首页 电脑 电脑学堂 查看内容

如何判定管理员是否在线

2004-11-13 04:54 624 0

摘要: 文章作者:紫琦[EST]信息来源:紫琦的blog     随着网络黑客工具的简单化和傻瓜化,越来越多的网络爱好者可以通过现成的攻击工具轻松的入侵主机,然而谁也不想在管理员的眼皮底下做入侵...
关键词: nbsp SYSTEM exe 管理员 登陆 WINNT 端口 winlogon 进程 用户

文章作者:紫琦[EST]信息来源:紫琦的blog     随着网络黑客工具的简单化和傻瓜化,越来越多的网络爱好者可以通过现成的攻击工具轻松的入侵主机,然而谁也不想在管理员的眼皮底下做入侵,所以在入侵成功以后,一个很重要的事情是:你能不能确认你的行为在别人的监视之下?所以我们首先要知道管理员是不是现在正在你入侵的主机上?如何判定管理员在线,我们要知道的是管理员是通过什么方式管理主机的:是pcanywhere、vnc、DameWar、终端服务、ipc、telnet还是本地登陆··· 一、对于用第三方的控屏工具(pcanywhere、vnc、DameWar等),你只要看相应端口有没有状态为"ESTABLISHED"的连接。一个netstat -an就可以知道,如果想查看与端口相关的进程,使用Fport.exe就可以了。比如我们在一台主机上使用netstat -an发现如下的信息:Active Connections Proto Local Address       Foreign Address     State TCP   lin:1755           lin:telnet         ESTABLISHEDTCP   lin:1756           lin:netbios-ssn     ESTABLISHEDTCP   lin:1758           202.103.243.105:http   TIME_WAITTCP   lin:1764           202.103.243.105:http   TIME_WAITTCP   lin:6129           lin:1751           ESTABLISHED 使用Fport.exe得到如下的信息:Pid   Process         Port Proto Path 528   mysqld-nt     -> 3306 TCP   D:\mysql\bin\mysqld-nt.exe1328 DWRCS       -> 6129 TCP   C:\WINNT\SYSTEM32\DWRCS.EXE   ---这个是DameWare Mini Remote Control服务 8   System       -> 138   UDP248   lsass       -> 500   UDP   C:\WINNT\system32\lsass.exe ------从这个可以看出,管理员是通过DameWare Mini Remote Control来管理现在的主机,连接的端口是6129。同样如果管理员使用其他的控屏工具,比如pcanywhere、vnc我们也是可以通过netstat -an查看端口连接的情况。     二、对于从本地或终端服务登陆的,看看有几个winlogon进程,我们可以使用的工具是PSTOOLS的PULIST.EXE,它能够查看本机的所用正在运行的进程。然后单凭有几个winlogon进程也很难判定在线的是不是管理员,因为一般用户和管理员都是通过图形界面登陆的,身份验证都是在GINA(GINA - Graphical Identification andAuthentication图形标识和身份验证)中进行,而GINA又和Winlogon进程紧密相关,所以查看有几个winlogon进程只能知道当前有几个用户登陆主机。这个办法也是给一个参考而已吧,给一个例子,这样应该好理解一点:在主机上运行pulist.exe(至于如何才能在主机上运行pulist.exe,我想这个问题也不用说了吧),进程情况:PID   Path0     [Idle Process]8     [System]160   \SystemRoot\System32\smss.exe184   \??\C:\WINNT\system32\csrss.exe208   \??\C:\WINNT\system32\winlogon.exe                 ----这个680   C:\WINNT\System32\svchost.exe404   C:\WINNT\Explorer.EXE1088   \??\C:\WINNT\system32\csrss.exe1084   \??\C:\WINNT\system32\winlogon.exe                 ----还有这个     在这个上面我们发现了有二个的winlogon.exe,就可以知道目前有2个用户通过本地或终端服务登陆主机,结合上面说的判定方法,使用netstat 查看TCP端口连接: Num LocalIP       Port   RemoteIP       PORT   Status 10   192.168.0.1     3389   192.168.2.1     1071   Established     ----终端的 可以看出使用的是终端3389连接。   三、对于用telnet登陆的,telnet的登陆不是通过winlogon来管理的,还是看相应端口的连接吧,我们知道的是一般情况下telnet使用23端口连接,通过netstat -an可能很清楚的看出23端口有没有打开:C:\>netstat -an Active Connections Proto Local Address       Foreign Address     State TCP   127.0.0.1:23       127.0.0.1:1030       ESTABLISHEDTCP   127.0.0.1:1030       127.0.0.1:23       ESTABLISHED我们也可以通过上面的方法查看相应的进程,比如我们使用FPORT.EXE是得到如下的信息:E:\HACK>fportFPort v2.0 - TCP/IP Process to Port MapperCopyright 2000 by Foundstone, Inc.http://www.foundstone.com Pid   Process         Port Proto Path660   inetinfo     -> 21   TCP   C:\WINNT\System32\inetsrv\inetinfo.exe1112 tlntsvr     -> 23   TCP   C:\WINNT\system32\tlntsvr.exe660   inetinfo     -> 80   TCP   C:\WINNT\System32\inetsrv\inetinfo.exe416   svchost     -> 135   TCP   C:\WINNT\system32\svchost.exe660   inetinfo     -> 443   TCP   C:\WINNT\System32\inetsrv\inetinfo.exe8   System       -> 1028 TCP408   telnet       -> 1030 TCP   C:\WINNT\system32\telnet.exe 从上面的信息可以知道23端口对应的正是telnet服务tlntsvr.exe。   四、通过IPC$管道进行管理,这个可以通过WINDOWS NT系统内置的工具NET SESSION,它的作用是列出或断开连接本地计算机和与它连接的客户之间的会话。 下面给出一个结果:E:\HACK>net session 计算机           用户名         客户类型     打开空闲时间 -------------------------------------------------------------------------------\\LIN             LINYUN           Windows 2000 2195   0 00:08:47 命令成功完成。 从这个上面我们就可以看出当前有一个用户名为LIYUN的用户登陆主机LIN。在这里给大家推荐一个比较好的工具——PSTOOLS里面的psloggedon.exe,它不仅能列出使用IPC$登陆的用户,而且能列出本地登陆的用户。E:\Pstools\Pstools>psloggedon.exe PsLoggedOn v1.21 - Logon Session DisplayerCopyright (C) 1999-2000 Mark RussinovichSysInternals - www.sysinternals.com Users logged on locally:  2003-9-15 14:33:38   LIN\Administrator -----这个是本地登陆的用户administrator Users logged on via resource shares:  2003-9-15 14:41:04   LIN\LINYUN -----这个是使用IPC$连接的用户LINYUN   如何判定管理员是否在线是一个比较深入的话题,上面说的仅仅是提供一个思路,当然了,如果管理员登陆了,却锁定了主机,或者正在运行屏幕保护程序,这一些就都不好说了!有矛必有盾,我们既然能通过各种的方式判定管理员是不是在线,同样,管理员也能通过这样的途径知道自己是否被入侵,从而尽快的查出入侵者,所以请广大的网络爱好者不要以身试法,入侵国内主机。 后记:由于本人的水平有限,关于这个话题的讨论可能有很多不周到的地方,还请各位朋友指点。 
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系 [邮箱地址] 删除

路过

雷人

握手

鲜花

鸡蛋

最新评论

返回顶部