你目前正处于脱机状态,正在等待 Internet 重新连接

如何使用 KB 824146 扫描工具来确定未安装 823980 (MS03-026) 和 824146 (MS03-039) 安全修补程序的主机

针对 Windows XP 的支持已终止

Microsoft 已于 2014 年 4 月 8 日终止了针对 Windows XP 的支持。该更改已影响到您的软件更新和安全选项。 了解这一措施对于您的含义以及如何继续保持受保护状态。

针对 Windows Server 2003 的支持已于 2015 年 7 月 14 日终止。

Microsoft 已于 2015 年 7 月 14 日终止了对于 Windows Server 2003 的支持。该更改已影响到您的软件更新和安全选项。 了解这一措施对于您的含义以及如何继续保持受保护状态。

注意:2003 年 10 月 7 日,Microsoft 发布了 KB 824146 扫描工具 (KB824146scan.exe) 的更新版本,它根据用户的反馈意见加入了用户要求的一些功能。版本 1.00.0257 的主要变化包括以下内容:
  • 可以扫描在注册表中将 RestrictAnonymous 值打开的基于 Microsoft Windows NT 4.0 的计算机
  • 改进了输出类别,有助于查明所扫描计算机的安全修补程序级别
  • 输出所扫描计算机的 NetBIOS 名称
概要
Microsoft 已经发布了 KB 824146 扫描工具 (KB824146scan.exe),网络管理员可以使用该工具来确定其网络中未安装 823980 (MS03-026) 和 824146 (MS03-039) 安全修补程序的主机。此工具替代 KB 823980 扫描工具 (KB823980scan.exe)。

注意:如果您使用 KB823980scan.exe 工具扫描安装了 824146 安全修补程序的计算机,该工具将错误地报告计算机缺少 823980 安全修补程序 (MS03-026)。Microsoft 鼓励用户运行 KB824146scan.exe 工具来确定其网络中的主机是否安装了 823980 (MS03-026) 和 824146 (MS03-039) 安全修补程序。 有关 824146 安全修补程序 (MS03-039) 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
824146MS03-039:RPCSS 中的缓冲区溢出使攻击者可以运行恶意程序
有关 823980 安全修补程序 (MS03-026) 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
823980MS03-026:RPC 中的缓冲区溢出可能允许执行代码
有关试图利用 DCOM RPC 漏洞(823980 安全修补程序 (MS03-026) 可消除此漏洞)的新蠕虫病毒的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
826955关于冲击波蠕虫及其变种的病毒警报
有关网络管理员如何使用 Windows Management Instrumentation 脚本在其 Microsoft Windows NT、Microsoft Windows 2000 或 Microsoft Windows Server 2003 域中未安装修补程序的计算机上安装 823980 安全修补程序 (MS03-026) 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
827227如何用 Visual Basic 脚本在远程主机上安装 824146 (MS03-039) 或 823980 (MS03-026) 安全修补程序
更多信息
KB824146scan.exe 工具可以扫描远程计算机,以帮助网络管理员确定哪些基于 Windows 的计算机没有安装 823980 (MS03-026) 和 824146 (MS03-039) 安全修补程序。该扫描操作不需要身份验证(即,不必在远程计算机上提供有效凭据)。KB824146scan.exe 工具不会影响被扫描的目标操作系统的稳定性。

可以在运行 Windows Server 2003、Windows XP 或 Windows 2000 的计算机中使用 KB824146scan.exe 工具。您可以使用该工具扫描网络上基于 Windows Server 2003、Windows XP、Windows 2000 或 Windows NT 4.0 的计算机。

下载和安装信息

要下载 KB824146scan.exe 工具,请访问下面的 Microsoft Web 站点:下载 Dcom-kb827363-x86-enu.exe 安装程序包。要安装 KB823980scan.exe 工具,请双击下载的 Dcom-kb827363-x86-CHS.exe 安装程序包。该工具是一个命令行实用工具,它安装在 Program Files 文件夹的 KB824146scan 子文件夹中;对于 64 位版本的 Windows XP 或 Windows Server 2003,它安装在 Program Files (x86) 文件夹的 KB824146scan 子文件夹中。

用法信息

若要运行 KB824146scan.exe 工具,请按照下列步骤操作:
  1. 单击“开始”,然后单击“运行”。
  2. 在“打开”框中,键入 cmd,然后单击“确定”。
  3. 在命令提示符下,键入 cd %programfiles%\kb824146scan,然后按 Enter 键。
  4. 键入 kb824146scan switches
有关可与 KB824146scan.exe 工具一起使用的开关的信息,请键入KB824146scan.exe /?(英文)。以下信息为使用说明:
Microsoft (R) 用于 80x86 的 KB824146 扫描程序 1.00.0257 版版权所有 (c) Microsoft Corporation 2003。保留所有权利。KB824146Scan.exe 的用途是审核网络上的 Windows 系统是否安装了 KB824146 和 KB823980 修补程序。KB824146Scan.exe 使管理员可以快速地在企业网络中扫描未安装修补程序的系统。用法:KB824146Scan.exe [/?][/i:输入文件] [/l[:日志文件]] [/n][/o:输出文件] [/r] [/t:超时时间] [/v] 目标 ...目标可以采取以下几种形式:a.b.c.d             - IP 地址a.b.c.d-i.j.k.l     - IP 地址范围a.b.c.d/mask        - 带 CIDR 掩码的 IP 地址host                - 不合格的主机名host.domain.com     - 完全合格的主机名localhost           - 检查本地计算机可以在命令行上和用户指定的输入文件中指定目标。输入文件的格式是每行一个目标。如果在命令行上指定了 /l 开关,KB824146Scan.exe 将在当前目录中保留一个日志文件。(否则输出将只发送到屏幕上。)日志文件名将采取 KB824146Scan_YYMMDD[a-z][a-z].log 的形式,其中 YY 是两位数的年份,MM 是两位数的月份,而 DD 是两位数的日期。如果在同一天还完成了其他扫描,则 [a-z][a-z] 将会附加到日志文件名的末尾。请注意:日志输出只包含基本信息。要捕获完整的信息,请指定 /v 开关进行详细记录。KB824146Scan.exe 将在当前的工作目录中创建一个列表,其中是具有安全漏洞的系统,即未安装修补程序和只安装了 KB823980 的系统。日志文件将采取 Vulnerable_YYMMDD[a-z][a-z].log 的形式,其中 YY 是两位数的年份,MM 是两位数的,而 DD 是两位数的日期。如果在同一天还完成了其他扫描,[a-z][a-z] 将会附加到日志文件名的末尾。它的名称可以使用 /o 开关进行更改。如果在命令行中指定了 /r 开关,KB824146Scan.exe 会将 IP 地址解析为 DNS名称。如果您的 DNS 服务器响应速度缓慢,这可能会导致性能下降。如果在命令行中指定了 /n 开关,KB824146Scan.exe 会将 IP 地址解析为 NetBIOS名称。如果远程 NetBIOS 连接的响应速度缓慢,这可能会导致性能下降。KB824146Scan.exe 默认的超时时间为 5 秒,这适用于大多数网络。如果您的网络缓慢,或启用了 IPSec,则您可能需要将超时时间增加到 10 秒或更多。使用 /t 可以指定超时时间的秒数。

示例输出

下面是当使用 KB824146Scan.exe 扫描某个范围的 IP 地址(本例中为 10.1.1.0 到 10.1.1.255)时所显示的命令行输出示例。
C:\>kb824146scan 10.1.1.1/24Microsoft (R) KB824146 Scanner Version 1.00.0257 for 80x86Copyright (c) Microsoft Corporation 2003. All rights reserved.<+> Starting scan (timeout = 5000 ms)Checking 10.1.1.0 - 10.1.1.25510.1.1.1: unpatched10.1.1.2: patched with both KB824146 (MS03-039) and KB823980 (MS03-026)10.1.1.3: Patched with only KB823980 (MS03-026)10.1.1.4: host unreachable10.1.1.5: DCOM is disabled on this host10.1.1.6: address not valid in this context10.1.1.7: connection failure:error 51 (0x00000033)10.1.1.8: connection refused10.1.1.9: this host needs further investigation<-> Scan completedStatistics:Patched with both KB824146 (MS03-039) and KB823980 (MS03-026) .... 1Patched with only KB823980 (MS03-026) ............................ 1Unpatched ............................. 1TOTAL HOSTS SCANNED ................... 3DCOM Disabled ......................... 1Needs Investigation ................... 1Connection refused .................... 1Host unreachable ...................... 248Other Errors .......................... 2TOTAL HOSTS SKIPPED ................... 253TOTAL ADDRESSES SCANNED ............... 256

错误信息、状态和统计信息

  • “unpatched”(未安装修补程序)状态表明被扫描的主机是 Windows 主机,但该主机未安装 823980 (MS03-026) 和 824146 (MS03-039) 安全修补程序。为帮助保护该计算机,必须安装 824146 (MS03-039) 安全修补程序。
  • “patched with KB823980”(安装了修补程序 KB823980)状态表明,对该主机进行了扫描,并且该主机安装了 823980 (MS03-026) 安全修补程序。该计算机未安装 824146 (MS03-039) 安全修补程序。为帮助保护该计算机,必须安装 824146 (MS03-039) 安全修补程序。
  • “patched with KB824146 and KB823980”(安装了修补程序 KB824146 和 KB823980)状态表明,对该主机进行了扫描,并且该主机安装了 823980 (MS03-026) 和 824146 (MS03-039) 安全修补程序。
  • “host unreachable”(不能访问主机)错误信息表明,指定的 Internet 协议 (IP) 地址处不存在任何主机。另外,黑洞路由器或可阻止数据包的防火墙(如 Windows 防火墙)也会返回“host unreachable”错误信息。
  • “DCOM is disabled on this host”(此主机上禁用了 DCOM)状态表明,目标主机上已禁用了 DCOM。DCOM 可能已被禁用,以帮助防止受到 823980 (MS03-026) 和 824146 (MS03-039) 安全修补程序所消除的漏洞的威胁。 有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    825750如何在 Windows 中禁用 DCOM 支持
  • “address is not valid in this context”(地址在此上下文中无效)或“connection failure”(连接失败)错误信息表明,在连接到远程计算机时出现某种问题。要确定目标计算机是否安装了修补程序,必须手动对其进行检查。
  • “connection refused”(连接被拒绝)错误信息表明,没有侦听 TCP 端口 135 的服务或者(Windows TCP/IP 堆栈或者防火墙或路由器)正在筛选 TCP 端口 135。要确定目标计算机是否安装了修补程序,必须手动对其进行检查。
  • “this host needs further investigation”(此主机需要进一步调查)错误信息表明,在扫描该远程主机时出现某种问题。要确定目标计算机是否安装了修补程序,必须手动对其进行检查。
  • “connection failure, error 67 (0x00000043)”(连接失败,错误 67 (0x00000043))错误信息表明,找不到网络名称。要确定类似错误信息的原因,请在命令提示符下键入如下命令,其中 nn 是十进制的错误编号:
    net helpmsg nn
  • “Patched with KB824146 and KB823980”(安装了 KB824146 和 KB823980 修补程序)统计信息是对标记了状态消息“patched with KB824146 and KB823980”的目标计算机进行的计数。
  • “Patched with KB823980”(安装了 KB823980 修补程序)统计信息是对标记了状态消息“Patched with KB823980”的目标计算机进行的计数。
  • “Unpatched”(未安装修补程序)统计信息是对标记了状态消息“unpatched”的目标计算机进行的计数。
  • “TOTAL HOSTS SCANNED”(所扫描主机的总数)统计信息是“Patched with KB824146 and KB823980”、“Patched with KB823980”和“Unpatched”统计信息的合计。
  • “DCOM Disabled”(禁用了 DCOM)统计信息是对标记了状态消息“DCOM is disabled on this host”的目标计算机进行的计数。
  • “Needs Investigation”(需要调查)统计信息是对标记了状态消息“this host needs further investigation”的目标计算机进行的计数。
  • “Connection refused”统计信息是对标记了状态消息“Connection refused”的目标计算机进行的计数。
  • “Host unreachable”统计信息是对标记了状态消息“Host unreachable”的目标计算机进行的计数。
  • “Other Errors”(其他错误)统计信息是对标记了本列表中未包含的任何其他错误信息的目标计算机进行的计数。
  • “TOTAL HOSTS SKIPPED”(所忽略主机的总数)统计信息是“DCOM Disabled”、“Needs Investigation”、“Connection refused”、“Host unreachable”和“Other Errors”统计信息的合计。
  • “TOTAL ADDRESSES SCANNED”(所扫描地址的总数)统计信息是“TOTAL HOSTS SCANNED”和“TOTAL HOSTS SKIPPED”统计信息的合计。

KB824146Scan.exe 工具创建的日志文件

注意:这些日志文件是在当前工作文件夹(即运行 KB824146Scan.exe 所在的文件夹)中创建的。默认情况下,这是 Program Files 文件夹的 KB824146scan 子文件夹,对于 64 位版本 Windows XP 或 Windows Server 2003,则是 Program Files (x86) 文件夹的 KB824146scan 子文件夹。
  • KB824146Scan_YYMMDD[a-z][a-z].log:此日志文件中包含的信息类似于本文“示例输出”部分中的信息。
  • Vulnerable_YYMMDD[a-z][a-z].log:此日志文件中包含网络中未安装 824146 (MS03-039) 安全修补程序的计算机的 IP 地址列表。Vulnerable_YYMMDD[a-z][a-z] 文件无须修改即可用作 Microsoft 知识库文章 827227 中所介绍的 Patchinstall.vbs 脚本的输入文件 (Ipfile.txt)。如果您在一天中多次运行 KB824146Scan.exe 来执行扫描,则将字母 [a-z][a-z] 添加到 Vulnerable_YYMMDD[a-z][a-z] 文件名中日期的后面。例如,如果在 2003 年 8 月 21 日运行 KB824146Scan.exe 五次,则按以下顺序创建相应的日志文件:
    1. Vulnerable_030821.log
    2. Vulnerable_030821a.log
    3. Vulnerable_030821b.log
    4. Vulnerable_030821c.log
    5. Vulnerable_030821d.log
    对于本文“示例输出”部分中所介绍的示例输出,Vulnerable_YYMMDD[a-z][a-z].log 日志文件将包含下列条目:
    10.1.1.2
    10.1.1.8

已知问题

  • 如果启用了远程访问或文件共享,KB824146scan.exe 工具可能会错误地报告下列版本的 Windows 存在漏洞:
    • Microsoft Windows 95
    • Microsoft Windows 98
    • Microsoft Windows 98 Second Edition
    • Microsoft Windows Millennium Edition
  • 在基于 Windows NT 4.0 的计算机上,如果将以下注册表项中 RestrictAnonymous 的值设置为 1,KB824146scan.exe 工具的原始版本 (1.00.0249) 无法确定计算机是否安装了 823980 (MS03-026) 和 824146 (MS03-039) 安全修补程序:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa


    在这种情况下,KB824146scan.exe 工具将报告目标计算机处于以下错误状态:“cannot get workstation info:error 997 (0x000003E5)”(无法获取工作站信息:错误 997 (0x000003E5))。要确定这些计算机是否安装了修补程序,请使用 KB824146scan.exe 的 1.00.0257 版本,或者手动检查所有基于 Windows NT 4.0 且将 RestrictAnonymous 值打开的计算机。
  • 在使用 KB824146scan.exe 工具时,不能在输入文件、输出文件、日志文件或主机的路径中使用双字节字符集 (DBCS) 字符。
dcomscan ms03-026 rpc dcom patch scanner 1.0 exploit vulnerability patch rpcss
属性

文章 ID:827363 - 上次审阅时间:07/11/2005 05:00:20 - 修订版本: 4.5

Microsoft Windows Server 2003, 64-Bit Datacenter Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003 Web Edition, Microsoft Windows XP 64-Bit Edition Version 2002, Microsoft Windows XP 64-Bit Edition Version 2003, Microsoft Windows XP Home Edition, Microsoft Windows XP Media Center Edition, Microsoft Windows XP Professional Edition, Microsoft Windows XP Tablet PC Edition, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Datacenter Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 Server, Microsoft Windows NT Server 4.0 Terminal Server(终端服务器), Microsoft Windows NT Server 4.0 Standard Edition, Microsoft Windows NT Workstation 4.0 开发员版

  • kbhowto kbfirewall KB827363
反馈