IPC$入侵--远程磁盘映射.doc

IPC$入侵：远程磁盘映射IPC$介绍：IPC$是Windows系统特有的一项管理功能，是微软公司为了方便用户使用计算机而设计的，主要用来远程管理计算机的。但事实上使用这个功能的黑客可以通过建立IPC$连接与远程主机实现通信和控制。通过IPC$连接的建立，黑客能够做到：1 建立、拷贝、删除远程计算机文件；2 在远程计算机上执行命令。远程文件操作：相关知识什么是IPCIPC是英文Internet Process Connection的缩写，可以理解为“命名管道”资源，它是Windows操作系统提供的一个通信基础，用来在两台计算机进程之间建立通信连接。而IPC后面的“$”是Windows系统所使用的隐藏符号，因此“IPC$”表示IPC共享，但是是隐藏的共享。IPC$是Windows NT及Windows 2000/XP/2003特有的一项功能，通过这项功能，一些网络程序的数据交换可以建立在IPC上面，实现远程访问和管理计算机。打个比方，IPC连接就像是挖好的地道，通信程序就通过这个IPC地道访问目标主机。默认情况下IPC是共享的，除非手动删除IPC$。通过IPC$连接，入侵者就能够实现远程控制目标主机。因此，这种基于IPC的入侵也常常被简称为IPC入侵。Windows操作系统的默认共享为了配合IPC共享工作，Windows操作系统（不包括Windows 98系列）在安装完成后，自动设置共享的目录为：C盘、D盘、E盘、ADMIN目录（C:WINNT）等，即为ADMIN$、C$、D$、E$等等，但要注意，这些共享是隐藏的，只有管理员能够对他们进行远程操作。演示：在MS-DOS中键入“net share”命令来查看本机共享资源。 如何消除默认共享？DOS命令下面介绍几个比较基础DOS命令，这些都是DOS中经常使用的命令。DIR命令：列出当前路径下的文件，常常用来查看想要找的文件是否在该路径下。CD命令：进入指定的目录。比如，想进入E盘中的CODE文件夹，则在E:下键入“CD CODE”命令。net命令net user：系统账号类操作；net localgroup：系统组操作net use：远程连接、映射操作net send：信使命令net time：查看远程主机系统时间cls命令：清屏命令。netstat -n命令：查看本机网络连接状态nbtstat -a IP命令：查看指定IP主机的NetBIOS信息。黑客实例：远程磁盘映射下面用实例来介绍如何建立和断开IPC$连接，看看入侵者是如何将远程磁盘映射到本地的。条件：通过IPC$连接进行入侵的条件是已获得目标主机管理员账号和密码。步骤一：单击“开始”“运行”，在“运行”对话框中键入“CMD”命令，如图所示。步骤二：建立IPC$连接。使用命令：net use IPIPC$ PASSWD /USER: ADMIN与目标主机建立IPC$连接。参数说明： IP：目标主机的IP。 IPC$：前面已经介绍过。 PASSWD：已经获得的管理员密码。 ADMIN：已经获得的管理员账号。开始键入命令net use 222.200.1.191ipc$ /user:administrator。如图所示。步骤三：映射网络驱动器。使用命令：net use z: 222.200.1.191c$参数说明： “222.200.1.191c$”表示目标主机222.200.1.191上的C盘，其中“$”符号表示隐藏的共享。 “z:”表示将远程主机的C盘映射为本地磁盘的盘符。该命令表示把222.200.1.191这台目标主机上的C盘映射为本地的Z盘，如图所示。映射成功后，打开“我的电脑”，会发现多出一个Z盘，上面写着“C$位于222.200.1.191上”，该磁盘即为目标主机的C盘，如图所示。步骤四：查找指定文件。用鼠标右键单击Z盘，在弹出菜单中选择“搜索”，查找关键字“自己定”，等待一段时间后，会得到的结果。然后将文件拷贝、粘贴到本地磁盘，其拷贝、粘贴操作就像对本地磁盘进行操作一样。步骤五：断开连接。先 net use 查看所有IPC$连接。键入“net use * /del”命令断开所有IPC$连接，如图所示。参数说明： “*”表示所有的连接。 “/Del”表示删除。通过命令net use 目标IPipc$ /del可以删除指定目标IP的IPC$连接。心得体会：发生系统错误1219解决对策：1. net use 查看当前的连接情况2. net use IP服务器IPC$ /del3. 在重新建立IPC$连接。发生系统错误67解决对策：1. 关闭防火墙2. 开启139和445端口139：netBIOS（启用）445