Windows XP安装盘中隐藏的安全工具

  在Windows XP中，安装CD上隐蔽着100多个五花八门的东西，它们涵盖了操纵体系的方方面面，从网络、Internet连接、文件夹以及磁盘办理，应有尽有。这个称为Windows支持东西（Support Tools）的东西集，就是专门为那些不甘于利用ping和telnet等低级下令的高手而预备。
  沙场初点兵：Support Tools的“庐山真面貌”
  这些东西必须用Windows安装CD手工安装。安装结束，大部分东西可以用双击C:\Program Files\Support Tools文件夹中的exe文件方法启动，有些则必须利用下令行参数控制，输出某个东西的步伐名称后再加上“/？”参数就可以得到下令行参数的清单及其用处说明。翻开\\Program Files\\Support Tools文件夹，双击hlp文件或doc文件就可以查看其内容，同时还可以阅读Support Tools的资助文档。
  我们可以举几个例子看看Support Tools的富厚功能：使用步伐监视器Apimon.exe可以对全部的函数调用进行计数、计时，并能监视页面失效错误；磁盘探测器Dskprobe.exe可直接访问、编辑、保存和复制硬盘驱动器的各个区域，例如它能够更换硬盘的主引导记载（MBR）、修复破坏的分区表；Windiff.exe则能够阐发两个文件或文件夹，比较两者有哪些差异。面临云云富厚的东西“宝库”，高手们可能已全心痒了，到底有哪些东西利器呢？
  初试牛刀：越发良好的宁静小东西　
  下面，挑选一些比较实用小巧的东西，这些东西的功能十分实用，好比能够查看进程，对盘算机进行办理，检测肉鸡（注：肉鸡就是具有最高办理权限的远程盘算机。）的数据，控制运动目次等。
  查看进程的利器：pviewer.exe
  控制一台肉鸡以后，查看其进程曾经成为浩繁好手们的屡见不鲜。Pviewer.exe是一个查看进程的理想东西，而且可以轻松查杀本地机上的进程。经过这个东西也能连接远程机器。
  得到远程机器的办理员密码后，建立IPC$连接，然后在pviewer的Computer文本框输出类似“\\IP”的格式就可以查看对方的进程了。但惋惜的是不克不及在本地杀失远程机器的进程。不外，经过这个东西可以得到很多有代价的信息，经过果断此中的缺陷，即可到达控制对方的目的。如对方是否安装了防火墙，是否安装了杀毒软件以及数据库大概其他办事等。回绝黑客：snmputilg.exe　
  很多办理员都知道，关闭了Windows XP体系的TCP139和445端口以后，宁静性会提高很多，至少对体系信息的刺探扫描无法进行。但要做到真正完善的宁静，还必要从每一个细节去考虑是否会存在隐患。好比，对付完全安装的Windows XP或启动了简单网络办理协议（SNMP）的体系来说，仍旧存在十分致命的隐患。SNMP是“Simple Network Management Protocol”的缩写，中文寄义是“简单网络办理协议”，当利用特殊的客户端使用步伐，经过该“查询密码”的验证，将得到对应的权限（只读大概读写），从而对SNMP中办理信息库（MIB）进行访问。而让攻击者惊喜的是，办理信息库（MIB）中则保存了体系全部的紧张信息。也就是说，如果能够知道“查询密码”，就可以刺探体系的信息了。实际上，很多网络设置装备摆设的密码都是默认的，这就给了黑客无隙可乘。
  snmputilg.exe这个图形界面东西对曩昔的下令行模式的SNMP浏览东西进行了补充。它可以给体系办理员提供关于SNMP方面的信息，便于在排除妨碍的时间看成参考。翻开软件界面，可以用来执行诸如GET、GET-NEXT等操纵或进行有关的设置。另外，这个东西也能将数据保存到剪贴板或将数据保存为以逗号为结束符号的文本文件。
  第一步：在体系上安装SNMP办事。默认情况下，SNMP办事没有安装，单击控制面板中的“添加或删除步伐”图标，再单击“添加/删除Windows组件”，选中“办理和监视东西”，再单击“详细信息”按钮。在弹出的窗口中，选中“简单网络办理协议”，单击“确定”按钮，完成简单网络办理协议（SNMP办事）的安装。
  第二步：在Windows XP中，点击“开端”中的“运行”菜单，在编辑框中键入“snmputilg”然后回车，这时会呈现一个图形界面东西。
  第三步：东西启动后，Node编辑框中会显示默认的回送地点127.0.0.1；Current OID指的是“以后东西标识符”，标识是Windows体系中用来代表一个东西的数字，每个标识都是整个体系中独一的，上图中显示的值是.1.3.6.1.2.1，也可以把OID理解成MIB办理信息库中种种信息分类存放树资源的一个数字标识。Community一项的默认值是public。上面所先容的这些项目也可选定别的值。下面是一些常用的下令：
  snmputil walk ip public .1.3.6.1.2.1.25.4.2.1.2 列出体系进程
  snmputil walk ip public .1.3.6.1.4.1.77.1.2.25.1.1 列出体系用户列表
  snmputil get ip public .1.3.6.1.4.1.77.1.4.1.0 列出域名
  snmputil walk ip public .1.3.6.1.2.1.25.6.3.1.2 列出安装的软件
  snmputil walk ip public .1.3.6.1.2.1.1 列出体系信息第四步：如果选择了别的体系的IP地点，则必须运行SNMP办事，而目标体系必须设置装备摆设好网络访问的地点。同时，所必要的帮助东西也应当具备或运行。缺省情况下，Windows XP对全部另外体系的IP地点都是容许访问的。另一个问题是community，中选定community的值时，一要细致它所代表的东西必须存在；二要细致其“可读”属性只要获准容许之后才气进行读操纵；三要细致这个项目在windows系列的不同版本中，对访问地点的限定可能纷歧样。
  第五步：通常SNMP可以执行的功能（SNMP Function to Execute），在图中下拉组合框中都曾经列出。选择好之后，用鼠标点击“Execute Command”按钮就可以执行相干操纵了。以下是这些操纵的功能简介：
  GET the value of the current object identifier：得到以后东西的ID标识数值
  GET the NEXT value after the current object identifier (this is the default)：得到紧接以后东西之后的下一个东西的ID标识数值（这是默认的）
  GET the NEXT 20 values after the current object identifier：得到以后东西之后的20个东西的ID标识数值
  GET all values from object identifier down (WALK the tree)：得到从以后东西往下的全部东西的ID标识数值
  WALK the tree from WINS values down：从WINS值往下漫游目次
  WALK the tree from DHCP values down：从DHCP值往下漫游目次
  WALK the tree from LANMAN values down：从LANMAN值往下漫游目次
  WALK the tree from MIB-II down (Internet MIB)：从MIB-II往下漫游目次
  第六步：针对SNMP攻击的防备。SNMP办事的通讯端口是UDP端口，这也是大部分网络办理职员很容易忽略的中央。由于安装了SNMP办事，不知不觉就给体系带来了极大的隐患。最方便和容易的解决方法是关闭SNMP办事，大概卸载失该办事。如果不想关失SNMP办事，可以经过修改注册表大概直接修改图形界面的SNMP办事属性进行宁静设置装备摆设。翻开“控制面板”，翻开“办理东西”中的“办事”，找到“SNMP Service”，单击右键翻开“属性”面板中的“宁静”选项卡，在这个设置装备摆设界面中，可以修改community strings，也就是微软所说的“集团名称”，即所谓的“查询密码”，大概设置装备摆设是否从某些宁静主机上才容许SNMP查询。
  ·Windows XP安装盘中隐蔽的宁静东西（4）<-- 
  -->
  另一种方法是修改注册表中的community strings值。翻开注册表，在[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\ValidCommunities]下，将public的名称修改成其它的名称就可以了。如果要限定容许的IP才可以进行SNMP查询，还可以进入注册表中的如下位置添加字符串： [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\PermittedManagers]，名称为“1”，内容为要容许的主机IP。当然，如果容许多台机器的话，就要名称沿用“2、3、4”等名称了。
  检测肉鸡的数据：pptpsrv.exe和pptpclnt.exe
  PPTP是“点对点隧道传送协议（Point-to-Point Tunneling Protocol）”的英文缩写，这是网络上常用的传送协议。所谓“隧道传送”是指数据在传送之前先进行加密和“打包”，传送至对方后再解包和解密。如许，数据在传送过程中就像是在地下隧道中经过的那样，其内容不会被外界所看到。
  pptpsrv.exe和pptpclnt.exe就是一对用来查抄网络是否连通的东西，Pptpsrv.exe是办事端，pptpclnt.exe是客户端。当将上面的两个步伐用在远程的PPTP 办事器与PPTP 客户机之间的互相访问时，必须利用 1723端口，而且必要基于47类协议的支持，即GRE（Generic Routing Encapsulation：普通路由封装）协议。利用这两个东西，可以查抄socket的连接和数据包的传递。
  第一步：翻开两个站点，大概翻开两个下令提示符窗口，此中一个运行下令pptsrv.exe，这时间pptsrv.exe会在TCP端口1723处监听，等待客户端pptpclnt.exe的连接。
  第二步：在另一个下令提示符窗口运行下令：pptpclnt.exe IP（根据实际测试情况设置），本地测试采用127.0.0.1，这时会呈现如图所示的界面，然后根据提示输出，发送的字符应在255个以下，这时就可以看到两个下令提示符中记载着socket的连接和数据包的传递。
  这一组步伐都是基于下令行界面的，由于诊断必须涉及PPTP 办事器与PPTP 客户机两个中央，所以，诊断步伐运行的时间，要综合办事器端和客户机真个应复书息和体系提示信息，然后根据情况果断问题地点。
  办理运动目次：ldp.exe　
  Windows 2000入目次办事的概念后，用户经过389端口可以遍历目次树中所存在的用户和用户组。运动目次就是目次办事的一类，它保存了网络上全部的资源和可以访问运动目次的客户。如果用户在安装域的时间就缺乏精确的宁静规划，黑客就会无机可乘了。因此，在扫描网络上的“肉鸡”时，如果发明端口为389的机器，就会发明它所对应的办事是运动目次。但是，怎么连接它呢？
  ·Windows XP安装盘中隐蔽的宁静东西（5）<-- 
  -->
  Windows XP东西包中的运动目次办理东西ldp.exe可以轻松实现这种功能。经过这种方法，不但可以浏览全部用户帐户(cn=Users)，还可以查询用户更多的信息，好比SID、GUID、帐户名和密码设置类型等紧张信息。翻开“Connection”菜单下的“Connect”，这时会呈现一个对话框，如图6所示。在“server”中填上IP大概DNS名，端口利用默认的389端口即可。连接上以后，就可以进行办理了。
  得到正当帐户，便可以进入到远程密码猜测的角逐中。因此，实际使用中，必须对静态目次的访问权限设置限定。
  办理肉鸡的小东西：diruse.exe
  diruse.exe是一个下令行东西，登岸后，可以用它来查看目次的巨细、详细的压缩信息（只适用于NTFS分区）。结合运用Windows的磁盘办理功能，就可以在紧张的监控东西上密切监视全部的用户帐户，拥有肉鸡办理员权限的用户还能够查抄全部目次的利用情况，包罗不属于以后帐户的目次。除了文件夹占用的磁盘空间，它还能够设置指定文件夹的最大空间限额，当文件夹占用的空间超出限额时会呈现警报。
  Windows XP的支持东西还有很多，以上先容的都是宁静方面的一些东西，特点在于小巧机动，搭配自由。随着Windows版本的革新，各类东西的功能会越来越多样化、专业化。
 

文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

评论加载中... 内容： 评论者： 验证码：