Ghost win7特殊用户账户Local SYSTEM

李妞

  Local System是Windows核心组件所运行的账户，包括会话管理器(Smss.exe)、Windows子系统进程(Csrss.exe)，以及本地安全授权子系统(Lsass.exe)等。Local System也叫做“本地系统”或者“System账户”，这是因为该账户是系统内置的特殊账户，并不是由用户自己创建的，在不同的地方，可能名称有所不同，我们统一叫做Local System。Local System拥有至高无上的特权，甚至还在Adminsitrator之上。
       对于Local System账户，需要记住以下几个特性：
       *Local System是本地管理员组的成员；
      *Local System账户加载默认用户的配置文件，也就是HKEY_USERS\.DEFAULT，或者HKEY_USERS\S-1-5-18，这两者是等价的；
      *如果计算机TestWin7加入到域contoso.com中，以Local System身份运行的进程，在森林中其他计算机上自动以本地的计算机账户(也就是contoso\TestWin7)的身份得到验证。
       在Windows里有很多资源仅允许Local System用户去访问。例如注册表项HKLM\SAM\SAM，默认仅允许Local System具有完全控制的权限，其他用户，即使是管理员组的成员，也无法访问该注册表项的内容。
       1．以Local System权限运行程序
       这里可以做一个实验，用普通的管理员组成账户登录到win7系统下载 ，然后在“开始搜索”框中输入“regedit”并按回车键打开“注册表编辑器”定位到注册表项HKLM\SAM\SAM，会发现其下的内容无法访问，这时候检查该注册表项的权限，发现Local System具有完全控制的权限，而管理员组则没有完全控制的权限，甚至连读权限都没有。
       这时候，可以使用Local System的权限打开注册表编辑器，但需要借用一个命令行工具PsExer。可以到微软官方网站免费下载该工具。
      然后使用管理员权限打开Ghost xp sp3 系统的“命令提示符”窗口，并且运行以下命令：
      PsExec –s –t –i regedit.exe
      即可以Local System权限运行注册表编辑器，此时同样定位到注册表项HKLM\SAM\SAM，现在已经有权限访问该注册表项了
      2．另类方法使用Local System登录系统
      前面说过，Local System并不是用户自己创建的用户账户，而是Windows系统内置的账户，所以无法通过常规的方法，在Windows登录界面中输入用户名和密码进行交互式登录。但可以借助特殊的方法，以Local System身份进行登录。
     首先登录ghost win7使用管理员权限打开“命令提示符”窗口，然后打开Windows任务管理器，切换到“进程”选项卡，确保关闭当前的“Explorer”进程。
     接下来在命令提示符下运行以下命令：
     PsExec –s –t –I explorer.exe
     即可以Local System的身份登录到ghost win7系统下载。
        惹有疑惑，可以打开“命令提示符”窗口，然后在其下运行“whoami/user”命令，即可看到当前登录用户是“NT Authority\SYSTEM”(NT Authority表示是Windows内置的账户)，也就是Local System。
          如果这时打开注册表编辑器，可以发现能够直接查看HKLM\SAM\SAM注册表项下的键值，这也证明当前登录用户是Local System。
          如果借助“开始”菜单的搜索框运行任意一个应用程序，例如记事本程序，然后单击“文件”-“打开”，并且定位到“C:\System Volume Information”文件夹，普通的用户账户没有权限访问该文件夹，而默认仅允许Local System账户访问。
         唯一可惜的是，用这种方法登录到win7 ghost系统，如果此时打开Windows资源管理器，会发现还是先前登录的普通用户账户身份运行(例如用户账户Admin)。也就是说，此时打开的Windows资源管理器窗口，无法以Local System的身份浏览文件和文件夹。此时系统中会有两个Explorer进程，一个是以Local System身份运行，代表现在所运行的用户界面；另外一个以Admin身份运行，代表打开的Windows资源管理员，如图7-33所示。
      如果使用Process Explorer等工具查看这个以Admin用户身份登录的Explorer进程的属性，可以发现该进程是由SVCHOST进程所启动的，也就是说Explorer进程的父进程是SVCHOST。
      在任务管理器的“进程”选项卡中定位到该SVCHOST进程，然后使用鼠标右键单击，并选择“转到服务”选项，如图7-34所示。
      系统自动切换到“服务”选项卡，可以看到其中启动了DCOM Server Process Launcher、Plug and Play以及Power服务，。很显然，是SVCHOST进程中的“DCOM Server Process Launcher”服务启动了Windows资源管理器，并且把先前登录用户Admin的身份(访问令牌)赋予该Explorer进程。系统测试该功能请下载最新的xp系统下载 。
      可以到百度搜索下载Process Explorer。