清除入侵记录在整个渗透中是极为关键的一步，尤其取得重要服务器的时候。如何全身而退，当然得慎重再慎重。

前段时间拿到了一台较为重要的服务器，管理员也算比较精明。而那台服务器至今仍没有丢..嘿嘿。

作为一个负责的管理人员，检查系统是否被入侵，肯定会经常查看系统账号，有没有被新建，有没有被改动，是否有登陆记录等等。

如果新建了账号登陆过系统，提醒各位，一定要 去看一下 C:\Documents and Settings/ 目录下 那里有你新建的用户名和操作资料

很容易会被管理员发现。而且你会发现，删除不掉。删除办法呢，这里提供一个,就是安装一个shift后门，退出账号之后重启服务器，打开

shift后门，输入命令explorer 这样浏览C:\Documents and Settings/ 即可删除。因为shift后门此时是以system权限运行。

我一般不新建账号,这样太麻烦。而且有时候就很奇怪的删不掉，极容易暴露自己。下面说说我常用的方法.

执行

net user guest /active:yes //激活guest账户

net localgroup administrators guest /add //添加到管理员组

不能登陆，可能是管理员比较变态，设置了只有添加到远程桌面组才可以。

net localgroup "Remote Desktop Users" guest /add          //这里用""号哦 dos命令下有空格的目录名什么的引一下就可以了。
更变态的是把管理组命令，呵呵。net localgoup 看一下就OK。

这样聪明的管理员用命令net user guest 会看到guest账号最后登陆日期..系统被入侵又暴露无疑。

怎么办呢，网上查资料，关于修改账号最后登陆日期的方法，百度了半天，一无所获。  没办法，自己解决吧。

经过和小三儿共同研究半天，删除重建，修改系统日期之类，都不可以。 啊哈，突然改windows的数据库呀~！！！

哈哈，关键就在这了，这个数据库当然就是注册表了. 账号信息都存在注册表里，大家还记得可以通过复制F键值

克隆administrator 账号不  嘿嘿，同样原理。 下面就是在虚拟机里进行测试，果然 成功~！

我从一个纯静的windows server 2003的注册注册表里导出guest 账号的 names项和 users项。没权限上传，发个外连下载吧。

双击导入注册表，麻烦又出来了。如下图

 

 

 这样就可以成功导入了。 导入过后，我们来net user guest  一下看看 哈哈。

成功，上次设置密码那个时间，不必担心，刚才装的系统也一样，显示的都是执行这个命令的时间 。 

记得去事件查看器，把安全日志也清空一下哈。

其实依然可以举一反三的，注册表就是windows系统的数据库，很多配置信息什么的都会保存在注册表里。

比如 本地连接远程服务器3389所留的服务器IP记录    SQL SERVER的管理工具连接远程服务器的记录 等等  都在注册表里

ctrl+f 查找服务器的IP. 删除即可。

纯属原创，关于此文有任何技术上的疑问，留言在下面。原创文章，谢绝转载。