下载的系统盘中注入有特权用户

雨宫优子

IDiscovery 发表于 2013-2-18 23:13
特征码.就像身份证只能他用!显示的特权用户为{5-1-88...............}

我估计你显示的是S-1-5-21【是S不是5】

这样的 这个是SID 如果是文件夹的安全选项中出现这种情况代表在你的系统中此账户相关信息不存在

因此直接显示了SID

fank123

sdchen 发表于 2013-2-19 19:52
我就在http://msdn.itellyou.cn/?lang=zh-cn下载安装的，没有发现过。能不能截图上来？

我也是在msdnitellyou下载的，用官网的软碟通安装，今天在PE下竟也发现了一个未知账号拥有特殊权限，已删了。
这个特权账号只在C盘的部分隐藏文件，你慢慢查会发现的。

雨宫优子

IDiscovery 发表于 2013-2-15 18:31
通过pe系统查看你就能看到了

好吧是我的错 我没看全帖子

看到你这句话我彻底明白了 你彻底误解了 根本就不是什么特权账号

由于在PE系统下 账号和原系统不同【PE也是Windows系统 也是有账号的】 而且独立于原系统

文件和注册表的权限控制信息是存在于文件系统【NTFS】和注册表里的 以SID辨识

当你在原系统查看的时候 由于系统认识这个SID对应的账号 因此会显示出具体的账号名称

而在PE系统 因为PE系统不认识原系统的账号 因此直接显示了SID

以上 LZ折腾了好一大把

雨宫优子

fank123 发表于 2013-2-19 20:06
我也是在msdnitellyou下载的，用官网的软碟通安装，今天在PE下竟也发现了一个未知账号拥有特殊权限，已删 ...

看43楼 删除了会有大麻烦

fank123

雨宫优子 发表于 2013-2-19 20:02
我估计你显示的是S-1-5-21【是S不是5】

这样的 这个是SID 如果是文件夹的安全选项中出现这种情况代表在 ...

对，就是类似这个。
PE下的C盘的根目录下的boot、Program Files、bootmgr等文件的属性——安全中可看到一个
带问号的未知帐户(S-1-5………………）
这个是安全的？？

雨宫优子

fank123 发表于 2013-2-19 20:13
对，就是类似这个。
PE下的C盘的根目录下的boot、Program Files、bootmgr等文件的属性——安全中可看到一 ...

安全的

具体是什么账号你要回到原系统去查

我目测是TrustedInstaller账号 你看看删除掉以后是不是TrustedInstaller这个账号不见了

fank123

雨宫优子 发表于 2013-2-19 20:16
安全的

具体是什么账号你要回到原系统去查

安全就好，先用两天看看。前两天做过备份，有问题再恢复。
如何到原系统查具体账号？

在安全选项中看不到TrustedInstaller账号，但在高级中的所有者中可看到当前所有者TrustedInstaller账号。

雨宫优子

fank123 发表于 2013-2-19 21:04
安全就好，先用两天看看。前两天做过备份，有问题再恢复。
如何到原系统查具体账号？

那就是你删掉了。。

嘛 没出什么问题的话不用管 TrustedInstaller主要是安装补丁用的

fank123

雨宫优子 发表于 2013-2-19 21:48
那就是你删掉了。。

嘛 没出什么问题的话不用管 TrustedInstaller主要是安装补丁用的

谢谢雨版解答。

wyj915752168

雨宫优子 发表于 2013-2-19 20:10
好吧是我的错 我没看全帖子

看到你这句话我彻底明白了 你彻底误解了 根本就不是什么特权账号

版主真相了，看前面的帖子吓出一身冷汗