跳至主要内容

WinXP中隐藏的几个安全小工具

在Windows XP中,安装CD上隐藏着100多个五花八门的工具,它们涵盖了操作系统的方方面面,从网络、Internet连接、文件夹以及磁盘管理,包罗万象。这个称为Windows支持工具(Support Tools)的工具集,就是专门为那些不甘于使用ping和telnet等初级命令的高手而准备。

沙场初点兵:Support Tools的“庐山真面目”

这些工具必须用Windows安装CD手工安装。安装结束,大部分工具可以用双击Crogram FilesSupport Tools文件夹中的exe文件方式启动,有些则必须使用命令行参数控制,输入某个工具的程序名称后再加上“/?”参数就可以获得命令行参数的清单及其用途说明。打开Program FilesSupport Tools文件夹,双击hlp文件或doc文件就可以查看其内容,同时还可以阅读Support Tools的帮助文档。

我们可以举几个例子看看Support Tools的丰富功能:应用程序监视器Apimon.exe可以对所有的函数调用进行计数、计时,并能监视页面失效错误;磁盘探测器Dskprobe.exe可直接访问、编辑、保存和复制硬盘驱动器的各个区域,例如它能够替换硬盘的主引导记录(MBR)、修复损坏的分区表;Windiff.exe则能够分析两个文件或文件夹,比较两者有哪些差别。面对如此丰富的工具“宝库”,高手们可能已经心痒了,到底有哪些工具利器呢?

初试牛刀:更加优秀的安全小工具

下面,挑选一些比较实用小巧的工具,这些工具的功能十分实用,比如能够查看进程,对计算机进行管理,检测肉鸡(注:肉鸡就是具有最高管理权限的远程计算机。)的数据,控制活动目录等。

查看进程的利器:pviewer.exe 

控制一台肉鸡以后,查看其进程已经成为众多好手们的家常便饭。Pviewer.exe是一个查看进程的理想工具,而且可以轻松查杀本地机上的进程。通过这个工具也能连接远程机器,如图1所示。




获得远程机器的管理员密码后,建立IPC$连接,然后在pviewer的Computer文本框输入类似“IP”的格式就可以查看对方的进程了。但可惜的是不能在本地杀掉远程机器的进程。不过,通过这个工具可以获得很多有价值的信息,通过判断其中的缺陷,即可达到控制对方的目的。如对方是否安装了防火墙,是否安装了杀毒软件以及数据库或者其他服务等。

拒绝黑客:snmputilg.exe

很多管理员都知道,关闭了Windows XP系统的TCP139和445端口以后,安全性会提高很多,至少对系统信息的刺探扫描无法进行。但要做到真正完善的安全,还需要从每一个细节去考虑是否会存在隐患。比如,对于完全安装的Windows XP或启动了简单网络管理协议(SNMP)的系统来说,仍然存在非常致命的隐患。SNMP是“Simple Network Management Protocol”的缩写,中文含义是“简单网络管理协议”,当使用特殊的客户端应用程序,通过该“查询密码”的验证,将获得对应的权限(只读或者读写),从而对SNMP中管理信息库(MIB)进行访问。而让攻击者惊喜的是,管理信息库(MIB)中则保存了系统所有的重要信息。也就是说,如果能够知道“查询密码”,就可以刺探系统的信息了。实际上,很多网络设备的密码都是默认的,这就给了黑客可乘之机。

snmputilg.exe这个图形界面工具对以前的命令行模式的SNMP浏览工具进行了补充。它可以给系统管理员提供关于SNMP方面的信息,便于在排除故障的时候当作参考。打开软件界面,可以用来执行诸如GET、GET-NEXT等操作或进行有关的设置。另外,这个工具也能将数据保存到剪贴板或将数据保存为以逗号为结束符号的文本文件。

第一步:在系统上安装SNMP服务。默认情况下,SNMP服务没有安装,单击控制面板中的“添加或删除程序”图标,再单击“添加/删除Windows组件”,选中“管理和监视工具”,再单击“详细信息”按钮。在弹出的窗口中,选中“简单网络管理协议”,单击“确定”按钮,完成简单网络管理协议(SNMP服务)的安装,如图2所示。



第二步:在Windows XP中,点击“开始”中的“运行”菜单,在编辑框中键入“snmputilg”然后回车,这时会出现一个图形界面工具,如图3所示。 





第三步:工具启动后,Node编辑框中会显示默认的回送地址127.0.0.1;Current OID指的是“当前对象标识符”,标识是Windows系统中用来代表一个对象的数字,每个标识都是整个系统中唯一的,上图中显示的值是.1.3.6.1.2.1,也可以把OID理解成MIB管理信息库中各种信息分类存放树资源的一个数字标识。Community一项的默认值是public。上面所介绍的这些项目也可选定别的值。下面是一些常用的命令:

snmputil walk ip public .1.3.6.1.2.1.25.4.2.1.2 列出系统进程

snmputil walk ip public .1.3.6.1.4.1.77.1.2.25.1.1 列出系统用户列表

snmputil get ip public .1.3.6.1.4.1.77.1.4.1.0 列出域名

snmputil walk ip public .1.3.6.1.2.1.25.6.3.1.2 列出安装的软件

snmputil walk ip public .1.3.6.1.2.1.1 列出系统信息

第四步:如果选择了别的系统的IP地址,则必须运行SNMP服务,而目标系统必须配置好网络访问的地址。同时,所需要的辅助工具也应当具备或运行。缺省情况下,Windows XP对所有另外系统的IP地址都是允许访问的。另一个问题是community,当选定community的值时,一要注意它所代表的对象必须存在;二要注意其“可读”属性只有获准许可之后才能进行读操作;三要注意这个项目在windows系列的不同版本中,对访问地址的限制可能不一样。

第五步:凡是SNMP可以执行的功能(SNMP Function to Execute),在图中下拉组合框中都已经列出。选择好之后,用鼠标点击“Execute Command”按钮就可以执行相关操作了。以下是这些操作的功能简介:

GET the value of the current object identifier:得到当前对象的ID标识数值

GET the NEXT value after the current object identifier (this is the default):得到紧接当前对象之后的下一个对象的ID标识数值(这是默认的)

GET the NEXT 20 values after the current object identifier:得到当前对象之后的20个对象的ID标识数值

GET all values from object identifier down (WALK the tree):得到从当前对象往下的所有对象的ID标识数值

WALK the tree from WINS values down:从WINS值往下漫游目录

WALK the tree from DHCP values down:从DHCP值往下漫游目录

WALK the tree from LANMAN values down:从LANMAN值往下漫游目录

WALK the tree from MIB-II down (Internet MIB):从MIB-II往下漫游目录

第六步:针对SNMP攻击的防范。SNMP服务的通讯端口是UDP端口,这也是大部分网络管理人员很容易忽略的地方。由于安装了SNMP服务,不知不觉就给系统带来了极大的隐患。最方便和容易的解决方法是关闭SNMP服务,或者卸载掉该服务。如果不想关掉SNMP服务,可以通过修改注册表或者直接修改图形界面的SNMP服务属性进行安全配置。打开“控制面板”,打开“管理工具”中的“服务”,找到“SNMP Service”,单击右键打开“属性”面板中的“安全”选项卡,在这个配置界面中,可以修改community strings,也就是微软所说的“团体名称”,即所谓的“查询密码”,或者配置是否从某些安全主机上才允许SNMP查询,如图4所示。





另一种方法是修改注册表中的community strings值。打开注册表,在[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSNMPParametersValidCommunities]下,将public的名称修改成其它的名称就可以了。如果要限定允许的IP才可以进行SNMP查询,还可以进入注册表中的如下位置添加字符串: [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSNMPParametersPermittedManagers],名称为“1”,内容为要允许的主机IP。当然,如果允许多台机器的话,就要名称沿用“2、3、4”等名称了。

检测肉鸡的数据:pptpsrv.exe和pptpclnt.exe

PPTP是“点对点隧道传送协议(Point-to-Point Tunneling Protocol)”的英文缩写,这是网络上常用的传送协议。所谓“隧道传送”是指数据在传送之前先进行加密和“打包”,传送至对方后再解包和解密。这样,数据在传送过程中就像是在地下隧道中通过的那样,其内容不会被外界所看到。

pptpsrv.exe和pptpclnt.exe就是一对用来检查网络是否连通的工具,Pptpsrv.exe是服务端,pptpclnt.exe是客户端。当将上面的两个程序用在远程的PPTP 服务器与PPTP 客户机之间的互相访问时,必须使用 1723端口,并且需要基于47类协议的支持,即GRE(Generic Routing Encapsulation:普通路由封装)协议。利用这两个工具,可以检查socket的连接和数据包的传递。

第一步:打开两个站点,或者打开两个命令提示符窗口,其中一个运行命令pptsrv.exe,这时候pptsrv.exe会在TCP端口1723处监听,等待客户端pptpclnt.exe的连接。

第二步:在另一个命令提示符窗口运行命令:pptpclnt.exe IP(根据实际测试情况设置),本地测试采用127.0.0.1,这时会出现如图所示的界面,然后按照提示输入,发送的字符应在255个以下,这时就可以看到两个命令提示符中记录着socket的连接和数据包的传递,如图5所示。




这一组程序都是基于命令行界面的,由于诊断必须涉及PPTP 服务器与PPTP 客户机两个地方,所以,诊断程序运行的时候,要综合服务器端和客户机端的应答信息和系统提示信息,然后根据情况判断问题所在。

管理活动目录:ldp.exe

Windows 2000入目录服务的概念后,用户通过389端口可以遍历目录树中所存在的用户和用户组。活动目录就是目录服务的一类,它保存了网络上所有的资源和可以访问活动目录的客户。如果用户在安装域的时候就缺乏正确的安全规划,黑客就会有机可乘了。因此,在扫描网络上的“肉鸡”时,如果发现端口为389的机器,就会发现它所对应的服务是活动目录。但是,怎么连接它呢?

Windows XP工具包中的活动目录管理工具ldp.exe可以轻松实现这种功能。通过这种方式,不仅可以浏览全部用户帐户(cn=Users),还可以查询用户更多的信息,比如SID、GUID、帐户名和密码设置类型等重要信息。打开“Connection”菜单下的“Connect”,这时会出现一个对话框,如图6所示。在“server”中填上IP或者DNS名,端口使用默认的389端口即可。连接上以后,就可以进行管理了。


 


得到合法帐户,便可以进入到远程密码猜测的角逐中。因此,实际应用中,必须对动态目录的访问权限设置限制。

管理肉鸡的小工具:diruse.exe

diruse.exe是一个命令行工具,登陆后,可以用它来查看目录的大小、详细的压缩信息(只适用于NTFS分区)。结合运用Windows的磁盘管理功能,就可以在重要的监控对象上密切监视所有的用户帐户,拥有肉鸡管理员权限的用户还能够检查所有目录的使用情况,包括不属于当前帐户的目录。除了文件夹占用的磁盘空间,它还能够设置指定文件夹的最大空间限额,当文件夹占用的空间超出限额时会出现警报。

Windows XP的支持工具还有很多,以上介绍的都是安全方面的一些工具,特点在于小巧灵活,搭配自由。随着Windows版本的改进,各类工具的功能会越来越多样化、专业化.

评论

此博客中的热门博文

6岁小朋友在PSP上看到不该看的东西

美国佛州的一位母亲Thamtha Tovar为自己六岁的儿子在Manatee的沃尔玛购买了一个礼物,一台全新的PSP, 然而当这位六岁的小朋友打开此PSP的时候,映入眼帘的却是一位"一丝不挂"的美女,惊恐之下,小朋友向自己的母亲哭诉了自己的遭遇。 伟 大的母亲听说此事勃然大怒,愤然找到沃尔玛的负责人要求对此事件作出合理解释,为何刚购买的PSP里的记忆卡会有"美女"在里面。沃尔玛的工作人员如此说 道:"呃,你把机器带来过,我们把卡帮你取出来,然后我们会给您儿子免费提供一个新的游戏。"这位母亲说:"我很乐意,但是恐怕你们没有明白我说的话。" 沃尔玛的一位发言人称他们正在调查为何发生此事,寻求解决此问题,而Tovar女士则要求更换一台全新的PSP并要求沃尔玛为此事道歉。 ------------------ 洛阳生活信息点评网:http://luoyanglife.com/ 洛阳生活信息,我爱打折论坛:http://bbs.luoyanglife.com/ 河南招生考试网:http://www.edu-ha.com/  

照着做,你的人生一定很顺利!

  01.犯了错误就该诚实地认错——狡辩、诿过只会害了自己。   02. 朋友 之间要保持距离——这样的 友谊 才能长久。     03.钱追人,人追健康——有了健康,还怕挣不到钱么?     04.别轻易转行——转行的风险很高,最好不要轻率为之。     05.适度地抬高身价——在就业市场中,人也是一种商品。     06.把敬业变成 习惯 ——从长期看是为了自己。     07.运用累积法壮大资产——不求快,不求多,不中断。     08.忍一时,争千秋形势比人强时,必须忍。     09.与其你死我活,不如你活我也活——这就是双赢,是良性竞争。     10.以"播种"的 心态 经营人际关系——种子播得越早越坚韧。     11.做事切勿率性而为——率性而为只会害了自己。     12.遇到魔鬼型的主管时——接受他的磨练可让你的 性格 越来越坚韧。     13.不要当众和主管吵架——那会让你无路可走,只有走人。     14.向不同行业的人学习新知识——记住,要用请教的 态度 。     15.所有的困难都是好事——这是老天爷在磨练你,目的是把重任交给你。     16.用吃亏就是占便宜的心态 做人 做事——那样你就可以迅速长大。     17.不要在失意者面前谈论你的得意——那样 伤害 你的人际关系。     18.不要小看守时这件事——守时是对别人的尊重。     19.用 时间 来看人——时间是检验大师。     20.用打听来看人——把获得的信息汇总,就可以了解那个人。     21.建立一个朋友档案——以免人到用时方恨少。     22.扩大交友圈——主动出击,不要等别人上门找你。     23.保持交友的弹性——敌人也可以变成朋友。     24.要交 喜欢 "修理"你的朋友——这种朋友是你的 人生 导师。   25.毛遂自荐,好处多多——让别人看到你,知道你的存在,知道你的能力。     26.小心突然升温的 友情 ——对待这种友情的正确态度是:不推不迎,礼尚往来。     27.做老二,不做老大——老大没当好,容易变成老三老四。     28.做人要中规中矩——目的是赢得他人的尊重和信赖。   ...

FTP服务器关于断点续传权限的防范问题

FTP服务器关于断点续传权限的防范问题    假设ftp服务器中存在一个文件Readme.txt,文件大小为1000 bytes,连接上这个ftp服务器(假设我有写权限,ftp服务器是支持断点再传的),我本地中也有一个叫Readme.txt的文件,文件大小为 500 bytes。好了,我开始做坏事。    1、连接上这个ftp服务器(用系统自带的 ftp://ftp.exe/,在内网的可能无法使用,因为 ftp://ftp.exe/用的是port模式)    2、dir(查看Readme.txt大小,确定了是1000 bytes)    3、quote rest 1000(告诉ftp服务器我将要传送的文件是从文件位置1000开始)    4、send Readme.txt    5、dir(再次查看Readme.txt大小,现在Readme。txt变成1500 bytes了)    为什么Readme.txt会变大了?很简单,因为我本地的那个Readme.txt的500字节上传成功,并写入到ftp服务器中存在的那个 1000 bytes的Readme.txt文件中了。问题是出在第二条命令,如果没有第二条命令,我的第4个命令(Send Readme.txt),就会得到一个Permission Deny的错误,第二条命令是让ftp服务器信任我们将要进行一个断点再传的操作,如果没有第二条命令,ftp服务器将以为我们进行的是一个复盖原文件的操作(复盖原文件操作需要另外的权限才可以进行)。    这个问题只是在允许断点再传的FTP服务中存在,但现在90%的FTP服务程序都是允许断点再传的,所以这问题在普遍的FTP服务器都会存在。    防范方法:    如果一定需要给用户上传权限的话,最好的防范方法是每个用户都给他建立一个目录,将那个用户的权限完全锁在这个目录内,那么用户就没有权限可以查看其它用户的目录,也就是说无法造成以上所说的破坏。