深入剖析 Windows 7 网络感知功能,网络连接状态指示器开机就发包

  • A+
所属分类:lcx

Windows 7 每次开机,都会自动连接互联网,并且对外发包,获取互联网数据,这让人感觉很恶心,跟木马一样,我最讨厌什么破系统、软件一开机就联网,并且访问某个地址,超级恶心。

这是由于 Windows 7 的网络感知功能在作怪,即:Windows 网络连接状态指示器活动测试,网络连接状态指示器,开机就发包,后来抓了点包,手动分析了下,结果如下。

以下数据包是在纯净 Windows 7 中抓取,无第任何三方软件,并且进行过优化,关掉了很多服务,不排除其他服务也开机发包,这里只分析 Windows 7 网络感知功能,网络连接状态指示器,数据包如下:

UDP  192.168.1.2  8.8.4.4       56972  53  MarsPC  google-public-dns-b.google.com  domain

00000000  31 FC 01 00 00 01 00 00  00 00 00 00 03 77 77 77   1....... .....www 
00000010  08 6D 73 66 74 6E 63 73  69 03 63 6F 6D 00 00 01   .msftncs i.com... 
00000020  00 01                                              ..

00000000  31 FC 81 80 00 01 00 03  00 00 00 00 03 77 77 77   1....... .....www 
00000010  08 6D 73 66 74 6E 63 73  69 03 63 6F 6D 00 00 01   .msftncs i.com... 
00000020  00 01 C0 0C 00 05 00 01  00 00 0C F5 00 1B 07 6E   ........ .......n 
00000030  65 77 6E 63 73 69 06 67  6C 62 64 6E 73 09 6D 69   ewncsi.g lbdns.mi 
00000040  63 72 6F 73 6F 66 74 C0  19 C0 2E 00 05 00 01 00   crosoft. ........ 
00000050  00 00 11 00 07 04 6E 63  73 69 C0 36 C0 55 00 01   ......nc si.6.U.. 
00000060  00 01 00 00 00 11 00 04  41 37 77 5A               ........ A7wZ

TCP  192.168.1.2  65.55.119.90  49159  80  MarsPC                                  http

GET /ncsi.txt HTTP/1.1
Connection: Close
User-Agent: Microsoft NCSI
Host: www.msftncsi.com


HTTP/1.1 200 OK
Cache-Control: max-age=30,must-revalidate
Content-Type: text/plain
Last-Modified: Tue, 13 Jan 2009 00:37:56 GMT
Accept-Ranges: bytes
ETag: "4e504c2d1775c91:0"
Server: Microsoft-IIS/7.0
X-Powered-By: ASP.NET
Date: Thu, 19 Jan 2012 00:39:17 GMT
Connection: close
Content-Length: 14

Microsoft NCSI

UDP  192.168.1.2  8.8.4.4       64049  53  MarsPC  google-public-dns-b.google.com  domain

00000000  29 71 01 00 00 01 00 00  00 00 00 00 01 31 01 30   )q...... .....1.0 
00000010  01 30 03 32 32 34 07 69  6E 2D 61 64 64 72 04 61   .0.224.i n-addr.a 
00000020  72 70 61 00 00 0C 00 01                            rpa..... 

00000000  29 71 81 80 00 01 00 01  00 00 00 00 01 31 01 30   )q...... .....1.0 
00000010  01 30 03 32 32 34 07 69  6E 2D 61 64 64 72 04 61   .0.224.i n-addr.a 
00000020  72 70 61 00 00 0C 00 01  C0 0C 00 0C 00 01 00 00   rpa..... ........ 
00000030  67 8E 00 17 0B 61 6C 6C  2D 73 79 73 74 65 6D 73   g....all -systems 
00000040  05 6D 63 61 73 74 03 6E  65 74 00                  .mcast.n et.

UDP  192.168.1.2  8.8.4.4       56999  53  MarsPC  google-public-dns-b.google.com  domain

00000000  54 1C 01 00 00 01 00 00  00 00 00 00 01 31 01 31   T....... .....1.1 
00000010  03 31 36 38 03 31 39 32  07 69 6E 2D 61 64 64 72   .168.192 .in-addr 
00000020  04 61 72 70 61 00 00 0C  00 01                     .arpa... ..

00000000  54 1C 81 83 00 01 00 00  00 00 00 00 01 31 01 31   T....... .....1.1 
00000010  03 31 36 38 03 31 39 32  07 69 6E 2D 61 64 64 72   .168.192 .in-addr 
00000020  04 61 72 70 61 00 00 0C  00 01                     .arpa... ..

UDP  192.168.1.2  8.8.4.4       57817  53  MarsPC  google-public-dns-b.google.com  domain

00000000  53 D3 01 00 00 01 00 00  00 00 00 00 01 34 01 34   S....... .....4.4 
00000010  01 38 01 38 07 69 6E 2D  61 64 64 72 04 61 72 70   .8.8.in- addr.arp 
00000020  61 00 00 0C 00 01                                  a.....

00000000  53 D3 81 80 00 01 00 01  00 00 00 00 01 34 01 34   S....... .....4.4 
00000010  01 38 01 38 07 69 6E 2D  61 64 64 72 04 61 72 70   .8.8.in- addr.arp 
00000020  61 00 00 0C 00 01 C0 0C  00 0C 00 01 00 01 51 80   a....... ......Q. 
00000030  00 20 13 67 6F 6F 67 6C  65 2D 70 75 62 6C 69 63   . .googl e-public 
00000040  2D 64 6E 73 2D 62 06 67  6F 6F 67 6C 65 03 63 6F   -dns-b.g oogle.co 
00000050  6D 00                                              m.

UDP  192.168.1.2  8.8.4.4       63042  53  MarsPC  google-public-dns-b.google.com  domain

00000000  7E D0 01 00 00 01 00 00  00 00 00 00 03 32 35 32   ~....... .....252 
00000010  01 30 01 30 03 32 32 34  07 69 6E 2D 61 64 64 72   .0.0.224 .in-addr 
00000020  04 61 72 70 61 00 00 0C  00 01                     .arpa... ..

00000000  7E D0 81 83 00 01 00 00  00 01 00 00 03 32 35 32   ~....... .....252 
00000010  01 30 01 30 03 32 32 34  07 69 6E 2D 61 64 64 72   .0.0.224 .in-addr 
00000020  04 61 72 70 61 00 00 0C  00 01 C0 14 00 06 00 01   .arpa... ........ 
00000030  00 00 04 EA 00 2D 03 73  6E 73 03 64 6E 73 05 69   .....-.s ns.dns.i 
00000040  63 61 6E 6E 03 6F 72 67  00 03 6E 6F 63 C0 3A 77   cann.org ..noc.:w 
00000050  DE 86 FF 00 00 1C 20 00  00 0E 10 00 09 3A 80 00   ...... . .....:.. 
00000060  00 0E 10                                           ...

UDP  192.168.1.2  8.8.4.4       55422  53  MarsPC  google-public-dns-b.google.com  domain

00000000  BE F1 01 00 00 01 00 00  00 00 00 00 03 32 35 30   ........ .....250 
00000010  03 32 35 35 03 32 35 35  03 32 33 39 07 69 6E 2D   .255.255 .239.in- 
00000020  61 64 64 72 04 61 72 70  61 00 00 0C 00 01         addr.arp a.....

00000000  BE F1 81 83 00 01 00 00  00 01 00 00 03 32 35 30   ........ .....250 
00000010  03 32 35 35 03 32 35 35  03 32 33 39 07 69 6E 2D   .255.255 .239.in- 
00000020  61 64 64 72 04 61 72 70  61 00 00 0C 00 01 C0 18   addr.arp a....... 
00000030  00 06 00 01 00 00 06 C3  00 2D 03 73 6E 73 03 64   ........ .-.sns.d 
00000040  6E 73 05 69 63 61 6E 6E  03 6F 72 67 00 03 6E 6F   ns.icann .org..no 
00000050  63 C0 3E 77 DE 65 E7 00  00 1C 20 00 00 0E 10 00   c.>w.e.. .. ..... 
00000060  09 3A 80 00 00 0E 10                               .:.....

很简单的数据包,很容易就看出来,Windows 7 跑去访问了这个地址:http://www.msftncsi.com/ncsi.txt,并获得返回数据:Microsoft NCSI

首先是一个DNS解析请求,查询域名:www.msftncsi.com,然后访问此主机的 /ncsi.txt 文件,并获取返回数据。

那么,这个 NCSI 到底是做什么的呢?

NCSI 是网络连接状态指示器和产生的 Internet 通信。网络感知会收集网络连接信息,如计算机的域名系统 (DNS) 后缀、林名称和计算机连接到的网络的网关地址。当被网络感知调用时,NCSI 可以为既定网络添加有关以下功能的信息:

到 Internet 的连接

http://www.msftncsi.com/ncsi.txt 的请求

称为 ncsi.txt 的页面,其中包含以下文本行,这些文本行没有终止新行或其他非打印字符:

Microsoft NCSI

(页面标题禁用缓存。)

到 Internet 的连接(可能包括发送 DNS 查询和获得正确解析 DNS 名称的功能)

dns.msftncsi.com 的 DNS 名称解析的请求

DNS 名称解析为:

131.107.255.255

(这里其实也捕获到了此DNS请求,没有贴图)

现在就真相大白了,完全是 Windows 7 网络感知功能,Windows 网络连接状态指示器在进行活动测试。

而且这个功能不但开机会运行,还会间隔一会儿就运行一次,如果无法访问,你电脑桌面右下角会显示黄色叹号,网络连接有黄色的叹号,本地连接状态里显示:IPV4无Internet访问权限。

深入剖析 Windows 7 网络感知功能,网络连接状态指示器开机就发包

深入剖析 Windows 7 网络感知功能,网络连接状态指示器开机就发包

如果你感觉比较恶心,想关闭这个功能,可以进行如下操作:

现在只要关闭此网络感知功能即可,首先从Windows 7系统的开始菜单中依次点选“所有程序”/“附件”/“运行”命令,弹出对应系统的运行文本框,在其中执行“gpedit.msc”字符串命令,打开Windows 7系统的组策略控制台窗口。

依次展开“计算机配置”、“管理模板”、“系统”和“Internet 通信管理”,然后单击“Internet 通信设置”。在详细信息窗格中,双击“关闭 Windows 网络连接状态指示器活动测试”,然后单击“已启用”。

深入剖析 Windows 7 网络感知功能,网络连接状态指示器开机就发包

此策略设置会关闭由 Windows 网络连接状态指示器(NCSI)执行的活动测试,而该测试可以确定计算机是连接到 Internet 还是连接到受较多限制的网络。

NCSI 作为确定连接级别的一部分,会执行以下两种活动测试之一: 从专用 Web 服务器下载页面,或对专用地址执行 DNS 请求。

如果启用此策略设置,则 NCSI 将不运行这两种活动测试的任何一种。

这可能会降低 NCSI 以及使用 NCSI 的其他组件确定 Internet 访问的能力。 如果禁用或未配置此策略设置,NCSI 将运行这两种活动测试之一。

现在断开网络,然后再次连接,是否还有黄色的小图标呢。还有?ok,重启一下电脑吧。

深入剖析 Windows 7 网络感知功能,网络连接状态指示器开机就发包

干净的网络连接指示。

文章来源于lcx.cc:深入剖析 Windows 7 网络感知功能,网络连接状态指示器开机就发包

相关推荐: phpdisk 老漏洞新用法 以及后台拿SHELL办法

以前暴出过通杀0DAY 代码如下 /api/datacall.php?type=user&limit=1&order=1 and(select 1 from(select count(*),concat((select (select (sel…

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: