标题: Sysinternals工具的在线使用

创建: 2022-03-04 12:30 更新: 2022-03-17 12:30 链接: https://scz.617.cn/windows/202203041230.txt

前些日子说起Win10创建匿名共享，跟云海讨论时听他提及Sysinternals有个在线服务，可以通过UNC路径直接执行其中的工具。恕我孤陋寡闻，虽然在其主站上看到过 live.sysinternals.com，但从未查看过怎么个live法，心有疑惑，却非刚需，无意深究。只是云海说可以UNC路径直接执行就有些惊到我了，试试。

客户端是Win10企业版2016 LTSB，winver显示1607(OS Build 14393.4704)。在cmd中执行

\live.sysinternals.com\DavWWWRoot\hex2dec 0x51201314 \live.sysinternals.com\tools\hex2dec 0x51201314

如能正常执行，运气不错。但有可能得到错误提示

The network path was not found.

此时有几种解决办法

net use * \live.sysinternals.com net use * \live.sysinternals.com\DavWWWRoot net use * \live.sysinternals.com\tools

或者先在资源管理器中访问

\live.sysinternals.com \live.sysinternals.com\DavWWWRoot \live.sysinternals.com\tools

再在cmd中执行

\live.sysinternals.com\DavWWWRoot\hex2dec 0x51201314 \live.sysinternals.com\tools\hex2dec 0x51201314

Wireshark抓包，发现上述命令成功时走的不是445/TCP，而是80/TCP，对应的客户端服务是WebClient。虽然是UNC路径直接执行，但live.sysinternals.com没有提供SMB 共享，没有SMB服务端，只有WebDAV服务端。

参看

Using the WebDAV Redirector https://docs.microsoft.com/en-us/iis/publish/using-webdav/using-the-webdav-redirector

表面上DavWWWRoot与tools等价，其实有区别。DavWWWRoot是WebDAV服务端提供的虚拟路径，并不存在

http://live.sysinternals.com/DavWWWRoot (返回404)

tools有真实WEB目录与之对应

http://live.sysinternals.com/tools

用DavWWWRoot时，应该是客户端有特殊处理，直接去连80/TCP。用tools时，会先尝试445/TCP，失败后再尝试80/TCP，这符合逻辑。无论用DavWWWRoot还是用tools，显式"net use"建立映射后，再访问时都将直接访问80/TCP，不再尝试445/TCP。

$ net use

Status Local Remote Network

         Y:        \\live.sysinternals.com\tools
                                            Web Client Network
         Z:        \\live.sysinternals.com\DavWWWRoot
                                            Web Client Network

客户端对"net use"建立的映射有缓存，除非显式删除，否则重启OS后仍然有效。

net use * /d /y

客户端的行为比较混乱，有时"net use"啥也没有的情况下也能UNC路径执行成功，至少可以这样重现，严格依次执行

a) net use * /d /y b) restart c) explorer \live.sysinternals.com\DavWWWRoot d) \live.sysinternals.com\tools\hex2dec 0x51201314 e) "net use"为空

e步骤说明资源管理器建立的某种映射反映不到"net use"中，但更底层是共用的。

有时用DavWWWRoot仍然报"The network path was not found"，至少可以这样重现，严格依次执行

a) net use * /d /y b) restart c) \live.sysinternals.com\tools\hex2dec 0x51201314 d) \live.sysinternals.com\DavWWWRoot\hex2dec 0x51201314

针对d步骤抓包，啥也没有，没有445，没有80。显然WebDAV客户端对c步骤有缓存，实现上有其他逻辑BUG，导致d步骤什么包也不发。

通过WebDAV使用live.sysinternals.com上的工具，与通过匿名SMB共享执行PE，在 GUI层面没有区别，用户感受是一样的，都不需要提供user/pass。但是，都涉及PE映像数据以某种形式间接传递到客户端，显然受网络状况影响。走80的话，明文传输，容易被劫持，可能有办法走443或其他加密手段，未探寻。

一般情况下用不上live.sysinternals.com，有点意思，知道比不知道好，某些场景用得上。有替代方案时，并不推荐。

2022.3.17 zyh

云海进一步研究表明，主要与WebClient服务相关，"net use"与资源管理器访问会间接启动WebClient服务。假设WebClient服务已启动，如下命令均可执行

\live.sysinternals.com\DavWWWRoot\hex2dec 0x51201314 \live.sysinternals.com@80\tools\hex2dec 0x51201314

注意第二条有个"@80"

假设WebClient服务未启动，还可能报另一种错

$ \live.sysinternals.com\DavWWWRoot\hex2dec 0x51201314 The system cannot find the path specified.

若测试过程与描述不符，建议重启OS，而不是重启WebClient服务，客户端实现有很多状态相关的BUG。