Nessus 可收集 WinRAR 所打开的压缩文件的证据。请注意，只会报告已打开但没有通过资源管理器快捷方式或命令行接口提取的压缩文件。

Nessus 可从具有已执行程序列表的 UserAssist 注册表项收集证据。

Nessus 能够为列在默认用户下载文件夹中的所有文件生成报告。

Nessus 可生成目标系统上终端机服务连接的报告。

Nessus 可收集每位系统用户的 Skype 用户配置文件。

Nessus 可从存储常用的用户文件夹位置的目标系统中收集设置列表。以下列出几个较常用的位置：

  - 管理工具
  - AppData
  - 缓存
  - CD 刻录
  - Cookie
  - 桌面
  - 收藏夹
  - 字体
  - 历史记录
  - 本地 AppData
  - 我的音乐
  - 我的图片
  - 我的视频
  - NetHood
  - 个人
  - PrintHood
  - 程序
  - 最近
  - SendTo
  - 开始菜单
  - 启动
  - 模板

Nessus 可以找到当每个用户关闭注册表编辑器时上次打开的密钥的证据。

Nessus 可生成在 $Recycle.Bin 子目录中找到的所有文件的列表。

Nessus 可按照文件类型收集从远程主机打开的文件的证据。

Nessus 可生成一份使用 Microsoft Paint 程序打开的文件列表。

Nessus 可对于使用 shell 对话框打开，或使用 shell 对话框保存的文件生成报告。这是您尝试在 Windows 资源管理器中保存或打开文档时会出现的方框。

Nessus 能够收集可使用任何 Microsoft Office 应用程序打开的文件的证据。报告提取自 Office MRU（最近使用）注册表项。

Nessus 可查询 MUIcache 注册表项以寻找程序执行的证据。

Nessus 可使用 Windows 资源管理器注册表日志和设置，寻找程序执行的证据。

Nessus 能够在远程 Windows 主机上生成映射网络驱动器的报告。

Nessus 可生成手动输入至 Internet Explorer 地址栏的 URL 列表。

Nessus 可查询系统以生成 Foxit 程序所打开的文件的列表。

Nessus 可生成可在远程主机上设置 Flash Cookie 的 URL 的列表。

Nessus 可通过在 Windows 资源管理器中手动键入完整的目录路径，来枚举用户访问过的目录路径。生成的文件夹列表报告包含系统的本地文件夹、来自过去所挂载网络驱动器的文件夹以及来自所挂载设备的文件夹。

Nessus 可以查询注册表，找到远程 Windows 主机上为每一个用户使用 Direct3D 的最近程序。

Nessus 无法枚举在 Windows Explorer 中打开的文件夹。Microsoft Windows 使用称为 shellbags 或 BagMRU 的注册表项维护文件夹设置。生成的文件夹列表报告包含系统的本地文件夹、来自过去所挂载网络驱动器的文件夹以及来自所挂载设备的文件夹。

Nessus 能够在远程 Windows 主机上生成应用程序兼容性缓存的报告。

Nessus 可对远程 Windows 主机上的 Adobe 设置进行查询，以找到最近打开的 Adobe 文件信息。

Nessus 可对远程 Windows 主机上的 7-Zip 设置进行查询，以找到最近访问的压缩文件。

远程 Windows 主机上安装的 Apple iTunes 版本低于 12.4.2。因此，它受到多种漏洞的影响：

- 由于未能正确验证用户提供的输入，libxslt 组件中存在多种内存损坏问题。未经认证的远程攻击者可利用此问题造成拒绝服务情况或执行任意代码。（CVE-2016-1684、CVE-2016-4607、CVE-2016-4608、CVE-2016-4609、CVE-2016-4610、CVE-2016-4612）

- libxml2 组件中存在多种内存损坏问题，远程攻击者可利用此类问题造成拒绝服务情况或执行任意代码。
 （CVE-2016-1836、CVE-2016-4447、CVE-2016-4448、CVE-2016-4483、CVE-2016-4614、CVE-2016-4615、CVE-2016-4616、CVE-2016-4619）

- 由于不正确配置的 XML 解析器接受来自非信任源的 XML 外部实体，libxml2 组件中存在一个 XXE（Xml 外部实体）注入漏洞。远程攻击者可利用此漏洞，通过特别构建的 XML 文件来泄露任意文件和用户信息。(CVE-2016-4449)

请注意，Nessus 并未测试这些问题，而是只依赖于应用程序自我报告的版本号。

Nessus 可收集远程 Windows 主机中活动帐户的最后一次密码变更，并生成 CSV 附件形式的报告。

Nessus 可收集远程 Windows 主机上活动帐户的详细信息，并生成 CSV 附件形式的报告。

Nessus 可收集远程 Windows 主机上活动会话的详细信息，并生成 CSV 附件形式的报告。

Nessus 可收集远程 Windows 主机上当前活动帐户的群组详细信息，并生成 CSV 附件形式的报告。

Nessus 可收集远程 Windows 主机中 SMB 会话的详细数据，并生成 CSV 附件形式的报告。

Nessus 可收集远程 Windows 主机的 NetBIOS over TCP/IP 详细信息，并生成 CSV 附件形式的报告。

Nessus 可收集远程 Windows 主机上 DNS 缓存的详细信息，并生成 CSV 附件形式的报告。

Nessus 可收集远程 Windows 主机上的 ARP 表信息，并生成 CSV 附件形式的报告。

Nessus 可收集远程 Windows 主机上的时区信息，并生成 CSV 附件形式的报告。

Nessus 可收集远程 Windows 主机的系统和用户级别 Windows 脚本主机设置，并生成 CSV 附件形式的报告。

Nessus 可收集并报告远程 Windows 主机的 PowerShell 执行策略。

Nessus 能够将远程主机的上次引导时间作为 ISO 8601 时间戳收集与报告。

Nessus 可从远程 Windows 主机收集主机文件，并将该文件作为附件来报告。

Nessus 可收集远程 Windows 主机上系统和有效帐户环境变量，并生成 CSV 附件形式的报告。

Nessus 可从远程 Windows 主机收集可用的设备日志，并将这些日志当作附件添加进来。

Nessus 可收集远程 Windows 主机上的 AppLocker 配置信息，并生成 CSV 附件形式的报告。

Nessus 可收集远程 Windows 主机上活动帐户的 Office 宏配置信息，并生成 CSV 附件形式的报告。

远程 Windows 主机上安装了一个图表绘制与矢量图形应用程序 Microsoft Visio。

根据其版本，远程 Windows 主机上安装的 Microsoft Visio 版本不再受到支持。

缺少支持意味着供应商将不再发布该产品的任何新安全修补程序。因此，它可能包含某些安全漏洞。

远程 Windows 主机上安装了 Citrix Studio（适用于 XenApp 和 XenDesktop 的扩展模块）。

远程 Windows 主机上安装的 Adobe Reader 版本低于 15.006.30198 或 15.017.20050。因此该软件受到多个漏洞的影响。

  - 在运行 Windows 和 OS X 系统的主机上，Adobe Reader 和 Acrobat 11.0.17 之前版本、Acrobat 和 Acrobat Reader DC Classic 15.006.30198 之前版本以及 Acrobat 和 Acrobat Reader DC Continuous 15.017.20050 之前版本包含释放后使用漏洞，因此攻击者可通过不明媒介来执行任意代码。此漏洞与 CVE-2016-4255 不同。(CVE-2016-6938)

  - 在运行 Windows 和 OS X 系统的主机上，Adobe Reader 和 Acrobat 11.0.17 之前版本、Acrobat 和 Acrobat Reader DC Classic 15.006.30198 之前版本以及 Acrobat 和 Acrobat Reader DC Continuous 15.017.20050 之前版本包含整数溢出漏洞，因此攻击者可通过不明媒介来执行任意代码。(CVE-2016-4210)

  - 在运行 Windows 和 OS X 系统的主机上，Adobe Reader 和 Acrobat 11.0.17 之前版本、Acrobat 和 Acrobat Reader DC Classic 15.006.30198 之前版本以及 Acrobat 和 Acrobat Reader DC Continuous 15.017.20050 之前版本包含释放后使用漏洞，因此攻击者可通过不明媒介来执行任意代码。(CVE-2016-4255)

  - 在运行 Windows 和 OS X 系统的主机上，Adobe Reader 和 Acrobat 11.0.17 之前版本、Acrobat 和 Acrobat Reader DC Classic 15.006.30198 之前版本以及 Acrobat 和 Acrobat Reader DC Continuous 15.017.20050 之前版本包含基于堆的缓冲区溢出漏洞，因此攻击者可通过不明媒介来执行任意代码。(CVE-2016-4209)

  - 在运行 Windows 和 OS X 系统的主机上，Adobe Reader 和 Acrobat 11.0.17 之前版本、Acrobat 和 Acrobat Reader DC Classic 15.006.30198 之前版本以及 Acrobat 和 Acrobat Reader DC Continuous 15.017.20050 之前版本允许攻击者通过不明媒介来绕过 JavaScript API 执行限制。(CVE-2016-4215)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Windows 主机上安装的 Adobe Acrobat 版本低于 11.0.17、15.006.30198 或 15.017.20050。因此该软件受到多个漏洞的影响。

  - 在运行 Windows 和 OS X 系统的主机上，Adobe Reader 和 Acrobat 11.0.17 之前版本、Acrobat 和 Acrobat Reader DC Classic 15.006.30198 之前版本以及 Acrobat 和 Acrobat Reader DC Continuous 15.017.20050 之前版本包含释放后使用漏洞，因此攻击者可通过不明媒介来执行任意代码。此漏洞与 CVE-2016-4255 不同。(CVE-2016-6938)

  - 在运行 Windows 和 OS X 系统的主机上，Adobe Reader 和 Acrobat 11.0.17 之前版本、Acrobat 和 Acrobat Reader DC Classic 15.006.30198 之前版本以及 Acrobat 和 Acrobat Reader DC Continuous 15.017.20050 之前版本包含整数溢出漏洞，因此攻击者可通过不明媒介来执行任意代码。(CVE-2016-4210)

  - 在运行 Windows 和 OS X 系统的主机上，Adobe Reader 和 Acrobat 11.0.17 之前版本、Acrobat 和 Acrobat Reader DC Classic 15.006.30198 之前版本以及 Acrobat 和 Acrobat Reader DC Continuous 15.017.20050 之前版本包含释放后使用漏洞，因此攻击者可通过不明媒介来执行任意代码。(CVE-2016-4255)

  - 在运行 Windows 和 OS X 系统的主机上，Adobe Reader 和 Acrobat 11.0.17 之前版本、Acrobat 和 Acrobat Reader DC Classic 15.006.30198 之前版本以及 Acrobat 和 Acrobat Reader DC Continuous 15.017.20050 之前版本包含基于堆的缓冲区溢出漏洞，因此攻击者可通过不明媒介来执行任意代码。(CVE-2016-4209)

  - 在运行 Windows 和 OS X 系统的主机上，Adobe Reader 和 Acrobat 11.0.17 之前版本、Acrobat 和 Acrobat Reader DC Classic 15.006.30198 之前版本以及 Acrobat 和 Acrobat Reader DC Continuous 15.017.20050 之前版本允许攻击者通过不明媒介来绕过 JavaScript API 执行限制。(CVE-2016-4215)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Windows 主机上安装的 Adobe Flash Player 版本为 22.0.0.192 或低于此版本。因此，它受到多种漏洞的影响：

- 存在多种内存损坏问题，远程攻击者可利用这些问题执行任意代码。
 （CVE-2016-4172、CVE-2016-4175、CVE-2016-4179、CVE-2016-4180、CVE-2016-4181、CVE-2016-4182、CVE-2016-4183、CVE-2016-4184、CVE-2016-4185、CVE-2016-4186、CVE-2016-4187、CVE-2016-4188、CVE-2016-4189、CVE-2016-4190、CVE-2016-4217、CVE-2016-4218、CVE-2016-4219、CVE-2016-4220、CVE-2016-4221、CVE-2016-4233、CVE-2016-4234、CVE-2016-4235、CVE-2016-4236、CVE-2016-4237、CVE-2016-4238、CVE-2016-4239、CVE-2016-4240、CVE-2016-4241、CVE-2016-4242、CVE-2016-4243、CVE-2016-4244、CVE-2016-4245、CVE-2016-4246）

- 存在多种释放后使用错误，远程攻击者可利用这些错误执行任意代码。（CVE-2016-4173、CVE-2016-4174、CVE-2016-4222、CVE-2016-4226、CVE-2016-4227、CVE-2016-4228、CVE-2016-4229、CVE-2016-4230、CVE-2016-4231、CVE-2016-4248）

- 存在多种堆栈损坏问题，远程攻击者可利用这些问题执行任意代码。
 （CVE-2016-4176、CVE-2016-4177）

- 存在一个安全绕过漏洞，允许远程攻击者泄露敏感信息。
 (CVE-2016-4178)

- 存在多种类型混淆错误，可允许远程攻击者执行任意代码。（CVE-2016-4223、CVE-2016-4224、CVE-2016-4225）

- 存在一个不明的内存泄漏问题，允许攻击者造成不明影响。(CVE-2016-4232)

- 存在一个争用条件，允许远程攻击者泄露敏感信息。(CVE-2016-4247)

- 存在一个堆缓冲区溢出情况，远程攻击者可利用此问题执行任意代码。
 (CVE-2016-4249)

Nessus 检测到远程 Windows 主机上存在一个或多个符合 Yara 规则的文件。

请注意，Nessus 仅扫描含以下扩展名的文件：

.application、.asp、.aspx、.bat、.chm、.class、.cmd、.com、.cpl、.csh、.dll、.doc、.docx、.drv、.exe、.gadget、.hta、.inf、.ins、.inx、.isu、.jar、.job、.jpeg、.jpg、.jse、.jsp、.lnk、.msc、.msi、.msp、.mst、.paf、.pdf、.php、.pif、.ppt、.pptx、.ps1、.ps1xml、.ps2、.ps2xml、.psc1、.psc2、.reg、.rgs、.scf、.scr、.sct、.shb、.shs、.swf、.sys、.u3p、.vbe、.vbs、.vbscript、.wsf、.xls、xlsx

远程 Windows 主机上安装的 LibreOffice 版本低于 5.1.4。因此，在解析富文本格式 (RTF) 文件期间，因不当验证 RTF 字符样式索引，它受到一个释放后使用错误的影响。未经认证的远程攻击者可利用此错误，通过诱使用户打开特别构建的 RTF 文件，执行任意代码。

请注意，Nessus 没有测试此问题，而仅依赖于应用程序自我报告的版本号。

ID	名称	严重性
92436	WinRAR 历史记录	info
92435	UserAssist 执行历史记录	info
92434	用户下载文件夹文件	info
92433	终端机服务历史记录	info
92432	Skype 用户配置文件	info
92431	用户 Shell 文件夹设置	info
92430	注册表编辑器上次访问	info
92429	回收站文件	info
92428	最近文件历史记录	info
92427	Microsoft Paint 近期文件历史记录	info
92426	OpenSaveMRU 历史记录	info
92425	Microsoft Office 文件历史记录	info
92424	MUICache 程序执行历史记录	info
92423	Windows 资源管理器最近执行的程序	info
92422	Windows 映射网络驱动器	info
92421	Internet Explorer 输入 URL	info
92420	Foxit 历史记录	info
92419	Flash Cookie 历史	info
92418	Windows 资源管理器键入路径	info
92417	Direct3D 最近程序	info
92416	BagMRU 文件夹历史记录	info
92415	应用程序兼容性缓存	info
92414	Adobe 最近文件	info
92413	7-Zip 最近文件	info
92410	Apple iTunes < 12.4.2 多种漏洞（凭据检查）	critical
92377	Microsoft Windows 当前用户最后一次密码变更	info
92376	Microsoft Windows 当前用户	info
92375	Microsoft Windows 当前会话	info
92374	Microsoft Windows 当前群组	info
92373	Microsoft Windows SMB 会话	info
92372	Microsoft Windows NetBIOS over TCP/IP 信息	info
92371	Microsoft Windows DNS 缓存	info
92370	Microsoft Windows ARP 表	info
92369	Microsoft Windows 时区信息	info
92368	Microsoft Windows 脚本主机设置	info
92367	Microsoft Windows PowerShell 执行策略	info
92366	Microsoft Windows 上次引导时间	info
92365	Microsoft Windows 主机文件	info
92364	Microsoft Windows 环境变量	info
92363	Microsoft Windows 设备日志	info
92362	Microsoft Windows AppLocker 配置	info
92361	Microsoft Office 宏配置	info
92220	已安装 Microsoft Visio（凭据检查）	info
92219	Microsoft Visio 不受支持的版本检测	critical
92039	安装了 Citrix Studio	info
92035	Adobe Reader < 15.006.30198 / 15.017.20050 多个漏洞 (APSB16-26)	critical
92034	Adobe Acrobat < 11.0.17 / 15.006.30198 / 15.017.20050 多个漏洞 (APSB16-26)	critical
92012	Adobe Flash Player <= 22.0.0.192 多种漏洞 (APSB16-25)	critical
91990	使用 Yara 的恶意文件检测	critical
91974	LibreOffice < 5.1.4 RTF 字符样式索引 RCE	high

检测

Nessus 的 Windows 系列

info

info

info

info

info

info

info

info

info

info

info

info

info

info

info

info

info

info

info

info

info

info

info

info

critical

info

info

info

info

info

info

info

info

info

info

info

info

info

info

info

info

info

info

critical

info

critical

critical

critical

critical

high