软游教程网-真实软件游戏下载基地
本文目录一览:
LSP本身是DLL,可以将它安装到winsock目录,以便创建套接字的应用程序在不必知道此LSP的任何信息时就能调用它。
运行原理:
套接字创建函数会在winsock目录中寻找第一个合适的协议;
找到后调用此协议的WSPStartup函数,导出该LSP的DLL;
LSP导出的send,recv等函数通过调用下层分层协议或基础协议来完成各种功能。
编写目的:
让用户调用自定义的服务提供者,由自定义的服务提供者调用下层提供者,这样便可以截获所有的winsock调用了。
LSP本身是DLL,导出一些与winsock API相对应的SPI函数(send、recv等)祥碧。winsock库加载该服务提供者时,便调用该服务提供者提供的这些函数来实现winsockAPI。
LSP也是如此,它向上导出所有的SPI函数供 Ws2_32.dll调用,在内部通过调用基础提供者实现这些SPI。
安装LSP:
实现LSP之前,要先将分层提供者安装到winsock目录,安装包括一个WSAPPROTOCOL_INFOW结构,定义了分层提供者的特性和LSP填写链的方式。(也叫做协议入口)
协议链:
协议链描述了 分层提供者 加入winsock的目谨洞举录的顺序。
typedef struct _WSAPROTOCOLCHAIN{
int ChainLen;
DWORD ChainEntries[Max_PROTOCOL_CHAN];
}WSAPROTOCOLCHAIN,*LPWSAPROTOCOLCHAIN;
ChainLen为0:分层协议为1 基础协议大于1 协议链
当ChainLen为0或者1时,ChainEntries数组无意义
大于1时,各个服务提供者的目录ID就包含在数组中。
实现LSP的DLL要么被另一个LSP加载,要么直接被WS2_32.DLL加载。取决于它的位置。
如果LSP没有在协议链的顶端,就会被链中位于它上层的LSP加载,否则的话,将被WS2_32.DLL加载。
安装LSP时,必须在winsock目录中安装两种协议:一个分层协议,一个协议链。
安装分层协议是为了获取winsock库分配的目录ID号,以便在协议链中标识自己的位置。
协议链才是winsock目录中LSP的真正入口,协议链中包含了自己分层协议的目录ID号和下层提供者的目录ID号。
在安装时,要先安装一个分层协议,用系统分配给此分层协议的目录ID和下层提供者的目录ID构建一个 ChainEntries数组,进而构建一个WSAPROTOCOL_INFOW结构,然后再安装这个协议链。
安装函数:
提供LSP GUID DLL WSAPROTOCOL_INFOW结构便可。
int WSCInstallProvider(
const LPGUID lpProviderId,
const LPWSTR lpszProviderDllPath,
const LPWSAPROTOCOL_INFOW lpProtocolInfoList,
DWORD dwNumberOfEntries,
LPINT lpErrno
);
每一个安装提供者需要一个GUID来标识它的入口,颤碧GUID可以通过命令行工具UUIDGEN或者在编程使用UuidCreate函数来生成。
LSP的WSAPROTOCOL_INFOW结构通常从它要分层的下层提供者拷贝
1 szProtocol域要修改,以包含新提供者的名称
2 如果包含XP1_IFS_HANDLES标识,要从dwServiceFlags1域移除。
重新目录排序WSCWriteProviderOrder
新安装的LSP会默认安装到winsock目录的结尾,这样系统调用的时候,还是会调用原先调用的LSP,因此只有进行重新的排序才能让系统调用到新安装的LSP。
总结:
1 安装分层协议入口,以便获取系统分配的目录ID号。
2 安装一个或者多个协议链,安装的数量取决于要分层的下层协议的数量。
3 在结尾进行目录排序。
示例代码:
// InstDemo.cpp
#include Ws2spi.h
#include Sporder.h // 定义了WSCWriteProviderOrder函数
#include windows.h
#include stdio.h
#pragma comment(lib, "Ws2_32.lib")
#pragma comment(lib, "Rpcrt4.lib") // 实现了UuidCreate函数
// 要安装的LSP的硬编码,在移除的时候还要使用它
GUID ProviderGuid = {0xd3c21122, 0x85e1, 0x48f3, {0x9a,0xb6,0x23,0xd9,0x0c,0x73,0x07,0xef}};
LPWSAPROTOCOL_INFOW GetProvider(LPINT lpnTotalProtocols)
{
DWORD dwSize = 0;
int nError;
LPWSAPROTOCOL_INFOW pProtoInfo = NULL;
// 取得需要的长度
if(::WSCEnumProtocols(NULL, pProtoInfo, dwSize, nError) == SOCKET_ERROR)
{
if(nError != WSAENOBUFS)
return NULL;
}
pProtoInfo = (LPWSAPROTOCOL_INFOW)::GlobalAlloc(GPTR, dwSize);
*lpnTotalProtocols = ::WSCEnumProtocols(NULL, pProtoInfo, dwSize, nError);
return pProtoInfo;
}
void FreeProvider(LPWSAPROTOCOL_INFOW pProtoInfo)
{
::GlobalFree(pProtoInfo);
}
// 将LSP安装到UDP协议提供者之上
int InstallProvider(WCHAR *wszDllPath)
{
WCHAR wszLSPName[] = L"TinyLSP"; // 我们的LSP的名称
int nError = NO_ERROR;
LPWSAPROTOCOL_INFOW pProtoInfo;
int nProtocols;
WSAPROTOCOL_INFOW UDPLayeredInfo, UDPChainInfo; // 我们要安装的UDP分层协议和协议链
DWORD dwUdpOrigCatalogId, dwLayeredCatalogId;
// 在Winsock目录中找到原来的UDP协议服务提供者,我们的LSP要安装在它之上
// 枚举所有服务程序提供者
pProtoInfo = GetProvider(nProtocols);
for(int i=0; inProtocols; i++)
{
if(pProtoInfo[i].iAddressFamily == AF_INET pProtoInfo[i].iProtocol == IPPROTO_UDP)
{
memcpy(UDPChainInfo, pProtoInfo[i], sizeof(UDPLayeredInfo));
//
UDPChainInfo.dwServiceFlags1 = UDPChainInfo.dwServiceFlags1 ~XP1_IFS_HANDLES;
// 保存原来的入口ID
dwUdpOrigCatalogId = pProtoInfo[i].dwCatalogEntryId;
break;
}
}
// 首先安装分层协议,获取一个Winsock库安排的目录ID号,即dwLayeredCatalogId
// 直接使用下层协议的WSAPROTOCOL_INFOW结构即可
memcpy(UDPLayeredInfo, UDPChainInfo, sizeof(UDPLayeredInfo));
// 修改协议名称,类型,设置PFL_HIDDEN标志
wcscpy(UDPLayeredInfo.szProtocol, wszLSPName);
UDPLayeredInfo.ProtocolChain.ChainLen = LAYERED_PROTOCOL; // LAYERED_PROTOCOL即0
UDPLayeredInfo.dwProviderFlags |= PFL_HIDDEN;
// 安装
if(::WSCInstallProvider(ProviderGuid,
wszDllPath, UDPLayeredInfo, 1, nError) == SOCKET_ERROR)
return nError;
// 重新枚举协议,获取分层协议的目录ID号
FreeProvider(pProtoInfo);
pProtoInfo = GetProvider(nProtocols);
for(i=0; inProtocols; i++)
{
if(memcmp(pProtoInfo[i].ProviderId, ProviderGuid, sizeof(ProviderGuid)) == 0)
{
dwLayeredCatalogId = pProtoInfo[i].dwCatalogEntryId;
break;
}
}
// 安装协议链
// 修改协议名称,类型
WCHAR wszChainName[WSAPROTOCOL_LEN + 1];
swprintf(wszChainName, L"%ws over %ws", wszLSPName, UDPChainInfo.szProtocol);
wcscpy(UDPChainInfo.szProtocol, wszChainName);
if(UDPChainInfo.ProtocolChain.ChainLen == 1)
{
UDPChainInfo.ProtocolChain.ChainEntries[1] = dwUdpOrigCatalogId;
}
else
{
for(i=UDPChainInfo.ProtocolChain.ChainLen; i0 ; i--)
{
UDPChainInfo.ProtocolChain.ChainEntries[i] = UDPChainInfo.ProtocolChain.ChainEntries[i-1];
}
}
UDPChainInfo.ProtocolChain.ChainLen ++;
// 将我们的分层协议置于此协议链的顶层
UDPChainInfo.ProtocolChain.ChainEntries[0] = dwLayeredCatalogId;
// 获取一个Guid,安装之
GUID ProviderChainGuid;
if(::UuidCreate(ProviderChainGuid) == RPC_S_OK)
{
if(::WSCInstallProvider(ProviderChainGuid,
wszDllPath, UDPChainInfo, 1, nError) == SOCKET_ERROR)
return nError;
}
else
return GetLastError();
// 重新排序Winsock目录,将我们的协议链提前
// 重新枚举安装的协议
FreeProvider(pProtoInfo);
pProtoInfo = GetProvider(nProtocols);
DWORD dwIds[20];
int nIndex = 0;
// 添加我们的协议链
for(i=0; inProtocols; i++)
{
if((pProtoInfo[i].ProtocolChain.ChainLen 1)
(pProtoInfo[i].ProtocolChain.ChainEntries[0] == dwLayeredCatalogId))
dwIds[nIndex++] = pProtoInfo[i].dwCatalogEntryId;
}
// 添加其它协议
for(i=0; inProtocols; i++)
{
if((pProtoInfo[i].ProtocolChain.ChainLen = 1) ||
(pProtoInfo[i].ProtocolChain.ChainEntries[0] != dwLayeredCatalogId))
dwIds[nIndex++] = pProtoInfo[i].dwCatalogEntryId;
}
// 重新排序Winsock目录
nError = ::WSCWriteProviderOrder(dwIds, nIndex);
FreeProvider(pProtoInfo);
return nError;
}
void RemoveProvider()
{
LPWSAPROTOCOL_INFOW pProtoInfo;
int nProtocols;
DWORD dwLayeredCatalogId;
// 根据Guid取得分层协议的目录ID号
pProtoInfo = GetProvider(nProtocols);
int nError;
for(int i=0; inProtocols; i++)
{
if(memcmp(ProviderGuid, pProtoInfo[i].ProviderId, sizeof(ProviderGuid)) == 0)
{
dwLayeredCatalogId = pProtoInfo[i].dwCatalogEntryId;
break;
}
}
if(i nProtocols)
{
// 移除协议链
for(i=0; inProtocols; i++)
{
if((pProtoInfo[i].ProtocolChain.ChainLen 1)
(pProtoInfo[i].ProtocolChain.ChainEntries[0] == dwLayeredCatalogId))
{
::WSCDeinstallProvider(pProtoInfo[i].ProviderId, nError);
}
}
// 移除分层协议
::WSCDeinstallProvider(ProviderGuid, nError);
}
}
int binstall = 0;
void main()
{
if(binstall)
{
if(InstallProvider(L"lsp.dll") == ERROR_SUCCESS)
{
printf(" Install successully n");
}
else
{
printf(" Install failed n");
}
}
else
RemoveProvider();
}
打开CSDN APP,看更多技术内容
分层服务提供者(LSP)_acmumw248662的博客
实现LSP之前,将分层提供者安装到Winsock目录,安装一个LSP包括安装一个WSAPROTOCOL_INFOW结构(协议的入口),让创建套接字的应用程序可以枚举到它. WSAPROTOCOL_INFOW结构:定义了分层提供者的特性和LSP是如何填写"链"的. (1)协议链 LSP和...
继续访问
网络封包过滤之分层服务提供者(LSP)_weixin_41454036的博客
实现LSP之前,将分层提供者安装到Winsock目录,安装一个LSP包括安装一个WSAPROTOCOL_INFOW结构(协议的入口),让创建套接字的应用程序可以枚举到它. WSAPROTOCOL_INFOW结构:定义了分层提供者的特性和LSP是如何填写"链"的. (1) 协议链 LSP...
继续访问
网络封包过滤之分层服务提供者(LSP)(1)
br /开发过滤数据包的LSP程序可以定义过滤规则,恩,先看看br /LSP本身是DLL,可以将它安装至Winsock目录,创建套接字的应用程序不必知道此LSP的任何信息就能调用它br /1. 运行原理 br /用户创建套接字br /1) 套接字创建函数(如socket)在Winsock目录寻找合适的协议br /2) 此协议的提供者导出的函数完成各种功能br /我们的目的:br /1) 将自己编写的提供者安装到Winsock目录中,让用户调用我们的服务提供者br /2)
继续访问
分层服务提供者(LSP)
分层服务提供者(LSP) -分层服务提供者(LSP) 开发过滤数据包的LSP程序可以定义过滤规则,恩,先看看 LSP本身是DLL,可以将它安装至Winsock目录,创建套接字的应用程序不必知道此LSP的任何信息就能调用它 1. 运行原理 用户创建套接字 1) 套接字创建函数(如socket)在Winsock目录寻找合适的协议 2) 此协议的提供
继续访问
LSP分层服务提供者的认识_HIT1180300216的博客
LSP分层服务提供者的认识 LSP本身是DLL,可以将它安装到winsock目录,以便创建套接字的应用程序不必知道此LSP的任何信息就能调用它。 运行原理: 套接字创建函数会在winsock目录中寻找合适的协议
继续访问
网络编程之编写LSP进行Winsock API监控拦截或LSP注入_htpidk的博客-CSD...
二、开始编写LSP分层服务提供者的DLL: 【开始编写】 1、步骤 :创建Win32程序 -- DLL开发 2、新建一个.def文件: EXPORTS WSPStartup @2 【代码步骤分析】 1、网络程序加载LSP分层服务提供者的DLL,并调用了DLL里的WSPStartup初始化函...
继续访问
LSP分层服务提供者管理
用于windows LSP的维护管理 可检测恶意LSP网络拦截程序
LSP分层服务提供程序
包含LSP分层服务提供者过滤DLL源码、LSP安装程序源码、测试程序源码
分层服务提供者LSP
windows 分层服务提供者实现,安装、卸载等管理, 可用于监控网络应用
LSP(分层服务提供程序)
一、简介 LSP即分层服务提供商,Winsock 作为应用程序的 Windows 的网络套接字工具,可以由称为“分层服务提供商”的机制进行扩展。Winsock LSP 可用于非常广泛的实用用途,包括 Internet 家长控制 (parental control) 和 Web 内容筛选。在以前版本的 Windows XP 中,删除不正确的(也称为“buggy”)LSP 可能会导致注册表中的 Win...
继续访问
热门推荐 网络编程之Winsock2 服务提供者接口(SPI)
【1】全称Winsock2 服务提供者接口(SPI): [描述] 1、一般用于提供给操作系统开发商、传输堆栈商在基础协议的基础上,开发更高级的服务. 2、因为[Winsock服务体系]符合[Windows开放服务体系],所以,它支持[第三方服务提供者]插入到其中. 3、只要上层和下层的边缘支持Winsock2 SPI,即可向他们中间安装[提供者程序]. 4、普通开发者一般都是开发SPI的LSP(分层服务提供者),即第三方提供者,可用于监控Winsock API执行,HOOK Winsock API,甚至利
继续访问
安装LSP分层服务的理解
要安装在udp之上.(代码来源网络)1。枚举所有的,找到UDP的入口WSAPROTOCOL_INFOW2。拷备一个WSAPROTOCOL_INFOW到2个变量中,下面安装的的LSP需要分层和协议链WSAPROTOCOL_INFOW inf1,inf23。修改几个必要的字段和标志位4。然后把这个分层服务inf1安装上去5。再一次枚举所有的,找到刚刚安装
继续访问
LSP和Hooks拦截
分层服务提供者(英语:Layered Service Provider,缩写LSP)是一项已被弃用的Microsoft Windows中Winsock2服务提供者接口(SPI)的特性,它也被称为分层服务提供商或分层服务提供程序。 分层服务提供者为使用Winsock API插入本身到TCP/IP协议栈的DLL。在进入协议栈后,分层服务提供者可以拦截和修改入站和出站的互联网流量。它可以处理所有访问...
继续访问
LSP测试代码包含测试和安装程序
LSP安装和拦截函数例子 VS2008工程 LSPDEMO是安装程序 TinyLSP为实现函数
windows LSP 实现及多个lsp兼容安装的几个坑
2019独角兽企业重金招聘Python工程师标准 ...
继续访问
LSP劫持与网络数据转发代理服务器的心得笔记
前言 本文的目标读者是那些对LSP劫持有一定了解,也写了一些lsp程序,并想进一步深研lsp,意图做LSP代理工具的人。 如果读者对LSP没有一点了解,可以参考下面的文章: 网游加速器原理、技术与实现的第5章节 VC++基于LSP实现数据拦截 LSP网络监控 正文 简介: LSP是分层服务代理的英文简写。可以这么理解,windows中任何一个socket连接最终都要调用系统库,如......
继续访问
分层服务提供者
写评论
评论
1
易分享软件库lsp的密码是您在注册时设置的密码。如果您忘记了密码,可以通过找回密码功能来重置密码。
[img]
1、acaddoc.lsp这个文件一般是CAD病毒文件,虽然说是病毒文件,但是对于图纸和软件来说危害不大,文件的特点跟病毒类似。
2、这个文件的危害有亮点,一个是会附着在图纸上,当图纸给发送给文件了,这个文件也一起发送过去了;另一个是会堵塞AutoCAD软件的数据接口,导致其他软件的功能加载到AutoCAD上出现异常。
3、处理这个文件可以打开电脑的搜索,输入acad*.lsp,将搜索出漏散来的文件全部删除,还有一个方法就是使用高版本的AutoCAD软件。
扩展资料:
分类:
按性质和用途分类:系统文件。用户文件。库文件。 按文件的逻辑结构分为:流式文件。记录式文件。 按信息的保存期限分类:临时文件,永久性文件。档案文件。
按文件的物理结构分类:顺序文件。链接文件。返厅氏索引文件。HASH文件。索引顺序文件。 按文件的存取方式:顺序存取文件。随机存取文件。 UNIX系统中文件分类:普通文件。目录文件。特殊文件。在管理信息系统中,文件的分类:
①按文件的用途分类:主文件、处理文件、工作文件、周转文件存放、其他文件。
②按文件的组织方式分类:顺序文件、索引伏碧文件、直接存取文件。
参考资料来源:百度百科-CAD病毒
Netbois (网络基本输入/输出系统)最初由 IBM,Sytek 作为API开发,使用户软件能使用局域网的资源。自从诞生,Netbois成为许多其他网络应用程序的基础。严格意义上,Netbios 是接入网络服务的接口标准。
Netbios 原来是作为THE网络控制器为 IBM 局域网设计的,是通过特定硬件用来和网络操作系统 连接的软件层。Netbios经扩展,允许程序使用Netbios接口来操作IBM令牌环结构。Netbios 已被公认为工业标准,通常参照 Netbios-compatible LANs。
它提供给网络程序一套方法,相互通讯及传输数据。基本上,Netbios 允许程序和网络会话。它的目的是把程序和任何类型的硬件属性分开。它也使软件开发员可以免除以下负担:开发网络错误修复,低层信息寻址和路由。使用Netbios接口,可以为软件开发员做许多工作。
Netbios使程序和局域网操作能力之间的接口标准化。有它们可以将程序细化到为OSI模型的哪一层所写,使程序能移植到其他网络上。在Netbios局域网环境下,计算机通过名字被系统知道。网络中每台计算机都有通过不同方法编的永久性名称。这些名称将在下面做进一步讨论。
通过使用Netbios的数据报或广播颤敏方式,在Netbios局域网上的pc机建立会话彼此联络。会话允许更多的信息被传送,探测错误,和纠正。通信是在一对一的基础上的。数据报或广播方式允许一台计算机和多台其他的计算机同时通信,但信息大小受限。使用数据报或广播方式没有探测错误和纠正。然而,数据报通信可以不必建立一个会话。
在这种环境下所有的通信以一种称为“网络控制块“的格式提交给NetBIOS。内存中这些块的分配依赖于用户程序。这些“网络控制块“分配到域中,分别为输入/输出保留。
在当今的环境中,NetBIOS是使用很普遍的协议。以太网,令牌环,IBM PC网都支持NetBIOS。在它原始版本中,它仅作为程序和网络适配器的接口。从那以后,传输类功能加入NetBIOS,使它功能日益增多。
在NetBIOS里,面向连接(tcp)和无连接(udp)通信均支持。它支持广播和复播,支持三个分开的服务:命名,会话,数据报。
[1.0.2] NetBIOS 名称
NetBIOS名称用来在网络上鉴别资源。程序用这些名称开始和结束会话。你能用多个程序配置一台单独的机器,每个程序都有独特的NetBIOS名称。每台支持弊森应用的pc机也有用户定义或通过内部方法获得的NetBIOS站名。
NetBIOS能包含至多16个阿尔法数字字母。在整个资源路由网络里,字母的组合必须租洞亩独特。在一台使用NetBIOS的pc机在网络上能完全工作起来之前,PC必须先登记NetBIOS名称。
当客户端活跃时,客户端广播它的名称。当它成功广播自己,并没有其他人和它重名,客户端就登记成功。登记过程如下:
1.在登陆上,客户端在所有地方广播它自己和它的NetBIOS信息6到10次,确保其他网络成员收到信息。
2.如果有客户端A已用此名,客户端A发布它自己的广播,包括它正在使用的名字。请求登陆的客户端停止所有登记的企图。
3.如无其他客户端反对登记,请求登陆的客户端完成登记过程。
在NetBIOS环境中有两类名称:独特的和集合的。独特的名称必须在网络中独特。集合的名称不必在网络中独特,所有同名过程属于同一集合。每个NetBIOS节点包含一张该节点当前使用名称的表。
NetBIOS命名允许16个字母用在NetBIOS名称中。而微软只允许15个字母用在NetBIOS名称中,第十六个为NetBIOS后缀。NetBIOS后缀用在Microsoft Networking 软件中,区别安装的功能,登记的设备和服务。
[注意:smb 和nbt(在tcp/ip上的NetBIOS)紧密的工作在一起,且都使用137,138,139端口。137端口是NetBIOS名称UDP,138端口是NetBIOS数据报UDP,139端口是NetBIOS会话tcp,进一步的NetBIOS信息,看rhino9网站上所列文章]
以下是Microsoft WindowsNT目前使用的NetBIOS后缀表。后缀是16进制。
名称 数字 类型 用途
============
00 U Workstation Service
01 U Messenger Service
\_MSBROWSE_ 01 G Master Browser
03 U Messenger Service
06 U RAS Server Service
1F U NetDDE Service
20 U File Server Service
21 U RAS Client Service
22 U Exchange Interchange
23 U Exchange Store
24 U Exchange Directory
30 U Modem Sharing Server Service
31 U Modem Sharing Client Service
43 U SMS Client Remote Control
44 U SMS Admin Remote Control Tool
45 U SMS Client Remote Chat
46 U SMS Client Remote Transfer
4C U DEC Pathworks TCPIP Service
52 U DEC Pathworks TCPIP Service
87 U Exchange MTA
6A U Exchange IMC
BE U Network Monitor Agent
BF U Network Monitor Apps
03 U Messenger Service
00 G Domain Name
1B U Domain Master Browser
1C G Domain Controllers
1D U Master Browser
1E G Browser Service Elections
1C G Internet Information Server
00 U Internet Information Server
[2B] U Lotus Notes Server
IRISMULTICAST [2F] G Lotus Notes
IRISNAMESERVER [33] G Lotus Notes
Forte_$ND800ZA [20] U DCA Irmalan Gateway Service
独特的(u):该名仅有一个IP地址分给它。在网络设备中,一个名称的多次出现看来会被登记,但后缀是唯一的,使整个名称唯一。
集合的(g):普通集合,一个名称可有多个IP地址。
多址的(M):名称是唯一的,但由于在同一计算机上有多个网络接口,这种配置应该被允许登记。地址的最大数目是25。
Internet集合(I):这是组名的特殊配置,用在操作WINDOSNT的域名。
域名(D):在NT4.0中新引进的。
为了快速浏览一台服务器上登记的NETBIOS名称和服务,用以下命令:
nbstat -a [ipaddress]
nbstat -a [host]
[1.0.3] NetBIOS 会话
NetBIOS 会话服务提供给用户程序一种面向连接,可靠的,完全双重的信息服务。 NetBIOS要求一个是客户端程序,一个是服务器端程序。NetBIOS会话的建立需要双方预定的合作。一个程序必须先发出listen命令,其他程序才可以发出call令。listen命令参考在它的NetBIOS名称表中的名称(或windows服务器中的),也参考用于作为会话另一端的远端程序的名称。如果聆听者不在聆听,call命令将不会成功。如果call成功,各程序将接到会话id,以作为会话建立的确认。
send和receive命令操作传输数据。在会话最后,各程序将执行挂起命令。没有为会话服务的实际流控制,因为假定局域网足够快,能够传输需要的数据。
[1.0.4] NetBIOS 数据报
数据报可以发送到特定的地点,或组中所有成员,或广播到整个局域网。与其它数据服务相比,NetBIOS 数据报是无连接,非可靠的。Send_Datagram 命令需要调用者设定目的名。如果目的名是组名,组中每个成员都收到数据。Receive_Datagram 命令的调用者必须确定它接收数据的本地名。除了实际数据外,Receive_Datagram也返回发送者的名称。如果NetBIOS收到数据,但却没有Receive_Datagram 命令在等待,数据将被丢弃。
Send_Broadcast_Datagram 命令发送信息给本地网上每个NetBIOS系统。当NetBIOS节点收到广播数据,发布Receive_Broadcast_Datagram 命令的每个进程都收到数据。如果当广播数据被收到时,没有这些命令在运行,数据将被丢弃。
NetBIOS使应用程序能和另一个设备建立会话,使网络转发器和处理协议处理收到、发送到另一台机器的请求。NetBIOS实际上不操作数据。NetBIOS定义规定了用来到达这些服务的协议的网络接口,而非协议本身。历史上,NetBIOS曾与叫做NetBEUI的协议(网络扩展用户接口)捆绑。接口和协议的结合有时引起混淆,但它们是不同的。
网络协议为定位、连接到网络上特定的服务提供至少一种方法。这通常由将节点和服务名转化为网络地址(名称解析)完成。在连接用TCP/IP建立前,NetBIOS服务名必须解析成IP地址。大多数NetBIOS的TCP/IP 实现,用广播或LMHOSTS文件完成名称地址的解析。在Microsoft环境中,你最可能使用叫做WINS的NetBIOS 名称服务器。
[1.0.5] NetBEUI 解释
NetBEUI是网络操作系统使用 NetBIOS协议的加强版本。它规范了在NetBIOS 中未标准化的传输帧,还加了额外的功能。传输层驱动器经常被Microsofts LAN Manager(微软局域网操作器)使用。NetBEUI执行 OSI LLC2 协议。NetBEUI是原始的PC网络协议和IBM为LanManger(局域网操作器)服务器设计的接口。本协议稍后被微软采用作为它们的网络产品的标准。它规定了高层软件通过NetBIOS帧协议发送、接收信息的方法。本协议运行在标准802.2数据链协议层上。
[1.0.6] NetBIOS 范围
NetBIOS范围ID为建立在TCP/IP(叫做NBT)模块上的NetBIOS提供额外的命名服务。 NetBIOS范围ID的主要目的是隔离单个网络上的NetBIOS通信和那些有相同NetBIOS范围ID的节点。NetBIOS范围ID是附加在NetBIOS 名称上的字符串。两个主机上的NetBIOS范围ID必须匹配,否则两主机无法通信。NetBIOS范围ID允许 计算机使用相同的计算机名,不同的范围ID。范围ID是NetBIOS名称的一部分,使名称唯一。
许多人知道,NetBIOS 是计算机局域网领域流行的一种传输方式,但你是否还知道,对于互联网用户来讲,NetBIOS 则是安全领域的一大隐患。
一、NetBIOS 的烦恼
NetBIOS 是指网络输入输出系统,在计算机网络发展史中,NetBIOS 算得上是历史悠久。早在 1985 年,IBM 公司就开始在网络领域使用 NetBIOS,微软推出第一套基于 Windows 的网络操作系统--Windows For Workgroups(面向工作组的视窗操作系统)时,就采用了一种适用于 Windows 的 NetBIOS 版本,即 NetBEUI。微软当年之所以选择 NetBEUI 作为网络传输的基本协议,是因为它占用系统资源少、传输效率高,尤为适用于由 20 到 200 台计算机组成的小型局域网。此外,NetBEUI 还有一个最大的优点:可以方便地实现网络中各单机资源的共享。
后来,网络的发展速度之快,已大大超出人们的想象,进入 20 世纪未,全球的计算机就已可通过国际互联网络方便连接,随着互联网络的迅猛发展,TCP/IP 协议成为广泛使用的传输协议。
今天,TCP/IP 协议已是互联网领域的通用协议,几乎所有接入互联网的电脑都使用 TCP/IP。但同时,NetBEUI 协议也还在局域网领域广泛使用,因此,在你安装 TCP/IP 协议时,NetBIOS 也被 Windows 作为默认设置载入了你的电脑,而电脑随即也具有了 NetBIOS 本身的开放性。换句话讲,在不知不觉间,你的上网电脑已被打开了一个危险的“后门”。
NetBIOS 的开放,意味着你的硬盘可能会在网络中成为共享。对于网上四处游走的 来讲,他们可以通过 NetBIOS 获知你电脑中的一切!
二、找寻电脑中开放的“后门”
在想办法关闭电脑的这个“后门”前,我们有必要先认识这个问题:网络中的其它用户是怎样找到你系统漏洞的?
你可能认为:在茫茫网海,作为个人上网用户,我的一台电脑是多么的渺小,HACKER 们怎会对我感兴趣呢?其实,这种想法是很危险的,网上一些不怀好意的用户(很多还称不上是 ),说不定哪天就会盯上你。
现在,有许多被称作“扫描机(scanners)”的黑客小程序,这些扫描程序不停地穿梭于网络之中,专门寻找上网用户的系统漏洞,其中就包括 NetBIOS 及 Windows “文件及打印共享”功能所打开的系统后门。一旦扫描程序在网上发现了系统存在着漏洞的计算机,那些恶意攻击者就会设法通过找到的“后门”进入你的计算机,并获取你的信息。而令人深感不安的是,所有的这些非法入侵行为,你可能竟然毫无知觉。
三、关闭你的“后门”
正如前文所述,系统存在后门的原因是与 TCP/IP 协议捆绑在一起的 NetBIOS,事实上,对于互联网上的单机用户来讲,NetBIOS 是没有什么用处的,因此,你完全可以将它从 TCP/IP 中去掉。下面,就现在常见的几种操作系统介绍从TCP/IP 中解除 NetBIOS 的方法。
如果你使用的是最早版本的 Windows 95,那关闭 NetBIOS 就是一件非常容易的事:找到系统里名为 Vnbt.386 的文件,随便将它改个名,如改为 Vnbt.out,这就算大功告成了。
如果你使用的是 Windows 95改进版、Windows 98、Windows 98 SE 或是 Windows Me,那就要稍微麻烦一点。首先,打开控制面板,进入“网络”对话窗,在配置表中,查看列表中是否已有 NetBEUI 组件,如果有,则直接跳过下一段。
如果在列表中没有 NetBEUI 组件,则先点击“添加”按钮,在“要安装的网络组件类型”列表中,选择“协议”一项,再次点击“添加”,在“网络协议”对话窗中,选择 Microsoft 的 NetBEUI,然后,插入 Windows 安装盘,点击“确定”即可。
回到“网络”对话窗,在网络组件中选择“拨号适配器”,点击“属性”,在“属性”对话窗中选择“绑定”按钮,将除TCP/IP之外其它协议的复选框里的小勾清除掉。
最后,再次回到“网络”对话窗,选择 TCP/IP 协议,点击“属性”,这时有可能会弹出一个警告窗口,不用理它,直接点“OK”就行了,进入 TCP/IP 的“属性”窗口后,选择“绑定”,将所有网络协议复选框内的小勾去掉,点击“确定”,这时,Windows 会提示你至少应选择一种协议,仍然不用理它,点击“No”,关闭窗口。重新启动你的计算机,这样,你计算机中的 NetBIOS 后门就已被关闭了。
这样一来,NetBIOS 已从你计算机的 TCP/IP 协议中去除,当然,你最好检查一下操作是否成功:回到“网络”对话窗,选择 TCP/IP 协议,点击“属性”,在“属性”窗口中点击 NetBIOS 栏,这时,你会看到“我希望在 TCP/IP 协议中开启 NetBIOS(I want to enable NetBIOS over TCP/IP)”一项,该项前面的复选框应该没有打勾。
现在,你就可以放心地在网络中漫游,而不必再担心有人会通过 NetBIOS 入侵你的电脑。
剖析NETBIOS的具体工作机理
本来想为了增加可读性,把这个系列写成问答的形式,不过一时之间脑袋里也编不出这么多的问题,还是按部就班先感性的对微软的浏览服务作一大致介绍,然后再深入剖析NETBIOS的具体工作机理,大家要是有什么问题,可以提出来我们一起讨论.
在“Windows NT系统管理技术内幕”一书中,讲到了一个非常具有代表性的问题,我把它摘抄了下来:
问:什么情况下会导致在网络邻居中计算机能看见却无法访问或可以访问却看不见?
请选择最佳答案:
A.你的网络存在物理问题,比如网线
B.作为域主浏览器的Windows NTserver的浏览服务坏了
C.Windows NTserver网卡有问题
D.你的网络没有问题,用户描述的是正常的微软浏览现象
正确答案:D
书上的解释:微软的网络浏览可能在使用中出现"中断",而实际上它们并没有中断, 这种误解是由于用户对
微软网络浏览的处理过程不熟悉造成的。
就象有人经常在抱怨的“为什么别人的网上邻居可用,我的却不行?”“为什么有时候可以浏览,有时候
却无法浏览网络?”解铃还须系铃人,让我们一起去看看微软的网络浏览到底是如何实现的。鉴于大家可能对NT的“域”概念还不甚了解,出现浏览故障的也多为98的机子,我将以98的“工作组模式”为大家讲解。
1.什么是浏览列表(Browsing List)
在微软网络中,用户可以在浏览列表里看到整个网络(何指?子网还是广播域?大家可以考虑考虑)上所
有的计算机。当你通过网上邻居窗口打开整个网络时,你将看到一个工作组列表,再打开某个工作组,你将看
到里面的计算机列表(也可在 DOS方式下用net view /domain:workgroupname命令得到),这就是我们所说的 Browsing List。工作组从本质上说就是共享一个浏览列表的一组计算机,所有的工作组之间都是对等的,没有规定不可以让所有的计算机同处于一个工作组中。
2.浏览列表在哪里
曾在木棉上看到过一场争论,有人说:网上邻居里的计算机列表是广播查询得来的。可有人举反例说:我
的同学都关机了,可我还是能在网上邻居里看到它,应该是从HUB或交换机之类较为固定的设备的缓存中取得的
。 其实他们都只说对了一个方面,把他们二人的说法结合起来就是正确答案了--- 浏览列表是通过广播查询浏览主控服务器,由浏览主控服务器提供的。
3.浏览主控服务器又是什么
浏览主控服务器是工作组中的一台最为重要的计算机,它负责维护本工作组中的浏览列表及指定其他工作组的主控服务器列表,为本工作组的其他计算机和其他来访本工作组的计算机提供浏览服务,每个工作组都为会每个传输协议选择一个浏览主控服务器,而我们经常遇到的无法浏览网络的错误大多是因为你所处的工作组没有浏览主控服务器而造成的。你可以在一个工作组中用NBTSTAT -a computername 命令找出使用NBT协议的浏览主控服务器,它的标识是含有\_MSBROWSE_名字段。
4.浏览主控服务器是如何指定的
缺省情况下,win98工作组中的浏览主控服务器是该工作组中第一台启用文件及打印机共享功能的计算机,也允许手工将一台win计算机配置为浏览主控服务器(方法会在后面讲述网络配置时具体介绍,但由于浏览主控服务器需要维护动态浏览列表,性能会受影响),如果一个工作组中有多台计算机配置了这个选项,或是当前的浏览主控服务器关闭了系统,又没有其他计算机启用主控设置时,就要进行主控浏览器的选举。
5.如何通过浏览器选举产生浏览主控服务器
关于浏览器的选举报文,不太好抓包,我就只好按书上的东西来讲述了.其实过程很简单,首先由一台计算机发送一个选举临界报文,该报文包含了来自发送计算机的信息(操作系统,版本及NET名等),选举报文向网络中广播,工作组中的每一台计算机都会用自身信息与选举报文进行优先级比较,主要是操作系统起主要作用,记得好像是NTServerNTWorkstationWin98WFWG,反正到最后是那个自身条件最好的成为新的浏览主控服务器.
6.整个网络浏览的过程是怎样的
当一台win98进入网络时,如果它带有服务器服务(启用了文件及打印机共享)会向网络广播宣告自己的存在,而浏览主控服务器会取得这个宣告并将它放入自己维护的浏览列表中;而没有在相应协议上绑定文件及打印机共享的计算机则不会宣告,因而也就不会出现在网络邻居里了。 当客户计算机想获得需要的网络资源列表时,首先会广播发出浏览请求,浏览主控服务器收到请求后,如果请求的是本组的浏览列表,则直接将客户所需的资源列表发回;如果请求的是其它工作组的浏览列表,浏览主控服务器会根据本身Browsing List中的记录找到相应工作组的主控浏览器返回给用户,用户可从那里得到它
想要的浏览列表。至于如何去和另一台计算机共享交换资源,就不是我们这里要讨论的问题了。
明白了网络浏览的原理,下面我给大家讲一个有用的应用,现在很多同学出于安全的考虑都不太欢迎陌生人通过网上邻居访问自己的机子,可有时下部电影又需要给认识的同学共享出来,因而还不能删除文件及打印机共享服务。怎么办?有些人给共享名加个$,以达到隐藏的效果,可这用DOS下的net share是可被看到的;有些人给共享加上密码,可听说这也是有办法破解的,而且很容易激起“黑客同志”的好奇心。有没有办法将自己的机器在网络邻居里隐藏起来呢?而对于认识的同学可以让他用\IP 来访问。
想对了,关键就是要阻止自己的机器向网络中去宣告自己,而且我知道我们其中的一些人已经将此变成了现实,至于方法嘛,就不要来问我了。
注:因为有关win98浏览服务的资料很少,涉及的书籍也多为以NT的“域”模型进行介绍,因而我只能根据自己的理解结合netxray的实践来测试,细节部分难免有错,欢迎大家指正。
7.在我的网上邻居里为什么有些机子访问不了
如果微软的网上邻居真能做到所见即所得,相信抱怨它的人不会象现在这么多,可通过前面对浏览服务的
介绍,大家已经知道这是不可能的,因为浏览列表的获得不是通过访问其中每一台机子得到的,很多时候网络中的计算机并不能正确更新浏览列表。当一台计算机正常关机时,它会向网络发出广播宣告,使浏览主控服务器及时将它从浏览列表中删除;而非正常关机后,浏览列表里仍会把该条目保持很长一段时间(NT下是45分钟),这就是我们仍能在网络邻居里看到它的原因.而98的稳定性是众所周知的 ----在还没来得及关机前就已经崩溃了
^-^ SMB(Server Message Block)协议在NT/2000中用来作文件共享,在NT中,SMB运行于NBT(NetBIOS over TCP/IP)上,使用137,139(UDP),139(TCP)端口。
在2000中,SMB可以直接运行在tcp/ip上,而没有额外的NBT层,使用TCP 445端口。因此在2000上应该比NT
稍微变化多一些。可以在“网络连接/属性/TCPIP协议/属性/高级/WINS中设置启用或者禁用NBT(NetBIOS over TCP/IP)。
当2000使用网络共享的时候,就面临着选择139或者445端口了。下面的情况确定会话使用的端口:
1、如果客户端启用了NBT,那么连接的时候将同时访问139和445端口,如果从445端口得到回应,那么客户端将发送RST到139端口,终止这个端口的连接,接着就从445端口进行SMB的会话了;如果没有从445端口而是从139得到回应,那么就从139端口进行会话;如果没有得到任何回应,那么SMB会话失败。
2、如果客户端禁用了NBT,他就将只从445端口进行连接。当然如果服务器(开共享端)没有445端口进行SMB会话的话,那么就会访问失败了,所以禁用445端口后,对访问NT机器的共享会失败。
3、如果服务器端启用NBT,那么就同时监听UDP 137、138端口和TCP139,445。如果禁用NBT,那么就只监听445端口了。
所以对于2000来说,共享问题就不仅仅是139端口,445端口同样能够完成。
关于空会话
NULL会话(空会话)使用端口也同样遵循上面的规则。NULL会话是同服务器建立的无信任支持的会话。一
个会话包含用户的认证信息,而NULL会话是没有用户的认证信息,也就好比是一个匿名的一样。
没有认证就不可能为系统建立安全通道,而建立安全通道也是双重的,第一,就是建立身份标志,第二就
是建立一个临时会话密匙,双方才能用这个会话进行加密数据交换(比如RPC和COM的认证等级是PKT_PRIVACY)。不管是经过NTLM还是经过Kerberos认证的票据,终究是为会话创建一个包含用户信息的令牌。(这段来自Joe Finamore)
根据WIN2000的访问控制模型,对于空会话同样需要提供一个令牌。但是空会话由于是没有经过认证的会话
,所以令牌中不包含用户信息,因此,建立会话双方没有密匙的交换,这也不能让系统间发送加密信息。这并
不表示空会话的令牌中不包含SID,对于一个空会话,LSA提供的令牌的SID是S-1-5-7,这就是空会话建立的SID
,用户名是ANONYMOUS LOGON。这个用户名是可以在用户列表中看到的。但是是不能在SAM数据库中找到,属于系统内置的帐号。
NULL会话几乎成为了微软自己安置的后门,但是微软为什么要来设置这样一个“后门”呢?我也一直在想这个问题,如果NULL会话没有什么重要的用途,那么微软也应该不会来设置这样一个东西。好不容易才在微软上找到这个:
当在多域环境中,要在多域中建立信任关系,首先需要找到域中的PDC来通过安全通道的密码验证,使用空
会话能够非常容易地找到PDC,还有就是关于一些系统服务的问题。
其实建立一个空会话的条件也非常严格。首先要能够满足上面的,也就是打开TCP 139和TCP 445端口。我
们可以从一次关闭这两个端口的情况中看得出来。服务器关闭445和139端口,然后我们来进行空会话的连接。
首先,客户端打算连接的是445端口,然后再试图连接139端口。当然最后还是失败了。
仅仅开放这两个端口还不行,服务器还必须得打开IPC$共享。如果没有IPC共享,即使共享一个文件,有权
限为Anonymous Logon,也不能建立会话,即使权限设置为完全控制,出现的连接错误依然是权限不够。这和其
他帐号是不一样的。如果要允许一个文件夹共享能够类似IPC$(命名管道而非共享)能够使用空会话,那么需
要修改注册表:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters
中的:NullSessionShares,添加新的共享名,这样才能建立一个共享的空会话。这时,将不依赖IPC的存
在了。(即使这样的空会话对于后面的突破也是一点没可取之处的,因为没有了IPC$命名管道,RPC不可取了,
这下知道IPC这个命名管道的具体实现了。呵呵)
虽然空会话建立的要求很严格,但是那都是默认建立的。既然是默认的,对于使用WIN2K系统的服务器来说
,就还是有利用的价值。最明显的就是空会话可以很方便地连接到其他的域,枚举用户、机器等。这也就是扫描
软件进行探测的原理。
1. 有些人给共享名加个$,以达到隐藏的效果,可这用DOS下的net share是可被看到的;
这种隐藏只是微软Windows标准客户端net view的限制,不是服务端的限制,网络传输过程中是一视同仁的
,所以直接修改客户端解除这种限制或者使用第三方客户端软件均可看到所谓的隐藏共享,比如smbclient就是
典型代表。
2. 有些人给共享加上密码,可听说这也是有办法破解的;
这个破解要看是什么层面上的,
备案号:鄂ICP备2021013552号-2 联系邮箱:ruanyoujc@163.com(三日内处理)
