与“入侵者”交手：认识XP下的NetBEUI

　　原来协议还在系统中，这是启动失败信息。

　　于是马上检查注册表：

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Nbf

　　看到了NETBEUI的信息，原来系统中的NETBEUI并未被删除

　　我们知道，系统的口令进行校验时是以发送的长度数据为依据的。在发送口令认证数据包时可以设置长度域为“1”，同时发送一个字节的明文口令，校验程序会将发来口令与保存的口令的第一个字节进行明文比较，如果匹配就认为通过了验证。特别是作为NETBIOS协议来说，漏洞是很大的。

　　再看朋友的Internet连接，TCP/IP上的NETBIOS没有禁用这个时候可以来查找问题的根源了。

　　扫描软件？其实不用，利用系统的端口监听，就可以完成。端口监听过程中，发现端口7777正在被监听（因为时间有点长，在整理东西时候朋友喊的，忘记了抓图），这个有点异常，所以马上看进程，但是却没有异常，感到越来越奇怪了。

　　于是用TCPDUMP抓包，看到tcpdump: listening on 7777，果然端口被占用了。看来是后台进程。于是使用TCP Connect()扫描，因为端口处于侦听状态，所以Connect()就能成功。这时出现了大量的错误信息，不一会，系统的LOGS文件显示一连串的连接出错消息，然后关闭了服务。（以非线性方式连接）这时，本打算继续扫描TCP SYN和TCP FIN都不需要了。

　　于是返回注册表，把NETBEUI协议的信息删除，REBOOT，在连接，一切正常。

　　回过头来看事情的正个经过，其实都缘于朋友装卸NETBEUI协议的不正确和大意，导致了NETBEUI协议和NETBIOS协议在使用中发生冲突。原来朋友的爱机曾经中过YAI蠕虫病毒，虽然杀毒成功，但是滞留在系统的错误设置却没有改变过来。

　　TCP 7777=NetSpy(YAI)，病毒利用了系统的7777端口，那时NETBEUI在启用中，虽然协议从协议组中消失了，但是注册表和配置信息却还在，所以导致有TCP数据连接时，系统又自然而然的开启了7777端口来找寻NETBEUI协议的数据流，因此产生了错误的日志。

　　就这样，朋友的问题也解决了，“入侵者”的担心也烟消云散，原来是这小小协议在捣鬼，呵呵，还让我们为这个“入侵者”搞得晕头转向。

(T111)