接上篇後門病毒分析報告。
第乙個執行緒中,使用 ipc$ 進行區域網內中的主機進行干擾,下面對 ipc$ 進行一定的了解。
**ipc$ (internet process connection)**是共享」命名管道」的資源,它是為了讓程序間通訊而開放的命名管道,可以通過驗證使用者名稱和密碼獲得相應的許可權,在遠端管理計算機和檢視計算機的共享資源時使用。1)ipc$ 與空連線:利用ipc$,連線者甚至可以與目標主機建立乙個連線,利用這個連線,連線者可以得到目標主機上的目錄結構、使用者列表等資訊。
不需要使用者名稱與密碼的ipc連線即
為空連線
,一旦你
以某個用
戶或管理
員的身份
登陸(即
以特定的
使用者名稱和
密碼進行
ip
c連線即為空連線,一旦你以某個使用者或管理員的身份登陸(即以特定的使用者名稱和密碼進行ipc
連線即為空連
接,一旦
你以某個
使用者或管
理員的身
份登陸(
即以特定
的使用者名稱
和密碼進
行ipc
連線),自然就不能叫做空連線了。
許多人可能要問了,既然可以空連線,那我以後就空連線好了,為什麼還要費九牛二虎之力去掃瞄弱口令,呵呵,當你以空連線登陸時,你沒有任何許可權(很鬱悶吧),而你以使用者或管理員的身份登陸時,你就會有相應的許可權(有許可權誰不想呀,所以還是老老實實掃吧,不要偷懶喲)。
2)ipc$ 與139、445埠:
ipc$ 連線可以實現遠端登陸及對預設共享的訪問;而139埠的開啟表示netbios協議的應用,我們可以通過139、445(win2000)埠實現對共享檔案/印表機的訪問,因此一般來講,ipc$連線是需要139或445埠來支援的。
3)ipc$ 與預設共享
預設共享是為了方便管理員遠端管理而預設開啟的共享(你當然可以關閉它),即所有的邏輯盤(c$ ,d$ ,e$ ……)和系統目錄winnt或windows(admin$ ),我們通過ipc$ 連線可以實現對這些預設共享的訪問(前提是對方沒有關閉這些預設共享)。
1.你的系統不是nt或以上作業系統.
2.對方沒有開啟ipc$預設共享。
3.不能成功連線目標的139,445埠.
4.命令輸入錯誤.
5.使用者名稱或密碼錯誤.
1.錯誤號5,拒絕訪問:很可能你使用的使用者不是管理員許可權的,先提公升許可權;
2.錯誤號51,windows 無法找到網路路徑:網路有問題;
3.錯誤號53,找不到網路路徑:ip位址錯誤;目標未開機;目標lanmanserver服務未啟動;目標有防火牆(埠過濾);
4.錯誤號67,找不到網路名:你的lanmanworkstation服務未啟動;目標刪除了ipc;5.錯
誤號
1219,提
供的憑據
與已存在
的憑據集
衝突:你
已經和對
方建立了
乙個ip
c; 5.錯誤號1219,提供的憑據與已存在的憑據集衝突:你已經和對方建立了乙個ipc
;5.錯誤號
1219
,提供的
憑據與已
存在的憑
據集衝突
:你已經
和對方建
立了乙個
ipc,請刪除再連。
6.錯誤號1326,未知的使用者名稱或錯誤密碼:原因很明顯了;
7.錯誤號1792,試圖登入,但是網路登入服務沒有啟動:目標netlogon服務未啟動。(連線域控會出現此情況)
8.錯誤號2242,此使用者的密碼已經過期:目標有帳號策略,強制定期要求更改密碼。
1、禁止空連線進行列舉(此操作並不能阻止空連線的建立,引自《解剖win2000下的空會話》)首先執行regedit,找到如下組建
[hkey_local_machine/system/currentcontrolset/control/lsa]把
restrictanonymous =
dword的鍵值改為:00000001(如果設定為2的話,有一些問題會發生,比如一些win的服務出現問題等等)
2、禁止預設共享
1)察看本地共享資源 執行-cmd-輸入net share 2)刪除共享(每次輸入乙個) net share ipc$
/delete net share admin$ /delete net share c$ /delete net share
d$ /delete(如果有e,f,……可以繼續刪除) 3)停止server服務 net stop server /y
(重新啟動後server服務會重新開啟) 4)修改登錄檔 執行-regedit server
版:找到如下主鍵[hkey_local_machine/system/currentcontrolset/services
/lanmanserver/parameters]把autoshareserver(dword)的鍵值改為:00000000。
pro版:找到如下主鍵[hkey_local_machine/system/currentcontrolset/services/lanmanserver/parameters]把autosharewks(dword)的鍵值改為:00000000。
如果上面所說的主鍵不存在,就新建(右擊-新建-雙位元組值)乙個主健再改鍵值。
3、永久關閉ipc$和預設共享依賴的服務:lanmanserver即server服務
控制面板-管理工具-服務-找到server服務(右擊)-屬性-常規-啟動型別-已禁用
4、安裝防火牆(選中相關設定),或者埠過濾(濾掉139、445等),或者用新版本的優化大師
5、設定複雜密碼,防止通過ipc$窮舉密碼
鬼影病毒分析報告
鬼影病毒分析報告 一 鬼影病毒概述 這是乙個 恢復核心鉤子 感染磁碟引導區 mbr 多種方法結束防毒軟體等 技術自啟動並對抗防毒軟體。完全感染後,是乙個看不到可疑檔案 沒有啟動項 普通重灌系統也無法解決的頑固病毒。二 鬼影病毒分析 1 病毒的啟動方法 感染mbr 以獲得凌駕於作業系統的啟動權 hoo...
鬼影病毒分析報告
鬼影病毒分析報告 一 鬼影病毒概述 這是乙個 恢復核心鉤子 感染磁碟引導區 mbr 多種方法結束防毒軟體等 技術自啟動並對抗防毒軟體。完全感染後,是乙個看不到可疑檔案 沒有啟動項 普通重灌系統也無法解決的頑固病毒。二 鬼影病毒分析 1 病毒的啟動方法 感染mbr 以獲得凌駕於作業系統的啟動權 hoo...
發布「燈泡男」病毒分析報告
曾有朋友懷疑 燈泡男 是 熊貓燒香 作者的新作品,特徵是圖示為乙個男生頭像,眼睛象燈泡。會繼續關注這個病毒的進展。以下是分析報告 病毒名 win32.wizardboy.a.48411 威脅級別 中文名稱 神奇小子 病毒別名 病毒型別 win32病毒 病毒簡介 這是乙個感染型病毒,感染擴充套件名為....