第4章查点技术.pptVIP

第4章 查点技术 4.1 Windows系统查点技术 4.2 UNIX类系统查点技术 4.3 小结 4.1 Windows系统查点技术 4.1.1 NetBIOS简介 在入侵Windows系统时，首当其冲的就是NetBIOS协议。如果我们扫描目标系统的139号端口以后发现它是开放的，那么我们就可以利用NetBIOS协议来收集信息，而且这种收集方法非常简单(/windows_nt_wardoc.htm)。 NetBIOS是网络基本输入/输出系统(Network Basic Input/Output System)的缩写，它定义了一个软件接口，非常类似于API编程，提供标准方法用于提供和使用各种网络服务。NetBIOS给程序提供了请求底层服务所需的统一命令集，这些服务包括名字管理、会话执行和节点之间的数据传输。 需要注意的是，尽管NetBIOS不是一种协议，但它确实有一套命名的规则——计算机、工作组、域、用户和其他服务的命名。 NetBIOS的名字空间是平面结构，而不是像DNS那样的层次结构，因此在某个特定的网络内所有的名字必须惟一。NetBIOS名字的长度为16个字节，最后一个字节被保留，用于表示名字所注册的服务。如果名字长度小于15个字节，则剩余用空格填充。例如，注册到信使服务(Messenger Service)的NetBIOS名字SATURN其十六进制表示形式为 53 41 54 55 52 4E 20 20 20 20 20 20 20 20 20 03 注意到最后一个字节为03，这表示这个名字所注册服务为信使服务。后面我们会讨论其他可能的值。“*”是一个特殊的NetBIOS名字，可以用作NetBIOS名字查询时所使用的通配符。 NetBIOS名字可以注册为Unique (U)，表示此名字属于单个属主，例如，一台计算机或者一个用户的名字；也可以注册为Group (G)，表示工作组(Workgroup)或域(Domain)的名字。 当客户希望使用服务器提供某种服务时，就必须使用NetBIOS名字查询来定位所需的资源。这就需要把NetBIOS名字解析成IP地址，然后才能进行相互通信。这种解析有很多种方法，但是这个名字必须是已经注册的。 NetBIOS名字的惟一性决定了不允许用户和计算机注册相同的名字，否则将会出现大规模的网络混乱。RFC1000和1001提出了四种不同类型的NetBIOS客户的名字注册和名字解析方法，它们分别是B-节点(B-nodes，广播方式)，P-节点(P-nodes，对等方式)，M-节点(M-nodes，混合方式)和H-节点(H-nodes，混合方式)。 一台B-节点主机将尝试广播UDP数据报来注册其NetBIOS名字。这样本地网段的任何一台主机都会收到这个注册请求，并检查该名字是否已经被注册。如果没有主机对该请求进行应答，就表示所声明的名字是可以注册的，否则名字注册过程将失败。如果一台B-节点主机希望通过NetBIOS所提供的服务来和其他主机通信，那么它会发送广播消息以获得目的主机IP地址所对应的注册名字。 微软系统引入了一种加强的B-节点，它利用一个LMHOSTS配置文件(类似于UN*X风格的HOSTS文件)来实现主机名字同IP地址的映射。LMHOSTS提供了一种静态方法来解析NetBIOS名字。 一台P-节点主机则依赖于NetBIOS名字服务器(NT系统的WINS)来检查名字注册的有效性以及名字的查询。发送请求的主机同服务器联系，然后试图注册其名字。名字服务器会检查本地已注册的NetBIOS名字数据库，如果没有发现该名字，服务器再发送广播消息，以确定该名字是否正在使用。如果没有收到应答信息，名字服务器将注册该名字。 一个M-节点是前面两种方式的组合。它首先使用广播消息，如果失败再求助于NetBIOS名字服务器。 第四种类型是H-节点。一个H-节点同M-节点类似，但它首先同WINS服务器联系，如果失败再发送广播报文。 例如，NT系统下的H-节点把一个NetBIOS名字解析为一个IP地址的顺序是： (1) 检查NetBIOS名字缓存； (2) 联系WINS服务器； (3) 发送本地广播； (4) 检查LMHOSTS文件； (5) 检查HOSTS文件； (6) 联系DNS服务器。 名字注册是在系统引导时完成的。要察看本地注册的NetBIOS名字，可以使用nbtstat命令： nbtstat -n 名字注册以后，它们被注册到特定服务。下表给出了一些常用的可以注册的服务以及相应的十六进制代码，如表4-1所示。 互联网使用TCP/IP协议来进行网络之间的通信。NetBIOS位于TC