通过NetBIOS入侵(二)

　　　　网络入侵者通常采取的第一步是通过端口扫描程序扫描目标机或网络。令人吃惊的是，以目标机的开放端口为基础对网络进行的攻击是多么的有条不紊。您应该清楚，除了Unix机外，这是NT机显示不同开放端口的标准。网络入侵者懂得查看端口扫描程序，并通过相当准确的结果来断定它是一台NT机还是一台Unix机。当然也有一些例外，但一般情况下都能这样做。最近，业界发布了几个用来远程鉴别机器的工具，但该功能目前还不能用于NT。 
当攻击基于NT的网络时，NetBIOS往往是首选的攻击对象。因此，NetBIOS就成为本文中第一个要探讨的重要课题。用NetBIOS进行信息收集相当容易，虽然要花费一点时间。etBIOS一般被看作是开销，很大的大容量协议，速度往往很慢，这也就是要耗费时间的原因。如果端口扫描程序报告端口139在目标机上是开放的，那么接下来就是一个很自然的过程。第一步是发出NBTSTAT命令。 
NBTSTAT命令可以用来查询涉及到NetBIOS信息的网络机器。另外，它还可以用来 
消除NetBIOS高速缓存器和预加载LMHOSTS文件。这个命令在进行安全检查时非常有用。 
用法：nbtstat [-a RemoteName] [-A IP_address] [-c] [-n] [-R] [-r] [-S] 
[-s] 
[interval] 
参数-a列出为其主机名提供的远程计算机名字表。 
-A列出为其IP地址提供的远程计算机名字表。 
-c列出包括了IP地址的远程名字高速缓存器。 
-n列出本地NetBIOS名字。 
-r列出通过广播和WINS解析的名字。 
-R消除和重新加载远程高速缓存器名字表。 
-S列出有目的地IP地址的会话表。 
-s列出会话表对话。 
NBTSTAT生成的列标题具有以下含义： 
Input 
接收到的字节数。 
Output 
发出的字节数。 
In/Out 
无论是从计算机（出站）还是从另一个系统连接到本地计算机（入站）。 
Life 
在计算机消除名字表高速缓存表目前“度过”的时间。 
Local Name 
为连接提供的本地NetBIOS名字。 
Remote Host 
远程主机的名字或IP地址。 
Type 
一个名字可以具备两个类型之一：unique or group 
在16个字符的NetBIOS名中，最后一个字节往往有具体含义，因为同一个名可以在同一台计算机上出现多次。这表明该名字的最后一个字节被转换成了16进制。 
State 
NetBIOS连接将在下列“状态”（任何一个）中显示： 
状态含义： 
Accepting: 进入连接正在进行中。 
Associated: 连接的端点已经建立，计算机已经与IP地址联系起来。 
Connected: 这是一个好的状态！它表明您被连接到远程资源上。 
Connecting: 您的会话试着解析目的地资源的名字-IP地址映射。 
Disconnected: 您的计算机请求断开，并等待远程计算机作出这样的反应。 
Disconnecting: 您的连接正在结束。 
Idle: 远程计算机在当前会话中已经打开，但现在没有接受连接。 
Inbound: 入站会话试着连接。 
Listening: 远程计算机可用。 
Outbound: 您的会话正在建立TCP连接。 
Reconnecting: 如果第一次连接失败，就会显示这个状态，表示试着重新连接 

下面是一台机器的NBTSTAT反应样本： 
C:\>nbtstat CA x.x.x.x 
NetBIOS Remote Machine Name Table 
Name Type Status 
--------------------------------------------- 
DATARAT <00> UNIQUE Registered 
R9LABS <00> GROUP Registered 
DATARAT <20> UNIQUE Registered 
DATARAT <03> UNIQUE Registered 
GHOST <03> UNIFQUE Registered 
DATARAT <01> UNIQUE Registered 
MAC Address = 00-00-00-00-00-00 
您通过下表能掌握有关该机器的哪些知识呢？ 
名称编号类型的使用： 
00 U 工作站服务 
01 U 邮件服务 
\\_MSBROWSE_ 01 G 主浏览器 
03 U 邮件服务 
06 U RAS服务器服务 
1F U NetDDE服务 
20 U 文件服务器服务 
21 U RAS客户机服务 
22 U Exchange Interchange 
23 U Exchange Store 
24 U Exchange Directory 
30 U 调制解调器共享服务器服务 
31 U 调制解调器共享客户机服务 
43 U SMS客户机远程控制 
44 U SMS管理远程控制工具 
45 U SMS客户机远程聊天 
46 U SMS客户机远程传输 
4C U DEC Pathworks TCP/IP服务 
52 U DEC Pathworks TCP/IP服务 
87 U Exchange MTA 
6A U Exchange IMC 
BE U网络监控代理 
BF U网络监控应用 
03 U邮件服务 
00 G域名 
1B U域主浏览器 
1C G域控制器 
1D U主浏览器 
1E G浏览器服务选择 
1C G Internet信息服务器 
00 U Internet信息服务器 
[2B] U Lotus Notes服务器 
IRISMULTICAST [2F] G Lotus Notes 
IRISNAMESERVER [33] G Lotus Notes 
Forte_$ND800ZA [20] U DCA Irmalan网关服务 
Unique (U): 该名字可能只有一个分配给它的IP地址。在网络设备上，一个要注册的名字 
可以出现多次，但其后缀是唯一的，从而使整个名字是唯一的。 
Group (G): 一个正常的群；一个名字可以有很多个IP地址。 
Multihomed (M): 该名字是唯一的，但由于在同一台计算机上有多个网络接口， 
这个配置可允许注册。这些地址的最大编号是25。 
Internet Group (I): 这是用来管理WinNT域名的组名字的特殊配置。 
Domain Name (D): NT 4.0提供的新内容。 
网络入侵者可以通过上表和从nbtstat获得的输出信息开始收集有关您的机器的信息。 
有了这些信息，网络入侵者就能在一定程度上断定有哪些服务正在目标机上运行，有时也 
能断定已经安装了哪些软件包。从传统上讲，每个服务或主要的软件包都具有一定的脆弱性，因此，这一类型的 信息 对网络入侵者当然有用。 

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝第二个逻辑步骤是通过远程机收集可能的用户名。网络登录包括两个部分：用户名和口令。一旦网络入侵者掌握了有效的用户列表，他就能获得一半的有效登录信息。现在，采用了nbtstat命令，网络入侵者就能掌握从本地注册到该台机器上的任何人的登 录名。 在通过nbtstat命令得到的结果中，采用<03>识别符的表目是用户名或机器名。另 外，还 可以通过空IPC会话和SID工具来收集用户名（详细内容见“SID工具”，附录B） 。 IPC$（进程间通信）共享是NT主机上一个标准的隐藏共享，主要用于服务器到服 务器 的通信。NT主机用来互相连接并通过这个共享来获得各种必要的信息。鉴于在各 种操作系 统中都有很多设计特征，网络入侵者已经懂得利用这种特征来达到他们的目的。 通过连接 这个共享，网络入侵者从技术上就能够实现与您的服务器的有效连接。通过与这 个共享的空连，网络入侵者就能够在不需要提供任何身份证明的情况下建立这一连接。 
要与IPC$共享进行空连接，网络入侵者就在命令提示符下发出如下命令： 
c:\>net use \\[目标主机的IP地址]\ipc$ "" /user:"" 
如果连接成功，网络入侵者就会有很多事情可做，不只是收集用户列表，不过他是以收集用户列表开始的。如上所述，这个方法需要一个空IPC会话和SID工具。由Evgenii Rudnyi编写的SID工具包括两个不同的部分：User2sid和Sid2user。User2sid采 用一个帐户名字或群组，给您一个对应的SID。而Sid2user采用一个SID，给您对 应的用户或群组的名字。作为一个独立的工具，这个进程是手工进行的，要消耗大量的时间。 Userlist.pl是monix编写的一个perl脚本，它将使这个SID进程自动化，从而 大大 缩短网络入侵者收集这些消息所花费的时间。 
这时，网络入侵者就会了解到哪些服务正在远程机上运行以及已经安装了哪些主要的软件包（有限的），同时还能得到该机器上有效的用户名和群组列表。尽管这似乎是一个外来者所要掌握的有关您的网络的信息，但是，空IPC会话已经为信息收集留下了其它隐患。目前，Rhino9小组已经能够检索远程机的全部固有安全约束规则。帐户封锁 、最小口 令长度、口令使用周期、口令唯一性设置以及每一个用户、他们所归属的群组以 及该用户的个人域限制等所有信息都可以通过一个IPC空会话获得。这个信息收集功能将在近期发布的eviathan工具（由Rhino9小组编写）中提供。下面将对目前可用的一些工具进行探讨，这些工具可用来通过空IPC会话收集更多的信息. 

有了这个空IPC会话，网络入侵者也能获得网络共享列表，否则就无法得到。为此，网络入侵者希望了解到在您的机器上有哪些可用的网络共享。为了收集到这些信息，要采用下列这个标准的net view命令： 
c:\>net view \\[远程主机的IP地址] 
根据目标机的安全约束规则，可以拒绝或不拒绝这个列表。举例如下： 
C:\>net view \\0.0.0.0 
System error 5 has occurred. 
Access is denied. 
C:\>net use \\0.0.0.0\ipc$ "" /user:"" 
The command completed successfully. 
C:\>net view \\0.0.0.0 
Shared resources at \\0.0.0.0 
Share name Type Used as Comment 
---------------------------------------------------------------------- 
--------- 
Accelerator Disk Agent Accelerator share for Seagate backup 
Inetpub Disk 
mirc Disk 
NETLOGON Disk Logon server share 
www_pages Disk 
The command completed successfully. 
正如您所看到的，该服务器上的共享列表在建立了空IPC会话后才可用。这时，您就会意识到这个IPC连接有多么的危险，但我们现在已经掌握的IPC方法实际上是很基本的方法。与IPC共享一起出现的可能性还有待进一步研究。WindowsNT 4.0资源工具的发布使得象管理员和网络入侵者这样的人能够用到新的工具。下面对一些资源工具实用程序进行描述。Rhino9小组运用这些实用程序与IPC$空会话 一起收集信息。当您阅读这些工具的描述以及它们所提供的信息时，请记住：所 采用的空 会话不向远程网络提供任何真实的身份证明。 
UsrStat: 这个命令行实用程序显示特定域中各个用户的用户名、全名以及最后一次登录的日期和时间。下面是根据远程网络通过一个空IPC会话采用这个工具进行的实际剪切和粘贴： 
C:\NTRESKIT>usrstat domain4 
Users at \\STUDENT4 
Administrator - - logon: Tue Nov 17 0855 1998 
Guest - - logon: Mon Nov 16 124:04 1998 
IUSR_STUDENT4 - Internet Guest Account - logon: Mon Nov 16 1596 1998 
IWAM_STUDENT4 - Web Application Manager account - logon: Never 
laurel - - logon: Never 
megan - - logon: Never 

我们现在来探讨一下整个俘获过程是怎么样发生的，以便于加深读者的理解。在真正的攻击发生前，把一个映射放到通过#PRE/#DOM标记映射Student4机器及其域活动状态的mhosts文件中（下面详述）。然后把表目预加载到NetBIOS高速缓存器中，同时建立一个空IPC会话。正如您所看到的，这个命令是根据域名发出的。最后，该工具会向主域控制器查询这个。 
其它涉及到IPC共享的渗透方法包括打开远程机的注册表以及远程域用户管理器。空IPC连接使网络入侵者能够对您的注册表进行访问。一旦建立了空IPC会话，网络入侵者就能启用其本地注册表编辑器实用程序，并尝试连接网络注册表选项。如果尝试成 功，入侵者就会对一定的注册表键具有只读访问权限，甚至是读/写权限。无论如何，就算对注册表只有只读访问权限，从安全角度来讲这也是非常有害的。 
另外，网络入侵者还会利用IPC域用户管理器方法。这个方法鲜为人知。我们在这里涉及到这个问题是因为它是一个非常有效的入侵方法。这个方法涉及到一个空IP C会话和输入LMHOSTS文件的表目。LMHOSTS文件（在一般情况下）是一个保存在基于Wind ows的机器上的本地文件，用于把NetBIOS名字映射到IP地址。LMHOSTS文件主要用在非WI NS环境中或者不能使用WINS的客户机上，而实际上，网络入侵者可以通过很多种不同的方式来使用这个文件。我们将在下文中对LMHOSTS文件的不同使用方法进行探讨. 

===========================================================================现在我们对如何在这个方法中使用LMHOSTS文件进行论述。这是一个绝妙的方法，因为它能说明如何把前面介绍的方法与这个方法结合起来使用从而达到网络入侵者的目的。我们先从端口扫描程序开始，假设端口139是开放的，攻击者就会发出一个nbtstat命令。然后，他会通过nbtstat结果收集远程机的NetBIOS名字。 
让我们来看看得出的nbtstat结果，与前面的结果相同： 
C:\>nbtstat -A x.x.x.x 
NetBIOS Remote Machine Name Table 
Name Type Status 
--------------------------------------------- 
DATARAT <00> UNIQUE Registered 
R9LABS <00> GROUP Registered 
DATARAT <20> UNIQUE Registered 
DATARAT <03> UNIQUE Registered 
GHOST <03> UNIQUE Registered 
DATARAT <01> UNIQUE Registered 
MAC Address = 00-00-00-00-00-00 
通过检查nbtstat命令的结果，我们可以找到<03>识别符。如果有人从本地登录到 该 机器上，您就会看到两个<03>识别符。在一般情况下，第一个<03>识别符是机器的netbios名字，第二个<03>识别符是本地登录用户的名字。这时，网络入侵者就会把这台机器的netbios名字和IP地址映射放到他本地的LMHOSTS文件中，用#PRE和#DOM标 签终止表目。#PRE标签表示应该把表目预加载到netbios高速缓存器中。#DOM标签表示域活动。这 时，网络入侵者就会发出一个nbtstat CR命令，把表目预加载到他的高速缓存器 中。从技术角度来讲，这个预加载会使表目看起来好象已经由一些网络功能解析过，并使名字解析起来更加快捷。 
下一步，网络入侵者会建立一个空IPC会话。一旦成功地建立了空IPC会话，网络入侵者就能启用域用户管理器的本地拷贝，并在用户管理器中利用选择域功能。接着，远程机的域就会出现（或者能够人工输入），因为它已经被预加载到高速缓存器中。如果远程机的安全性没有保障，用户管理器就会显示远程机上所有用户的列表。如果这是通过一个很缓慢的链接（如28.8K调制解调器）来进行的，那么在一般情况下就不会起作用。但如果 采用较快的网络连接，就会有成效。既然网络入侵者已经收集到有关您的机器的资料，下一步就是真正渗透您的机器 。我 们要探讨的第一个渗透方法是公开文件共享攻击。网络入侵者会把前面提到的net view命 令和net use命令结合起来实现这一攻击。 
我们采用前面的net view命令对网络入侵者的攻击进行论述： 
C:\> net view \\0.0.0.0 
Share name Type Used as Comment 
---------------------------------------------------------------------- 
--------- 
Accelerator Disk Agent Accelerator share for Seagate backup 
Inetpub Disk 
mirc Disk 
NETLOGON Disk Logon server share 
www_pages Disk 
The command completed successfully. 
一旦攻击者掌握了远程共享列表，他就会试着映射到远程共享。这一攻击的命令结构是： 
c:\>net use x: \\0.0.0.0\inetpub 
只有当共享不设密码或分配给everyone群组时这一攻击才有效（注：everyone群组表示每个人。如果有人作为空用户连接，他们现在就是everyone群组的组成部分）。如果这些参数都正确，攻击者就能把网络驱动器映射到您的机器上并开始一系列的渗透攻击。请记住：网络入侵者并不局限于把驱动器映射到通过net view命令显示出来的共享上。了解NT的网络入侵者都知道NT隐藏了管理共享。根据默认值，NT为该机器上的每一个驱动器都创建IPC$共享和一个隐藏共享（即：一台有C、D和E驱动器的机器会有对应的C$、D$和E$ 的隐藏共享）。另外，还有一个直接映射到NT安装路径的隐藏ADMIN$共享（即：如果您把 NT安装在:\winnt目录下，ADMIN$就映射到该驱动器的确切位置）。Rhino9小组已经注意到，大多数NT安全界人士似乎都不大重视这个从一台内部NT机渗透另一台内部NT机的概念。在我们的专业检查过程中，Rhino9小组已经多次完成了这项任务。问题是，如果网络入侵者是有心的并能得到对您的一台机器的访问权限，他就会悄悄地潜入其余的网络机器。因此，这些共享攻击会造成严重的威胁。 （旁注：Rhino9小组曾经对位于佛罗里达州的一家大型ISP进行远程渗透检查。我们 先得到其技术人员个人机器上的共享访问权限，然后从那里得到整个网络的访问 权限。这是完全可以办到的。） 
首先，有些人可能不会意识到有人在访问您的硬盘时对您的机器所造成的危险。访问硬盘为收集信息和安放特洛伊木马/病毒提供了新的途径。一般情况下，攻击者会寻找包含有口令或高度敏感的数据的内容，因为他能利用这些数据来继续深入您的网络。下面列出的是网络入侵者要寻找和利用的一些文件。我们对每一个文件及其使用方法都进行了简要的介绍。 

Eudora.ini: 这个文件用来存储支持eudora电子邮件软件的配置信息。被称为udpass.com的工具会提取个人用户名、口令信息以及网络入侵者需要用来窃取用户邮件的所有信息。这时，入侵者可以通过配置自己的电子邮件软件来阅读目标邮件。同样，有些人要花很长时间才能意识到这一危险的存在。但是，要记住，在一般情况下，人都会很容易地养成习惯的。用户的电子邮件口令与他们用来登录到网络的口令在大多数情况下都 是相同的。现在攻击者要做的就是不断地窥探用户的硬驱，寻找能为他指出该用户业务场所的用户简历或一些与工作相关的其它文档，从而使他能够对网络发动强大的攻势。 
Tree.dat: 这是一个由通用软件CuteFTP用来存储用户ftp站点/用户名/口令的文件。利用一个称为FireFTP的程序，攻击者就能轻易地破解tree.dat文件。这样，如上所述，他能不断地收集有关您的信息并对您的业务场所发起攻击。显而易见，如果您在tree.dat中有一个直接到您业务场所的ftp映射，那么他就能更容易地攻击您的网络。 
PWL: PWL一般内置在Win95机上。它们用来为Windows95最终用户存储操作特有的口令。一个称为glide.exe的工具会破坏PWL文件。另外还有一些介绍如何用计算器人工破坏这些PWL文件加密的文档。接下来，攻击者会继续收集有关用户的信息并拟订攻击方案。 
PWD: PWD文件在运行FrontPage或Personal Webserver的机器上。这些文件包括纯文本用户名和一个与用来管理Web站点的身份证明资料相匹配的加密口令。用于这些口令的加密方案是标准的DES方案。众所周知，在internet上提供有很多破坏实用程序的DES。 
Solar Designer编写的John the Ripper能非常有效的破坏这些口令。 
WS_FTP.ini: 这个ini文件在使用ws_ftp软件的机器上。尽管适用于这个文件的自动 口令析取字最近才被推荐给安全界，但所采用的加密机制还不够强壮。口令是被转换成十六进制数（2位）的。如果一个数字在N位置，那么N就被增加到该数字上。反向操作就会破坏这个加密方案。（这种方法有时也可破坏PMail.iniCPegasus Mail和Prefs.jsCNetscape。） 
IDC文件：IDC（internet数据库连接符）文件一般用于从web服务器到数据库的后端连接。因为这种类型的连接一般都需要身份认证，所以，一些IDC文件包含有纯文本的用户名/口令。waruser.dat: 这是适用于通用Win32 FTP服务器--WarFTP的配置文件。这个特殊的dat文件可包含FTP服务器本身的管理口令。根据作者掌握的资料，这种情况仅在WarFTP 1.70版中发生。 
$winnt$.inf：在WindowsNT的独立安装过程中，安装进程需要信息文件。作为这个独立安装进程的残余数据，有一个称为$winnt$.inf的文件位于%systemroot%\system32 目录下。这个文件可包含有在安装过程中要使用的帐户的用户名/口令。因为在这些类型的安装中所使用的帐户一般都需要网络上的允许权限设置，所以这是一件很重要的事。 
Sam._：尽管人们很早就知道如果SAM数据库被心怀叵测的人所利用就会出现问题，但很多人都不记得这个sam._文件了。如果入侵者能够通过网络安装驱动器，那该如何拷贝SAM数据库呢？一般情况下这是不大可能的，因为您所连接的NT服务器正在运行。当NT服务器正在运行时，它会锁定SAM。不过，如果管理员已经创建了一个紧急修复盘，SAM的拷贝就应该位于systemroot%\repair\目录下。这个文件将命名为sam._。根据默认值，这个拷贝是人人都可读取的。通过利用samdump实用程序的拷贝，您就能从复制的SAM中转储用户名/口令。ExchVerify.log：这个ExchVerify.log文件是由Cheyenne/Innoculan/ArcServe生成的。一般情况下，它是通过安装Cheyenne/Innoculan/ArcServe软件生成的，内置在进行软件安装的驱动器的根目录下。这个文件可包含有极其敏感的信息，如下所示： 
: ExchAuthenticate() called with 
NTServerName:[SAMPLESERVER] 
NTDomainName[SAMPLESERVER] adminMailbox:[administrator] 
adminLoginName:[administrator] 
password:[PASSWORD] 
很明显，这个文件包含有入侵者用来进一步破坏您的网络完整性的信息。 
Profile.tfm：Profile.tfm是一个由POP3客户机软件AcornMail生成的文件。在撰写本文时，AcornMail开始引起internet界的广泛关注。在检测该软件时，我们发现它是一个很有效的POP3客户机，但其安装并不很好地兼容NTFS。在安装完该软件后，我们开始检查AcornMail生成的文件，发现Profile.tfm文件保存有用户名/口令。一开始，我们断定该软件完全正常，因为它确实以加密的形式存储口令。接着，我们意识到profile.tfm的允许权限被设置为Everyone/完全控制。这样就有了问题，因为任何人都能得到该文件的一个拷贝并把这个文件插入他们自己的AcornMail安装程序中。然后，入侵者就能 
用已存储的信息来登录。下面是网络监测器中的俘获信息： 
00000000 00 01 70 4C 67 80 98 ED A1 00 01 01 08 00 45 00 ..pLg........ 
.E. 
00000010 00 4A EA A7 40 00 3D 06 14 88 CF 62 C0 53 D1 36 .J..@.=....b. 
S.6 
00000020 DD 91 00 6E 04 44 F6 1E 84 D6 00 32 51 EB 50 18 ...n.D.....2Q 
.P. 
00000030 22 38 64 9E 00 00 2B 4F 4B 20 50 61 73 73 77 6F "8d...+OK.Pas 
swo 
00000040 72 64 20 72 65 71 75 69 72 65 64 20 66 6F 72 20 rd.required.f 
or. 
00000050 68 6B 69 72 6B 2E 0D 0A jjohn... 
00000000 98 ED A1 00 01 01 00 01 70 4C 67 80 08 00 45 00 ........pLg.. 
.E. 
00000010 00 36 A4 02 40 00 80 06 18 41 D1 36 DD 91 CF 62 .6..@....A.6. 
..b 
00000020 C0 53 04 44 00 6E 00 32 51 EB F6 1E 84 F8 50 18 .S.D.n.2Q.... 
.P. 
00000030 21 AC 99 90 00 00 50 41 53 53 20 67 68 6F 73 74 !.....PASS.xe 
rox 
00000040 37 33 0D 0A 63.. 

如您所看到的，用户名/口令确实是用纯文本传送的。这不是AcornMail的错，但是在POPvX中已经有问题出现。这个“数据”文件对换/包取样的方法已经由Rhino9小组在大量的软件上测试过，因此，这一攻击并不局限于AcornMail。 
我们已经对入侵者想要得到的文件（如果获得对您的硬驱的访问权限）进行了探讨，现在我们就来讨论一下安放特洛伊木马。如果有一种方法能使攻击者获得大量的 信息，那就是安放特洛伊木马。公开的文件共享攻击一般都会为安放特洛伊木马提供方便。在最容易安放和最广为人知的特洛伊木马中，有一个是捆绑在批处理文件中的PWDUMP实用程序。如果准备妥当，这个批处理文件就会最小化执行（也被称为聪明的文件，如viruscan.cmd），然后再运行PWDUMP实用程序，在运行了它的进程后删除PWDUMP实用程序，并最终删去文件本身。它一般都不会留下证据，并会在该台机器上生成一个完美的所有用户名/口令 
的文本文件。 
“游戏”规则：目标必须是NT主机，执行特洛伊木马程序的最终用户必须是管理员，这样，攻击者就能把批处理文件放在管理员启动文件夹中，开始等待。当下一次管理员登录到机器上时，批处理文件就执行和转储用户名/口令。然后，攻击者就会通过文件共享连接到该机器上并收集结果。入侵者可能尝试的另一个可靠的攻击方法是把按键记录器批处理文件放到启动文件夹中。这种方法可适用于任何用户，不仅仅是管理员。这样即可收集所有该用户发出的按键信息，但没有最初的登录身份资料（这是NT的结构所致，它会在登录过程中终止所有用户方式进程）。然后，攻击者就可以连接到目标机上并收集记录下的按键信息。最致命的特洛伊木马攻击之一就是一个以管理员的身份运行并采用AT命令建立预定事件的批处理文件。因为AT命令能作为系统运行，所以，它能生成SAM数据库和注册表的拷贝。可以想象得出攻击者采用这种方法时会享受到多么大的乐趣。如何防止此类攻击呢？不要把文件共享给Everyone群组，并在您的环境中加强口令机制。如果入侵者遇到一台每次都要向他提示输入身份证明信息的服务器，入侵者就会变得灰心丧气，随即离开。不过，有耐心的入侵者会继续进行Brute Force攻击。无庸置疑，Brute Force NetBIOS攻击最常用的工具是NAT。NAT（NetBIOS检查工具）工具让用户能够通过可能的用户名/口令列表使网络连接命令自动操作。NAT将通过所提供的列表中的每一个用户名和每一个口令试着连接到远程机上。这是一个很漫长的过程，但攻击者往往会使用一个常见口令的缩短列表。一个成功的入侵者会通过上述信息收集方法建立他自己的用户名列表。入侵者准备使用的口令列表也是通过收集到的信息建立的。他们通常从不充实的口令列表开始，然后根据用户名建立其余的口令列表。这对于那些能找到给用户名设置的口令的安全专业人士来说完全是意料之中的事。攻击者可以指定一个要攻击的IP地址，也可以指定整个范围内的IP地址。NAT会尽力完成这项任务，并一直生成格式化报告 。