利用WMI的入侵的原理与与防御方法

文章摘要:只要黑客知道了管理员的用户名和密码， 而大多数用户在安装系统时都把系统自带的管理员账户Administrator密码留空， 这无疑给了黑客可乘之机， 即使是很初级的“无聊黑客”也可以轻而易举地使用利用WMI漏洞的工具来实现入� >

小知识：Shell是一个命令解释器，类似于DOS下的command.com。它用来接收用户命令，然后调用相应的运用程序。

2.Recton

与Remoxec相比，Recton的功能就强多了，它内置了开启3389端口、开启Telnet等功能，只要输入主机的管理员用户名和密码，选择相应的命令并执行即可。在开启了对方的远程终端服务后，就可以像操作自己的电脑一样操作主机了。

WMI入侵的防范

从上文我们可以得知，利用WMI服务进行入侵须要两个必要条件，即系统的135端口和WindowsManagementInstrumentation服务要同时开启，所以我们可以对症下药，不用任何工具就能切断黑客利用WMI入侵这条途径。

方法一：利用WMI入侵首先需要得到目标主机的管理员用户名和密码，而粗心的用户往往会将系统默认的Administrator账户密码留空，因而就给了黑客可乘之机。我们可以为该账户设置一个“强悍”的密码，这样黑客就很难破译管理员密码，利用WMI入侵的几率就很小了。

方法二：关闭135端口或WindowsManagementInstrumentation服务都可以防止WMI入侵，但是WMI服务是系统基本的服务，关闭它会造成系统崩溃，因而我们可以从关闭端口入手，利用系统内置的“TCP/IP筛选”功能就可以做到。

打开操纵面板里的“网络联接”，在本地连接图标上点击鼠标右键，选择“属性”，然后在打开的对话框中双击“Internet协议(TCP/IP)”，再点击下面的“高级”按钮打开“高级TVP/IP设置”对话框并切换到“选项”标签，双击“TCP/IP筛选”，在这里就可以设置须要关闭的端口了。关闭了必要的端口后，黑客就无法联接WMI服务了。