现在很多朋友仍然在使用管理员账号密码为空的系统,这样就为黑客制造了可乘之机,其中系统自带的WMI是最方便的入侵通道。WMI(Windows管理规范)作为一项Windows管理技术,方便用户对计算机进行远程管理。但是它的易用性也导致了系统的安全性大幅下降。让用户的电脑除了自己账号密码的保护外再没有什么安全保护措施。本期我们就向大家介绍“菜鸟”级的黑客都可以轻易利用的入侵通道——WMI(Windows管理规范)。
小知识:什么是WMI?
WMI是一项核心的Windows管理技术,WMI作为一种规范和基础结构,通过它可以访问、配置、管理和监视几乎所有的Windows资源,比如用户可以在远程计算机器上启动一个进程;设定一个在特定日期和时间运行的进程;远程启动计算机;获得本地或远程计算机的已安装程序列表;查询本地或远程计算机的Windows事件日志等等。
本质善良的WMI
从WMI本来的功能看,它是为了让计算机的管理更容易,同时方便管理员远程操作系统而产生的,那么它又怎么会为“菜鸟”级的入侵者提供方便呢?
一般情况下,在本地计算机上执行的WMI操作也可以在远程计算机上执行,只要用户拥有该计算机的管理员权限。如果用户对远程计算机拥有权限并且远程计算机支持远程访问,那么用户就可以连接到该远程计算机并执行拥有相应权限的操作。WwW.ItComputER.COm.cN
WMI能够成为远程控制下的一个合法通道,有了这个通道,入侵者不需要对自己进行伪装,不必再为探测出对方账号的密码为空后,找不到连接对方系统的通道而发愁。只要进行简单几个步骤就可以轻易地入侵到别人的电脑中。下面,我们就来看看,到底该如何利用WMI通道。
WMI被利用为虎作伥
前面介绍了WMI的原理,下面我们实际了解下,如何通过WMI进行入侵。在网上,有很多利用WMI的小工具,这里我们就以rots.vbs工具进行简单的演示,看一个“菜鸟”黑客如何轻易地入侵。
1.扫描135端口
要寻找可以通过WMI入侵的远程计算机,只要对135端口进行扫描就可以了。因为WMI服务默认打开的就是135端口。我们本次实例采用的是NTscan扫描工具,因为它不但可以对IPC$、SMB、WMI这些信息进行扫描,同时还可以对扫描到的远程账户进行弱口令猜测,功能相对来说比较强大。
运行NTscan,在程序窗口的“配置”区域中进行设置。首先在“起始IP”和“结束”选项中输入扫描的IP地址范围,接着选择“WMI扫描”选项,并且在“扫描打开端口的主机”选项后输入“135”,最后点击“开始”按钮就开始进行扫描(如图)。
什么是溢出 什么是溢出?系统漏洞可谓是层出不穷,尽管我们在系统的安全上都下了不少功夫,比如及时安装系统安全补丁和进行一些常规的安全配置,但是仍然不可能将所有的入侵者都挡在系统之外。下面就为大家讲一下用最简单、最有效的方法来防范系统溢出,以及本地提升权限。www.sq120.com推荐文章
黑客通常在溢出得到Shell后,会使用诸如net.exe、、user.exe、query.exe、regedit.exe、regsvr32.exe等系统自带的命令来达到进一步控制服务器的目的。这里我们可以将这些命令程序删除或者改名(注意:在删除或改名时,应该先停掉文件复制服务或者先将 %windir%/system32/dllcache/下的对应文件删除或改名,以免被系统自动还原)。
如果你觉得上面那样做太麻烦,可以在注册表中修改禁用命令提示符。通过修改注册表,可以禁止用户使用命令提示符和运行批处理文件。具体方法为,在注册表中找到键根HKEY_CURRENT_USER/Software/Policies/ Microsoft/Windows/System/,然后新建一个名为“DisableCMD”的双字节(REG_DWORD)键,并将其键值修改为1,这样命令提示符和批处理文件就都不能被运行。键值修改为2,则只是禁止命令提示符的运行,反之将键值改为0,则表示可以执行命令提示符和批处理文件。
什么是宏病毒 由于宏病毒经常在办公软件Office中出现,给广大用户造成不小的损失。笔者发现,通过以下三招可以远离宏病毒(本文以Word为例)。
第一招:设置宏安全级别
打开Word,选择“工具→选项→安全性→宏安全性”命令。这样就打开了宏的安全级别属性设置选项,将安全级别由默认的“高”修改为“非常高”,最后单击“确定”即可。这样可以防止除Word默认的宏以外的其他宏运行。
第二招:运行宏病毒自动提示
打开Word,选择“工具→选项→安全性→宏安全性”命令,单击“可靠发行商”标签,取消选择“信任所有安装的加载项和模板”复选框,然后单击“确定”即可。这样当打开含有宏的Word文档时,就会提示宏已被禁止。当然,也可能让正常的宏使用受到限制。
第三招:卸载VBA彻底预防宏病毒
VBA全称是Visual Basic for Application,它是Microsoft Visual Basic 的宏语言版本。用于Windows应用程序的宏。是Word中宏的支持工具包,一旦禁用此包,一些自定义模板和所有的宏将不可用。
具体方法:双击“控制面板”中的“添加/删除程序”图标,找到Microsoft Office的安装项,单击“更改”按钮,选择“添加或删除功能”选项后,单击“下一步”按钮,在弹出来的窗口选“选择应用程序的高级自定义”复选框,再单击“下一步”按钮,这样,就可以选择删除该工具包。
在打开的Office程序及附加内容和工具中单击“Office共享功能”前的加号,找到“Visual Basic for Application”,单击前面的驱动器图标,选择“不安装”按钮即可。
经过以上三招,宏病毒将会远离你的Office了,这里是以Word为例介绍的,其实对Excel也同样适用。
From:http://www.itcomputer.com.cn/Article/Network/201309/981.html