了系统的安全,每个帐户都应该有密码。 为了系统的安全,每个帐户都应该有密码。 密码长度应该在8~128位之间 位之间。 密码长度应该在8~128位之间。 建议使用大小写字母、数字和其他合法字符的组合。 建议使用大小写字母、数字和其他合法字符的组合。 密码尽量不要有规律,如不要使用名字、生日、 密码尽量不要有规律,如不要使用名字、生日、电 话号码等。 话号码等。
Administrator 和 Guest
本地帐户又可分为下面两类: 本地帐户又可分为下面两类:
1、系统内置帐户
Administrator(系统管理员)帐户: Administrator(系统管理员)帐户:拥有本地计 算机最高的权限,管理整个计算机系统。 算机最高的权限,管理整个计算机系统。系统管理 员的默认名字是Administrator, 员的默认名字是Administrator,要求大家务必牢 我们可以更改系统管理员的名字, 记。我们可以更改系统管理员的名字,但不能删除 该帐户,也不能禁止该帐户登录。 该帐户,也不能禁止该帐户登录。 Guest(来宾)帐户: Guest(来宾)帐户:是为临时访问计算机的用户 提供的。该帐户自动生成,可以更改名字, 提供的。该帐户自动生成,可以更改名字,但不能 被删除,Guest帐户只有很少的权限 帐户只有很少的权限, 被删除,Guest帐户只有很少的权限,而且默认情 况下,该帐户被禁止使用。 况下,该帐户被禁止使用。

网络安全基础知识之账号安全

⽹络安全基础知识之账号安全 ⽤户帐号不适当的安全问题是攻击侵⼊系统的主要⼿段之⼀。

其实⼩⼼的帐号管理员可以避免很多潜在的问题,如选择强固的密码、有效的策略加强通知⽤户的习惯,分配适当的权限等。

所有这些要求⼀定要符合安全结构的尺度。

介于整个过程实施的复杂性,需要多个⽤户共同来完成,⽽当维护⼩的⼊侵时就不需要⿇烦这些所有的⽤户。

整体的安全策略中本地帐号的安全是⾮常重要的。

这节课,我们将探讨⽤不同的⽅法来保护本地帐号的安全。

本章要点: ·描述帐号安全和密码之间的关系 ·在Windows NT和UNIX系统的实现安全帐号的技术 ·在NT下实施密码策略的步骤 ·描述UNIX密码安全及密码⽂件的格式 ·分析UNIX下的安全威胁,拒绝帐号访问和监视帐号 密码的重要性 密码是UNIX和Windows NT安全基础的核⼼。

如果危及到密码,那个基本的安全机制和模式将遭到严重影响。

为了选择强固的密码,你需要在帐号策略⾥设置更多相关的选项。

你还要帮助⽤户选择强壮的密码。

⼀个强固的密码⾄于要有下列四⽅⾯内容的三种: ·⼤写字母 ·⼩写字母 ·数字 ·⾮字母数字的字符,如标点符号 强固的密码还要符合下列的规则 ·不使⽤普通的名字或昵称 ·不使⽤普通的个⼈信息,如⽣⽇⽇期 ·密码⾥不含有重复的字母或数字 ·⾄少使⽤⼋个字符 从⿊客的思想考虑,避免密码容易被猜出或发现(⽐如不要写到纸条上放到抽屉⾥)。

NT下的密码安全 在NT下为了强制使⽤强壮的密码,你可以更改注册表⾥的LSA值来实现,叫passfilt.dll,这个⽂件可以在Windows NT的Service Pack2及以后的版本⾥找到。

在LSA键值下需要添加Notification Packages字串并把值为passfilt.dll加进去。

Windows系统通用安全标准手册

Windows系统通用安全标准1 windows系统安全模型Windows系统的安全模块是操作系统内核的不可分割的一部分。

由于访问任何系统资源必须经过内核安全模块的验证,从而保证没有得到正确的授权的用户不能访问相应资源。

用户使用Windows 系统资源,首先必须在系统中拥有账号,其次,此账号必须具有一定的“权力”和“权限”。

在Windows系统中,“权力”指用户对整个系统能够做的事情,如关闭系统、增加设备、更改系统时间等等。

“权限”指用户对系统资源所能做的事情,如对某文件的读、写控制,对打印机队列的管理。

、Windows系统使用安全帐号数据库,存放用户账号以及该账号所具有的权力等。

用户对系统资源所具有的权限则与特定的资源一起存放。

在Windows系统中,安全模型由本地安全认证、安全账号管理器和安全监督器构成。

除此之外还包括注册、访问控制和对象安全服务等。

它们之间的相互作用和集成构成了安全模型的主要部分。

Windows 安全模型的主要功能是用户身份验证和访问控制。

身份验证过程通过某种技术手段确认用户所提供的身份的真实性,并在确认用户身份的真实性后赋予用户相应的权利和系统身份标识。

访问控制机制利用用户获得的系统身份标识,以及事先分配给用户的对系统资源的权限来确保系统资源被合理的使用。

用户身份验证:Windows安全子系统提供了两种类型的身份验证:通过控制台交互式登录系统(根据用户的计算机的本地账户来确认用户的身份)和通过网络登录系统(根据域控制器中保留的域账户来确认用户的身份)从而使得用户可以访问网络上远程主机的资源。

为保证通过网络登录系统的安全性,Windows 安全子系统提供了三种不同的身份验证机制:Kerberos V5(仅Windows 2000系统提供)、公钥证书和 NTLM。

基于对象的访问控制:Windows采用对象模型描述系统资源,管理员可以通过对特定资源配置相应的用户访问权限来控制用户对系统资源的访问。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

分析安全帐号管理器结构是在一个多月前做的事情了,只零碎地记录下片段,没有发布过。

不发布的主要原因是安全帐户管理器(SAM)是WIN系统帐户管理的核心,并且非常系统化,我也有很多地方仅仅是进行的推断和猜测,同时,SAM hack可能造成启动时lsass.exe加载帐户管理器出错,即便是安全模式也不能修复(启动时候必然加载SAM)使得整个系统启动崩溃(我通常需要依靠第二系统删除SAM文件来启动)。

至于现在发布出来,主要是因为Adam和叮叮的《克隆管理员帐号》种所描述的制作rootkit办法隐蔽性和危害性,对SAM的结构的熟悉,可以帮助安全维护人员做好安全检测(当然也可能让不良企图者利用)。

这里只介绍关于SAM的内容,同Security相关的暂时不公开。

二、关于SAM不要误解了SAM,这不是一个文件sam这么简单。

SAM(Security Accounts Manager安全帐户管理器)负责SAM数据库的控制和维护。

SAM数据库位于注册表HKLM\SAM\SAM下,受到ACL保护,可以使用regedt32.exe打开注册表编辑器并设置适当权限查看SAM中的内容。

SAM数据库在磁盘上就保存在%systemroot%system32\config\目录下的sam文件中,在这个目录下还包括一个security文件,是安全数据库的内容,两者有不少关系。

SAM数据库中包含所有组、帐户的信息,包括密码HASH、帐户的SID等。

这些内容在后面详细介绍。

以我分析的系统中文Win2K Adv Server为例。

三、注册表中SAM数据库的结构展开注册表HKLM\SAM\SAM\:HKLM---SAM|---SAM|---Domains| |---Account| | |---Aliases| | | |---Members| | | |---Names| | |---Groups| | | |---00000201| | | |---Names| | | |---None| | |---Users| | |---000001F4| | |---000001F5| | |---000003E8| | |---000003E9| | |---Names| | |---Adaministrator| | |---Guest| | |---IUSR_REFDOM| | |---IW ASM_REFDOM| |---Builtin| |---Aliases| | |---00000220| | |---00000221| | |---00000222| | |---00000223| | |---Members| | | |---S-1-5-21-1214440339-706699826-1708537768| | | |---000001F4| | | |---000001F5| | | |---000003E8| | | |---000003E9| | |--- Names| | |---Administrators| | |---Users| | |---Guests| | |---Power Users| |---Groups| | |---Names| || |---Users| |---Names||---RXACT这是我机器上注册表中的SAM树。

对照SAM文件中的内容,可以看出,注册表中的SAM树实际上就是SAM文件中一样。

不过,SAM文件中是先列RXACT然后在是Domains内容(以此类推),文件中的表达顺序和注册表中的树形顺序是相反的。

如果习惯于看文件内容,从文件的0000h到0006Ch,表示的是SAM数据库所在的位置:\systemroot\system32\config\sam,然后是一端空白,直到01000h(hbin),从这里开始就是整个数据库的内容。

SAM数据库的文件内容不作主要介绍,不过会穿插着介绍,有兴趣可以自己去研究。

四、SAM数据库的结构和主要内容:在整个数据库中,帐号主要内容存在于下面这些位置:在\Domains\下就是域(或本机)中的SAM内容,其下有两个分支“Account”和“Builtin”。

\Domains\Account是用户帐号内容。

\Domains\Account\Users下就是各个帐号的信息。

其下的子键就是各个帐号的SID相对标志符。

比如000001F4,每个帐号下面有两个子项,F和V。

其中\Names\下是用户帐号名,每个帐号名只有一个默认的子项,项中类型不是一般的注册表数据类型,而是指向标志这个帐号的SID最后一项(相对标识符),比如其下的Administrator,类型为0x1F4,于是从前面的000001F4就对应着帐户名administrator的内容。

由此可见MS 帐号搜索的逻辑。

推断一:从注册表中结构来看帐号,如果查询一个帐户名refdom的相关信息,那么,微软从帐号名refdom中找到其类型0x3EB,然后查找相对标志符(或者SID)为000003EB的帐号内容。

所有的API 函数(比如NetUserEnum())都是这样来执行的。

因此,如果改变refdom帐号中的类型0x3EB为0x1F4,那么这个帐号将被指向类000001F4的帐户。

而这个帐号000001F4就是administrator帐户,这样,系统在登录过程中就把refdom帐号完全转为了administrator帐号,帐号refdom所使用的所有内容、信息都是adminisrtator内容,包括密码、权限、桌面、记录、访问时间等等。

这个推断应该成立,但是,将意味着两个用户名对应一个用户信息,系统启动上应该会发生错误!推断一是在以前分析结构的时候即得出了,揭示了登录过程中及之后帐户名和SID关联的关系。

\Domains\Account\Users\000001F4,这就是administrator的帐户信息(其他类似)。

其中有两个子项V和F。

项目V中保存的是帐户的基本资料,用户名、用户全名(full name)、所属组、描述、密码hash、注释、是否可以更改密码、帐户启用、密码设置时间等。

项目F中保存的是一些登录记录,比如上次登录时间、错误登录次数等,还有一个重要的地方就是这个帐号的SID相对标志符。

以前分析结构的时候没有留意到这个地方,这就是Adam提出的思路。

这个地方就是这个SID相对标志符在注册表中一个帐号出现了两遍,一个是在子键000001F4,另一个地方就是子键中项F的内容里面,从48到51的四个字节:F4 01 00 00,这实际上是一个long类型变量,也就是00 00 01 F4。

当一个标志出现在两个地方的时候就将发生同步问题。

明显,微软犯了这个毛病。

两个变量本应该统一标志一个用户帐号,但是微软把两个变量分别发挥各自的作用,却没有同步统一起来。

子键中000001F4用来同用户名administrator对应,方便通过用户查询帐户信息,比如LookupAccountSid()等帐号相关API函数都是通过这个位置来定位用户信息的,这个关联应该是用在了帐户登录以后。

而项目V值中的F4 01 00 00是同帐户登录最直接相关联的。

推断二:WIN登录的时候,将从SAM中获得相对标志符,而这个相对标志符的位置是V 值中的F4 01 00 00。

但是,帐户信息查询却使用的SAM中子键内容。

推断二的原因假设(假设一):在帐户登录的时候,登录过程获得SAM数据库中用户名使用的帐户记录信息中的相对标志符值(相当于V值中的F4 01 00 00),帐户登录之后,所有跟帐户相关的之后,这个值不再被API函数使用,而相对标志符由一个数据记录项的字段名代替(相当于子键000001F4)。

微软犯了一个同步逻辑问题!推断二是根据Adam提出而进行的,以前没有这样推断过。

推断二如果成立,揭示了在登录过程中帐户SID进行的过程。

这就是为什么V中的值都是跟帐户登录记录(登录时间,密码错误次数等)相关的原因。

同时,因为F中保存了一个用户名内容,而API函数查询的是这个用户名所以Adam的克隆办法还是容易露脸,经叮叮补充过后,这个用户名也被恢复原用户名了,从用户名上检测就相对难了。

上面对项目V的介绍可以知道,其中保存的是帐户的基本资料,用户名、用户全名(full name)、所属组、描述、密码hash、注释、是否可以更改密码、帐户启用、密码设置时间等。

现在来关心的是密码HASH。

假设二:在帐户的项V中,包含了用户HASH,分别包括是LM2和NT的密码加密散列,Crack时,可分开进行。

毕竟LM2简单。

\Domains\Builtin下的内容是同帐户组相关的。

其结构同\Account下的类似,并且也存在相应的问题,就不再罗嗦了。

SAM数据库保存的文件sam中,可没有注册表中的这么简明的内容,而主要是通过偏移量、长度来定位内容。

并且单个帐号的信息都是集中在一块的,而不是象注册表形式这样分隔开(名字的一个键而内容在另外一个键)。

sam文件中,可根据这些下面这些分隔符来定位数据含义:nk (6E 6B) 键或者子键名vk (76 6B) 相应的值if (6C 66) 子键列表sk (73 6B) 权限五、关于SAM数据库分析的结论:SAM HACK是非常有危险性的。

不正确的修改会将系统的安全数据管理器破坏,造成系统启动问题,虽然可以通过删除SAM文件来让启动恢复。

如果能够熟悉SAM的结构,你将发现,可以对用户名与用户名之间、用户组与用户组之间进行调换,以及帐户和帐户组伪造,完全打破微软的帐户格局。

并且非常隐蔽,让帐户相关的API函数摸不着头脑。

虽然微软处理帐号信息中犯了不少逻辑问题,但是安全帐号数据库并非不安全,所有操作都必须能完全拥有管理员权限。

当隐蔽后门的办法被提出来之后,一定会让不少“黑客”利用,管理员也应该多多熟悉相关技术,作好安全检测,我的目的就达到了。

对《克隆管理员帐号》的简单检测工具可以在我的主页()下载,但是更多的还是需要管理员学习相关知识,才能更好地检测入侵。