与“入侵者”交手：认识XP下的NetBEUI

　　放假的两天，朋友就说自己的电脑很不正常，好象是被入侵了。因为放假本来时间就少，所以匆匆赶到朋友家，一看，WinXP PRO，SP2，天网和诺顿都是最新版的，按理来说安全性是很强的。好，一步步检查下去：

　　1、先查看本机日志，没什么可疑的系统用户，组，管理登陆等信息。（入侵者一般不会给你留下有用的日志的）

　　2、NETSTAT，看看端口的情况，也是一切正常。

　　3、再检查开启的服务，看到朋友的IPSEC安全策略是启动的，而且朋友有一定的计算机知识，也配置了IP安全策略。再往下看，朋友的Remote Access Auto Connection Manager和Remote Access Connection Manager两项服务已经启动。我们都知道，此服务是当某个程序引用一个远程DNS或NETBIOS名或者地址的时候建立远程网络连接用的，但是此服务开启也很正常，没有可以利用的端口是无法连接的，朋友的135，137，138，139，445端口是关闭的。

　　4、检查IPC$，朋友的IPC$是开启的，危险，但是又想到防火墙和IP安全策略，能连接的可能性几乎为零。

　　作为一台个人使用PC来说，朋友的安全性是不错的，正准备往下查的时候，看到一台NB摆在旁边，朋友说公司的NB，拿回来COPY资料。我看了下NB，因为配置问题装的98，于是想起98和XP互连，朋友估计装了NETBEUI协议的，于是继续检查。

　　装了NETBIOS协议，并没有NETBEUI，但是朋友说曾经装过，但是卸了。

　　NETBEUI协议其实是NETBIOS的本地延伸，用于不同的计算机网络互通的， 但是我记得NETBEUI协议的卸载不是那么简单从协议组中就卸了的，于是发现了点问题的可疑点。

　　再次检查日志，发现了可疑点：

　　Event Type: Error

　　Event Source: Service Control Manager

　　Event Category: None

　　Event ID: 7000

　　Date: 3/26/2005

　　Time: 9:54:24 AM

　　User: N/A

　　Computer: KK

　　Description:

　　The NetBEUI Protocol service failed to start due to the following error:

　　The system cannot find the file specified.