En lugar de un solo índice, identificar un sistema de Windows se basa en examinar varios aspectos del proceso de negociación de SMB, que incluye:
* Negociación del dialecto: Windows propondrá dialectos SMB específicos (por ejemplo, SMB 2.x, SMB 3.x). Ver estos dialectos en la lista de propuestas sugiere fuertemente un sistema de Windows, aunque otros sistemas operativos también podrían admitirlos.
* Capacidades: El proceso de negociación implica intercambiar banderas de capacidad. Ciertas combinaciones de capacidades son más características de los sistemas de Windows.
* Mecanismos de seguridad: La elección de los mecanismos de seguridad (por ejemplo, NTLM, Kerberos) durante la negociación puede proporcionar pistas, aunque no son exclusivas de las ventanas.
En resumen, debe analizar todo el intercambio de negociación de SMB, no solo un solo índice, para determinar con confianza si el sistema es Windows. Analizar los dialectos y capacidades ofrecidos juntos da una indicación mucho mejor que cualquier índice único. Las herramientas que capturan y analizan el tráfico de red SMB (como Wireshark) son esenciales para este tipo de identificación.