图13

如果发现有克隆账号，可以用mt或AIO软件进行删除。

1.使用MT检查

在cmd命令行下，使用“mt–chkuser”命令，检查系统克隆账号，输入命令后，会在屏幕中输出结果，主要查看ExpectedSID和CheckedSID，如果这两个值不一样则说明账号被克隆了。如图14所示。

图14

从图中可以看出，IUSR_XODU5PTT910NHOO用户的ExpectedSID和CheckedSID不一样，且它的 CheckedSID值是和管理员administrator的CheckedSID值一样，很明显IUSR_XODU5PTT910NHOO是一个克隆的账号。

2.使用AIO检查

不需要在system权限下也可用。
用法: Aio.exe –CheckClone，如图15所示。

图15

从图可以看出，n3tl04d,n3tl04d$都是克隆的账号。

3.使用CCA检查

CCA是小榕写的检查是否存在克隆的账号，支持远程检查，但必须有管理员账号。
用法如下：cca.exe \\ip地址 用户名 密码
检查本机是否存在克隆用户，如cca \\127.0.0.1 administrator 123456
如图16所示。

图16

从图可以看出，n3tl04d,n3tl04d$都是克隆的账号。

4.使用LP_Check检查

如果系统存在克隆用户，软件将会显示红色。不过此工具检测不到使用adhider.exe克隆的用户。如图17所示。

共6页: 上一页 [1] [2] [3] 4 [5] [6] 下一页