影子用户

影子用户即创建的隐藏用户，它无法通过普通命令进行查询，只能在注册表中找到其详细信息。所以，如果我们要对该用户进行删除，只能在注册表中进行操作。

创建隐藏用户

我们先利用命令创建一个隐藏用户,并将其加入本地管理员组。

net user test$ Test123456789 /add
net localgroup administrators test$ /add

使用命令net user无法看到此隐藏用户的存在，但是我们在用户管理的用户账户中可以看到该隐藏用户的存在。

现在我们达到了一定程度上的隐藏，但是这点隐藏还远远不够。另外，还有一个缺点是：Windows用户的登录界面。如下：

如果对方的机器位于本地，而不是远程服务器。那么，在他本地登录的时候，就可以看到当前在线的机器，从而暴露。

注册表更改，克隆账号

启动cmd，然后输入regedit，打开注册表。

我们要修改的注册表键值为HEKY_LOCAL_MACHINE\SAM\SAM\Domains\Account\User，而默认情况下SAM键值只能由system进行修改。所以我们需要修改一下权限，如图：

修改完权限之后，我们重新启动注册表即可继续查看内容。

如何查找F值

用一张图片来说明：

导出注册表，并修改F值

将3个键值导出，分别为：

test$导出为1.reg
000003EB包含test$用户的F值，导出另存为2.reg
000003E9包含WIN7用户的F值，导出另存为3.reg

将2.reg中的F值替换为3.reg中的F值，即将test$用户的F值替换为WIN7用户的F值

  这里有一个坑点需要说明一下，我进行实验的机器没有启用administrator账号，所以administrator一直处于禁用状态。平时一直使用WIN7账号进行计算机管理。所以我们在复制F值的时候，一定要注意选择的账号是否被禁用，要选择合适的账号进行克隆，并不是所有计算机都启用administrator账户。(我在这里被坑了好久)

删除test$

导出之后，我们将刚才创建的账号删除。

使用命令

net user test$ /del

删除之后，关于用户test$的注册表就打不开了。

导入注册表

使用命令将1.reg和2.reg重新导入注册表即可。

regedit /s 1.reg
regedit /s 2.reg

影子用户创建完成

至此，影子用户创建完成，查看效果。

账号隐藏

net user和本地用户管理都无法查看test$用户的信息。

登录界面无显示

无论怎样登录，Windows的登录界面始终不会显示关于test$用户的信息。

账号克隆

我们以test$身份登录，但是登陆之后的身份却是WIN7用户，桌面也是WIN7用户的，达到克隆效果。所以，在实际操作时，要小心在桌面的操作，以防被发现。

总结

进行操作的时候，不要使用域用户进行操作，该操作只适用于本地用户。利用的局限性比较大，只有在登录远程桌面并且权限较大时才可以精确利用。

参考文章：渗透技巧——Windows系统的帐户隐藏