原理很简单的啊 sam的 FV键值吧 重点如何躲过检测 一般的检测克隆帐号的都是检测 sam里面有没有相同的 FV吧 利用这个特性绕过检测吧 呵呵 步骤 1.net user allyesno freexploit /add&net localgroup administrators allyesno /add 2.clone allyesno->guest 3.delete allyesno sam FV （呵呵，这样就完成啦） 如此以来常规的检测工具就无法检测拉 嘎嘎。。 另外kaka提过一旦登录帐号就会生成文件的问题 这个可以在注册表里面修改用户生成文件路径 以及加其他工具辅助隐藏 测试环境当时为 xp sp2&2003 sp1不知道微软现在是否补了 不知道Vista是否可以使用 可以加我 *** 讨论一下 138888318 验证：很好，很和谐 thx:当时在0x577 irc里帮忙测试的一些人 例如kaka luoluo等等（太久了其他人记不得了） ps:叹，已经被边缘化了 T_T..... 一些补充： 删除注册表的相关信息和用net user xxx /delete 这样删除是不同的 我建立了用户allyesno 然后把 guest 克隆成allyesno allyesno 和 guest都通过注册表 指向sam文件里面的用户信息 windows系统认证用户的启动方式 是 首先在注册表查询相关的 用户名称（sam里面） 然后在sam文件里面读取相应的信息启动 如果使用net user allyesno /delete 这样的命令 那么sam注册表 以及sam文件的用户信息都会被删除 而guest指向的 sam文件里面的allyesno用户信息被删除了 guest自然就不会成功登录了 相反 仅仅将注册表里面 allyesno的用户信息全部删除 但是sam文件里面仍然保留着allyesno的信息 所以guest是可以成功登录的。