文章作者：a11yesno

信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

漏洞发现日期05年某月

注：因为最近没怎么关注网络安全凭记忆中貌似没人说过这个方法所以放出来不要拍砖我thx！

原理很简单的啊sam的FV键值吧重点如何躲过检测

一般的检测克隆帐号的都是检测sam里面有没有相同的FV吧利用这个特性绕过检测吧呵呵

步骤

1.netuserallyesnofreexploit/add&netlocalgroupadministratorsallyesno/add

2.cloneallyesno->guest

3.deleteallyesnosamFV（呵呵，这样就完成啦）

如此以来常规的检测工具就无法检测拉嘎嘎。。

另外kaka提过一旦登录帐号就会生成文件的问题这个可以在注册表里面修改用户生成文件路径以及加其他工具辅助隐藏

测试环境当时为xpsp2&2003sp1不知道微软现在是否补了不知道Vista是否可以使用

可以加我QQ讨论一下138888318验证：很好，很和谐

thx:当时在0x577irc里帮忙测试的一些人例如kakaluoluo等等（太久了其他人记不得了）

ps:叹，已经被边缘化了T_T.....

一些补充：

删除注册表的相关信息和用netuserxxx/delete这样删除是不同的

我建立了用户allyesno然后把guest克隆成allyesno

allyesno和guest都通过注册表指向sam文件里面的用户信息

windows系统认证用户的启动方式是首先在注册表查询相关的用户名称（sam里面）然后在sam文件里面读取相应的信息启动

如果使用netuserallyesno/delete这样的命令那么sam注册表以及sam文件的用户信息都会被删除

而guest指向的sam文件里面的allyesno用户信息被删除了guest自然就不会成功登录了

相反仅仅将注册表里面allyesno的用户信息全部删除但是sam文件里面仍然保留着allyesno的信息所以guest是可以成功登录的

好长一段