Resource Kit辅助工具箱全透视
添加时间: 2007-3-11 2:03:45 作者: 第九软件网 阅读次数:43 来源: http://www.d9soft.com
[本站原创]还记得在笔者学习黑客技术的时候就有高手说,其实世界上最大的黑客不是别人,正是比尔.盖茨,而世界上功能最全也最为强大的黑客工具箱不是别的,正是Windows。以前不是很理解这句话,慢慢的随着技术的提高,和知识的覆盖面增加,对这句话有了新的了解。
Resource Kit就是Microsoft为管理员提供的一套附加的工具集,包括了超过400个各种工具,vbs,dll,msc,涵盖了管理TCP/IP,网络,注册表,安全,远程管理,配置,Batch文件,以及操作系统的其他方面。可以让你更容易的管理一个2000/NT系统。下面就让笔者带着各位读者一同打开这个工具箱吧!
1.Appsec.exe (Application Security)
Appsec.exe是一个基于GUI的应用程序,它允许管理员在一个多用户环境下限制普通用户访问一组网络上经预订的应用程序。启用这种应用程序安全性,将会导致系统拒绝普通用户执行或使用一个未经许可的应用程序。大家看这是不是一个很有用的工具呢?对某些特定的程序进行限制以后,可以减少一些Hacker入侵的可能。
几点提示:
a. 只有管理员或管理员组的成员可以运行所有程序,用户(包括PowerUser组)只能运行列表中的应用程序。
b. Appsec第一次启用时,Terminal Server的会话必须中断,否则Appsec将不能在本次会话中启用。
c. 实际上Appsec只能限制调用CreateProcess方法的应用程序,不能限制使用NTCreateProcess方法的程序。
d. Appsec只能限制32位的程序,但是在默认情况下,一旦启用appsec任何对16位程序的访问都是禁止的,但是可以添加ntvdm.exe来使16位程序可以被访问。
e. Appsec并不对程序本身进行检查,也就是所如果将该有效程序进行替换的话,Appsec不会发现。所以说我们必须禁止用户替换和重命名应用程序,这可以用Security Template来做。
f. 还有Appsec只可限制可执行文件,不可以是DLLs。
g. Appsec的使用是对于计算机的,也就是说一经启用使用本机的用户都要受到限制。
另外,对于系统管理员来说,禁止一些黑客常用的权限提升程序无疑是一种以不变应万变的好办法。如禁止除管理员以外的所有人,访问net.exe、cmd.exe等。
2. Cachemov.exe (Offline Files Cache Mover)
Cachemov.exe,用来移动离线文件的缓存(小提示:默认保存在根卷下),如果你觉得那东西在那个地方碍的你事的话,把它挪个地方也没有什么问题。这个工具比较简单就不再多说什么了,就一个GUI,然后选择一个卷,它就自动帮你做完了,很简单。你也可以使用无人值守模式 cachemov -unattend x:\ 电脑自己搞定,此时需要(Cchmvmsg.dll)。所有的结果会保存至应用程序日志。
只是注意一下,运行时需要管理员的身份,还有就是不能够移动到网络驱动器和可移动驱动器上去。移动以后不要改letter,不然你会有麻烦的!
3. DelSrv.exe (Delete Service)
一个拿来删除服务用的工具,使用起来非常简单,命令格式:delsrv servicename就可以了。
{%FY非常有用的: %}
4. Dureg.exe (Registry Size Estimator)
这是一个用来评估你的注册表储存了多少数据的工具,可以从任何一个hive,subtree和subkey中读出。另外,这个工具还可以用来搜索注册表中的text字符串,这种搜索还可以具体到某个subtree中。
这个工具主要用于得出注册表具体占用空间,对于开发人员和管理员来说都是一个非常有用的工具。虽然我们可以使用控制面板中的System选项和系统监视器中的Registry Quota in Use来监视注册表,但是如果你只想知道某个单独的Key或者是Subkey所占用的空间,上面这些工具就无能为力了。
语法:
dureg /cr /cu /u /lm /a /s│/d "registry_path" "string to search"
/a
表示查找整个注册表的大小。
dureg /a
Size of HKEY_CLASSES_ROOT : 7740324
Size of HKEY_USERS : 995732
Size of HKEY_LOCAL_MacHINE : 17265663
Total Registry data size: 26001719
/cr "registry_path"
默认情况下,返回的是HKEY_CLASSES_ROOT的大小。
/cu "registry_path"
默认情况下,返回的是HKEY_CURRENT_USER的大小。
/lm "registry_path"
默认情况下,返回的是HKEY_LOCAL_MACHINE的大小。
/u "registry_path"
默认情况下,返回的是HKEY_USERS的大小。
以上四个选项都可以在 "registry_path"中填入该Subkey下的任意key。比如:
dureg /lm "software\microsoft",查找HKEY_LOCAL_MACHINE\Software\Microsoft key的大小。
/s "string"
在注册表中搜索该字符串。比如:
dureg /s "run" 寻找和run相关的字符串。当然你也可以和/cr等这几个参数一起使用,比如:dureg /cr
/s "run"。
会看到一大串显示。
编者的话:剑是双刃的,ResKit也是这样的,用与正则正,用与邪则邪,所以,很多圈内的朋友都叫他“黑客工具箱”。
上一篇文章: 手动清除木马的一般方法 下一篇文章: 你的系统有内存优化怪兽吗?
相关文章: