系統 - 沙場點兵 WinXP安裝盤中隱藏的安全工具

[psac]

在Windows XP中，安裝CD上隱藏著100多個五花八門的工具，它們涵蓋了操作系統的方方面面，從網路、Internet連接、資料夾以及磁碟管理，包羅萬象。這個稱為Windows支持工具（Support Tools）的工具集，就是專門為那些不甘於使用ping和telnet等初級命令的高手而準備。

沙場初點兵：Support Tools的「廬山真面目」

這些工具必須用Windows安裝CD手工安裝。安裝結束，大部分工具可以用雙擊C:\Program Files\Support Tools資料夾中的exe文件方式啟動，有些則必須使用命令行參數控制，輸入某個工具的程式名稱後再加上「/？」參數就可以獲得命令行參數的清單及其用途說明。打開\\Program Files\\Support Tools資料夾，雙擊hlp文件或doc文件就可以檢視其內容，同時還可以閱讀Support Tools的幫助文檔。

我們可以舉幾個例子看看Support Tools的豐富功能：應用程式監視器Apimon.exe可以對所有的函數調用進行計數、計時，並能監視網頁面失效錯誤；磁碟探測器Dskprobe.exe可直接訪問、編輯、儲存和複製硬碟驅動器的各個區域，例如它能夠替換硬碟的主啟始記錄（MBR）、修復損壞的分區表；Windiff.exe則能夠分析兩個文件或資料夾，比較兩者有哪些差別。面對如此豐富的工具「寶庫」，高手們可能已經心癢了，到底有哪些工具利器呢？

初試牛刀：更加優秀的安全小工具　

下面，挑選一些比較實用小巧的工具，這些工具的功能十分實用，比如能夠檢視工作行程，對電腦進行管理，檢測肉雞（註：肉雞就是具有最高管理權限的遠端電腦。）的資料，控制活動目錄等。

二級小標題//檢視工作行程的利器：pviewer.exe

控制一台肉雞以後，檢視其工作行程已經成為眾多好手們的家常便飯。Pviewer.exe是一個檢視工作行程的理想工具，而且可以輕鬆查殺本機機上的工作行程。通過這個工具也能連接遠端機器。

獲得遠端機器的管理員密碼後，建立IPC$連接，然後在pviewer的Computer文本框輸入類似「\\IP」的格式就可以檢視對方的工作行程了。但可惜的是不能在本機殺掉遠端機器的工作行程。不過，通過這個工具可以獲得很多有價值的訊息，通過判斷其中的缺陷，即可達到控制對方的目的。如對方是否安裝了防火牆，是否安裝了殺毒軟件以及資料庫或者其他服務等。

拒絕黑客：snmputilg.exe　

很多管理員都知道，關閉了Windows XP系統的TCP139和445連接阜以後，安全性會提高很多，至少對系統訊息的刺探掃瞄無法進行。但要做到真正完善的安全，還需要從每一個細節去考慮是否會存在隱患。比如，對於完全安裝的Windows XP或啟動了簡單網路管理協議（SNMP）的系統來說，仍然存在非常致命的隱患。SNMP是「Simple Network Management Protocol」的縮寫，中文含義是「簡單網路管理協議」，當使用特殊的客戶端應用程式，通過該「查詢密碼」的驗證，將獲得對應的權限（只讀或者讀寫），從而對SNMP中管理訊息庫（MIB）進行訪問。而讓攻擊者驚喜的是，管理訊息庫（MIB）中則儲存了系統所有的重要訊息。也就是說，如果能夠知道「查詢密碼」，就可以刺探系統的訊息了。實際上，很多網路設備的密碼都是預定的，這就給了黑客可乘之機。

snmputilg.exe這個圖形界面工具對以前的命令行模式的SNMP瀏覽工具進行了補充。它可以給系統管理員提供關於SNMP方面的訊息，便於在排除故障的時候當作參考。打開軟件界面，可以用來執行諸如GET、GET-NEXT等操作或進行有關的設置。另外，這個工具也能將資料儲存到剪貼板或將資料儲存為以逗號為結束符號的文本文件。

第一步：在系統上安裝SNMP服務。預定情況下，SNMP服務沒有安裝，單擊控制台中的「新增或刪除程式」圖示，再單擊「新增/刪除Windows元件」，選中「管理和監視工具」，再單擊「詳細訊息」按鈕。在彈出的視窗中，選中「簡單網路管理協議」，單擊「確定」按鈕，完成簡單網路管理協議（SNMP服務）的安裝。

第二步：在Windows XP中，點擊「開始」中的「執行」表菜單，在編輯框中鍵入「snmputilg」然後Enter鍵，這時會出現一個圖形界面工具。

第三步：工具啟動後，Node編輯框中會顯示預定的回送地址127.0.0.1；Current OID指的是「當前對像標識符」，標識是Windows系統中用來代表一個對象的數位，每個標識都是整個系統中唯一的，上圖中顯示的值是.1.3.6.1.2.1，也可以把OID理解成MIB管理訊息庫中各種訊息分類存放樹資源的一個數位標識。Community一項的預定值是public。上面所介紹的這些專案也可選定別的值。下面是一些常用的命令：

　　snmputil walk ip public .1.3.6.1.2.1.25.4.2.1.2 列出系統工作行程

　　snmputil walk ip public .1.3.6.1.4.1.77.1.2.25.1.1 列出系統用戶列表

　　snmputil get ip public .1.3.6.1.4.1.77.1.4.1.0 列出域名

　　snmputil walk ip public .1.3.6.1.2.1.25.6.3.1.2 列出安裝的軟件

　　snmputil walk ip public .1.3.6.1.2.1.1 列出系統訊息

第四步：如果選擇了別的系統的IP地址，則必須執行SNMP服務，而目標系統必須配置好網路訪問的地址。同時，所需要的輔助工具也應當具備或執行。預設情況下，Windows XP對所有另外系統的IP地址都是允許訪問的。另一個問題是community，當選定community的值時，一要注意它所代表的對象必須存在；二要注意其「可讀」內容只有獲准許可之後才能進行讀操作；三要注意這個專案在windows系列的不同版本中，對訪問地址的限制可能不一樣。

第五步：凡是SNMP可以執行的功能（SNMP Function to Execute），在圖中下拉組合框中都已經列出。選擇好之後，用滑鼠點擊「Execute Command」按鈕就可以執行相關操作了。以下是這些操作的功能簡介：

　　GET the value of the current object identifier：得到當前對象的ID標識數值

　　GET the NEXT value after the current object identifier (this is the default)：得到緊接當前對像之後的下一個對象的ID標識數值（這是預定的）

　　GET the NEXT 20 values after the current object identifier：得到當前對像之後的20個對象的ID標識數值

　　GET all values from object identifier down (WALK the tree)：得到從當前對像往下的所有對象的ID標識數值

　　WALK the tree from WINS values down：從WINS值往下漫遊目錄

　　WALK the tree from DHCP values down：從DHCP值往下漫遊目錄

　　WALK the tree from LANMAN values down：從LANMAN值往下漫遊目錄

　　WALK the tree from MIB-II down (Internet MIB)：從MIB-II往下漫遊目錄

第六步：針對SNMP攻擊的防範。SNMP服務的通訊連接阜是UDP連接阜，這也是大部分網路管理人員很容易忽略的地方。由於安裝了SNMP服務，不知不覺就給系統帶來了極大的隱患。最方便和容易的解決方法是關閉SNMP服務，或者卸載掉該服務。如果不想關掉SNMP服務，可以通過修改註冊表或者直接修改圖形界面的SNMP服務內容進行安全配置。打開「控制台」，打開「管理工具」中的「服務」，找到「SNMP Service」，單擊右鍵打開「內容」面板中的「安全」選擇項，在這個配置界面中，可以修改community strings，也就是微軟所說的「團體名稱」，即所謂的「查詢密碼」，或者配置是否從某些安全主機上才允許SNMP查詢。

另一種方法是修改註冊表中的community strings值。打開註冊表，在[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\ValidCommunities]下，將public的名稱修改成其它的名稱就可以了。如果要限定允許的IP才可以進行SNMP查詢，還可以進入註冊表中的如下位置新增字元串： [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\PermittedManagers]，名稱為「1」，內容為要允許的主機IP。當然，如果允許多台機器的話，就要名稱沿用「2、3、4」等名稱了。

檢測肉雞的資料：pptpsrv.exe和pptpclnt.exe

PPTP是「點對點隧道傳送協議（Point-to-Point Tunneling Protocol）」的英文縮寫，這是網路上常用的傳送協議。所謂「隧道傳送」是指資料在傳送之前先進行加密和「壓縮打包」，傳送至對方後再解包和解密。這樣，資料在傳送過程中就像是在地下隧道中通過的那樣，其內容不會被外界所看到。

pptpsrv.exe和pptpclnt.exe就是一對用來檢查網路是否連通的工具，Pptpsrv.exe是服務端，pptpclnt.exe是客戶端。當將上面的兩個程式用在遠端的PPTP 服務器與PPTP 客戶機之間的互相訪問時，必須使用 1723連接阜，並且需要基於47類協議的支持，即GRE（Generic Routing Encapsulation：普通路由封裝）協議。利用這兩個工具，可以檢查socket的連接和資料包的傳遞。

第一步：打開兩個站點，或者打開兩個命令提示字元視窗，其中一個執行命令pptsrv.exe，這時候pptsrv.exe會在TCP連接阜1723處監聽，等待客戶端pptpclnt.exe的連接。

第二步：在另一個命令提示字元視窗執行命令：pptpclnt.exe IP（根據實際測試情況設置），本機測試採用127.0.0.1，這時會出現如圖所示的界面，然後按照提示輸入，發送的字元應在255個以下，這時就可以看到兩個命令提示字元中記錄著socket的連接和資料包的傳遞。

這一組程式都是基於命令行界面的，由於診斷必須涉及PPTP 服務器與PPTP 客戶機兩個地方，所以，診斷程式執行的時候，要綜合服務器端和客戶機端的應答訊息和系統提示訊息，然後根據情況判斷問題所在。

管理活動目錄：ldp.exe　

Windows 2000入目錄服務的概念後，用戶通過389連接阜可以遍歷目錄樹中所存在的用戶和用戶組。活動目錄就是目錄服務的一類，它儲存了網路上所有的資源和可以訪問活動目錄的客戶。如果用戶在安裝域的時候就缺乏正確的安全規劃，黑客就會有機可乘了。因此，在掃瞄網路上的「肉雞」時，如果發現連接阜為389的機器，就會發現它所對應的服務是活動目錄。但是，怎麼連接它呢？

Windows XP工具包中的活動目錄管理工具ldp.exe可以輕鬆實現這種功能。通過這種方式，不僅可以瀏覽全部用戶帳戶(cn=Users)，還可以查詢用戶更多的訊息，比如SID、GUID、帳戶名和密碼設置類型等重要訊息。打開「Connection」表菜單下的「Connect」，這時會出現一個交談視窗，如圖6所示。在「server」中填上IP或者DNS名，連接阜使用預定的389連接阜即可。連接上以後，就可以進行管理了。

得到合法帳戶，便可以進入到遠端密碼猜測的角逐中。因此，實際應用中，必須對動態目錄的訪問權限設置限制。

管理肉雞的小工具：diruse.exe

diruse.exe是一個命令行工具，登入後，可以用它來檢視目錄的大小、詳細的壓縮訊息（只適用於NTFS分區）。結合運用Windows的磁碟管理功能，就可以在重要的監控對像上密切監視所有的用戶帳戶，擁有肉雞管理員權限的用戶還能夠檢查所有目錄的使用情況，包括不屬於當前帳戶的目錄。除了資料夾佔用的磁碟空間，它還能夠設置指定資料夾的最大空間限額，當資料夾佔用的空間超出限額時會出現警報。

Windows XP的支持工具還有很多，以上介紹的都是安全方面的一些工具，特點在於小巧靈活，搭配自由。隨著Windows版本的改進，各類工具的功能會越來越多樣化、專業化。