C盘几种重要文件的完全备份
当按上述方法共享一个文件或驱动器后,系统自动改写注册表中相关项。现在,请你运行regedit命令,打开注册表,找到下面的子键:hkey_local_machine\software\microsoft\windows\currentversion\network\lanman,该键有共享驱动器或文件的控制信息。假设我们共享了一个share文件夹,则在屏幕的右边,你可以看见下面的内容:
flags:共享标志
parmlenc:经过加密后的完全共享密码
parm2enc:经过加密后的只读共享密码
path:共享的实际目录
remark:用户共享说明
type:类型属性
用户访问共享资源时,根据不同的情况拥有不同的访问权限。在使用资源时,密码不区分大小写,且 长不超过8位。在设置共享名时如果多加一个字符“$”,则只有知道此共享名的人具有对此目录的访问权限。以上5种共享,在设置之后,目录图标会发生变化,变成一个具有一只托手的图标。
由以上分析可知,共享分类完全是由flags标志决定的,经分析键值的二进制数值结构,总结出:当flags=0x302时,重新启动系统,目录共享标志消失,表面上看没有共享,实际上该目录正处于完全共享状态。网上流行的共享蠕虫,就是利用了此特性。如果把"flags"=dword:00000302改成"flags"=dword:00000402就可以看到硬盘被共享了,明白了吗?秘密就在这里!
你可能觉得奇怪,即然对方和自己都看不见这个共享目录,那到底怎么使用呢?其实方法也很简单的,因为在网上邻居里是看不见的,所以我们需要到dos方式下去使用。命令如下:net use 〈映射的盘符〉 \对方的ip对方的硬盘盘符$,例如:net use x:\192.168.0.2 d$,执行完这个命令以后,就将对方(192.168.0.2)的d盘映射成自己的x盘了。你就可以象使用c盘d盘那样使用x盘了,当你切换到x盘后,对x盘所进行的操作,实际上就是对方的d盘进行操作。
为防止共享蠕虫等黑客软件,我们可以把windows\system\下面的vserver.vxd(microsoft网络上的文件与打印机共享,虚拟设备驱动程序)删掉,再把hkey_local_machine\system\currentcontrolset\services\vxd\下的vserver键值删掉,就可以永绝这类共享蠕虫的后路。
parmlenc、parm2enc属性项是加密的密码,系统在加密时采用了8位密码分别与“35 9a 4b a6 53 a9 d4 6a”进行异或运算,要想求出密码再进行一次异或运算,然后查ascii表可得出目录密码。由此,大家不难看出,共享密码是非常脆弱的,只要有人有机会接触你的电脑,你的共享密码就不保了。不仅如此,现在有许多软件可以破解共享密码,如著名的pqwak就可以破解共享密码(http://www.cners.com/tools/pqwak.exe)!
运行pqwak,出现图示窗口(图6)。在“nbmame”栏中输入nbtstat命令中显示的netbios name,在“share”栏中输入受密码保护的共享文件夹名,在“ip”栏里输入那个需要访问密码的主机的ip地址, 后设置“delay”值,此时就要看你的连接方式了,如果你用的是56k的小猫,那么建议你把delay设置在1000-2000之间,如果你用adsl的话,建议输入800-900之间一值。pqwak运算完成后返回到受密码保护的共享文件夹,双击它,当提示要网络密码时,将pqwak里的密码拷贝下来,再粘贴到密码对话框,然后你就可以……注意:如果你运行pqwak后出现“the password is a 'or the password is wrong”,请将delay数值调高。
结束语
windows系统密码不安全的另外一个原因,就是在设定密码时是没有任何限制的,即可以将任何长度任何字符设为密码。这样会导致用户设置一些不安全的密码。在注册表的hkey_local_machine\software\microsoft\windows\currentversion\policies下新建一个名为“alphanumpwds”的双字节值并设置键值为“1”,可以强制用户设定的密码必须包含字母和数字;在hkey_local_machine\software\microsoft\windows\currentversion\policies\network下新建一个名为“minpwdlen”的二进制值,该键值控制windows中密码长度的 小值。通过更改这两个键值可以使得你的windows密码更安全些,大家不妨试试看。
