1、使用regedt32打开高级注册表管理

   找到[HKEY_LOCAL_MACHINE]——[SAM]——[SAM]分支，为你当前使用的帐户（必须是Administrators组）添加“完全控制”权限。

   注意：如果你对SAM层权限运行不熟悉，千万别去修改上面的帐户的权限，而是要“添加”你当时使用的帐户的权限。（全部操作完要回来删除掉，否则有安全隐患。）

2、使用regedit打开注册表编辑器

   找到[HKEY_LOCAL_MACHINE]——[SAM]——[SAM]——[Domains]——[Account]——[Users]，这里下面的数字和字母组合的子键是你计算机中所有用户帐户的SAM项。

   子分支[Names]下是用户名，每个对应上面的SAM项。

3、查找隐藏的帐户就比较两个用户名的SAM值完全一样的就说明其中一个是克隆帐户。你可以在这里删除其用户名。

   一般推荐分别导出用户名项和对应的SAM，然后找一个关键字分析比较。具体比较的方法多种多样自己看了。

4、目前有种系统级后门，可以在有管理员帐户登入的时候自动删除这里的克隆帐户值，等你退出了又自动恢复。遇到这种的情况，这里是查不出来的。一般这种后门都是高手搞的，免杀。

   遇到这种情况，建议找专业安全人员处理。

另外：本地安全策略——本地策略——安全选项中可以查看默认管理员和贵宾帐户，这里可以查出默认的guest是否被克隆了，如果这个帐户被克隆这里会显示出真正的克隆后的用户名。