WINDOWS VISTA如何隐藏用户帐户？

Posted 2023-04-10

就是欢迎界面中只显示一个帐户。。。按什么键或切换用户就能显示的

参考技术A 点击“开始”→“运行”，输入“CMD”运行“命令提示符”，输入
“net
user
chun$
password
/add”回车，成功后会显示“命令成功完成”。

接着输入
“net
localgroup
administrators
chun$
/add”回车，
这样我们就利用“命令提示符”成功得建立了一个用户名为“chun$”，密码为“password”的简单“隐藏账户”,并且把该隐藏账户提升为了管理员权限。
你如果想用chun$账户登录，到了登录框，按下ctrl+alt，然后按两次del，输入账户密码就能用你新建的账户登录了。

如何在本地系统帐户下运行 CMD.exe？

【中文标题】如何在本地系统帐户下运行 CMD.exe？

【英文标题】：How do you run CMD.exe under the Local System Account?

【发布时间】：2010-09-09 19:16:41

【问题描述】：

我目前正在运行 Vista，我想手动完成与我的 Windows 服务相同的操作。由于 Windows 服务在本地系统帐户下运行，我想模拟这种相同的行为。基本上，我想在本地系统帐户下运行 CMD.EXE。

我在网上找到了建议使用 DOS 任务计划程序 AT 命令启动 CMD.exe 的信息，但我收到了一个 Vista 警告，“由于安全性增强，此任务将在除此之外的时间运行，但不会以交互方式运行。”这是一个示例命令：

AT 12:00 /interactive cmd.exe

另一个解决方案建议通过仅启动 CMD.exe 的服务控制 (sc.exe) 创建辅助 Windows 服务。

C:\sc create RunCMDAsLSA binpath= "cmd" type=own type=interact
C:\sc start RunCMDAsLSA

在这种情况下，服务无法启动并导致以下错误消息：

FAILED 1053: The service did not respond to the start or control request in a timely fashion.

第三个建议是通过计划任务启动 CMD.exe。尽管您可以在各种帐户下运行计划任务，但我不认为本地系统帐户是其中之一。

我也尝试过使用 Runas，但我认为我遇到了与运行计划任务时相同的限制。

到目前为止，我的每一次尝试都以失败告终。有什么建议吗？

【问题讨论】：

此问题的任何答案都适用于 Windows 10 吗？

【参考方案1】：

找到了一个答案here，似乎通过将 /k start 添加到 binPath 参数来解决问题。所以这会给你：

sc create testsvc binpath= "cmd /K start" type= own type= interact

但是，Ben 说这对他不起作用，当我在 Windows Server 2008 上尝试时，它确实在本地系统下创建了 cmd.exe 进程，但它不是交互式的（我看不到窗口） .

我认为没有一种简单的方法可以按照您的要求进行操作，但我想知道您为什么要这样做？您是否只是想查看运行服务时发生了什么？似乎您可以只使用日志记录来确定正在发生的事情，而不必将 exe 作为本地系统运行...

【讨论】：

嗨，布莱恩特。问题中基本上概述了该解决方案。它真的对你有用吗？这导致我失败。谢谢。

Bryant，我有一个服务来管理另一个组件的安装和卸载。如果我的服务无法完成其工作，我想为我们的支持小组提供一种“强制”卸载组件的简单方法。在测试时，我也希望能够“强制”卸载。感谢您的帮助..

@Ben：您是否将“交互式服务检测”服务的启动类型设置为“手动”或“禁用”？

要允许Server 2012的交互服务，HKLM\SYSTEM\CurrentControlSet\Control\Windows\NoInteractiveServices需要设置为0（默认1）

MSDN: Interactive services

【参考方案2】：

如果您可以编写不需要交互的批处理文件，请尝试将该批处理文件作为服务运行，以完成需要完成的工作。

【参考方案3】：

虽然我没有亲自测试过，但我有充分的理由相信上述 AT COMMAND 解决方案适用于 XP、2000 和 Server 2003。根据我和 Bryant 的测试，我们发现同样的方法不能与 Vista 或 Windows Server 2008 一起工作——很可能是由于增加了安全性和不推荐使用 /interactive 开关。

但是，我遇到了这个article，它演示了SysInternals（2006 年 7 月被微软收购）中 PSTools 的使用。我通过以下方式启动了命令行，突然我在像魔术一样的本地管理员帐户：

psexec -i -s cmd.exe

PSTools 运行良好。这是一套轻量级、文档齐全的工具，可为我的问题提供适当的解决方案。

非常感谢那些提供帮助的人。

【讨论】：

我更喜欢这个加上-d，这样我就可以继续使用我启动它的控制台。

我刚刚在 Vista x64 上尝试过，并得到“运行在...上的 PsExec 服务是一个不兼容的版本。”直接从 \\live.sysinternals.com\tools\psexec 和最新的二进制文件尝试。好像没有x64版本

【参考方案4】：

如果您以...的身份运行，则另一种方法是进程黑客（交互式对具有安全增强功能的人不起作用，但这无关紧要）并且当框打开时将服务放入 框类型并将 SYSTEM 放入用户框并放入 C:\Users\Windows\system32\cmd.exe 剩下的点击确定，然后你有一个带有 cmd 的窗口并以系统身份运行现在自己做其他步骤因为我建议你认识他们

【参考方案5】：

Download psexec.exe from Sysinternals。 将其放在您的 C:\ 驱动器中。 以标准或管理员用户身份登录并使用以下命令：cd \。这会将您置于驱动器的根目录中，即 psexec 所在的位置。 使用以下命令：psexec -i -s cmd.exe 其中 -i 用于交互，-s 用于系统帐户。 命令完成后，将启动一个 cmd shell。输入whoami；它会说“系统” 打开任务管理器。杀死 explorer.exe。 从提升的命令外壳类型start explorer.exe。 启动资源管理器时，请注意开始菜单栏中的名称“system”。现在您可以删除 system32 目录中的一些文件，作为管理员您无法删除，或者作为管理员您必须努力更改权限才能删除这些文件。

尝试重命名或删除 Windows 任何受保护目录中的系统文件的用户应该知道，所有 Windows 文件都受 DACLS 保护，而重命名文件时您必须更改所有者并替换拥有该文件的 TrustedInstaller 并使任何用户喜欢属于管理员组的用户作为文件的所有者，然后在更改权限后尝试重命名它，它将起作用，并且当您使用内核特权运行 Windows 资源管理器时，出于安全原因，您在网络访问方面受到一定限制，它仍然是让我重新获得访问权的研究主题

【讨论】：

我使用这个技巧，经常以提升用户身份启动资源管理器。特别是当通过 VNC 连接到 PC 时，例如需要设置网络设置。来自我的 +1

这个技巧现在似乎无效了。我的操作系统是 Windows 7 SP1。我已经在开始菜单栏中看到了“系统”。但是仍然在重命名system32文件夹中的文件时，它说权限被拒绝。 system32 文件夹现在归 TrustedInstaller 所有，甚至本地系统帐户也只有特殊权限。

如果您尝试重命名或删除 TrustedInstaller 拥有的任何受保护的 windows 目录中的任何文件，您当前的用户必须通过更改权限来拥有该文件，然后您可以重命名或删除它，这通常用于删除 slmgr.exe 和其他系统文件，以获得无限访问 Windows 跟踪版本而无需付费

【参考方案6】：

使用安全桌面将cmd.exe 运行为system

我们可以在Windows XP/Vista/7/8.1中通过附加调试器轻松地通过CMD获取内核访问权限：

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\osk.exe" /v Debugger /t REG_SZ /d "C:\windows\system32\cmd.exe"

以管理员身份运行CMD

然后在 Elevated 中使用这个命令：

 CMD REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\osk.exe" /v Debugger /t REG_SZ /d "C:\windows\system32\cmd.exe"

然后运行osk（屏幕键盘）。如果您通过进程资源管理器检查，它仍然不会以系统完整性级别运行，但如果您可以在服务会话中使用 OSK，它将以NT Authority\SYSTEM

运行

所以我想到你必须在 Secure Desktop 上运行它。

以管理员身份启动任何文件。当出现 UAC 提示时，只需按 Win+U 并启动OSK，它将改为启动CMD。然后在提升的提示符中输入whoami，您将获得NT Authority\System。之后，您可以从系统命令 shell 启动 Explorer 并使用系统配置文件，但出于安全原因，您可以通过 SYSTEM 权限在网络上执行的操作在一定程度上受到限制。一年前我发现了它，我稍后会添加更多解释。

简要说明这是如何发生的

在本地系统帐户下运行 Cmd.exe 而不使用 PsExec。此方法运行之前发现的调试器陷阱技术，该技术有其自身的优点，可用于在调试器中捕获一些狡猾/恶意的蠕虫或恶意软件，并运行其他一些 exe 来临时阻止传播或损坏。在这里，此注册表项在 Windows 本机调试器中捕获屏幕键盘并运行 cmd.exe，但 cmd 仍将以登录用户权限运行，但是如果我们在 session0 中运行 cmd，我们可以获得系统 shell。所以我们在这里添加另一个想法，我们跨越安全桌面上的 cmd 记住安全桌面在系统帐户下的会话 0 中运行，我们得到系统外壳。因此，每当您以提升的方式运行任何东西时，您都必须在黑暗的非交互式桌面上回答 UAC 提示和 UAC 提示，一旦看到它，您必须按 Win+U然后选择OSK，您将获得CMD.exe 在本地系统权限下运行。使用CMD 获得本地系统访问权限的方式甚至更多

【讨论】：

ya 还有更多方法可以使用 NT 权限特权提升运行 cmd

这很好。很不错。我讨厌依靠 3rd 方插件来完成某些事情。这是超级快速和容易的。永久也是 :-) 唯一的问题是您必须在 UAC 窗口中运行所有命令并且只打开一些应用程序。例如，Explorer.exe 无法打开。我想尝试是否有另一种方法来触发它。我希望能够在本机 Windows 环境中运行其他应用程序，而不需要 UAC 限制某些应用程序。很棒的东西乌鸦！

【参考方案7】：

还有另一种方法。有一个名为 PowerRun 的程序允许运行提升的 cmd。即使拥有 TrustedInstaller 权限。它允许控制台和 GUI 命令。

【参考方案8】：

我使用RunAsTi 实用程序作为TrustedInstaller（高权限）运行。该实用程序甚至可以在 Windows 的恢复模式下使用（您通过执行 Shift+Restart 进入的模式），psexec 实用程序在那里不起作用。但是您需要将 C:\Windows 和 C:\Windows\System32（不是 X:\Windows 和 X:\Windows\System32）路径添加到 PATH 环境变量，否则 RunAsTi 将无法在恢复模式下工作，它只会打印：AdjustTokenPrivileges for SeImpersonateName：并非所有引用的权限或组都分配给调用者。

【参考方案9】：

使用任务调度程序，使用 /add: /user: 和 /pass: 的适当参数调度在 SYSTEM 下运行的 CMDKEY 运行

无需安装任何东西。

【参考方案10】：

（评论）

我还不能发表评论，所以在这里发布...我刚刚尝试了上面的 OSK.EXE 调试技巧，但是当我将填充的“C:\windows\system32\cmd.exe”保存到已经创建了 Debugger 密钥，因此 Microsoft 正在积极努力阻止本地方式来执行此操作。这真的很奇怪，因为其他事情不会触发这个。

使用任务调度程序确实会创建一个 SYSTEM CMD，但它是在系统环境中，而不是显示在人类用户配置文件中，因此现在它也已失效（尽管它是合乎逻辑的）。

目前在 Microsoft Windows [版本 10.0.20201.1000]

因此，在这一点上，必须是第三方软件来调解这一点，而这些天来，微软正在更加积极地封存更多的技巧。