专家解析:Radmin网络攻防全面接触

Radmin是一款世界知名的远程控制软件,其完全控制、文件传输、Telnet命令等功能非常好用,在Radmin3.0以前版本中,杀毒软件都不对其进行查杀,后期由于黑客和病毒的大量使用r_server来作为媒介,因此将R_server做为安全威胁处理。目前一些以主动防御为主的杀毒软件以及防火墙会主动将R_server列为黑名单,尽管如此Radmin还是深受网络安全者的喜爱。有关Radmin 的研究国内安全组织有很多文章和作品,例如radmin hash连接器,即只要获取了radmin的密码hash值通过该软件可以直接进行连接,而不需知道其密码。

本文将从网络攻防的角度来介绍Radmin软件,通过本文读者可以掌握很多有关Radmin攻击和防护的知识。

一、Radmin简介

Radmin是Remote Administrator的简称,官方网站(http://www.radmin.com)解释为PC Remote Control Software and Remote Access Software(PC远程控制和远程访问软件),它是一款屡获殊荣的远程控制软件,目前最新版本为3.4,它将远程控制、外包服务组件、以及网络监控结合到一个系统里,提供目前为止最快速、强健而安全的工具包。

(一)主要特点

1.最高工作速度

Radmin目前是最快的远程控制软件。它的Direct Screen Transfer™技术采用了视频挂钩内核模式驱动程序,将捕捉率提高到每秒数百次屏幕更新。通过其特别的低带宽优化功能,可以在使用拨号调制解调器和 GPRS 连接的情况下,顺心地进行工作。

2.最高安全级别

Radmin以加密模式工作,为每个连接到远程计算机的所有数据,屏幕图像,鼠标移动和键盘信号采用随机生成的密钥256位AES强加密。可以使用 Windows Security 或 Radmin Security。Windows 安全性支持对特定用户使用不同的权限,或对主域、可信域和活动目录的用户组使用不同的权限。 支持自动使用登录用户凭证和 Kerberos 验证。Radmin 安全性支持对添加到 Radmin Server 访问列表的用户使用不同的权限。 Radmin 用户验证使用新的基于 Diffie-Hellman 的密钥交换,密钥长度 2048 位。IP Filter 仅允许从特定 IP 地址和网络访问 Radmin Server。添加到日志文件的 DNS 名称和用户名信息。智能防护密码猜测,五次密码登录错误后自动进行延迟。

3.硬件支持英特尔® AMT新产品远程控制!

Radmin 3.4版本支持英特尔® AMT(主动管理技术),它允许远程计算机控制,即使是关闭或无法启动操作系统。可以使用Radmin浏览器打开,重新启动和关闭远程计算机。它还使用户能够查看和修改远程计算机的BIOS设置并启动它从本地CD或磁盘映像文件。

4.全面兼容Windows 7新功能!

Radmin的3.4完全支持Windows 7 32位和64位,包括用户帐户控制和快速用户切换。 Radmin的服务器3.4支持Windows 7/Vista/XP/2008/2003/2000(32位)和Windows 7/Vista/XP/2008/2003(64位)操作系统。 Radmin的播放器3.4支持Windows 7/Vista/XP/2008/2003/2000/ME/98/95/NT4.0(32位)和Windows 7/Vista/XP/2008/2003(64位)操作系统。

5.操作简单,支持多连接

Radmin支持被控端以服务的方式运行、支持多个连接和IP 过滤(即允许特定的IP控制远程机器)、个性化的档互传、远程关机、支持高分辨率模式、基于Windows NT的安全支持及密码保护以及提供日志文件支持等。Radmin 目前支持TCP/IP协议,应用十分广泛。

(二)软件组成

Radmin软件分为服务端(Radmin Server)和浏览器端(Radmin Viewer)两个部分,在早期版本中这两个部分是集成到一起的,在3.0以后版本将其分开了。浏览器端(Radmin Viewer)也即Radmin.exe,服务端(Radmin Server)也即早期R_server.exe部分,在后续版本中增加了一些新的功能,同时服务端名称进行了更改,服务端主程序由 R_server.exe更名为rserver3.exe。其安装文件路径由“C:Program FilesRadmin”变为“C:WINDOWSsystem32
server30”,共有25个主要程序文件。