我发现我的账号被克隆是由于一个很偶然的原因,今天早上我在网吧上网。从工具箱把平时用的HACK打开准备继续我的没有HACK之旅,,但是当我打开LP-Check(这个工具是用来检查当前系统中哪些用户被非法克隆过,是一个非常经典的工具)这个工具的时候看到了反馈过来的页面,居然发现有两个系统内置账号被克隆了。
接着我又右击我的电脑,从属性菜单里打开了远程项,发现允许用户远程连接到这台电脑计算机是被选中的。于是我就使用了net user 用户 新密码命令更改了计算机上的一个新的用户密码,然后看看能不能顺利连接上,结果连接成功,并且顺利登陆。这就说明有人将XP不支持两个用户名登陆的限制也给解除了。而这两个被克隆的账号非常有可能是被黑客在试图入侵登陆其他电脑所使用的的后门账号。
![4T]$82Y8RE6VEBK9S`7[}KF.png](https://www.weixianmanbu.com/zb_users/upload/2016/11/201611211479723221622919.png)
而现在唯一的解决办法就是删除那两个被克隆过的账号的了。这里我就给大家介绍一种通过修改注册表来删除系统中被克隆的帐号的方法。方法的流程就是:开始-运行中输入regedit,接着展开到HKEY-LOCAL-MATHINE\SAM\SAM\Domains\Account\Users\Names下,然后将被克隆的帐号的的姓名命名的项删除即可!这个时候可能就会有些朋友就提出疑问了当我们使用当前登录的用户账户访问该注册表项的时候,当访问到HKEY-LOCAL-MATHINE\SAM\SAM的时候就会发现下面已经没有子项目了,这个又是怎么回事呢?
其实这是由于HKEY-LOCAL-MATHINE\SAM\SAM这个注册表项只能由具有System权限的用户才可以访问到,即使我们使用当前的具有administrator权限的账号也是无法访问的,所以我们就要将当前的用户名权限提升为System权限,那么具体该怎么做呢?经常玩脚本的黑客朋友们应该对MT这个工具不陌生吧!当我们看到他的帮助的时候,会发现它的很多参数中,其中有一个参数就是su,MT对该参数解释为:Run process as Local System stemprivilege,嗯,意思是以本地系统权限来运行一个程序,我们现在就来使用它提生我们当前用户为System权限。方法是在开始运行中输入cmd,然后在命令提示符下进入MT文件所在的目录,之后输入mt-su,成功后会提示Successful,然后MT便会打开一个新的命令提示符窗口,然后我们将whoami这个程序拷贝到我们的系统盘中,接着输入whoami,这样我们就已经具有了System权限。
![Z4J~B1[0(CJC8C~]$~[(6(1.png](https://www.weixianmanbu.com/zb_users/upload/2016/11/201611211479723237482956.png)
然后我们在该窗口中输入regedit,成功后我们就以System权限打开了注册表编辑器,这样我们就具有了访问HKEY-LOCAL-MATHINE\SAM\SAM这个注册表项的子健的权限了。然后我们将以刚才被克隆的那两个账户的名字命名的项目删除即可,之后我们再次使用LP-Check,查看一下,这样克隆中后就被成功地清除了。
然后就是将允许用户远程连接到这台计算机给否定掉,接下来就使用net user用户名新密码来将当前系统中的用户名和密码进行更改,之后我们需要将当前系统中的默认共享全部删除掉,防止别人再利用其他的办法再次骚扰我们的电脑。