(2).帐户非常规提权

　　下面我们通过注册表对gslw$帐户进行提权，使其成为一个比较隐蔽(在命令行和“本地用户和组”中看不到)的管理员用户。

　　第一步：打开注册表编辑器，定位到HKEY_LOCAL_MACHINESAMSAM项。由于默认情况下管理员组对SAM项是没有操作权限的，因此我们要赋权。右键点击该键值选择“权限”，然后添加“administrators”组，赋予其“完全控制”权限，最后刷新注册表，就能够进入SAM项下的相关键值了。

　　第二步：定位到注册表HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers项，点击“000001F4”

　　注册表项，双击其右侧的“F”键值，复制其值，然后点击“00000404”注册表项(该项不一定相同)，双击其右侧的“F”键值，用刚才复制键值进行替换其值。(图7)

　　第三步：分别导出gslw$、00000404注册表项为1.reg和2.reg。在命令行下输入命令"net user gslw$ /del"删除gslw$用户，然后分别双击1.reg和2.reg导入注册表，最后取消administrators对SAM注册表项的访问权限。

　　这样就把gslw$用户提升为管理员，并且该用户非常隐蔽，除了注册表在命令下及“本地用户和组”是看不到的。这样的隐藏的超级管理员用户是入侵者经常使用的，对于一个水平不是很高的管理员这样的用户他是很难发现的。这样的用户他不属于任何组，但却有管理员权限，是可以进行登录的。

　　(3).高级隐藏用户

　　综上所述，我们创建的gslw$用户虽然比较隐蔽，但是通过注册表可以看见。下面我们利用RootKit工具进行高级隐藏，即在注册表中隐藏该用户。

　　可被利用的RootKit工具是非常多的，我们就以Hacker defende危机进行演示，它是个工具包，其中包含了很多工具，我们隐藏注册表键值只需其中的两个文件，hxdef100.exe和hxdef100.ini。其中hxdef100.ini是配置文件，hxdef100.exe是程序文件。打开hxdef100.ini文件定位到[Hidden RegKeys]项下，添加我们要隐藏的注册表键值gslw$和00000404即用户在注册表的项然后保存退出。(图8)

　　然后双击运行hxdef100.exe，可以看到gslw$用户在注册表中的键值“消失”了，同时这两个文件也“不见”了。这样我们就利用RootKit实现了高级管理员用户的彻底隐藏，管理员是无从知晓在系统中存在一个管理员用户的。(图9)