没看明白什么意思?

   好象是开了ipc$,估计入侵者用暴力猜解得到administrator的帐号密码
   然后可以映射主机WALL的硬盘,然后在administrator的桌面文件夹做了些手脚.

   上面扫描报告说了,没有开我们现在能找到益处的服务.然后admin的帐号有被猜解的可能,能建立空连接.
   guest帐号没有击活.
   好象就是这些吧.
   我E文比较烂.看得不是很明白.

[这个贴子最后由damnyou在 2004/12/15 08:31pm 第 2 次编辑]

   取证的话.我试着说几点看看
   一 .既然桌面有动过的痕迹,应该可以看看被动过的文件最后修改日期
   二.既然没有什么可使用远程管理的地方,我们可以试想一下是本地物理接触,登陆的.
   既然guest没有激活,可以看看admin登陆的时间(时间查看器-->安全性-->登陆审核)和第一点结合,看谁在那个时间段和主机有接触的机会.其实物理接触主机,大家能想到的取证思路就多了.机房钥匙(卡,密码锁)的管理使用(具体太多),监视器录象.查看键盘或显示器(如果有的话)上是否有入侵者的指纹(头皮,口水,呼吸时喷到显示器和键盘上的分泌物,^_^等等..).
   三.如果有防火墙(看扫描报告中,提到ping返回为0ms,应该是有防火墙的),并且有完整的日志记录的话,可以查看一下日志,假设入侵者确实是通过空连接猜解帐号,日志中应该有大量139端口连接的信息.我们可以通过这个得到入侵者IP或者说是跳板的IP.
   四.在被入侵主机上一般会留下入侵者的工具,比如后门程序,预备下次入侵其他主机的攻击程序.这些程序有可能被修改过为了避免被杀毒软件查杀,或者甚至是入侵者自己写的程序.我们可以通过仔细检查或者反汇编其程序,找到和入侵者有联系的信息.比如程序作者,或者在程序上留下的联系方式,一些字符串,等等.
   五.或许入侵者在登陆到目标主机后通过主机连接到internet过(废话),我们就可以查看IE缓存,看看在被入侵的这个时间段,有那些网址,FTP,BBS,等等被访问过,譬如IE缓存中的cookie可以得到入侵者常去的BBS甚至是他在此BBS的ID等等.还有就是有些时候入侵者需要从网络其他地方下载工具或者其他什么到被侵主机,可能通过FTP,TFTP,等等,如果防火墙也记录了连出的连接.我们就可以查看到某些主机上留下的工具是通过什么途径来的，甚至追踪到入侵者自己的机子或跳板也不是不可能.
  六.一般稍微熟练点儿的入侵者,在入侵完后会删除一些和自己相关的日志.有时候这反倒让我们得到一些信息,比如某个时间段的日志不完整,并且有人为修改过的痕迹.
  七.搜索被安装了的一些后门.监视这些后门程序(嗅探器?),查看连接IP,发送的数据.
....
   暂时就只想到了这些