WinXP安裝光碟中隱藏的安全小工具

在Windows XP中，安裝CD上隱藏著100多個五花八門的工具，它們涵蓋了操作系統的方方面面，從網路、Internet連接、文件夾以及磁碟管理，包羅萬象。這個稱為Windows支持工具（Support Tools）的工具集，就是專門為那些不甘於使用ping和telnet等初級命令的高手而準備。

　　 沙場初點兵：Support Tools的「廬山真面目」

　　 這些工具必須用Windows安裝CD手工安裝。安裝結束，大部分工具可以用雙擊Crogram FilesSupport Tools文件夾中的exe文件方式啟動，有些則必須使用命令行參數控制，輸入某個工具的程序名稱后再加上「/？」參數就可以獲得命令行參數的清單及其用途說明。打開\Program Files\Support Tools文件夾，雙擊hlp文件或doc文件就可以查看其內容，同時還可以閱讀Support Tools的幫助文檔。

　　 我們可以舉幾個例子看看Support Tools的豐富功能：應用程序監視器Apimon.exe可以對所有的函數調用進行計數、計時，並能監視頁面失效錯誤；磁碟探測器Dskprobe.exe可直接訪問、編輯、保存和複製硬碟驅動器的各個區域，例如它能夠替換硬碟的主引導記錄（MBR）、修復損壞的分區表；Windiff.exe則能夠分析兩個文件或文件夾，比較兩者有哪些差別。面對如此豐富的工具「寶庫」，高手們可能已經心癢了，到底有哪些工具利器呢？

　　初試牛刀：更加優秀的安全小工具　

　　下面，挑選一些比較實用小巧的工具，這些工具的功能十分實用，比如能夠查看進程，對計算機進行管理，檢測肉雞（註：肉雞就是具有最高管理許可權的遠程計算機。）的數據，控制活動目錄等。

　　二級小標題//查看進程的利器：pviewer.exe

　　控制一台肉雞以後，查看其進程已經成為眾多好手們的家常便飯。Pviewer.exe是一個查看進程的理想工具，而且可以輕鬆查殺本地機上的進程。通過這個工具也能連接遠程機器。

　　 獲得遠程機器的管理員密碼后，建立IPC$連接，然後在pviewer的Computer文本框輸入類似「\IP」的格式就可以查看對方的進程了。但可惜的是不能在本地殺掉遠程機器的進程。不過，通過這個工具可以獲得很多有價值的信息，通過判斷其中的缺陷，即可達到控制對方的目的。如對方是否安裝了防火牆，是否安裝了殺毒軟體以及資料庫或者其他服務等。

　　拒絕黑客：snmputilg.exe　

　　很多管理員都知道，關閉了Windows XP系統的TCP139和445埠以後，安全性會提高很啵遼俁韻低承畔⒌拇燙繳櫛薹小５齙秸嬲晟頻陌踩剮枰用懇桓魷附諶タ悸鞘欠窕崬嬖諞肌１熱紓雜諭耆滄暗Windows XP或啟動了簡單網路管理協議（SNMP）的系統來說，仍然存在非常致命的隱患。SNMP是「Simple Network Management Protocol」的縮寫，中文含義是「簡單網路管理協議」，當使用特殊的客戶端應用程序，通過該「查詢密碼」的驗證，將獲得對應的許可權（只讀或者讀寫），從而對SNMP中管理信息庫（MIB）進行訪問。而讓攻擊者驚喜的是，管理信息庫（MIB）中則保存了系統所有的重要信息。也就是說，如果能夠知道「查詢密碼」，就可以刺探系統的信息了。實際上，很多網路設備的密碼都是默認的，這就給了黑客可乘之機。

　　snmputilg.exe這個圖形界面工具對以前的命令行模式的SNMP瀏覽工具進行了補充。它可以給系統管理員提供關於SNMP方面的信息，便於在排除故障的時候當作參考。打開軟體界面，可以用來執行諸如GET、GET-NEXT等操作或進行有關的設置。另外，這個工具也能將數據保存到剪貼板或將數據保存為以逗號為結束符號的文本文件。

　　第一步：在系統上安裝SNMP服務。默認情況下，SNMP服務沒有安裝，單擊控制面板中的「添加或刪除程序」圖標，再單擊「添加/刪除Windows組件」，選中「管理和監視工具」，再單擊「詳細信息」按鈕。在彈出的窗口中，選中「簡單網路管理協議」，單擊「確定」按鈕，完成簡單網路管理協議（SNMP服務）的安裝。

　　第二步：在Windows XP中，點擊「開始」中的「運行」菜單，在編輯框中鍵入「snmputilg」然後回車，這時會出現一個圖形界面工具。

　　第三步：工具啟動后，Node編輯框中會顯示默認的回送地址127.0.0.1；Current OID指的是「當前對象標識符」，標識是Windows系統中用來代表一個對象的數字，每個標識都是整個系統中唯一的，上圖中顯示的值是.1.3.6.1.2.1，也可以把OID理解成MIB管理信息庫中各種信息分類存放樹資源的一個數字標識。Community一項的默認值是public。上面所介紹的這些項目也可選定別的值。下面是一些常用的命令：

　　snmputil walk ip public .1.3.6.1.2.1.25.4.2.1.2 列出系統進程

　　snmputil walk ip public .1.3.6.1.4.1.77.1.2.25.1.1 列出系統用戶列表

　　snmputil get ip public .1.3.6.1.4.1.77.1.4.1.0 列出域名

　　snmputil walk ip public .1.3.6.1.2.1.25.6.3.1.2 列出安裝的軟體

　　snmputil walk ip public .1.3.6.1.2.1.1 列出系統信息　　

　第四步：如果選擇了別的系統的IP地址，則必須運行SNMP服務，而目標系統必須配置好網路訪問的地址。同時，所需要的輔助工具也應當具備或運行。預設情況下，Windows XP對所有另外系統的IP地址都是允許訪問的。另一個問題是community，當選定community的值時，一要注意它所代表的對象必須存在；二要注意其「可讀」屬性只有獲准許可之後才能進行讀操作；三要注意這個項目在windows系列的不同版本中，對訪問地址的限制可能不一樣。

　　 第五步：凡是SNMP可以執行的功能（SNMP Function to Execute），在圖中下拉組合框中都已經列出。選擇好之後，用滑鼠點擊「Execute Command」按鈕就可以執行相關操作了。以下是這些操作的功能簡介：

　　GET the value of the current object identifier：得到當前對象的ID標識數值

　　GET the NEXT value after the current object identifier (this is the default)：得到緊接當前對象之後的下一個對象的ID標識數值（這是默認的）

　　GET the NEXT 20 values after the current object identifier：得到當前對象之後的20個對象的ID標識數值

　　GET all values from object identifier down (WALK the tree)：得到從當前對象往下的所有對象的ID標識數值

　　WALK the tree from WINS values down：從WINS值往下漫遊目錄

　　WALK the tree from DHCP values down：從DHCP值往下漫遊目錄

　　WALK the tree from LANMAN values down：從LANMAN值往下漫遊目錄

　　WALK the tree from MIB-II down (Internet MIB)：從MIB-II往下漫遊目錄
　　
　　第六步：針對SNMP攻擊的防範。SNMP服務的通訊埠是UDP埠，這也是大部分網路管理人員很容易忽略的地方。由於安裝了SNMP服務，不知不覺就給系統帶來了極大的隱患。最方便和容易的解決方法是關閉SNMP服務，或者卸載掉該服務。如果不想關掉SNMP服務，可以通過修改註冊表或者直接修改圖形界面的SNMP服務屬性進行安全配置。打開「控制面板」，打開「管理工具」中的「服務」，找到「SNMP Service」，單擊右鍵打開「屬性」面板中的「安全」選項卡，在這個配置界面中，可以修改community strings，也就是微軟所說的「團體名稱」，即所謂的「查詢密碼」，或者配置是否從某些安全主機上才允許SNMP查詢。

　　另一種方法是修改註冊表中的community strings值。打開註冊表，在[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSNMPParametersValidCommunities]下，將public的名稱修改成其它的名稱就可以了。如果要限定允許的IP才可以進行SNMP查詢，還可以進入註冊表中的如下位置添加字元串： [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSNMPParametersPermittedManagers]，名稱為「1」，內容為要允許的主機IP。當然，如果允許多台機器的話，就要名稱沿用「2、3、4」等名稱了。

檢測肉雞的數據：pptpsrv.exe和pptpclnt.exe

　 PPTP是「點對點隧道傳送協議（Point-to-Point Tunneling Protocol）」的英文縮寫，這是網路上常用的傳送協議。所謂「隧道傳送」是指數據在傳送之前先進行加密和「打包」，傳送至對方后再解包和解密。這樣，數據在傳送過程中就像是在地下隧道中通過的那樣，其內容不會被外界所看到。

　　pptpsrv.exe和pptpclnt.exe就是一對用來檢查網路是否連通的工具，Pptpsrv.exe是服務端，pptpclnt.exe是客戶端。當將上面的兩個程序用在遠程的PPTP 伺服器與PPTP 客戶機之間的互相訪問時，必須使用 1723埠，並且需要基於47類協議的支持，即GRE（Generic Routing Encapsulation：普通路由封裝）協議。利用這兩個工具，可以檢查socket的連接和數據包的傳遞。

　　第一步：打開兩個站點，或者打開兩個命令提示符窗口，其中一個運行命令pptsrv.exe，這時候pptsrv.exe會在TCP埠1723處監聽，等待客戶端pptpclnt.exe的連接。

　 第二步：在另一個命令提示符窗口運行命令：pptpclnt.exe IP（根據實際測試情況設置），本地測試採用127.0.0.1，這時會出現如圖所示的界面，然後按照提示輸入，發送的字元應在255個以下，這時就可以看到兩個命令提示符中記錄著socket的連接和數據包的傳遞。

　 這一組程序都是基於命令行界面的，由於診斷必須涉及PPTP 伺服器與PPTP 客戶機兩個地方，所以，診斷程序運行的時候，要綜合伺服器端和客戶機端的應答信息和系統提示信息，然後根據情況判斷問題所在。

　　管理活動目錄：ldp.exe　

　　Windows 2000入目錄服務的概念后，用戶通過389埠可以遍歷目錄樹中所存在的用戶和用戶組。活動目錄就是目錄服務的一類，它保存了網路上所有的資源和可以訪問活動目錄的客戶。如果用戶在安裝域的時候就缺乏正確的安全規劃，黑客就會有機可乘了。因此，在掃描網路上的「肉雞」時，如果發現埠為389的機器，就會發現它所對應的服務是活動目錄。但是，怎麼連接它呢？

　　Windows XP工具包中的活動目錄管理工具ldp.exe可以輕鬆實現這種功能。通過這種方式，不僅可以瀏覽全部用戶帳戶(cn=Users)，還可以查詢用戶更多的信息，比如SID、GUID、帳戶名和密碼設置類型等重要信息。打開「Connection」菜單下的「Connect」，這時會出現一個對話框，如圖6所示。在「server」中填上IP或者DNS名，埠使用默認的389埠即可。連接上以後，就可以進行管理了。

　　得到合法帳戶，便可以進入到遠程密碼猜測的角逐中。因此，實際應用中，必須對動態目錄的訪問許可權設置限制。

　　管理肉雞的小工具：diruse.exe

　　diruse.exe是一個命令行工具，登陸后，可以用它來查看目錄的大小、詳細的壓縮信息（只適用於NTFS分區）。結合運用Windows的磁碟管理功能，就可以在重要的監控對象上密切監視所有的用戶帳戶，擁有肉雞管理員許可權的用戶還能夠檢查所有目錄的使用情況，包括不屬於當前帳戶的目錄。除了文件夾佔用的磁碟空間，它還能夠設置指定文件夾的最大空間限額，當文件夾佔用的空間超出限額時會出現警報。

　　Windows XP的支持工具還有很多，以上介紹的都是安全方面的一些工具，特點在於小巧靈活，搭配自由。隨著Windows版本的改進，各類工具的功能會越來越多樣化、專業化。