沙場初點兵:Support Tools的“廬山真面目”
這些工具必須用Windows安裝CD手工安裝。安裝結束,大部分工具可以用雙擊C:Program FilesSupport Tools文件夾中的exe文件方式啟動,有些則必須使用命令行參數控制,輸入某個工具的程序名稱后再加上“/?”參數就可以獲得命令行參數的清單及其用途說明。打開\Program Files\Support Tools文件夾,雙擊hlp文件或doc文件就可以查看其內容,同時還可以閱讀Support Tools的幫助文檔。
我們可以舉幾個例子看看Support Tools的豐富功能:應用程序監視器Apimon.exe可以對所有的函數調用進行計數、計時,并能監視頁面失效錯誤;磁盤探測器Dskprobe.exe可直接訪問、編輯、保存和復制硬盤驅動器的各個區域,例如它能夠替換硬盤的主引導記錄(MBR)、修復損壞的分區表;Windiff.exe則能夠分析兩個文件或文件夾,比較兩者有哪些差別。面對如此豐富的工具“寶庫”,高手們可能已經心癢了,到底有哪些工具利器呢?
初試牛刀:更加優秀的安全小工具
下面,挑選一些比較實用小巧的工具,這些工具的功能十分實用,比如能夠查看進程,對計算機進行管理,檢測肉雞(注:肉雞就是具有最高管理權限的遠程計算機。)的數據,控制活動目錄等。
二級小標題//查看進程的利器:pviewer.exe
控制一臺肉雞以后,查看其進程已經成為眾多好手們的家常便飯。Pviewer.exe是一個查看進程的理想工具,而且可以輕松查殺本地機上的進程。通過這個工具也能連接遠程機器。
獲得遠程機器的管理員密碼后,建立IPC$連接,然后在pviewer的Computer文本框輸入類似“\IP”的格式就可以查看對方的進程了。但可惜的是不能在本地殺掉遠程機器的進程。不過,通過這個工具可以獲得很多有價值的信息,通過判斷其中的缺陷,即可達到控制對方的目的。如對方是否安裝了防火墻,是否安裝了殺毒軟件以及數據庫或者其他服務等。
第三步:工具啟動后,Node編輯框中會顯示默認的回送地址127.0.0.1;Current OID指的是“當前對象標識符”,標識是Windows系統中用來代表一個對象的數字,每個標識都是整個系統中唯一的,上圖中顯示的值是.1.3.6.1.2.1,也可以把OID理解成MIB管理信息庫中各種信息分類存放樹資源的一個數字標識。Community一項的默認值是public。上面所介紹的這些項目也可選定別的值。下面是一些常用的命令:
snmputil walk ip public .1.3.6.1.2.1.25.4.2.1.2 列出系統進程
snmputil walk ip public .1.3.6.1.4.1.77.1.2.25.1.1 列出系統用戶列表
snmputil get ip public .1.3.6.1.4.1.77.1.4.1.0 列出域名
snmputil walk ip public .1.3.6.1.2.1.25.6.3.1.2 列出安裝的軟件
snmputil walk ip public .1.3.6.1.2.1.1 列出系統信息
