IPC$入侵--远程磁盘映射.doc

IPC$入侵：远程磁盘映射 IPC$介绍： IPC$是Windows系统特有的一项管理功能，是微软公司为了方便用户使用计算机而设计的，主要用来远程管理计算机的。 但事实上使用这个功能的黑客可以通过建立IPC$连接与远程主机实现通信和控制。 通过IPC$连接的建立，黑客能够做到： 1 建立、拷贝、删除远程计算机文件； 2 在远程计算机上执行命令。 远程文件操作： 相关知识 什么是IPC IPC是英文Internet Process Connection的缩写，可以理解为“命名管道”资源，它是Windows操作系统提供的一个通信基础，用来在两台计算机进程之间建立通信连接。 而IPC后面的“$”是Windows系统所使用的隐藏符号，因此“IPC$”表示IPC共享，但是是隐藏的共享。 IPC$是Windows NT及Windows 2000/XP/2003特有的一项功能，通过这项功能，一些网络程序的数据交换可以建立在IPC上面，实现远程访问和管理计算机。打个比方，IPC连接就像是挖好的地道，通信程序就通过这个IPC地道访问目标主机。 默认情况下IPC是共享的，除非手动删除IPC$。 通过IPC$连接，入侵者就能够实现远程控制目标主机。因此，这种基于IPC的入侵也常常被简称为IPC入侵。 Windows操作系统的默认共享 为了配合IPC共享工作，Windows操作系统（不包括Windows 98系列）在安装完成后，自动设置共享的目录为：C盘、D盘、E盘、ADMIN目录（C:\WINNT\）等，即为ADMIN$、C$、D$、E$等等，但要注意，这些共享是隐藏的，只有管理员能够对他们进行远程操作。 演示：在MS-DOS中键入“net share”命令来查看本机共享资源。 如何消除默认共享？ DOS命令 下面介绍几个比较基础DOS命令，这些都是DOS中经常使用的命令。 DIR命令： 列出当前路径下的文件，常常用来查看想要找的文件是否在该路径下。 CD命令： 进入指定的目录。比如，想进入E盘中的CODE文件夹，则在E:\下键入“CD CODE”命令。 net命令 net user：系统账号类操作； net localgroup：系统组操作 net use：远程连接、映射操作 net send：信使命令 net time：查看远程主机系统时间 cls命令：清屏命令。 netstat -n命令：查看本机网络连接状态 nbtstat -a IP命令：查看指定IP主机的NetBIOS信息。 黑客实例：远程磁盘映射 下面用实例来介绍如何建立和断开IPC$连接，看看入侵者是如何将远程磁盘映射到本地的。 条件： 通过IPC$连接进行入侵的条件是已获得目标主机管理员账号和密码。 步骤一：单击“开始”→“运行”，在“运行”对话框中键入“CMD”命令，如图所示。 步骤二：建立IPC$连接。 使用命令：net use \\IP\IPC$ PASSWD /USER: ADMIN与目标主机建立IPC$连接。 参数说明： ? IP：目标主机的IP。 ? IPC$：前面已经介绍过。 ? PASSWD：已经获得的管理员密码。 ? ADMIN：已经获得的管理员账号。 开始键入命令 net use \\222.200.1.191\ipc$ /user:administrator。 如图所示。 步骤三：映射网络驱动器。 使用命令：net use z: \\222.200.1.191\c$ 参数说明： “\\222.200.1.191\c$”表示目标主机222.200.1.191上的C盘，其中“$”符号表示隐藏的共享。 “z:”表示将远程主机的C盘映射为本地磁盘的盘符。 该命令表示把222.200.1.191这台目标主机上的C盘映射为本地的Z盘，如图所示。 映射成功后，打开“我的电脑”，会发现多出一个Z盘，上面写着“C$位于222.200.1.191上”，该磁盘即为目标主机的C盘，如图所示。 步骤四：查找指定文件。 用鼠标右键单击Z盘，在弹出菜单中选择“搜索”，查找关键字“自己定”，等待一段时间后，会得到的结果。 然后将文件拷贝、粘贴到本地磁盘，其拷贝、粘贴操作就像对本地磁盘进行操作一样。 步骤五：断开连接。 先 net use 查看所有IPC$连接。 键入“net use * /del”命令断开所有IPC$连接，如图所示。 参数说明： “*”表示所有的连接。 “/Del”表示删除。 通过命令net use \\目标IP\ipc$ /del可以删除指定目标IP的IPC$连接。 心得体会： 发生系统错误1219解决对策： net use 查看当