nbtscan使用命令.docVIP

nbtscan使用命令网络入侵者通常采取的第一步是通过端口扫描程序扫描目标机或网络。令人吃惊的是，以目标机的开放端口为基础对网络进行的攻击是多么的有条不紊。您应该清楚，除了Unix机外，这是NT机显示不同开放端口的标准。网络入侵者懂得查看端口扫描程序，并通过相当准确的结果来断定它是一台NT机还是一台Unix机。当然也有一些例外，但一般情况下都能这样做。最近，业界发布了几个用来远程鉴别机器的工具，但该功能目前还不能用于NT。 当攻击基于NT的网络时，NetBIOS往往是首选的攻击对象。因此，NetBIOS就成为本文中第一个要探讨的重要课题。用NetBIOS进行信息收集相当容易，虽然要花费一点时间。etBIOS一般被看作是开销，很大的大容量协议，速度往往很慢，这也就是要耗费时间的原因。如果端口扫描程序报告端口139在目标机上是开放的，那么接下来就是一个很自然的过程。第一步是发出NBTSTAT命令。 NBTSTAT命令可以用来查询涉及到NetBIOS信息的网络机器。另外，它还可以用来消除NetBIOS高速缓存器和预加载LMHOSTS文件。这个命令在进行安全检查时非常有用。用法：nbtstat -a RemoteName -A IP_address -c -n -R -r -S-sinterval参数-a列出为其主机名提供的远程计算机名字表。-A列出为其IP地址提供的远程计算机名字表。-c列出包括了IP地址的远程名字高速缓存器。-n列出本地NetBIOS名字。-r列出通过广播和WINS解析的名字。-R消除和重新加载远程高速缓存器名字表。-S列出有目的地IP地址的会话表。-s列出会话表对话。NBTSTAT生成的列标题具有以下含义：Input接收到的字节数。Output发出的字节数。In/Out无论是从计算机（出站）还是从另一个系统连接到本地计算机（入站）。Life在计算机消除名字表高速缓存表目前“度过”的时间。Local Name为连接提供的本地NetBIOS名字。Remote Host远程主机的名字或IP地址。Type一个名字可以具备两个类型之一：unique or group在16个字符的NetBIOS名中，最后一个字节往往有具体含义，因为同一个名可以在同一台计算机上出现多次。这表明该名字的最后一个字节被转换成了16进制。StateNetBIOS连接将在下列“状态”（任何一个）中显示：状态含义：Accepting: 进入连接正在进行中。Associated: 连接的端点已经建立，计算机已经与IP地址联系起来。Connected: 这是一个好的状态！它表明您被连接到远程资源上。Connecting: 您的会话试着解析目的地资源的名字-IP地址映射。Disconnected: 您的计算机请求断开，并等待远程计算机作出这样的反应。Disconnecting: 您的连接正在结束。Idle: 远程计算机在当前会话中已经打开，但现在没有接受连接。Inbound: 入站会话试着连接。Listening: 远程计算机可用。Outbound: 您的会话正在建立TCP连接。Reconnecting: 如果第一次连接失败，就会显示这个状态，表示试着重新连接下面是一台机器的NBTSTAT反应样本：C:nbtstat CA x.x.x.xNetBIOS Remote Machine Name TableName Type Status-DATARAT UNIQUE RegisteredR9LABS GROUP RegisteredDATARAT UNIQUE RegisteredDATARAT UNIQUE RegisteredGHOST UNIFQUE RegisteredDATARAT UNIQUE RegisteredMAC Address = 00-00-00-00-00-00您通过下表能掌握有关该机器的哪些知识呢？名称编号类型的使用：00 U 工作站服务01 U 邮件服务_MSBROWSE_ 01 G 主浏览器03 U 邮件服务06 U RAS服务器服务1F U NetDDE服务20 U 文件服务器服务21 U RAS客户机服务22 U Exchange Interchange23 U Exchange Store24 U Exchange Directory30 U 调制解调器共享服务器服务31 U 调制解调器共享客户机服务43 U SMS客户机远程控制44 U SMS管理远程控制工具45 U SMS客户机远程聊天46 U SMS客户机远程传输4C U DEC Pathworks TCP/IP服务52 U DEC Pathworks TCP/IP服务87 U Exchange MTA6A U Exchange IMCBE U网络监控代理 =版权所有 软件下载 学院 版权所有BF U网络监控应用03 U邮件服务00 G域名1B U域主浏览器1C G域控制器1D U主浏览器1E G浏览器服务选择1C G Internet信息服务器00 U Internet信息服务器2B U Lotus Notes服务器IRISMULTICAST 2F G Lotus NotesIRISNAMESERVER 33 G Lotus NotesForte_$ND800ZA 20 U DCA Irmalan网关服务Unique (U): 该名字可能只有一个分配给它的IP地址。在网络设备上，一个要注册的名字可以出现多次，但其后缀是唯一的，从而使整个名字是唯一的。Group (G): 一个正常的群；一个名字可以有很多个IP地址。Multihomed (M): 该名字是唯一的，但由于在同一台计算机上有多个网络接口，这个配置可允许注册。这些地址的最大编号是25。Internet Group (I): 这是用来管理WinNT域名的组名字的特殊配置。Domain Name (D): NT 4.0提供的新内容。网络入侵者可以通过上表和从nbtstat获得的输出信息开始收集有关您的机器的信息。有了这些信息，网络入侵者就能在一定程度上断定有哪些服务正在目标机上运行，有时也能断定已经安装了哪些软件包。从传统上讲，每个服务或主要的软件包都具有一定的脆弱性，因此，这一类型的信息 对网络入侵者当然有用outlook express的0x8007007E,126错误,导致MSOE.DLL无法初始化.症状： 无法启动OutlookExpress。应用程序无法打开OutlookExpress邮件箱。计算机内存不足或磁盘已满。请与Microsoft支持部门联系以获取更多的帮助。（0x8007007E,126）点击确定后，又弹出一个警告对话框：MSOE.DLL无法初始化，OutlookExpress无法启动。OutlookExpress可能没有正确安装.分析：1、 该问题有可能是OE的磁盘本身已经满了，如果满了，请注意转移和清理，在转移文件前,请把OE里的邮件位置换个地方,以免邮件丢失. 2、 注册表被修改了，部分DLL文件或者你曾经修改注册表或者使用优化软件将系统的默认软件安装位置X:Program Files.解决方式： A. 运行注册表：regedit .HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion”，将右边窗口中的 ProgramFilesDir字符串值修改为我们想要的路径.看ProgramFilesDir 值是否为X:Program FilesOutlook Express.X为系统安装路径. B.试运行命令,启动dll文件. 1、 regsvr32inetcomm.dll . 2、 regsvr32 C:Program FilesCommon FilesSystemadomsado15.dll 3、 regsvr32 C:Program FilesCommon FilesSystemadomsadox.dll C.重新安装IE6.0进行修复,不过在修复前请最好备份好你的邮件。1.點選開始/執行，輸入”regedit”2.点选下面的位置HKEY_CLASSES_ROOTCLSID4A16043F-676D-11d2-994E-00C04FA309D4InprocServer32 3.檢視右邊視窗, 雙擊 (預設值) 4.請修改(預設值) 路徑為 %ProgramFiles%Common FilesSystemdirectdb.dll 5.修改後,請關閉登錄編輯器視窗即可出现找不到 （或无法加载）M