关于SMB 445端口

通过windows xp调试发现，这个端口是netbt启用关于SMB服务的时候开启的。

\\Device\\NetbiosSmb

这个设备对象就是NetBT驱动创建的（注意不是netbios驱动）

端口的获取是通过注册表 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\Smb下的SessionPort键项获取的，如果没有的话，默认就是445。所以想改端口号的话，可以改这个，但是这样的话，远程客户端可能就访问不了。另外，除了SessionPort还有 DatagramPort，

下面是获取到端口后，绑定地址过程的堆栈

ChildEBP RetAddr
f8ac0fc0 b2d969ad tcpip!TdiOpenAddress
f8ac1014 b2d69aaa tcpip!TCPCreate+0x20a
f8ac1050 804eedf9 tcpip!TCPDispatch+0x10b
f8ac1060 805783bc nt!IopfCallDriver+0x31
f8ac1140 805b465e nt!IopParseDevice+0xa58
f8ac11c8 805b0b3f nt!ObpLookupObjectName+0x56a
f8ac121c 8056b133 nt!ObOpenObjectByName+0xeb
f8ac1298 8056baaa nt!IopCreateFile+0x407
f8ac12f4 8056e17c nt!IoCreateFile+0x8e
f8ac1334 8053d808 nt!NtCreateFile+0x30
f8ac1334 804fe569 nt!KiFastCallEntry+0xf8
f8ac13d8 b2d41bbc nt!ZwCreateFile+0x11
f8ac1484 b2d44785 netbt!NbtTdiOpenAddress+0x227
f8ac14b4 b2d45547 netbt!NbtCreateAddressObjects+0xc3
f8ac14f0 b2d49173 netbt!NbtCreateSmbDevice+0xc8
f8ac1570 80576550 netbt!DriverEntry+0x215
f8ac1640 80689770 nt!IopLoadDriver+0x66c
f8ac169c 80686ad9 nt!IopInitializeSystemDrivers+0x16c
f8ac183c 80684edd nt!IoInitSystem+0x7a3
f8ac1dac 805c5a28 nt!Phase1Initialization+0x9b5
f8ac1ddc 80541fa2 nt!PspSystemThreadStartup+0x34
00000000 00000000 nt!KiThreadStartup+0x16
kd> ?dwo(dwo(esp+8)+8)
Evaluate expression: 48385 = 0000bd01
kd> ?0n445
Evaluate expression: 445 = 000001bd

 

这是由驱动在内核线程中直接创建的，所以445端口对应的进程我们经常可以看到的是System，关于如何通过445端口进行rpc over NampPipe/smb，smb over netbios/tcpip，

另开文章再作分析