当前位置：文档库 › 探测Windows主机的NetBIOS信息要点

探测Windows主机的NetBIOS信息要点

探测Windows主机的NetBIOS信息

作者：TOo2y

一NetBIOS信

二主要函数与相关数据结构分

三如何防止NetBIOS信息的泄

四源代

大家一提到Windows2000/XP系统的安全性，很快就会想到NULL Session（空会话）。这可以算是软安置的一个后门，很多简单而容易的攻击都是基于空会话而实现的。在此，我们不讨论如何攻陷台Windows2000/XP系统，而是要谈谈在建立空会话之后，我们可以得到远程主机的哪些NetBIOS 息。（由于本文是针对Windows2000/XP系统，所以使用了UNICODE编码）。

一、NetBIOS信

在我们和远程Windows2000/XP主机建立了空会话之后，我们就有权枚举系统里的各项NetBIOS信了。当然在某些选项中需要较高的权利，不过我们只执行那些匿名用户可以获得的绝大多数系统息。

时间：探测远程主机的当前日期和时间信息。它会返回一个数据结构，包括年，月，日，星期，时分，秒等等。不过得到的是GMT标准时间，当然对于我们来说就应该换算为GMT+8:00了。由此可以断出主机所在的时区信息。

操作系统指纹：探测远程主机的操作系统指纹信息。一共有三种级别的探测（100，101，102），我使用的是101级，它会返回一个数据结构，可以获取远程主机的平台标识，服务器名称，操作系统主次版本（Windows2000为5.0,WindowsXP为5.1,而最新操作系统Longhorn的版本为6.0），服务类型（每台主机可能同时包含多种类型信息）和注释。

共享列表：探测远程主机的共享列表。我们可以获得一个数据结构指针，枚举远程主机的所有共享息（隐藏的共享列表在内）。其中包括共享名称，类型与备注。类型可分为：磁盘驱动器，打印列，通讯设备，进程间通讯与特殊设备。

用户列表: 探测远程主机的用户列表，返回一个数据结构指针，枚举所有用户信息。可获取用户名全名，用户标识符，说明与标识信息。标识信息可以探测用户的访问权限。

本地组列表: 探测远程主机的本地组列表信息。枚举所有本地组信息，包含本地组名称和注释信息。

组列表: 探测远程主机的组列表信息。枚举所有的组信息，包括组名称，注释，组标识符与属性。此基础上，我们可以枚举组内的所有用户信息。

组用户列表: 探测特定组内的用户信息。我们可以获得组内所有用户的名称。当我门获得了所有的户列表，下一步就应该很清楚了，那就是挂一个字典进行破解了。

传输协议列表: 探测远程主机的传输协议信息，枚举所有的传输列表。可以获得每个传输协议的称，地址，网络地址和当前与本传输协议连接的用户数目。

会话列表: 探测远程主机的当前会话列表。枚举每个会话的相关信息，包括客户端主机的名称，当用户的名称，活动时间和空闲时间。这可以帮助我们了解远程主机用户的喜好等等。

二、主要函数与相关数据结构分析

1. 建立空会话

WNetAddConnection2(&nr,username,password,0;

//nr为NETRESOURCE数据结构的对象；

//username为建立空会话的用户名，在此将用户名设置为NULL；

//password为登陆密码，在此将密码设置为NULL；

2. 撤消空会WNetCancelConnection2(ipc,0,TRUE;

//ipc为TCHAR的指针，我们可以这样获得

//swprintf(ipc,_T("\\\\%s\\ipc$",argv[1]，argv[1]为主机名或地址；

3. 探测主机时

nStatus=NetRemoteTOD(server,(PBYTE*&pBuf;

//参数server为主机的名称或地址

//pBuf为TIME_OF_DAY_INFO数据结构的指针

//nStatus为NET_API_STATUS成员；

4. 探测操作系统指NetServerGetInfo(server,dwLevel,(PBYTE *&pBu //dwLevel为等级数，我们选择的是101级

//pBuf是SERVER_INFO_101数据结构的指针；

5. 探测共享列NetShareEnum(server,dwLevel,(PBYTE *&pBuf,MAX_PREFERRED_LENGTH,&er,&tr,&resum //dwLevel的等级数为1级

//pBuf是SHARE_INFO_1数据结构的指针

//MAX_PREFERRED_LENGTH指定返回数据的长度

//er指明返回的实际可以枚举的成员数目

//tr返回所有的成员数目

//resume用于继续进行共享搜索；

6. 探测用户列NetQueryDisplayInformation(server,dwLevel,i,100,0xFFFFFFFF,&dwRec,(PVOID *&pBu //dwLevel的等级数为1级

//i为枚举的索引

//dwRec返回获取的信息数目

//pBuf为NET_DISPLAY_USER数据结构的指针；

7. 探测本地组列

NetLocalGroupEnum(server,dwLevel,(PBYTE *&pBuf,-1,&er,&tr,&resum

//dwLevel的等级是1

//pBuf返回LOCALGROUP_INFO_1数据结构的指针；

8. 探测组列NetQueryDisplayInformation(server,dwLevel,i,100,0xFFFFFFFF,&dwRec,(PVOID*&pGBuf;

//dwLevel的等级为3

//pGBuf返回NET_DISPLAY_GROUP的数据结构指针；

9. 探测组内的用

NetGroupGetUsers(server,pGBuffer->grpi3_name,0,(PBYTE

*&pUBuf,MAX_PREFERRED_LENGTH,&er,&tr,&resume;

//pGBuffer->grpi3_name为组的名称

//pUBuf返回GROUP_USERS_INFO_0数据结构的指针；

10.探测传输协议列NetServerTransportEnum(server,dwLevel,(PBYTE *&pBuf,MAX_PREFERRED_LENGTH,&er,&tr,&resum //dwLevel的等级为0级

//pBuf返回SERVER_TRANSPORT_INFO_0数据结构的指针；

11.探测会话列

NetSessionEnum(server,pszClient,pszUser,dwLevel,(PBYTE

*&pBuf,MAX_PREFERRED_LENGTH,&er,&tr,&resume;

//pszClient指定客户的地址

//pszUser指定用户名

//dwLevel的等级是10级

//pBuf返回SESSION_INFO_10数据结构的指针；

12.释放内

NetApiBufferFree(pBuf;

//释放由系统分配的内存空间。

三、如何防止NetBIOS信息的泄

我们可以安装防火墙来禁止空会话的建立，或者我们可以在网络连接属性里禁用TCP/IP上NetBIOS，当然也可以在IP安全策略里禁用445/tcp端口来实现。只要空会话不能成功建立，那就难获得上面提到的各项信息了

四、源代码

#define UNICODE

#define _UNICODE

#include

#include "include\lmaccess.h"

#include "include\lmserver.h"

#include "include\lmshare.h"

#include

#pragma comment (lib,"mpr"

#pragma comment (lib,"netapi32"

void start(;

void usage(;

int datetime(PTSTR server;

int fingerprint(PTSTR server;

int netbios(PTSTR server;

int users(PTSTR server;

int localgroup(PTSTR server;

int globalgroup(PTSTR server;

int transport(PTSTR server;

int session(PTSTR server;

int wmain(int argc,TCHAR *argv[] {

NETRESOURCE nr;

DWORD ret;

TCHAR username[100]=_T(""; TCHAR password[100]=_T(""; TCHAR ipc[100]=_T("";

system("cls.exe";

start(;

if(argc!=2

{

usage(;

return -1;

}

swprintf(ipc,_T("\\\\%s\\ipc$",argv[1];

nr.lpLocalName=NULL;

nr.lpProvider=NULL;

nr.dwType=RESOURCETYPE_ANY;

nr.lpRemoteName=ipc;

ret=WNetAddConnection2(&nr,username,password,0; if(ret!=ERROR_SUCCESS

{

_tprintf(_T("\nIPC$ Connect Failed.\n";

return -1;

}

datetime(argv[1];

fingerprint(argv[1];

netbios(argv[1];

users(argv[1];

localgroup(argv[1];

globalgroup(argv[1];

transport(argv[1];

session(argv[1];

ret=WNetCancelConnection2(ipc,0,TRUE;

if(ret!=ERROR_SUCCESS

{

_tprintf(_T("IPC$ Disconnect Failed.\n";

return -1;

}

return 0;

}

void start(

{

_tprintf(_T("=====[ T-SMB Scan, by TOo2y ]=====\n";

_tprintf(_T("=====[ E-mail: TOo2y@https://www.wendangku.net/doc/e412900757.html, ]=====\n";

_tprintf(_T("=====[ HomePage: https://www.wendangku.net/doc/e412900757.html, ]=====\n";

_tprintf(_T("=====[ Date: 12-12-2002 ]=====\n";

}

void usage(

{

_tprintf(_T("\nUsage:\t T-SMB Remoteip";

_tprintf(_T("\nRequest: Remote host must be opening port 445/tcp of Microsoft-DS.\n"; }

int datetime(PTSTR server

{

PTIME_OF_DAY_INFO pBuf=NULL;

NET_API_STATUS nStatus;

DWORD lerror;

_tprintf(_T("\n*** Date and Time ***\n";

nStatus=NetRemoteTOD(server,(PBYTE*&pBuf;

if(nStatus==NERR_Success

{

if(pBuf!=NULL

{

_tprintf(_T("\nCurrent date:\t%.2d-%.2d-%d",pBuf->tod_month,pBuf->tod_day,pBuf->tod_yea

_tprintf(_T("\nCurrent time:\t%.2d:%.2d:%.2d.%.2d (GMT",pBuf->tod_hours,pBu >tod_mins,pBuf->tod_secs,pBuf->tod_hunds;

pBuf->tod_hours=(pBuf->tod_hours+8%24;

_tprintf(_T("\nCurrent time:\t%.2d:%.2d:%.2d.%.2d (GMT+08:00\n",pBuf->tod_hours,pBu >tod_mins,pBuf->tod_secs,pBuf->tod_hunds;

}

else

{

lerror=GetLastError(;

if(lerror==997

{

_tprintf(_T("\nDateTime:\tOverlapped I/O operation is in progress. \n";

}

else

{

_tprintf(_T("\nDatetime Error:\t%d\n",lerror;

}

if(pBuf!=NULL

{

NetApiBufferFree(pBuf;

}

return 0;

}

int fingerprint(PTSTR server

{

DWORD dwlength;

DWORD dwLevel;

NET_API_STATUS nStatus;

PSERVER_INFO_101 pBuf;

DWORD lerror;

dwLevel=101;

pBuf=NULL;

dwlength=_tcslen(server;

_tprintf(_T("\n**** Fingerprint ****\n";

nStatus=NetServerGetInfo(server,dwLevel,(PBYTE *&pBuf; if(nStatus==NERR_Success

{

_tprintf(_T("\nComputername:\t%s",pBuf->sv101_name;

_tprintf(_T("\nComment:\t%s",pBuf->sv101_comment;

_tprintf(_T("\nPlatform:\t%d",pBuf->sv101_platform_id;

_tprintf(_T("\nVersion:\t%d.%d",pBuf->sv101_version_major,pBuf->sv101_version_minor; _tprintf(_T("\nType:";

if(pBuf->sv101_type & SV_TYPE_NOVELL

{

_tprintf(_T("\t\tNovell server.\n";

}

if(pBuf->sv101_type & SV_TYPE_XENIX_SERVER

{

_tprintf(_T("\t\tXenix server.\n";

}

if(pBuf->sv101_type & SV_TYPE_DOMAIN_ENUM

{

_tprintf(_T("\t\tPrimary domain .\n";

}

if(pBuf->sv101_type & SV_TYPE_TERMINALSERVER

{

_tprintf(_T("\t\tTerminal Server.\n";

}

if(pBuf->sv101_type & SV_TYPE_WINDOWS

{

_tprintf(_T("\t\tWindows 95 or later.\n";

}

if(pBuf->sv101_type & SV_TYPE_SERVER

{

_tprintf(_T("\t\tA LAN Manager server.\n";

}

if(pBuf->sv101_type & SV_TYPE_WORKSTATION

{

_tprintf(_T("\t\tA LAN Manager workstation.\n"; }

if(pBuf->sv101_type & SV_TYPE_PRINTQ_SERVER

{

_tprintf(_T("\t\tServer sharing print queue.\n"; }

if(pBuf->sv101_type & SV_TYPE_DOMAIN_CTRL

{

_tprintf(_T("\t\tPrimary domain controller.\n"; }

if(pBuf->sv101_type & SV_TYPE_DOMAIN_BAKCTRL {

_tprintf(_T("\t\tBackup domain controller.\n"; }

if(pBuf->sv101_type & SV_TYPE_AFP

{

_tprintf(_T("\t\tApple File Protocol server.\n"; }

if(pBuf->sv101_type & SV_TYPE_DOMAIN_MEMBER

{

_tprintf(_T("\t\tLAN Manager 2.x domain member.\n";

}

if(pBuf->sv101_type & SV_TYPE_LOCAL_LIST_ONLY

{

_tprintf(_T("\t\tServers maintained by the browser.\n";

}

if(pBuf->sv101_type & SV_TYPE_DIALIN_SERVER

{

_tprintf(_T("\t\tServer running dial-in service.\n";

}

if(pBuf->sv101_type & SV_TYPE_TIME_SOURCE

{

_tprintf(_T("\t\tServer running the Timesource service.\n";

}

if(pBuf->sv101_type & SV_TYPE_SERVER_MFPN

{

_tprintf(_T("\t\tMicrosoft File and Print for NetWare.\n";

}

if(pBuf->sv101_type & SV_TYPE_NT

{

_tprintf(_T("\t\tWindows NT/2000/XP workstation or server.\n";

}

if(pBuf->sv101_type & SV_TYPE_WFW

{

_tprintf(_T("\t\tServer running Windows for Workgroups.\n";

}

if(pBuf->sv101_type & SV_TYPE_POTENTIAL_BROWSER

{

_tprintf(_T("\t\tServer that can run the browser service.\n";

}

if(pBuf->sv101_type & SV_TYPE_BACKUP_BROWSER

{

_tprintf(_T("\t\tServer running a browser service as backup.\n"; }

if(pBuf->sv101_type & SV_TYPE_MASTER_BROWSER

{

_tprintf(_T("\t\tServer running the master browser service.\n"; }

if(pBuf->sv101_type & SV_TYPE_DOMAIN_MASTER

{

_tprintf(_T("\t\tServer running the domain master browser.\n"; }

if(pBuf->sv101_type & SV_TYPE_CLUSTER_NT

{

_tprintf(_T("\t\tServer clusters available in the domain.\n";

}

if(pBuf->sv101_type & SV_TYPE_SQLSERVER

{

_tprintf(_T("\t\tAny server running with Microsoft SQL Server.\n";

}

if(pBuf->sv101_type & SV_TYPE_SERVER_NT

{

_tprintf(_T("\t\tWindows NT/2000 server that is not a domain controller.\n"; }

}

else

{

lerror=GetLastError(;

if(lerror==997

{

_tprintf(_T("\nFingerprint:\tOverlapped I/O operation is in progress.\n";

}

else

{

_tprintf(_T("\nFingerprint Error:\t%d\n",lerror;

}

if(pBuf!=NULL

{

NetApiBufferFree(pBuf;

}

return 0;

}

int netbios(PTSTR server

{

DWORD er,tr,resume;

DWORD i,dwLength,dwLevel;

PSHARE_INFO_1 pBuf,pBuffer;

NET_API_STATUS nStatus;

DWORD lerror;

er=0;

tr=0;

resume=1;

dwLevel=1;

dwLength=_tcslen(server;

_tprintf(_T("\n****** Netbios ******\n";

{

nStatus=NetShareEnum(server,dwLevel,(PBYTE *&pBuf,MAX_PREFERRED_LENGTH,&er,&tr,&resume; if((nStatus==ERROR_SUCCESS || (nStatus==ERROR_MORE_DATA

{

pBuffer=pBuf;

for(i=1;i<=er;i++

{

_tprintf(_T("\nName:\t\t%s",pBuffer->shi1_netname; _tprintf(_T("\nRemark:\t\t%s",pBuffer->shi1_remark; _tprintf(_T("\nType:\t\t";

if(pBuffer->shi1_type==STYPE_DISKTREE

{

_tprintf(_T("Disk drive.\n";

}

else if(pBuffer->shi1_type==STYPE_PRINTQ

{

_tprintf(_T("Print queue.\n";

}

else if(pBuffer->shi1_type==STYPE_DEVICE

{

_tprintf(_T("Communication device.\n";

}

else if(pBuffer->shi1_type==STYPE_IPC

{

_tprintf(_T("Interprocess communication (IPC.\n"; }

else if(pBuffer->shi1_type==STYPE_SPECIAL

{

_tprintf(_T("Special share reserved for interprocess communication (IPC$ or remo administration of the server (ADMIN$.\n";

}

else

{

_tprintf(_T("\n";

}

pBuffer++;

}

else

{

lerror=GetLastError(;

if(lerror==997

{

_tprintf(_T("\nNetbios:\tOverlapped I/O operation is in progress.\n";

}

else

{

_tprintf(_T("\nNetbios Error:\t%d\n",lerror;

}

if(pBuf!=NULL

{

NetApiBufferFree(pBuf;

}

while(nStatus==ERROR_MORE_DATA;

return 0;

}

int users(PTSTR server

{

PNET_DISPLAY_USER pBuf,pBuffer;

DWORD nStatus;

DWORD dwRec;

DWORD i=0;

DWORD lerror;

DWORD dwLevel;

dwLevel=1;

_tprintf(_T("\n******* Users *******\n";

{

nStatus=NetQueryDisplayInformation(server,dwLevel,i,100,0xFFFFFFFF,&dwRec,(PVOID *&pBuf if((nStatus==ERROR_SUCCESS || (nStatus==ERROR_MORE_DATA

pBuffer=pBuf;

for(;dwRec>0;dwRec--

{

_tprintf(_T("\nName:\t\t%s",pBuffer->usri1_name;

_tprintf(_T("\nFull Name:\t%s",pBuffer->usri1_full_name;

_tprintf(_T("\nUser ID:\t%u",pBuffer->usri1_user_id;

_tprintf(_T("\nComment: \t%s",pBuffer->usri1_comment;

_tprintf(_T("\nFlag:";

if(pBuffer->usri1_flags & UF_ACCOUNTDISABLE

{

_tprintf(_T("\t\tThe user''s account is disabled.\n";

}

if(pBuffer->usri1_flags & UF_TRUSTED_FOR_DELEGATION

{

_tprintf(_T("\t\tThe account is enabled for delegation. \n";

}

if(pBuffer->usri1_flags & UF_LOCKOUT

{

_tprintf(_T("\t\tThe account is currently locked out (blocked.\n"; }

if(pBuffer->usri1_flags & UF_SMARTCARD_REQUIRED

{

Windows主机端与自定义USBHID设备通信详解讲解

Windows主机端与自定义USB HID设备通信详解 (2009-06-12 23:19) 分类：Windows 说明： -以下结论都是基于Windows XP系统所得出的，不保证在其他系统的适用性。-在此讨论的是HID自定义设备，对于标准设备，譬如USB鼠标和键盘，由于操作系统对其独占，许多操作未必能正确执行。 1．所使用的典型Windows API CreateFile ReadFile WriteFile 以下函数是DDK的内容： HidD_SetFeature HidD_GetFeature HidD_SetOutputReport HidD_GetInputReport 其中，CreateFile用于打开设备；ReadFile、HidD_GetFeature、 HidD_GetInputReport用于设备到主机方向的数据通信；WriteFile、 HidD_SetFeature、HidD_SetOutputReport用于主机到设备方向的数据通信。鉴于实际应用，后文主要讨论CreateFile，WriteFile，ReadFile，HidD_SetFeature四个函数，明白了这四个函数，其它的可以类推之。 2．几个常见错误当使用以上API时，如果操作失败，调用GetLastError()会得到以下常见错误： 6：句柄无效 23：数据错误（循环冗余码检查） 87：参数错误 1784：用户提供的buffer无效后文将会详细说明这些错误情况。 3．主机端设备枚举程序流程

4．函数使用说明 CreateFile(devDetail->DevicePath, //设备路径 GENERIC_READ | GENERIC_WRITE, //访问方式 FILE_SHARE_READ | FILE_SHARE_WRITE, //共享模式 NULL, OPEN_EXISTING, //文件不存在时，返回失败 FILE_FLAG_OVERLAPPED, //以重叠（异步）模式打开 NULL); 在这里，CreateFile用于打开HID设备，其中设备路径通过函数 SetupDiGetInterfaceDeviceDetail取得。CreateFile有以下几点需要注意：- 访问方式：如果是系统独占设备，例如鼠标、键盘等等，应将此参数设置为0，否则后续函数操作将失败（譬如HidD_GetAttributes）；也就是说，不能对独占设备进行除了查询以外的任何操作，所以能够使用的函数也是很有限的，下文的一些函数并不一定适合这些设备。在此顺便列出MSDN 上关于此参数的说明：

C#开发WinForm中 Window 消息大全

北大青鸟中关村：C#开发WinForm中Window 消息大全消息，就是指Windows发出的一个通知，告诉应用程序某个事情发生了。例如，单击鼠标、改变窗口尺寸、按下键盘上的一个键都会使Windows发送一个消息给应用程序。北大青鸟中关村：消息本身是作为一个记录传递给应用程序的，这个记录中包含了消息的类型以及其他信息。例如，对于单击鼠标所产生的消息来说，这个记录中包含了单击鼠标时的坐标。这个记录类型叫做TMsg，它在Windows 单元中是这样声明的： type TMsg = packed record hwnd: HWND; //窗口句柄message: UINT;//消息常量标识符wParam: WPARAM ;// 32位消息的特定附加信息lParam: LPARAM ;// 32位消息的特定附加信息time: DWORD;//消息创建时的时间pt: TPoint; //消息创建时的鼠标位置end ; 消息中有什么？是否觉得一个消息记录中的信息像希腊语一样？如果是这样，那么看一看下面的解释：hwnd 32位的窗口句柄。窗口可以是任何类型的屏幕对象，因为Win32能够维护大多数可视对象的句柄(窗口、对话框、按钮、编辑框等)。message 用于区别其他消息的常量值，这些常量可以是Windows单元中预定义的常量，也可以是自定义的常量。wParam 通常是一个与消息有关的常量值，也可能是窗口或控件的句柄。 lParam 通常是一个指向内存中数据的指针。由于WParam、lParam 和Pointer都是32位的，因此，它们之间可以相互转换。

public class WindowsMessage { public const int WM_NULL = 0x0000; // public const int WM_CREATE = 0x0001; //应用程序创建一个窗口 public const int WM_DESTROY = 0x0002; //一个窗口被销毁 public const int WM_MOVE = 0x0003; //移动一个窗口 public const int WM_SIZE = 0x0005; //改变一个窗口的大小 public const int WM_ACTIVATE = 0x0006; //一个窗口被激活或失去激活状态； public const int WM_SETFOCUS = 0x0007; //获得焦点后 public const int WM_KILLFOCUS = 0x0008; //失去焦点 public const int WM_ENABLE = 0x000A; //改变enable状态 public const int WM_SETREDRAW = 0x000B; //设置窗口是否能重画 public const int WM_SETTEXT = 0x000C; //应用程序发送此消息来设置一个窗口的文本 public const int WM_GETTEXT = 0x000D; //应用程序发送此消息来复制对应窗口的文本到缓冲区

Windows 事件ID及解释大全

Windows 事件ID及解释大全 0 操作成功完成。 1 函数不正确。 2 系统找不到指定的文件。 3 系统找不到指定的路径。 4 系统无法打开文件。 5 拒绝访问。 6 句柄无效。 7 存储控制块被损坏。 8 存储空间不足，无法处理此命令。 9 存储控制块地址无效。 10 环境不正确。 11 试图加载格式不正确的程序。 12 访问码无效。 13 数据无效。 14 存储空间不足，无法完成此操作。 15 系统找不到指定的驱动器。 16 无法删除目录。 17 系统无法将文件移到不同的驱动器。 18 没有更多文件。 19 介质受写入保护。 20 系统找不到指定的设备。

21 设备未就绪。 22 设备不识别此命令。 23 数据错误(循环冗余检查)。 24 程序发出命令，但命令长度不正确。 25 驱动器找不到磁盘上特定区域或磁道。 26 无法访问指定的磁盘或软盘。 27 驱动器找不到请求的扇区。 28 打印机缺纸。 29 系统无法写入指定的设备。 30 系统无法从指定的设备上读取。 31 连到系统上的设备没有发挥作用。 32 另一个程序正在使用此文件，进程无法访问。 33 另一个程序已锁定文件的一部分，进程无法访问。 36 用来共享的打开文件过多。 38 已到文件结尾。 39 磁盘已满。 50 不支持请求。 51 Windows 无法找到网络路径。请确认网络路径正确并且目标计算机不忙或已关闭。如果 Windows 仍然无法找到网络路径，请与网络管理员联系。 52 由于网络上有重名，没有连接。请到“控制面板”中的“系统”更改计算机名，然后重试。 53 找不到网络路径。 54 网络很忙。

利用wmic对Windows主机批量执行脚本

利用wmic对Windows主机批量执行脚本 2014年11月13日 AM 10:53 与类Unix操作系统相比较，Windows系统由于对字符界面的支持不完善，并没有与类Unix系统的shell可以相提并论的工具（cmd的命令行特性难用程度与 shell相比简直令人发指，虽然目前Windows推出所谓的PowerShell，但要跟上bash、korn shell等前辈还需要时间来沉淀）。一直以来，对于Windows进行批量管理大多依靠于图形界面，效率低下且可靠性不足。其实Windows本身提供了WMI管理规范和接口，专用于支持命令行方式的系统管理，更推出wmic工具来给系统管理员使用，以下是百度百科对于wmic的介绍：WMIC扩展WMI（Windows Management Instrumentation，Windows管理规范），提供了从命令行接口和批命令脚本执行系统管理的支持。在WMIC出现之前，如果要管理WMI系统，必须使用一些专门的WMI应用，例如SMS，或者使用WMI的脚本编程API，或者使用象CIM Studio之类的工具。如果不熟悉C++之类的编程语言或VBScript之类的脚本语言，或者不掌握WMI名称空间的基本知识，要用WMI管理系统是很困难的。WMIC改变了这种情况，为WMI名称空间提供了一个强大的、友好的命令行接口。概念的介绍总是容易让读者云里雾里，以下试验将演示如何使用wmic以及Windows共享功能来对批量服务器执行一个离线安全扫描脚本并取回结果。试验背景：现需要对批量Windows Server服务器进行离线安全扫描，即登录到每一台服务器执行一个vbs脚本，脚本会生成扫描结果文件，然后将结果文件下载到本地。倘若服务器数量不多，那么一台台登录执行也就罢了，但当目标服务器数量达到一定数量后，再手工进行此操作，就成为一件繁琐重复的工作。有人说，懒惰是推动人类文明不断进步的源动力。所以为了偷懒，不，为了人类文明的进步，这个工作必须使用批量和自动化的工具来完成。实现思路：将此工作分解为以下步骤，逐一实现： 1、登录Windows Server服务器； 2、上传扫描脚本到目标服务器； 3、执行扫描脚本； 4、下载结果文件； 5、对其他服务器重复前4个步骤。第1步的登录服务器，传统来说，肯定是使用远程桌面了，但如前面所说，图形界面的东西，要进行批量操作是很麻烦的。那自然要使用字符界面来进行登录了，再自然地想到telnet方式是最简便通用的协议。但现今所有负责任的系统或安全管理人员都会告诉你，想用telnet来连接我的服务器？门都没有！幸好wmic就提供了远程主机的管理接口，使用"wmic /node:IP地址 /user:帐号 /password:密码"的形式可以登录到远程主机执行wmic命令。第3步的执行脚本，其实与登录是同时进行的，此处结合第1、第3步，命令就是: wmic /node:IP地址 /user:帐号 /password:密码 process call create "cmd /c cmd命令或脚本" 第2和第4步，上传与下载，其实是同样的需求，如果开通了ftp之类的文件传输服务，自然简单。但当前环境并未开通ftp，所以考虑使用Windows的文件夹共享与网络映射来实现。首先在远端服务器使用wmic创建一个路径为c:\tempshare的共享目录，然后将其映射到本地的Z盘，再直接在Z盘上进行文件的读取。

Windows命令大全

windows运行命令大全winver 检查Windows版本 wmimgmt.msc 打开Windows管理体系结构(wmi) wupdmgr Windows更新程序 wscript Windows脚本宿主设置 write 写字板 winmsd 系统信息 wiaacmgr 扫描仪和照相机向导 winchat xp自带局域网聊天 mem.exe 显示内存使用情况 msconfig.exe 系统配置实用程序 mplayer2 简易widnows media player mspaint 画图板 mstsc 远程桌面连接 mplayer2 媒体播放机 magnify 放大镜实用程序 mmc 打开控制台 mobsync 同步命令 dxdiag 检查directx信息 drwtsn32 系统医生 devmgmt.msc 设备管理器

dfrg.msc 磁盘碎片整理程序 diskmgmt.msc 磁盘管理实用程序 dcomcnfg 打开系统组件服务 ddeshare 打开dde共享设置 dvdplay dvd播放器 net stop messenger 停止信使服务 net start messenger 开始信使服务 notepad 打开记事本 nslookup 网络管理的工具向导 ntbackup 系统备份和还原 narrator 屏幕“讲述人” ntmsmgr.msc 移动存储管理器 ntmsoprq.msc 移动存储管理员操作请求 netstat -an （tc）命令检查接口 syncapp 创建一个公文包 sysedit 系统配置编辑器 sigverif 文件签名验证程序 sndrec32 录音机 shrpubw 创建共享文件夹 secpol.msc 本地安全策略 syskey 系统加密，一旦加密就不能解开，保护Windows xp系统的双重

WINDOWS中CMD命令大全(可直接打印)

开始→运行→输入的命令集锦 winver---------检查Windows版本 wmimgmt.msc----打开windows管理体系结构(WMI) wupdmgr--------windows更新程序 wscript--------windows脚本宿主设置 write----------写字板 winmsd---------系统信息 wiaacmgr-------扫描仪和照相机向导 winchat--------XP自带局域网聊天 mem.exe--------显示内存使用情况 Msconfig.exe---系统配置实用程序 mplayer2-------简易widnows media player mspaint--------画图板 mstsc----------远程桌面连接 mplayer2-------媒体播放机 magnify--------放大镜实用程序 mmc------------打开控制台 mobsync--------同步命令 dxdiag---------检查DirectX信息 drwtsn32------ 系统医生 devmgmt.msc--- 设备管理器 dfrg.msc-------磁盘碎片整理程序 diskmgmt.msc---磁盘管理实用程序 dcomcnfg-------打开系统组件服务 ddeshare-------打开DDE共享设置 dvdplay--------DVD播放器 net stop messenger-----停止信使服务 net start messenger----开始信使服务 notepad--------打开记事本 nslookup-------网络管理的工具向导 ntbackup-------系统备份和还原 narrator-------屏幕“讲述人” ntmsmgr.msc----移动存储管理器 ntmsoprq.msc---移动存储管理员操作请求 netstat -an----(TC)命令检查接口 syncapp--------创建一个公文包 sysedit--------系统配置编辑器 sigverif-------文件签名验证程序 sndrec32-------录音机 shrpubw--------创建共享文件夹 secpol.msc-----本地安全策略 syskey---------系统加密，一旦加密就不能解开，保护windows xp系统的双重密码 services.msc---本地服务设置Sndvol32-------音量控制程序 sfc.exe--------系统文件检查器 sfc /scannow---windows文件保护 tsshutdn-------60秒倒计时关机命令 tourstart------xp简介（安装完成后出现的漫游xp程序）taskmgr--------任务管理器 eventvwr-------事件查看器 eudcedit-------造字程序 explorer-------打开资源管理器 packager-------对象包装程序 perfmon.msc----计算机性能监测程序 progman--------程序管理器 regedit.exe----注册表 rsop.msc-------组策略结果集 regedt32-------注册表编辑器 rononce -p ----15秒关机 regsvr32 /u *.dll----停止dll文件运行 regsvr32 /u zipfldr.dll------取消ZIP支持 cmd.exe--------CMD命令提示符 chkdsk.exe-----Chkdsk磁盘检查 certmgr.msc----证书管理实用程序 calc-----------启动计算器 charmap--------启动字符映射表 cliconfg-------SQL SERVER 客户端网络实用程序 Clipbrd--------剪贴板查看器 conf-----------启动netmeeting compmgmt.msc---计算机管理 cleanmgr-------垃圾整理 ciadv.msc------索引服务程序 osk------------打开屏幕键盘 odbcad32-------ODBC数据源管理器 oobe/msoobe /a----检查XP是否激活 lusrmgr.msc----本机用户和组 logoff---------注销命令 iexpress-------木马捆绑工具，系统自带 Nslookup-------IP地址侦测器 fsmgmt.msc-----共享文件夹管理器 utilman--------辅助工具管理器 sndrec32-------录音机 Nslookup-------IP地址侦测器 explorer-------打开资源管理器 logoff---------注销命令 tsshutdn-------60秒倒计时关机命令 lusrmgr.msc----本机用户和组

Windows错误代码解释大全

遇到什么错误了就找找，应该会有帮助的。 6001 0x1771 指定的文件无法解密。 6002 0x1772 指定的文件已加密，而且用户没有能力解密。 6003 0x1773 这个系统没有有效的加密恢复策略配置。 6004 0x1774 所需的加密驱动程序并未加载到系统中。 6005 0x1775 文件加密所使用的加密驱动程序与目前加载的加密驱动程序不同。 6006 0x1776 没有为用户定义EFS 关键字。 6007 0x1777 指定的文件并未加密。 6008 0x1778 指定的文件不是定义的EFS 导出格式。 6009 0x1779 指定的文件是只读文件。 6010 0x177A 已为加密而停用目录。 6011 0x177B 不信任服务器来进行远程加密操作。 6012 0x177C 为此系统配置的恢复策略包含无效恢复证书。 6013 0x177D 用在此源文件上的加密算法需要比目标文件上更大的密钥缓冲区。 6014 0x177E 磁盘分区不支持文件加密。 6015 0x177F 这台机器已为文件加密而停用。 6016 0x1780 需要一个更新的系统来解密此加密文件。 6118 0x17E6 此工作组的服务器列表当前无法使用 6200 0x1838 要正常运行，任务计划程序服务的配置必须在系统帐户中运行。单独的任务可以被配置成在其他帐户中运行。 6600 0x19C8 日志服务遇到无效日志扇区。 6601 0x19C9 日志服务遇到块校验无效的日志扇区。 6602 0x19CA 日志服务遇到重映射的日志扇区。 6603 0x19CB 日志服务遇到部分或未完成的日志块。 6604 0x19CC 日志服务遇到错误，原因：试图访问活动日志范围外的数据。 6605 0x19CD 日志服务用户排列缓冲区已用尽。 6606 0x19CE 日志服务遇到错误，原因：试图从读取上下文无效的排列区读取。 6607 0x19CF 日志服务遇到无效日志重新启动区域。 6608 0x19D0 日志服务遇到无效日志块版本。 6609 0x19D1 日志服务遇到无效日志块。 6610 0x19D2 日志服务遇到错误，原因：试图以无效读取模式读取。 6611 0x19D3 日志服务遇到错误，原因：日志流没有重启动区。 6612 0x19D4 日志服务遇到损坏的元数据文件。 6613 0x19D5 日志服务遇到无法由日志文件系统创建的元数据文件。 6614 0x19D6 日志服务遇到数据不一致的元数据文件。 6615 0x19D7 日志服务遇到错误，原因：试图分配和排列保留空间。 6616 0x19D8 BITS 报告计划下载已经失败了%2 次。原因是: %1。日志服务无法删除日志文件或文件系统容器。 6617 0x19D9 日志已经达到允许分配给日志文件的容器的上限。 6618 0x19DA 日志服务试图读取或写入日志开始之前的位置。

电脑主机知识

一、下面介绍一下电脑主机的各个部件：（1）电源：电源是电脑中不可缺少的供电设备，它的作用是将220V交流转换为电脑中使用的5V，12V，3.3V直流电，其性能的好坏，直接影响到其他设备的稳定性。（2）主板：主板是电脑中各个部件的工作平台，它把电脑的各个部件紧密连接在一起，各个部件通过主板进行数据传输。（3） CPU:CPU的功能是执行算，逻辑运算，数据处理，四舍五入，输入/输出的控制电脑自动，协调地完成各种操作。（4）内存：内存又叫内部存储器，属于电子式存储设备，它由电路板和芯片组成，特点是体积小，速度快，有电可存，无电清空，在电脑开机状态时可存储数据，关机后将自动清空其中的所有数据。（5）硬盘：硬盘属于外部存储器，由金属磁片制成，磁片有记忆功能，所以储到磁片上的数据，不论在开机，还是关机，都不会丢失。（6）声卡：声卡是组成多媒体电脑必不可少的一个硬件设备，它的作用是当发出播放命令后，声卡将电脑中的声音数字信号转换成模拟信号到音箱上发出声音。（7）显卡：显卡在工作时与显示器配合输出图形，文字，它的作用是负责将CPU送来的信号转换成显示器识别的模拟信号，传送到显示器上显示出来。

（8）调制解调器：调制解调器是通过电话线上网时必不可少的设备之一。它的作用是将电脑处理的数字信号转换成电话线的模拟信号。（9）网卡：网卡的作用是充当电脑与网线之间的桥梁，它是用来建立上网的重要设备。（10）软驱：软驱用来读取软盘中的数据。软盘为可读写外部存储设备。（11）光驱：光驱是用来读取光盘中的数据。光盘为只读外部存储设备. Esc：退出键 Tab：表格键 Caps Lock：大写锁定键 Shift：转换键 Ctrl：控制键 Alt：可选(切换)键 Enter：回车键 F1～F12：功能键 Print Screen：打印屏幕键 Scroll Lock：滚动锁定 Pause break：暂停键

Win32消息大全

Win32消息大全阿杰发表于:2007-8-1720:52来源:外挂基地消息，就是指Windows发出的一个通知，告诉应用程序某个事情发生了。例如，单击鼠标、改变窗口尺寸、按下键盘上的一个键都会使Windows发送一个消息给应用程序。消息本身是作为一个记录传递给应用程序的，这个记录中包含了消息的类型以及其他信息。例如，对于单击鼠标所产生的消息来说，这个记录中包含了单击鼠标时的坐标。这个记录类型叫做TMsg，它在Windows单元中是这样声明的： type TMsg=packed record hwnd:HWND;//窗口句柄 message:UINT;//消息常量标识符 wParam:WPARAM;//32位消息的特定附加信息 lParam:LPARAM;//32位消息的特定附加信息 time:DWORD;//消息创建时的时间 pt:TPoint;//消息创建时的鼠标位置 end; 消息中有什么？

是否觉得一个消息记录中的信息像希腊语一样？如果是这样，那么看一看下面的解释： hwnd32位的窗口句柄。窗口可以是任何类型的屏幕对象，因为Win32能够维护大多数可视对象的句柄(窗口、对话框、按钮、编辑框等)。 message用于区别其他消息的常量值，这些常量可以是Windows单元中预定义的常量，也可以是自定义的常量。 wParam通常是一个与消息有关的常量值，也可能是窗口或控件的句柄。 lParam通常是一个指向内存中数据的指针。由于W P a r a m、l P a r a m和P o i n t e r 都是32位的，因此，它们之间可以相互转换。 WM_NULL=$0000; WM_CREATE=$0001; 应用程序创建一个窗口 WM_DESTROY=$0002; 一个窗口被销毁 WM_MOVE=$0003; 移动一个窗口 WM_SIZE=$0005; 改变一个窗口的大小 WM_ACTIVATE=$0006;

Windows批处理大全

Windows 批处理大全（附各种实例）批处理文件是无格式的文本文件，它包含一条或多条命令。它的文件扩展名为 .bat 或 .cmd。在命令提示下键入批处理文件的名称，或者双击该批处理文件，系统就会调用Cmd.exe按照该文件中各个命令出现的顺序来逐个运行它们。使用批处理文件（也被称为批处理程序或脚本），可以简化日常或重复性任务。当然我们的这个版本的主要内容是介绍批处理在入侵中一些实际运用，例如我们后面要提到的用批处理文件来给系统打补丁、批量植入后门程序等。下面就开始我们批处理学习之旅吧。一.简单批处理内部命令简介 1.Echo 命令打开回显或关闭请求回显功能，或显示消息。如果没有任何参数，echo 命令将显示当前回显设置。语法 echo [{on|off}] [message] Sample：@echo off / echo hello world 在实际应用中我们会把这条命令和重定向符号（也称为管道符号，一般用> >> ^）结合来实现输入一些命令到特定格式的文件中.这将在以后的例子中体现出来。 2.@ 命令表示不显示@后面的命令，在入侵过程中（例如使用批处理来格式化敌人的硬盘）自然不能让对方看到你使用的命令啦。 Sample：@echo off @echo Now initializing the program,please wait a minite... @format X: /q/u/autoset (format 这个命令是不可以使用/y这个参数的，可喜的是微软留了个autoset这个参数给我们，效果和/y是一样的。) 3.Goto 命令指定跳转到标签，找到标签后，程序将处理从下一行开始的命令。语法：goto label （label是参数，指定所要转向的批处理程序中的行。） Sample： if {%1}=={} goto nop arm s if {%2}=={} goto nop arm s（如果这里的if、%1、%2你不明白的话，先跳过去，后面会有详细的解释。） @Rem check parameters if null show usage :nop arm s echo Usage: monitor.bat ServerIP PortNumber goto end 标签的名字可以随便起，但是最好是有意义的字母啦，字母前加个：用来表示这个字母是标签，goto命令就是根据这个：来寻找下一步跳到到那里。最好有一些说明这样你别人看起来才会理解你的意图啊。 4.Rem 命令注释命令，在C语言中相当与/*--------*/,它并不会被执行，只是起一个注释的

Windows云主机使用手册

中国万网——领先的互联网应用服务提供商 Windows云主机使用手册中国万网2010年11月

目录一、Windows云主机IIS6.0配置说明--------------------------------- 3 二、Windows2003远程桌面的配置及应用------------------------------ 13 三、创建FTP站点--------------------------------------------------- 23 四、还原数据库--------------------------------------------------- 29 五、如何保障系统安全----------------------------------------------- 30 六、网络安全------------------------------------------------------ 47 七、数据安全------------------------------------------------------ 48

一、Windows云主机IIS6.0配置说明声明:本文档只简单说明通过IIS 创建网站的方法,涉及安全或其它方面的详细说明,请您查阅相关文档创建网站 1. 计算机管理->本地用户和组->用户->创建新用户 2. 输入用户名和密码,例如IUSR_TEST,创建 3. 双击刚才创建的用户,打开”隶属于”选项,将Users组删除

4. 点击”添加”,在”输入对象名称来选择”中输入Guests->确定 4. 点击”配置文件”选项,在”本地路径”中输入网站目录的绝对路径,例如D:\test

Windows 事件ID及解释大全

Windows 事件ID及解释大全代码错误信息解释 -------------------------------------------- 0 操作成功完成。 1 函数不正确。 2 系统找不到指定的文件。 3 系统找不到指定的路径。 4 系统无法打开文件。 5 拒绝访问。 6 句柄无效。 7 存储控制块被损坏。 8 存储空间不足，无法处理此命令。 9 存储控制块地址无效。 10 环境不正确。 11 试图加载格式不正确的程序。 12 访问码无效。 13 数据无效。

14 存储空间不足，无法完成此操作。 15 系统找不到指定的驱动器。 16 无法删除目录。 17 系统无法将文件移到不同的驱动器。 18 没有更多文件。 19 介质受写入保护。 20 系统找不到指定的设备。 21 设备未就绪。 22 设备不识别此命令。 23 数据错误(循环冗余检查)。 24 程序发出命令，但命令长度不正确。 25 驱动器找不到磁盘上特定区域或磁道。 26 无法访问指定的磁盘或软盘。 27 驱动器找不到请求的扇区。 28 打印机缺纸。 29 系统无法写入指定的设备。 30 系统无法从指定的设备上读取。

31 连到系统上的设备没有发挥作用。 32 另一个程序正在使用此文件，进程无法访问。 33 另一个程序已锁定文件的一部分，进程无法访问。 36 用来共享的打开文件过多。 38 已到文件结尾。 39 磁盘已满。 50 不支持请求。 51 Windows无法找到网络路径。请确认网络路径正确并且目标计算机不忙或已关闭。如果Windows仍然无法找到网络路径，请与网络管理员联系。 52 由于网络上有重名，没有连接。请到“控制面板”中的“系统”更改计算机名，然后重试。 53 找不到网络路径。 54 网络很忙。 55 指定的网络资源或设备不再可用。 56 已达到网络 BIOS 命令限制。 57 网络适配器硬件出错。 58 指定的服务器无法运行请求的操作。 59 出现了意外的网络错误。

Windows事件ID及解释大全

Windows事件ID及解释大全 0 操作成功完成。 1 函数不正确。 2 系统找不到指定的文件。 3 系统找不到指定的路径。 4 系统无法打开文件。 5 拒绝访问。 6 句柄无效。 7 存储控制块被损坏。 8 存储空间不足，无法处理此命令。 9 存储控制块地址无效。 10 环境不正确。 11 试图加载格式不正确的程序。 12 访问码无效。 13 数据无效。 14 存储空间不足，无法完成此操作。 15 系统找不到指定的驱动器。 16 无法删除目录。 17 系统无法将文件移到不同的驱动器。 18 没有更多文件。 19 介质受写入保护。 20 系统找不到指定的设备。

使用本地安全策略加强windows主机整体防御

使用本地安全策略加强w i n d o w s主机整体防御 Company Document number：WUUT-WUUY-WBBGB-BWYTT-1982GT

项目二使用本地安全策略加强windows主机整体防御【项目描述】金山顶尖信息技术公司办公网中有300台计算机（Windows系统）。网络中计算机之间互相连接，形成共享网络，实现公司网络资源共享。。为保护办公网安全，保证网络系统健康高速运行，金山顶尖信息技术公司信息中心，要求办公网要求所有的本地用户必须配置计算机本地安全策略，保护系统安全。【项目分析】在存放数据的桌面系统中设置本地安全策略。通过以下策略来加固桌面系统： 1）禁止枚举账号 2）指派本地用户权利 3） IP策略 4）密码安全【知识准备】 1）禁用枚举账号的意义一般来说，黑客攻击入侵，大部分利用漏洞，然后提升权限，成为管理员，这一切都跟用户帐号紧密相连。一般的黑客要攻击Windows 2000/XP等系统，必须要知道账号和密码。而账号更为关键，那么如何来避免这种情况的发生呢我们可以利用禁止枚举帐号来限制黑客攻击我们的账户和密码。由于Windows 2000/XP的默认安装允许任何用户通过空用户得到系统所有账号和共享列表，但是，任何一个远程用户通过同样的方法都能得到账户列表，使用暴力法破解账户密码后，对我们的电脑进行攻击，所以有必要禁止枚举帐号，我们可以通过修改注册表和设置本地安全策略来禁止。 2）指派本地用户权利在本地安全策略中可以指派本地用户的权利，比如说哪些用户组可以登录到此终端，哪些用户组或者用户不能登录到此终端中。还可以设置哪些用户组或者用户可以关闭此计算机等等。 3） IP策略 IP安全策略是一个给予通讯分析的策略，它将通讯内容与设定好的规则进行比较以判断通讯是否与预期相吻合，然后决定是允许还是拒绝通讯的传输，它弥补了传统TCP/IP设计上的" 随意信任"重大安全漏洞，可以实现更仔细更精确的TCP/IP安全，当我们配置好IP安全策略后，就相当于拥有了一个免费但功能完善的个人防火墙。 4）密码安全如何设置密码安全，可以利用账号安全策略来进行保护密码，防止密码被破解： Windows桌面系统中，用户账号的安全策略默认是关闭的。但要想设定安全的桌面系统，必须开启用户账号的安全策略，以下是用户账号安全策略的解释： ●弱口令：在互联网术语中，弱口令我们经常会在一些资料中看到，什么是弱口令，弱口令是指仅包含简单数字和字母的口令，例如“123”、“abc”等。 ●密码长度：密码字符的长度。我们推荐密码的长度至少八位。建议10位以上。

WINDOWS消息对照表

Public Enum WindowMessages WM_ACTIVATE = &H6 WM_ACTIVATEAPP = &H1C WM_ASKCBFORMATNAME = &H30C WM_CANCELJOURNAL = &H4B WM_CANCELMODE = &H1F WM_CAPTURECHANGED = &H1F WM_CAPTURECHANGED_R = &H215 WM_CHANGECBCHAIN = &H30D WM_CHAR = &H102 WM_CHARTOITEM = &H2F WM_CHILDACTIVATE = &H22 WM_CHOOSEFONT_GETLOGFONT = &H401 WM_CHOOSEFONT_SETFLAGS = (&H400 + 102) WM_CHOOSEFONT_SETLOGFONT = (&H400 + 101) WM_CLEAR = &H303 WM_CLOSE = &H10 WM_COMMAND = &H111 WM_COMPACTING = &H41 WM_COMPAREITEM = &H39 WM_CONTEXTMENU = &H7B WM_CONVERTREQUESTEX = &H108 WM_COPY = &H301 WM_COPYDATA = &H4A WM_CREATE = &H1 WM_CTLCOLORBTN = &H135 WM_CTLCOLORDLG = &H136 WM_CTLCOLOREDIT = &H133 WM_CTLCOLORLISTBOX = &H134 WM_CTLCOLORMSGBOX = &H132

Windows主机下安装syslog日志客户端

Windows主机下安装syslog日志客户端一、为什么使用日志客户端对于unix类主机以及交换机、路由器、防火墙等的日志记录，都可以通过syslog协议记录传输，但是Windows操作系统本身是可以产生很多日志的，如用户的登录、服务的重启等，都会产生日志，这些信息会记录在操作系统中，不支持把日志发送到syslog服务器去，所以要安装第三方软件转换Windows的日志。二、Evtsys介绍 Evtsys是用C写的程序，提供发送Windows日志到syslog服务器的一种方式。它支持Windows 2000、2003、Vis、XP和Server 2008，并且编译后支持32和64位环境。它被设计用于高负载的服务器，Evtsys快速、轻量、高效率。并可以作为Windows服务存在。下载地址：https://www.wendangku.net/doc/e412900757.html,/p/eventlog-to-syslog/ 三、Evtsys安装以及配置 1.从官网点击download选择32位或者64位下载（此处以32位为例） 2.下载后解压文件，Readme.rtf为说明文件，其余两个为程序文件 32位系统evtsys安装 copy evtsys.exe c:\windows\system32\ copy evtsys.dll c:\windows\system32\ cd c:\windows\system32 evtsys.exe -i -h 192.168.1.41 -p 514 net start evtsys 64位系统evtsys安装 copy evtsys.exe c:\windows\SysWOW64\ copy evtsys.dll c:\windows\SysWOW64\ cd c:\windows\SysWOW64

windows消息大全及钩子介绍

windows消息大全及钩子介绍 windows消息大全 (2) 声明 (2) 消息中有什么？ (2) 通知消息 (23) 按扭 (23) 组合框 (23) 编辑框 (24) 列表框 (24) Windows消息中的虚拟键列表 (25) Windows消息中的虚拟键 (25) DirectInput中的虚拟键 (27) HOOK专题 (29) 基本概念 (29) 运行机制 (30) 1、钩子链表和钩子子程： (30) 2、钩子的安装与释放： (31) 3、一些运行机制： (33) 4、系统钩子与线程钩子： (34) 钩子类型 (35) 1、WH_CALLWNDPROC和WH_CALLWNDPROCRET Hooks (35) 2、WH_CBT Hook (35) 3、WH_DEBUG Hook (36) 4、WH_FOREGROUNDIDLE Hook (36) 5、WH_GETMESSAGE Hook (36) 6、WH_JOURNALPLAYBACK Hook (36) 7、WH_JOURNALRECORD Hook (37) 8、WH_KEYBOARD Hook (37) 9、WH_KEYBOARD_LL Hook (37) 10、WH_MOUSE Hook (37) 11、WH_MOUSE_LL Hook (37) 12、WH_MSGFILTER 和WH_SYSMSGFILTER Hooks (38) 13、WH_SHELL Hook (38)

windows消息大全消息，就是指Windows发出的一个通知，告诉应用程序某个事情发生了。例如，单击鼠标、改变窗口尺寸、按下键盘上的一个键都会使Windows发送一个消息给应用程序。消息本身是作为一个记录传递给应用程序的，这个记录中包含了消息的类型以及其他信息。例如，对于单击鼠标所产生的消息来说，这个记录中包含了单击鼠标时的坐标。这个记录类型叫做TMsg，声明它在Windows单元中是这样声明的： type TMsg = packed record hwnd: HWND; / /窗口句柄 message: UINT; / /消息常量标识符 wParam: WPARAM ; // 32位消息的特定附加信息 lParam: LPARAM ; // 32位消息的特定附加信息 time: DWORD; / /消息创建时的时间 pt: TPoint; / /消息创建时的鼠标位置 end; 消息中有什么？是否觉得一个消息记录中的信息像希腊语一样？如果是这样，那么看一看下面的解释：

Windows主机安全加固

封面

作者：Pan Hongliang 仅供个人学习目录 1账户管理 (3) 1.1 1.2 1.3用户管理 (3) 弱口令修改 (4) 密码策略 (4)

1.4帐户锁定策略 (4) 2本地策略 (5) 2.1审核策略： (5) 3服务 (6) 3.1关闭不必须的服务 (6) 4网络协议 (8) 4.1 4.2 4.3删除TCP/IP外的其他网络协议： (8) 解除NetBios与TCP/IP协议的绑定： (8) 使用TCP/IP筛选限制端口： (8) 5注册表设置 (9) 5.1 5.2 5.3 5.4 5.5 5.6 5.7 5.8 5.9 5.10 5.11关闭默认共享 (9) 减少DDOS攻击的影响 (9) 处理HTTP/FTP半连接请求 (9) 禁用CD-ROM的自动运行 (9) 删除OS2、POSIX子系统 (10) 防止ICMP重定向报文的攻击 (10) 禁止响应ICMP路由通告报文 (10) 保护内核对象标志 (10) 禁止建立空连接 (10) 禁用路由功能 (10) 检查RUN (10) 6文件系统与权限 (11) 6.1 6.2 6.3 6.4 6.5 6.6使用NTFS文件系统 (11) 保护重要的EXE程序 (11) 删除无用的系统文件和目录 (11) 保护重要系统文件和目录 (12) 加密重要、敏感文件 (12) 系统、文件的备份： (12) 7常规安全 (13) 7.1 7.2 7.3 7.4 7.5更新Windows安全补丁： (13) 使用防病毒软件： (13) 使用木马扫描软件： (13) 使用个人防火墙： (13) 其他常规安全设置： (13) 1账户管理 1.1用户管理序号用户管理检查确认1停用gues t帐号：以防止未授权的用户访问。默认停用，检查确认。