放假的兩天 ， 朋友就說自己的電腦很不正常 ， 好象是被入侵了 。因為放假本來時間就少 ， 所以匆匆趕到朋友家 ， 一看 ， winXP PRO ， SP2 ， 天網(wǎng)和諾頓都是最新版的 ， 按理來說安全性是很強的 。好 ， 一步步檢查下去：
1、先查看本機日志 ， 沒什么可疑的系統(tǒng)用戶 ， 組 ， 管理登陸等信息 。（入侵者一般不會給你留下有用的日志的）
2、NETSTAT ， 看看端口的情況 ， 也是一切正常 。（圖一）
3、再檢查開啟的服務 ， 看到朋友的IPSEC安全策略是啟動的 ， 而且朋友有一定的計算機知識 ， 也配置了IP安全策略 。再往下看 ， 朋友的Remote Access Auto Connection Manager和Remote Access Connection Manager兩項服務已經啟動 。我們都知道 ， 此服務是當某個程序引用一個遠程DNS或NETBIOS名或者地址的時候建立遠程網(wǎng)絡連接用的 ， 但是此服務開啟也很正常 ， 沒有可以利用的端口是無法連接的 ， 朋友的135 ， 137 ， 138 ， 139 ， 445端口是關閉的 。（圖二 ， 三）
4、檢查IPC$ ， 朋友的IPC$是開啟的 ， 危險 ， 但是又想到防火墻和IP安全策略 ， 能連接的可能性幾乎為零 。（圖四）
作為一臺個人使用PC來說 ， 朋友的安全性是不錯的 ， 正準備往下查的時候 ， 看到一臺NB擺在旁邊 ， 朋友說公司的NB ， 拿回來COPY資料 。我看了下NB ， 因為配置問題裝的98 ， 于是想起98和XP互連 ， 朋友估計裝了NETBEUI協(xié)議的 ， 于是繼續(xù)檢查 。
裝了NETBIOS協(xié)議 ， 并沒有NETBEUI ， 但是朋友說曾經裝過 ， 但是卸了 。
NETBEUI協(xié)議其實是NETBIOS的本地延伸 ， 用于不同的計算機網(wǎng)絡互通的 ， 但是我記得NETBEUI協(xié)議的卸載不是那么簡單從協(xié)議組中就卸了的 ， 于是發(fā)現(xiàn)了點問題的可疑點 。（圖五）
再次檢查日志 ， 發(fā)現(xiàn)了可疑點：
Event Type: Error
Event Source: Service Control Manager
Event Category: None
Event ID: 7000
Date: 3/26/2005
Time: 9:54:24 AM
User: N/A
Computer: KK
Description:
The NetBEUI Protocol service failed to start due to the following error:
The system cannot find the file specified.
原來協(xié)議還在系統(tǒng)中 ， 這是啟動失敗信息 。
于是馬上檢查注冊表：
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNbf
看到了NETBEUI的信息 ， 原來系統(tǒng)中的NETBEUI并未被刪除
我們知道 ， 系統(tǒng)的口令進行校驗時是以發(fā)送的長度數(shù)據(jù)為依據(jù)的 。在發(fā)送口令認證數(shù)據(jù)包時可以設置長度域為“1” ， 同時發(fā)送一個字節(jié)的明文口令 ， 校驗程序會將發(fā)來口令與保存的口令的第一個字節(jié)進行明文比較 ， 如果匹配就認為通過了驗證 。特別是作為NETBIOS協(xié)議來說 ， 漏洞是很大的 。
再看朋友的Internet連接 ， TCP/IP上的NETBIOS沒有禁用（圖六）這個時候可以來查找問題的根源了
掃描軟件？其實不用 ， 利用系統(tǒng)的端口監(jiān)聽 ， 就可以完成 。端口監(jiān)聽過程中 ， 發(fā)現(xiàn)端口7777正在被監(jiān)聽（因為時間有點長 ， 在整理東西時候朋友喊的 ， 忘記了抓圖） ， 這個有點異常 ， 所以馬上看進程 ， 但是卻沒有異常 ， 感到越來越奇怪了 。
【與入侵者交手:認識XP下的NetBEUI】于是用TCPDUMP抓包 ， 看到tcpdump: listening on 7777 ， 果然端口被占用了 。看來是后臺進程 。于是使用TCP Connect()掃描 ， 因為端口處于偵聽狀態(tài) ， 所以Connect()就能成功 。這時出現(xiàn)了大量的錯誤信息 ， 不一會 ， 系統(tǒng)的LOGS文件顯示一連串的連接出錯消息 ， 然后關閉了服務 。（以非線性方式連接）這時 ， 本打算繼續(xù)掃描TCP SYN和TCP FIN都不需要了 。
于是返回注冊表 ， 把NETBEUI協(xié)議的信息刪除 ， REBOOT ， 在連接 ， 一切正常 。

推薦閱讀

• 

  教你如何清洗油壺油桶 清洗油壺油桶的方法
• 

  蘋果發(fā)布macOS補充更新：包含iCloud/WiFi 修復程序
• 

  塑料發(fā)黃怎么快速變白
• 

  叉燒的正宗做法?
• 

  佛山購房貸款新政策是什么
• 

  客廳養(yǎng)什么花好還能凈化空氣 客廳適合擺放的植物有哪些
• 

  銅與氧氣反應的化學方程式
• 

  神奇寶貝小智都在哪一集打聯(lián)盟比賽
• 

  姨母心是什么梗
• 

  為什么看電影會希望反派贏
• 

  陰陽師體力盒怎么計算,體力食盒怎么升級
• 

  小編教你華為freebuds4i如何配對手機。
• 

  如何調理雌激素 怎么去調理雌激素呢
• 

  黃瓜怎么美容好黃瓜美容的方法 黃瓜怎么美容好
• 

  彳亍潮州話怎么讀 仧玊怎么讀潮州音
• 

  手機經常重啟對手機有什么危害

• 在床上介詞on與in區(qū)別
• 解決win10運行dota2提示“無法與任何服務器建立連接”的方法
• 摩托羅拉w161使用有感
• XP/2003系統(tǒng)服務備份與保護
• 網(wǎng)購天語E60經歷與用機感受
• 銀杏果怎么吃 銀杏果的正確吃法與功效
• 手機正確充電方法的測試與探討
• 曹植聰慧文言文翻譯及注釋 曹植聰慧文言文原文與翻譯
• 海爾AK001的優(yōu)點與缺點
• 讓網(wǎng)絡工具與Windoes XP SP2和平相處