nbtscan 使用方法与命令介绍
发布时间:2012-10-27 19:05:52 作者:佚名 
我要评论
我要评论网络入侵者通常采取的第一步是通过端口扫描程序扫描目标机或网络。令人吃惊的是,以目标机的开放端口为基础对网络进行的攻击是多么的有条不紊
相关软件下载地址: https://www.jb51.net/softs/64461.html
您应该清楚,除了Unix机外,这是NT机显示不同开放端口的标准。网络入侵者懂得查看端口扫描程序,并通过相当准确的结果来断定它是一台NT机还是一台Unix机。当然也有一些例外,但一般情况下都能这样做。最近,业界发布了几个用来远程鉴别机器的工具,但该功能目前还不能用于NT。
当攻击基于NT的网络时,NetBIOS往往是首选的攻击对象。因此,NetBIOS就成为本文中第一个要探讨的重要课题。用NetBIOS进行信息收集相当容易,虽然要花费一点时间。etBIOS一般被看作是开销,很大的大容量协议,速度往往很慢,这也就是要耗费时间的原因。如果端口扫描程序报告端口139在目标机上是开放的,那么接下来就是一个很自然的过程。第一步是发出NBTSTAT命令。
NBTSTAT命令可以用来查询涉及到NetBIOS信息的网络机器。另外,它还可以用来
消除NetBIOS高速缓存器和预加载LMHOSTS文件。这个命令在进行安全检查时非常有用。
用法:nbtstat [-a RemoteName] [-A IP_address] [-c] [-n] [-R] [-r] [-S]
[-s]
[interval]
参数-a列出为其主机名提供的远程计算机名字表。
-A列出为其IP地址提供的远程计算机名字表。
-c列出包括了IP地址的远程名字高速缓存器。
-n列出本地NetBIOS名字。
-r列出通过广播和WINS解析的名字。
-R消除和重新加载远程高速缓存器名字表。
-S列出有目的地IP地址的会话表。
-s列出会话表对话。
NBTSTAT生成的列标题具有以下含义:
Input
接收到的字节数。
Output
发出的字节数。
In/Out
无论是从计算机(出站)还是从另一个系统连接到本地计算机(入站)。
Life
在计算机消除名字表高速缓存表目前“度过”的时间。
Local Name
为连接提供的本地NetBIOS名字。
Remote Host
远程主机的名字或IP地址。
Type
一个名字可以具备两个类型之一:unique or group
在16个字符的NetBIOS名中,最后一个字节往往有具体含义,因为同一个名可以在同一台计算机上出现多次。这表明该名字的最后一个字节被转换成了16进制。
State
NetBIOS连接将在下列“状态”(任何一个)中显示:
状态含义:
Accepting: 进入连接正在进行中。
Associated: 连接的端点已经建立,计算机已经与IP地址联系起来。
Connected: 这是一个好的状态!它表明您被连接到远程资源上。
Connecting: 您的会话试着解析目的地资源的名字-IP地址映射。
Disconnected: 您的计算机请求断开,并等待远程计算机作出这样的反应。
Disconnecting: 您的连接正在结束。
Idle: 远程计算机在当前会话中已经打开,但现在没有接受连接。
Inbound: 入站会话试着连接。
Listening: 远程计算机可用。
Outbound: 您的会话正在建立TCP连接。
Reconnecting: 如果第一次连接失败,就会显示这个状态,表示试着重新连接
下面是一台机器的NBTSTAT反应样本:
C:\>nbtstat CA x.x.x.x
NetBIOS Remote Machine Name Table
Name Type Status
---------------------------------------------
DATARAT <00> UNIQUE Registered
R9LABS <00> GROUP Registered
DATARAT <20> UNIQUE Registered
DATARAT <03> UNIQUE Registered
GHOST <03> UNIFQUE Registered
DATARAT <01> UNIQUE Registered
MAC Address = 00-00-00-00-00-00
您通过下表能掌握有关该机器的哪些知识呢?
名称编号类型的使用:
00 U 工作站服务
01 U 邮件服务
\\_MSBROWSE_ 01 G 主浏览器
03 U 邮件服务
06 U RAS服务器服务
1F U NetDDE服务
20 U 文件服务器服务
21 U RAS客户机服务
22 U Exchange Interchange
23 U Exchange Store
24 U Exchange Directory
30 U 调制解调器共享服务器服务
31 U 调制解调器共享客户机服务
43 U SMS客户机远程控制
44 U SMS管理远程控制工具
45 U SMS客户机远程聊天
46 U SMS客户机远程传输
4C U DEC Pathworks TCP/IP服务
52 U DEC Pathworks TCP/IP服务
87 U Exchange MTA
6A U Exchange IMC
BE U网络监控代理 =版权所有 软件下载 学院 版权所有
BF U网络监控应用
03 U邮件服务
00 G域名
1B U域主浏览器
1C G域控制器
1D U主浏览器
1E G浏览器服务选择
1C G Internet信息服务器
00 U Internet信息服务器
[2B] U Lotus Notes服务器
IRISMULTICAST [2F] G Lotus Notes
IRISNAMESERVER [33] G Lotus Notes
Forte_$ND800ZA [20] U DCA Irmalan网关服务
Unique (U): 该名字可能只有一个分配给它的IP地址。在网络设备上,一个要注册的名字
可以出现多次,但其后缀是唯一的,从而使整个名字是唯一的。
Group (G): 一个正常的群;一个名字可以有很多个IP地址。
Multihomed (M): 该名字是唯一的,但由于在同一台计算机上有多个网络接口,
这个配置可允许注册。这些地址的最大编号是25。
Internet Group (I): 这是用来管理WinNT域名的组名字的特殊配置。
Domain Name (D): NT 4.0提供的新内容。
网络入侵者可以通过上表和从nbtstat获得的输出信息开始收集有关您的机器的信息。
有了这些信息,网络入侵者就能在一定程度上断定有哪些服务正在目标机上运行,有时也
能断定已经安装了哪些软件包。从传统上讲,每个服务或主要的软件包都具有一定的脆弱性,因此,这一类型的信息 对网络入侵者当然有用
outlook express的0x8007007E,126错误,导致MSOE.DLL无法初始化.
症状:
无法启动Outlook Express。应用程序无法打开Outlook Express邮件箱。计算机内存不足或磁盘已满。请与Microsoft支持部门联系以获取更多的帮助。(0x8007007E,126)
点击确定后,又弹出一个警告对话框:
MSOE.DLL无法初始化,Outlook Express无法启动。Outlook Express可能没有正确安装.
分析:
1、 该问题有可能是OE的磁盘本身已经满了,如果满了,请注意转移和清理,在转移文件前,请把OE里的邮件位置换个地方,以免邮件丢失.
2、 注册表被修改了,部分DLL文件或者你曾经修改注册表或者使用优化软件将系统的默认软件安装位置X:\Program Files.
解决方式:
A. 运行注册表:regedit .[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion]”,将右边窗口中的 ProgramFilesDir字符串值修改为我们想要的路径.看ProgramFilesDir 值是否为X:\Program Files\Outlook Express.X为系统安装路径.
B.试运行命令,启动dll文件.
1、 regsvr32 inetcomm.dll .
2、 regsvr32 "C:\\Program Files\\Common Files\\System\\ado\\msado15.dll"
3、 regsvr32 "C:\\Program Files\\Common Files\\System\\ado\\msadox.dll"
C.重新安装IE6.0进行修复,不过在修复前请最好备份好你的邮件。
1.點選[開始]/[執行],輸入”regedit”
2.点选下面的位置[HKEY_CLASSES_ROOT\CLSID\{4A16043F-676D-11d2-994E-00C04FA309D4}\InprocServer32]
3.
檢視右邊視窗, 雙擊 (預設值)
4.
請修改(預設值) 路徑為 %ProgramFiles%\Common Files\System\directdb.dll
5.修改後,請關閉登錄編輯器視窗即可
出现找不到 (或无法加载)Msoe.dll 的错误信息
建议先删除 Outlook Express 后,再重新安装。到「控制面版」>>「添加/删除程序」>>「Windows 安装程序」,取消 Outlook Express 前的勾勾,按确定,重新启动计算机,就完成删除的工作
。 到「控制面版」>>「添加/删除程序」>>「Windows 安装程序」,勾起 Outlook Express 前的方块,按确定,安装完成后,重新启动计算机。
您应该清楚,除了Unix机外,这是NT机显示不同开放端口的标准。网络入侵者懂得查看端口扫描程序,并通过相当准确的结果来断定它是一台NT机还是一台Unix机。当然也有一些例外,但一般情况下都能这样做。最近,业界发布了几个用来远程鉴别机器的工具,但该功能目前还不能用于NT。
当攻击基于NT的网络时,NetBIOS往往是首选的攻击对象。因此,NetBIOS就成为本文中第一个要探讨的重要课题。用NetBIOS进行信息收集相当容易,虽然要花费一点时间。etBIOS一般被看作是开销,很大的大容量协议,速度往往很慢,这也就是要耗费时间的原因。如果端口扫描程序报告端口139在目标机上是开放的,那么接下来就是一个很自然的过程。第一步是发出NBTSTAT命令。
NBTSTAT命令可以用来查询涉及到NetBIOS信息的网络机器。另外,它还可以用来
消除NetBIOS高速缓存器和预加载LMHOSTS文件。这个命令在进行安全检查时非常有用。
用法:nbtstat [-a RemoteName] [-A IP_address] [-c] [-n] [-R] [-r] [-S]
[-s]
[interval]
参数-a列出为其主机名提供的远程计算机名字表。
-A列出为其IP地址提供的远程计算机名字表。
-c列出包括了IP地址的远程名字高速缓存器。
-n列出本地NetBIOS名字。
-r列出通过广播和WINS解析的名字。
-R消除和重新加载远程高速缓存器名字表。
-S列出有目的地IP地址的会话表。
-s列出会话表对话。
NBTSTAT生成的列标题具有以下含义:
Input
接收到的字节数。
Output
发出的字节数。
In/Out
无论是从计算机(出站)还是从另一个系统连接到本地计算机(入站)。
Life
在计算机消除名字表高速缓存表目前“度过”的时间。
Local Name
为连接提供的本地NetBIOS名字。
Remote Host
远程主机的名字或IP地址。
Type
一个名字可以具备两个类型之一:unique or group
在16个字符的NetBIOS名中,最后一个字节往往有具体含义,因为同一个名可以在同一台计算机上出现多次。这表明该名字的最后一个字节被转换成了16进制。
State
NetBIOS连接将在下列“状态”(任何一个)中显示:
状态含义:
Accepting: 进入连接正在进行中。
Associated: 连接的端点已经建立,计算机已经与IP地址联系起来。
Connected: 这是一个好的状态!它表明您被连接到远程资源上。
Connecting: 您的会话试着解析目的地资源的名字-IP地址映射。
Disconnected: 您的计算机请求断开,并等待远程计算机作出这样的反应。
Disconnecting: 您的连接正在结束。
Idle: 远程计算机在当前会话中已经打开,但现在没有接受连接。
Inbound: 入站会话试着连接。
Listening: 远程计算机可用。
Outbound: 您的会话正在建立TCP连接。
Reconnecting: 如果第一次连接失败,就会显示这个状态,表示试着重新连接
下面是一台机器的NBTSTAT反应样本:
C:\>nbtstat CA x.x.x.x
NetBIOS Remote Machine Name Table
Name Type Status
---------------------------------------------
DATARAT <00> UNIQUE Registered
R9LABS <00> GROUP Registered
DATARAT <20> UNIQUE Registered
DATARAT <03> UNIQUE Registered
GHOST <03> UNIFQUE Registered
DATARAT <01> UNIQUE Registered
MAC Address = 00-00-00-00-00-00
您通过下表能掌握有关该机器的哪些知识呢?
名称编号类型的使用:
00 U 工作站服务
01 U 邮件服务
\\_MSBROWSE_ 01 G 主浏览器
03 U 邮件服务
06 U RAS服务器服务
1F U NetDDE服务
20 U 文件服务器服务
21 U RAS客户机服务
22 U Exchange Interchange
23 U Exchange Store
24 U Exchange Directory
30 U 调制解调器共享服务器服务
31 U 调制解调器共享客户机服务
43 U SMS客户机远程控制
44 U SMS管理远程控制工具
45 U SMS客户机远程聊天
46 U SMS客户机远程传输
4C U DEC Pathworks TCP/IP服务
52 U DEC Pathworks TCP/IP服务
87 U Exchange MTA
6A U Exchange IMC
BE U网络监控代理 =版权所有 软件下载 学院 版权所有
BF U网络监控应用
03 U邮件服务
00 G域名
1B U域主浏览器
1C G域控制器
1D U主浏览器
1E G浏览器服务选择
1C G Internet信息服务器
00 U Internet信息服务器
[2B] U Lotus Notes服务器
IRISMULTICAST [2F] G Lotus Notes
IRISNAMESERVER [33] G Lotus Notes
Forte_$ND800ZA [20] U DCA Irmalan网关服务
Unique (U): 该名字可能只有一个分配给它的IP地址。在网络设备上,一个要注册的名字
可以出现多次,但其后缀是唯一的,从而使整个名字是唯一的。
Group (G): 一个正常的群;一个名字可以有很多个IP地址。
Multihomed (M): 该名字是唯一的,但由于在同一台计算机上有多个网络接口,
这个配置可允许注册。这些地址的最大编号是25。
Internet Group (I): 这是用来管理WinNT域名的组名字的特殊配置。
Domain Name (D): NT 4.0提供的新内容。
网络入侵者可以通过上表和从nbtstat获得的输出信息开始收集有关您的机器的信息。
有了这些信息,网络入侵者就能在一定程度上断定有哪些服务正在目标机上运行,有时也
能断定已经安装了哪些软件包。从传统上讲,每个服务或主要的软件包都具有一定的脆弱性,因此,这一类型的信息 对网络入侵者当然有用
outlook express的0x8007007E,126错误,导致MSOE.DLL无法初始化.
症状:
无法启动Outlook Express。应用程序无法打开Outlook Express邮件箱。计算机内存不足或磁盘已满。请与Microsoft支持部门联系以获取更多的帮助。(0x8007007E,126)
点击确定后,又弹出一个警告对话框:
MSOE.DLL无法初始化,Outlook Express无法启动。Outlook Express可能没有正确安装.
分析:
1、 该问题有可能是OE的磁盘本身已经满了,如果满了,请注意转移和清理,在转移文件前,请把OE里的邮件位置换个地方,以免邮件丢失.
2、 注册表被修改了,部分DLL文件或者你曾经修改注册表或者使用优化软件将系统的默认软件安装位置X:\Program Files.
解决方式:
A. 运行注册表:regedit .[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion]”,将右边窗口中的 ProgramFilesDir字符串值修改为我们想要的路径.看ProgramFilesDir 值是否为X:\Program Files\Outlook Express.X为系统安装路径.
B.试运行命令,启动dll文件.
1、 regsvr32 inetcomm.dll .
2、 regsvr32 "C:\\Program Files\\Common Files\\System\\ado\\msado15.dll"
3、 regsvr32 "C:\\Program Files\\Common Files\\System\\ado\\msadox.dll"
C.重新安装IE6.0进行修复,不过在修复前请最好备份好你的邮件。
1.點選[開始]/[執行],輸入”regedit”
2.点选下面的位置[HKEY_CLASSES_ROOT\CLSID\{4A16043F-676D-11d2-994E-00C04FA309D4}\InprocServer32]
3.
檢視右邊視窗, 雙擊 (預設值)
4.
請修改(預設值) 路徑為 %ProgramFiles%\Common Files\System\directdb.dll
5.修改後,請關閉登錄編輯器視窗即可
出现找不到 (或无法加载)Msoe.dll 的错误信息
建议先删除 Outlook Express 后,再重新安装。到「控制面版」>>「添加/删除程序」>>「Windows 安装程序」,取消 Outlook Express 前的勾勾,按确定,重新启动计算机,就完成删除的工作
。 到「控制面版」>>「添加/删除程序」>>「Windows 安装程序」,勾起 Outlook Express 前的方块,按确定,安装完成后,重新启动计算机。
相关文章
彻底关闭win10、win11系统自带的windows defender杀毒功能(图文详解)
这篇文章主要介绍了彻底关闭win10、win11系统自带的windows defender杀毒功能的详细方法,这样后续才能使用一些软件2024-09-30
火绒能恢复被删除的文件吗? 火绒恢复被当成病毒删除文件的方法
我们进行电脑磁盘清理的时候,偶尔会出现被杀毒软件误删除的情况,对于这种误删除的情况我们可以用火绒来进行恢复,想知道如何找回来,这里给朋友们分享火绒软件恢复误杀文2024-05-16
电脑怎么关闭所有广告弹窗? 一招关掉所有广告包括360安全卫士弹窗
电脑总是会出现各种广告,该怎么禁止展示广告呢?今天我们分享一招关掉所有广告弹窗,包括360安全卫士弹出的全部广告窗口2024-05-09
电脑360ai办公如何关闭? 360安全卫士ai办公的关闭方法
电脑右下角总是出现ai图标,误点后会出现360ai办公,想要关掉ai办公图标,该怎么操作呢?下面我们我们总结了多种解决办法,详细请看下文介绍2024-05-09
怎么关闭360AI大会员弹窗广告提示? 360安全卫士ai大会员提醒关闭方法
360安全卫士总是弹出ai大会员的推广广告,想要关闭这个弹窗,该怎么操作呢?我们点击360设置中心,点击弹窗设置,弹窗设置拉倒底,关闭AI大会员提醒2024-05-09火绒安装不上怎么回事 安装火绒安全软件提示驱动版本不匹配的解决办法
有时候安装火绒安全软件时,会跳出“驱动版本不匹配,重启电脑即可修复重启”的提示界面,会有小伙伴不知道如何操作,可以先根据提示升级版本,然后启动试试2024-02-20火绒ip黑名单怎么添加ip段? 火绒ip黑名单功能的使用方法
使用电脑的时候有用户想要限制指定IP进出,那么在火绒安全中心中怎么开启此功能和添加IP黑名单呢?下方是关于如何使用火绒安全软件添加ip黑名单的具体操作方法2024-02-20
文件哈希运算是指通过特定的算法将文件内容转化为固定长度的哈希值,用来严重我们从网上上下载的文件是否与官方提供的一致,因为很多情况下官方容易会被恶意修改挂马等2024-02-08
专业级文件MD5、SHA-256/512算法支持的校验工具(文件哈希校验器集合)
下面给大家推荐几款好用的免费的sha1、SHA-256校验工具软件,网上下载的文件不知道是否被修改过,那么就需要这样的工具了,需要的小伙伴们来了解一下2024-02-08
鲁大师被检测为病毒怎么办? win11鲁大师显示为病毒的处理方法
鲁大师是一款专业的电脑硬件检测工具,win11系统安装完鲁大师工具之后,却被系统安全防护功能识别为病毒,对此鲁大师被win11识别为病毒怎么办呢?具体请看下文介绍2025-03-29
最新评论