Free sky - 歪酷博客 Ycool Blog

如何判定管理员是否在线

转载：紫琦的Blog

如何判定管理员是否在线
　　随着网络黑客工具的简单化和傻瓜化，越来越多的网络爱好者可以通过现成的攻击工具轻松的入侵主机，然而谁也不想在管理员的眼皮底下做入侵，所以在入侵成功以后，一个很重要的事情是：你能不能确认你的行为在别人的监视之下？所以我们首先要知道管理员是不是现在正在你入侵的主机上？
如何判定管理员在线，我们要知道的是管理员是通过什么方式管理主机的：是pcanywhere、vnc、DameWar、终端服务、ipc、telnet还是本地登陆···

一、对于用第三方的控屏工具（pcanywhere、vnc、DameWar等），你只要看相应端口有没有状态为"ESTABLISHED"的连接。一个netstat -an就可以知道，如果想查看与端口相关的进程，使用Fport.exe就可以了。比如我们在一台主机上使用netstat -an发现如下的信息：
Active Connections

Proto Local Address Foreign Address State

TCP lin:1755 lin:telnet ESTABLISHED
TCP lin:1756 lin:netbios-ssn ESTABLISHED
TCP lin:1758 202.103.243.105:http TIME_WAIT
TCP lin:1764 202.103.243.105:http TIME_WAIT
TCP lin:6129 lin:1751 ESTABLISHED

使用Fport.exe得到如下的信息：
Pid Process Port Proto Path

528 mysqld-nt -> 3306 TCP D:\mysql\bin\mysqld-nt.exe
1328 DWRCS -> 6129 TCP C:\WINNT\SYSTEM32\DWRCS.EXE －－－这个是DameWare Mini Remote Control服务

8 System -> 138 UDP
248 lsass -> 500 UDP C:\WINNT\system32\lsass.exe

－－－－－－从这个可以看出，管理员是通过DameWare Mini Remote Control来管理现在的主机，连接的端口是6129。同样如果管理员使用其他的控屏工具，比如pcanywhere、vnc我们也是可以通过netstat -an查看端口连接的情况。

　　二、对于从本地或终端服务登陆的，看看有几个winlogon进程，我们可以使用的工具是PSTOOLS的PULIST.EXE，它能够查看本机的所用正在运行的进程。然后单凭有几个winlogon进程也很难判定在线的是不是管理员，因为一般用户和管理员都是通过图形界面登陆的，身份验证都是在GINA（GINA - Graphical Identification andAuthentication图形标识和身份验证）中进行，而GINA又和Winlogon进程紧密相关，所以查看有几个winlogon进程只能知道当前有几个用户登陆主机。这个办法也是给一个参考而已吧，给一个例子，这样应该好理解一点：
在主机上运行pulist.exe(至于如何才能在主机上运行pulist.exe，我想这个问题也不用说了吧),进程情况：
PID Path
0 [Idle Process]
8 [System]
160 \SystemRoot\System32\smss.exe
184 \??\C:\WINNT\system32\csrss.exe
208 \??\C:\WINNT\system32\winlogon.exe －－－－这个
680 C:\WINNT\System32\svchost.exe
404 C:\WINNT\Explorer.EXE
1088 \??\C:\WINNT\system32\csrss.exe
1084 \??\C:\WINNT\system32\winlogon.exe －－－－还有这个

在这个上面我们发现了有二个的winlogon.exe，就可以知道目前有2个用户通过本地或终端服务登陆主机，结合上面说的判定方法，使用netstat 查看TCP端口连接：

Num LocalIP Port RemoteIP PORT Status

10 192.168.0.1 3389 192.168.2.1 1071 Established －－－－终端的

可以看出使用的是终端3389连接。

　　三、对于用telnet登陆的，telnet的登陆不是通过winlogon来管理的，还是看相应端口的连接吧，我们知道的是一般情况下telnet使用23端口连接，通过netstat -an可能很清楚的看出23端口有没有打开：
C:\>netstat -an

Active Connections

Proto Local Address Foreign Address State

TCP 127.0.0.1:23 127.0.0.1:1030 ESTABLISHED
TCP 127.0.0.1:1030 127.0.0.1:23 ESTABLISHED
我们也可以通过上面的方法查看相应的进程，比如我们使用FPORT.EXE是得到如下的信息：
E:\HACK>fport
FPort v2.0 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com

Pid Process Port Proto Path
660 inetinfo -> 21 TCP C:\WINNT\System32\inetsrv\inetinfo.exe
1112 tlntsvr -> 23 TCP C:\WINNT\system32\tlntsvr.exe
660 inetinfo -> 80 TCP C:\WINNT\System32\inetsrv\inetinfo.exe
416 svchost -> 135 TCP C:\WINNT\system32\svchost.exe
660 inetinfo -> 443 TCP C:\WINNT\System32\inetsrv\inetinfo.exe
8 System -> 1028 TCP
408 telnet -> 1030 TCP C:\WINNT\system32\telnet.exe

从上面的信息可以知道23端口对应的正是telnet服务tlntsvr.exe。

　　四、通过IPC$管道进行管理，这个可以通过WINDOWS NT系统内置的工具NET SESSION，它的作用是列出或断开连接本地计算机和与它连接的客户之间的会话。
下面给出一个结果：
E:\HACK>net session

计算机用户名客户类型打开空闲时间

-------------------------------------------------------------------------------
\LIN LINYUN Windows 2000 2195 0 00:08:47

命令成功完成。

从这个上面我们就可以看出当前有一个用户名为LIYUN的用户登陆主机LIN。在这里给大家推荐一个比较好的工具——PSTOOLS里面的psloggedon.exe，它不仅能列出使用IPC$登陆的用户，而且能列出本地登陆的用户。
E:\Pstools\Pstools>psloggedon.exe

PsLoggedOn v1.21 - Logon Session Displayer
Copyright (C) 1999-2000 Mark Russinovich
SysInternals - www.sysinternals.com

Users logged on locally:
2003-9-15 14:33:38 LIN\Administrator －－－－－这个是本地登陆的用户administrator

Users logged on via resource shares:
2003-9-15 14:41:04 LIN\LINYUN －－－－－这个是使用IPC$连接的用户LINYUN

　　如何判定管理员是否在线是一个比较深入的话题，上面说的仅仅是提供一个思路，当然了，如果管理员登陆了，却锁定了主机，或者正在运行屏幕保护程序，这一些就都不好说了！有矛必有盾，我们既然能通过各种的方式判定管理员是不是在线，同样，管理员也能通过这样的途径知道自己是否被入侵，从而尽快的查出入侵者，所以请广大的网络爱好者不要以身试法，入侵国内主机。

后记：由于本人的水平有限，关于这个话题的讨论可能有很多不周到的地方，还请各位朋友指点。