本文目录一览:
- 1、如何找到发帖人的IP地址?
- 2、我的电脑打不开怎么办
- 3、网吧模拟器黑客攻击是什么
- 4、什么是冰河木马?
- 5、如何隐藏自己的ip地址
- 6、在网吧下载软件时提示:此文件被设置了密码,怎样破解他的密码?
如何找到发帖人的IP地址?
原则上是没有任何可靠的 *** 。
如果他是登陆状态,可以顺藤摸瓜找到他的百度空间(如果有),找到他更多的资料,再到网上不停的搜。偶然性很大。
如果是非登陆发表的帖子,名字就是他的ip地址。不过最后一位省去了。是查不出来的。也可以根据他的帖子内容找到他的影子。
可靠的 *** 没有。这是为了保护百度用户的隐私。
我的电脑打不开怎么办
你的系统保护太薄弱了
下面是某网吧管理员技术论坛放出的一篇文章,希望对你有用吧
权限的妙用----有没有听说可任意修改写保护U盘光盘的『固化文件防毒技术』让硬盘免疫病毒?
想和大家分享一下,我们几个防毒爱好者在不断的测试各种防毒试验和不断思考中新发现的一个 *** 。用它可以和FBWF一样,实现对所有只读写保护文件的修改删除操作,比如光盘操作系统文件和写保护的u盘的写入,也可以对虚拟光驱虚拟的光盘的写入。尤其对多操作系统的保护具有优势(经常被病毒改写exe文件的朋友注意了),可以抵御各种感染型病毒,退出系统进入新系统下也照样有效防御病毒。
大家都知道windows7吧,以它强大的安全特性确实成为一批使用者的青睐,那么能不能让XP系统的电脑的防护也竟可能的借鉴一下它的安全性呢?
我想WIN7可以有效阻止内存中运行的进程之间的通话,对防御木马病毒是很有效的,不过我比较喜欢它的另一个特性,就是它如何保持8G大小的系统文件不 让病毒进入。其实win7的内核机制在发挥作用,有一个阻止所有的外来文件对系统做任何修改和写入或删除的机制,把系统文件固化在了硬盘上,第三方软件不 太可能对系统做任何改动的,同时它使用了重定向的功能,把所有的改动都移动在一个专门的目录里,也就相当于影子的缓冲区了。
我认为这套思路很好,固化+重定向的组合,毕竟影子系统只有重定向的功能,没有固化呀!穿了影子后就可以随便做破坏了。既然如此我们就要对自己的电脑做一下尝试,让自己的硬盘里也拥有固化(即堵)+重定向(即疏导)的功能。呵呵。。。。
这样设置的电脑还有哪些防毒漏洞?还有人能让这样的设置的电脑也中病毒吗?
下文乃是贫道近几年和病毒交战中,运用上古阴阳学实战防毒的心法结晶,
供大家学习交流,希望得到一个抛砖引玉的效果
分享一个防御测试中的新发现-------疏堵结合阻止破坏硬盘数据的 ***
固化文件技术让硬盘免疫病毒
防御病毒组合思路。记得,一定要组合,因为一个软件总有不足,需要配合。
防御病毒我分为硬盘防毒和内存防毒。内存防毒呢,主要是防御进程中的病毒(内存防毒主要是组策略和HIPS,我还没有理出头绪,请高手指点吧)。而硬盘防毒也就是FD吧,入口防御。硬盘防毒,我们又可以分为系统区和非系统区以及引导区防毒。
先说非系统盘分区,看了下面的图片就知道,这个思路的基础了
首先,我们把所有的文件时间都被改成了2088年8月 8日8:08,这样做能对影子类软件和权限的保护起到一个监视的作用。同时预防理论上极少数BIOS类病毒,怕它们在系统启动前就从BIOS里进入硬盘, 方便大家按时间的变化找到被修改过的文件(实在是找不到一个能很方便的发现和找到被病毒写入和修改的文件数据的工具)。同时这样也很美观,呵 呵。。。。。。这是用TOUCHPRO修改的(是电脑爱好者杂志推荐下载),发现同类软件里只有这个软件可以修改文件目录的时间。用这个 *** 我们也可以检 测出绿色软件有没有在运行和做了设置后,回写了目录里的一些文件,并帮助我们成功得把一些绿色杀毒软件设置能只读权限,不怕病毒破坏。
在非系统分区里,我们可以大胆的把扫描后确认安全的目录和文件,设置能只读权限(几秒钟的事情)。不过光靠这样来保护是不行的,一方面一些病毒的底层格式 化行为还是会破坏这样的权限的,另一方面也会妨碍有程序回写文件,所以我们还是需做一些协同的操作。
试验发现沙盘在防御病毒的同时,
①竟然可以往被写保护的硬盘分区和目录里面写文件(和FBWF效果相同,重定向模拟器),
② 同时沙盘会拦截各种底层的磁盘操作和驱动的加载,有效地保护了只读权限。
③可以模拟那些被写保护的文件的回写操作。
④另外由于发现有少数绿色软件还是会向硬盘甚至C分区写文件( *** 了不太好啊,推荐用 VMware 公司的安装扫描软件VMware ThinApp 4.0.1绿色版来自制绿色软件),沙盘也正好起到避免系统垃圾产生的作用。
同样的,就算有病毒穿透了沙盘,那也没什么大用处,不太可能再穿透只读权限。经测试,下载一个普通的病毒样本,因为硬盘数据大都是只读的,写保护的,写不进去,所以它只能乖乖地在我们提供的沙盘里运行,别无出路。
---------在这里由于不可能完全保证重定向能100%防御住所有的病毒,增加的只读写保护防御就大大的保证了可靠性。可谓完美的组合。
经过上面的设置,非系统分区基本上就不怕病毒了(包括极少数格式化病毒)。如果还担心沙盘总是反复读写硬盘同一个地方,从而缩短了硬盘寿命的话,如果电脑 的内存够大的话,我们可以用RAMDISK,在内存中划出一个空间,用沙盘自带的功能把“保存的文件夹”设置到内存中去。经测试效果很好。p:内存更大的 话,还可以把 WINRAR\IE\FLASHGET\迅雷\WMP\播放器的缓存目录也放到内存去,打造一个很少写硬盘(包括系统分区)的电脑(网上有篇文章, *** Windows光盘运行版,有兴趣可以去看看),上网和下载 *** 时,我的硬盘很少亮灯,呵呵。。
怎么解释一下我的思路呢?只读权限最怕磁盘底层操作病毒但沙盘不怕,沙盘最怕穿透性病毒但只读权限不怕(病毒出来后也写不进去呀---好像逃出了门但又撞了墙一样)。
再来谈谈,系统分区和引导区。建议用影子系统,配合TOUCHPRO来完成。TOUCHPRO的效果同上,建议在每次启动电脑后,可以看看系统分区,一般 windows文件夹里只有5个文件会发生写操作,这是系统自己回写的。影子系统能不能和只读权限配合,这个我还没有测试过。希望有朋友来测一下(但沙盘和只读权限完全可以搭配)。
本帖隐藏的内容需要回复才可以浏览
有兴趣的话,可以在网上查查影子系统防穿测试,下载自己喜欢的影子(我推荐用RVS,SD),影子系统挑选可有讲究了,比如防穿透性,是否写入引导区等等,是内存模式还是硬盘模式等等,听说有款影子确实很有特色(是ShadowUser Pro),在安装需要重新启动的软件时,比如杀毒软件,重启后文件不会丢失。这个功能很有意思,和虚拟机的增量备份功能还有WINDOWS7的重定向差不多了,有病毒或设置出现问题的话,可以回到原来的影子状态,很不错。有的影子系统可以进入全硬盘保护模式,这个也很好。还有一个FBWF能实现对只读的或固化的文件(比如光盘)的写入修改模拟和按目录保护而不是按分区保护,也有的影子可以实现一次休眠,多次启动。可以根据自己喜好来挑选。
但是影子系统不是完美无缺的,有个问题 -------最怕驱动型病毒,比如机器狗磁碟机类病毒穿透后写入真实的系统,所以RVS等影子就多了一个HIPS(主机防御)的监控功能来对付驱动加载,所以没有hips的影子可以挑选一个hips的软件,推荐毛豆防火(含规则包)。
上网时,我基本上不用杀毒软件的,因为我的网速还是不太快(无线)。对了,再配合用最强悍的也是免费的毛豆防火墙(不带杀毒版本)来对付黑客还是很好的。还有一个原因,因为byshell内核级的木马运行的时候,很多杀毒软件的hips都发现不了,当然它穿不透影子,一般不用害怕。并且毛豆的 HIPS功能可以发现这个BYSHELL的行动,很强悍,还有也可以提醒机器狗类驱动的加载。
==================================================================
那么在影子模式下,如果要安装一些软件该怎么办呢?
本帖隐藏的内容需要回复才可以浏览
可以使用免费的云端软件平台,它和影子系统可以完美的组合,弥补影子下不能安装软件的问题。而且这个重定向软件本身就是绿色软件,比如安装卡巴,NOD32,小红伞等杀毒软件,我都用它安装,这很符合有些人使用绿色杀毒软件的爱好。下载的网上的东东,就可以用三个杀毒软件一起查,特别方便。要删除的话,呵呵,直接手动删掉安装的目录就可以了。
如果觉得云端不好用的话(占了19M内存,有可能有驱动兼容问题),也可以直接下载绿色的杀毒软件(我的NOD32就是绿色带监控的)。经过测试,发现杀毒软件的隔离区因为不在安装目录里,所以完全可以把杀毒软件的安装目录设置只读权限。不用的时候也不会中毒,也照样可以随时启动杀毒。------ 只读权限就是强大。
如果你是个精力旺盛的反毒斗士,我推荐你到****学习 *** 单文件操作系统(像WINpe一样),然后把系统设置成只读权限。一个文件很好维护吧!!!再用FBWF控制台(微软开发的写入过滤器),实现所有的文件重定向,好了你的系统和WINODOWS7一样的安全了吧!!!
最后推荐大家广泛的使用重定向软件来保护硬盘里的文件不被破坏,有条件安装WIN7也是个好的选择,它的重定向等防御能力比XP已经强了不少。
----------------FBWF控制台不同于一般影子系统,它可以对光盘在内,甚至PE进行写操作映射?这对防御病毒的意义重大呀!我的意思是说,FBWF可以对写保护的分区进行写操作映射,那么那些可以穿透影子系统的病毒对FBWF是一点办法也没有的(因为你穿了的话,下面还是写保护的,穿也白穿),也就是说FBWF,比影子系统强悍很多
所以我感觉FBWF不是一般意义的影子,全名不是叫---写入过滤器吗?
使用这个就可以让C盘(保护的盘)只读不写。这个本来是win7的嵌入版使用的,让系统在光盘上都可以运行。
对于普通用户的好处是:
1.可以保护系统。当然也有可以穿透的病毒。不过你可以把系统刻录在光盘上,呵呵,永远不中毒。
2.提高系统启动速度,普通硬盘在同一时间只能读或者写的,使用fbwf把写入影射到内存,那硬盘就只需要读操作了。
3.使用固态硬盘的可以延长寿命(写入少了),对于那种没有缓存的老固态硬盘(随机写入弱项)可以明显提速。
网吧模拟器黑客攻击是什么
使网吧的电脑无法正常运行,降低顾客满意度。
网吧模拟器里黑客拦截和广告拦截一定要经常买,不然电脑经常中毒,店的评分会降低。
什么是冰河木马?
该软件主要用于远程监控,具体功能包括:
1.自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用);
2.记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息;
3.获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据;
4.限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制;
5.远程文件操作:包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件(提供了四中不同的打开方式——正常方式、更大化、最小化和隐藏方式)等多项文件操作功能;
6.注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能;
7.发送信息:以四种常用图标向被控端发送简短信息;
8.点对点通讯:以聊天室形式同被控端进行在线交谈。
从一定程度上可以说冰河是最有名的木马了,就连刚接触电脑的用户也听说过它。虽然许多杀毒软件可以查杀它,但国内仍有几十万中冰河的电脑存在!作为木马,冰河创造了最多人使用、最多人中弹的奇迹!现在网上又出现了许多的冰河变种程序,我们这里介绍的是其标准版,掌握了如何清除标准版,再来对付变种冰河就很容易了。
冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626。一旦运行G-server,那么该程序就会在C:/Windows/system目录下生成Kernel32.exe和sysexplr.exe,并删除自身。Kernel32.exe在系统启动时自动加载运行,sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe,但只要你打开TXT文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe,于是冰河又回来了!这就是冰河屡删不止的原因。
清除 *** :
1、删除C:Windowssystem下的Kernel32.exe和Sysexplr.exe文件。
2、冰河会在注册表HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion
Run下扎根,键值为C:/windows/system/Kernel32.exe,删除它。
3、在注册表的HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion/Runservices下,还有键值为C:/windows/system/Kernel32.exe的,也要删除。
4、最后,改注册表HKEY_CLASSES_ROOT/txtfile/shell/open/command下的默认值,由中木马后的C:/windows/system/Sysexplr.exe %1改为正常情况下的C:/windows/notepad.exe %1,即可恢复TXT文件关联功能。
如何识别木马
先来说一下木马是如何通过网页进入你的电脑的,相信大家都知道,现在有很多图片木马,EML和EXE木马,其中的图片木马其实很简单,就是把木马exe文件的文件头换成bmp文件的文件头,然后欺骗IE浏览器自动打开该文件,然后利用网页里的一段JAVASCRIPT小程序调用DEBUG把临时文件里的bmp文件还原成木马exe文件并拷贝到启动项里,接下来的事情很简单,你下次启动电脑的时候就是你噩梦的开始了,EML木马更是传播方便,把木马文件伪装成audio/x-wav声音文件,这样你接收到这封邮件的时候只要浏览一下,不需要你点任何连接,windows就会为你代劳自动播放这个他认为是wav的音乐文件,木马就这样轻松的进入你的电脑,这种木马还可以frame到网页里,只要打开网页,木马就会自动运行,另外还有一种 *** ,就是把木马exe编译到. *** 文件里,然后在网页里调用,同样也可以无声无息的入侵你的电脑,这只是些简单的办法,还有远程控制和共享等等漏洞可以钻,知道这些,相信你已经对网页木马已经有了大概了解,
简单防治的 *** :
开始-设置-控制面版-添加删除程序-windows安装程序-把附件里的windows scripting host去掉,然后打开Internet Explorer浏览器,点工具-Internet选项-安全-自定义级别,把里面的脚本的3个选项全部禁用,然后把“在中加载程序和文件”禁用,当然这只是简单的防治 *** ,不过可能影响一些网页的动态java效果,不过为了安全就牺牲一点啦,这样还可以预防一些恶意的网页炸弹和病毒,如果条件允许的话可以加装防火墙,再到微软的网站打些补丁,反正我所知道的网吧用的都是原始安装的windows,很不安全哦,还有尽量少在一些小网站下载一些程序,尤其是一些号称黑客工具的软件,小心盗不着别人自己先被盗了,当然,如果你执意要用的话,号被盗了也应该付出这个代价吧。还有,不要以为装了还原精灵就很安全,据我所知,一般网吧的还原精灵都只还原c:盘即系统区,所以只要木马直接感染你安装在别的盘里的游戏执行文件,你照样逃不掉的。
冰河木马原理
木马冰河是用C++Builder写的,为了便于大家理解,我将用相对比较简单的VB来说明它,其中涉及到一些WinSock编程和Windows API的知识,如果你不是很了解的话,请去查阅相关的资料。
一、基础篇(揭开木马的神秘面纱)
无论大家把木马看得多神秘,也无论木马能实现多么强大的功能,木马,其实质只是一个 *** 客户/服务程序。那么,就让我们从 *** 客户/服务程序的编写开始。
1.基本概念:
*** 客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序我们称为守护进程(UNIX的术语,不过已经被移植到了MS系统上)。对于冰河,被控制端就成为一台服务器,控制端则是一台客户机,G_server.exe是守护进程, G_client是客户端应用程序。(这一点经常有人混淆,而且往往会给自己种了木马!)
2.程序实现:
在VB中,可以使用Winsock控件来编写 *** 客户/服务程序,实现 *** 如下(其中,G_Server和G_Client均为Winsock控件):
服务端:
G_Server.LocalPort=7626(冰河的默认端口,可以改为别的值)
G_Server.Listen(等待连接)
客户端:
G_Client.RemoteHost=ServerIP(设远端地址为服务器地址)
G_Client.RemotePort=7626 (设远程端口为冰河的默认端口,呵呵,知道吗?这是冰河的生日哦)
(在这里可以分配一个本地端口给G_Client, 如果不分配, 计算机将会自动分配一个, 建议让计算机自动分配)
G_Client.Connect (调用Winsock控件的连接 *** )
一旦服务端接到客户端的连接请求ConnectionRequest,就接受连接
Private Sub G_Server_ConnectionRequest(ByVal requestID As Long)
G_Server.Accept requestID
End Sub
客户机端用G_Client.SendData发送命令,而服务器在G_Server_DateArrive事件中接受并执行命令(几乎所有的木马功能都在这个事件处理程序中实现)
如果客户断开连接,则关闭连接并重新监听端口
Private Sub G_Server_Close()
G_Server.Close (关闭连接)
G_Server.Listen (再次监听)
End Sub
其他的部分可以用命令传递来进行,客户端上传一个命令,服务端解释并执行命令......
二、控制篇(木马控制了这个世界!)
由于Win98开放了所有的权限给用户,因此,以用户权限运行的木马程序几乎可以控制一切,让我们来看看冰河究竟能做些什么(看了后,你会认同我的观点:称冰河为木马是不恰当的,冰河实现的功能之多,足以成为一个成功的远程控制软件)
因为冰河实现的功能实在太多,我不可能在这里一一详细地说明,所以下面仅对冰河的主要功能进行简单的概述,主要是使用Windows API函数, 如果你想知道这些函数的具体定义和参数,请查询WinAPI手册。
1.远程监控(控制对方鼠标、键盘,并监视对方屏幕)
keybd_event 模拟一个键盘动作(这个函数支持屏幕截图哦)。
mouse_event 模拟一次鼠标事件(这个函数的参数太复杂,我要全写在这里会被编辑骂死的,只能写一点主要的,其他的自己查WinAPI吧)
mouse_event(dwFlags,dx,dy,cButtons,dwExtraInfo)
dwFlags:
MOUSEEVENTF_ABSOLUTE 指定鼠标坐标系统中的一个绝对位置。
MOUSEEVENTF_MOVE 移动鼠标
MOUSEEVENTF_LEFTDOWN 模拟鼠标左键按下
MOUSEEVENTF_LEFTUP 模拟鼠标左键抬起
MOUSEEVENTF_RIGHTDOWN 模拟鼠标右键按下
MOUSEEVENTF_RIGHTUP 模拟鼠标右键按下
MOUSEEVENTF_MIDDLEDOWN 模拟鼠标中键按下
MOUSEEVENTF_MIDDLEUP 模拟鼠标中键按下
dx,dy: MOUSEEVENTF_ABSOLUTE中的鼠标坐标
2.记录各种口令信息
(作者注:出于安全角度考虑,本文不探讨这方面的问题,也请不要给我来信询问)
3.获取系统信息
a.取得计算机名 GetComputerName
b.更改计算机名 SetComputerName
c.当前用户 GetUserName函数
d.系统路径
Set FileSystem0bject = CreateObject("Scripting.FileSystemObject") (建立文件系统对象)
Set SystemDir = FileSystem0bject.getspecialfolder(1)
(取系统目录)
Set SystemDir = FileSystem0bject.getspecialfolder(0)
(取Windows安装目录)
(友情提醒: FileSystemObject是一个很有用的对象,你可以用它来完成很多有用的文件操作)
e.取得系统版本 GetVersionEx(还有一个GetVersion,不过在32位windows下可能会有问题,所以建议用GetVersionEx
f.当前显示分辨率
Width = screen.Width \ screen.TwipsPerPixelX
Height= screen.Height \ screen.TwipsPerPixelY
其实如果不用Windows API我们也能很容易的取到系统的各类信息,那就是Winodws的"垃圾站"-注册表
比如计算机名和计算机标识吧:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP中的Comment,ComputerName和WorkGroup
注册公司和用户名:HKEY_USERS\.DEFAULT\Software\Microsoft\MS Setup (ACME)\UserInfo至于如何取得注册表键值请看第6部分。
4.限制系统功能
a.远程关机或重启计算机,使用WinAPI中的如下函数可以实现:
ExitWindowsEx(ByVal uFlags,0)
当uFlags=0 EWX_LOGOFF 中止进程,然后注销
当uFlags=1 EWX_SHUTDOWN 关掉系统电源
当uFlags=2 EWX_REBOOT 重新引导系统
当uFlags=4 EWX_FORCE 强迫中止没有响应的进程
b.锁定鼠标
ClipCursor(lpRect As RECT)可以将指针限制到指定区域,或者用ShowCursor(FALSE)把鼠标隐藏起来也可以
注:RECT是一个矩形,定义如下:
Type RECT
Left As Long
Top As Long
Right As Long
Bottom As Long
End Type
c.锁定系统 这个有太多的办法了,嘿嘿,想Windows不死机都困难呀,比如,搞个死循环吧,当然,要想系统彻底崩溃还需要一点技巧,比如设备漏洞或者耗尽资源什么的......
d.让对方掉线 RasHangUp......
e.终止进程 ExitProcess......
f.关闭窗口 利用FindWindow函数找到窗口并利用SendMessage函数关闭窗口
5.远程文件操作
无论在哪种编程语言里,文件操作功能都是比较简单的,在此就不赘述了,你也可以用上面提到的FileSystemObject对象来实现
6.注册表操作
在VB中只要Set RegEdit=CreateObject("WScript.Shell")
就可以使用以下的注册表功能:
删除键值:RegEdit.RegDelete RegKey
增加键值:RegEdit.Write RegKey,RegValue
获取键值:RegEdit.RegRead (Value)
记住,注册表的键值要写全路径,否则会出错的。
7.发送信息
很简单,只是一个弹出式消息框而已,VB中用MsgBox("")就可以实现,其他程序也不太难的。
8.点对点通讯
呵呵,这个嘛随便去看看什么聊天软件就行了(因为比较简单但是比较烦,所以我就不写了,呵呵。又:我始终没有搞懂冰河为什么要在木马里搞这个东东,困惑......)
9.换墙纸
CallSystemParametersInfo(20,0,"BMP路径名称",H1)
值得注意的是,如果使用了ActiveDesktop,换墙纸有可能会失败,遇到这种问题,请不要找冰河和我,去找Bill吧。
三、潜行篇(Windows,一个捉迷藏的大森林)
木马并不是合法的 *** 服务程序,因此,它必须想尽一切办法隐藏自己,好在,Windows是一个捉迷藏的大森林!
1、在任务栏中隐藏自己:
这是最基本的了,如果连这个都做不到......(想象一下,如果Windows的任务栏里出现一个国际象棋中木马的图标...@#!#@...也太嚣张了吧!)
在VB中,只要把form的Visible属性设为False, ShowInTaskBar设为False, 程序就不会出现在任务栏中了。
2、在任务管理器中隐形:
在任务管理器中隐形,就是按下Ctrl+Alt+Del时看不见那个名字叫做“木马”的进程,这个有点难度,不过还是难不倒我们,将程序设为“系统服务”可以很轻松的伪装成比尔盖子的嫡系部队(Windows,我们和你是一家的,不要告诉别人我藏在哪儿...)。
在VB中如下的代码可以实现这一功能:
Public Declare Function RegisterServiceProcess Lib "kernel32" (ByVal ProcessID As Long, ByVal ServiceFlags As Long) As Long
Public Declare Function GetCurrentProcessId Lib "kernel32" () As Long
(以上为声明)
Private Sub Form_Load()
RegisterServiceProcess GetCurrentProcessId, 1 (注册系统服务)
End Sub
Private Sub Form_Unload()
RegisterServiceProcess GetCurrentProcessId, 0 (取消系统服务)
End Sub
3、如何悄没声息地启动:
你当然不会指望用户每次启动后点击木马图标来运行服务端,木马要做到的第二重要的事就是如何在每次用户启动时自动装载服务端(之一重要的是如何让对方中木马,嘿嘿,这部分的内容将在后面提到)
Windows支持多种在系统启动时自动加载应用程序的 *** (简直就像是为木马特别定做的)启动组、win.ini、system.ini、注册表等等都是木马藏身的好地方。冰河采用了多种 *** 确保你不能摆脱它。首先,冰河会在注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和RUNSERVICE键值中加上了\kernl32.exe(是系统目录),其次如果你删除了这个键值,自以为得意地喝著茶的时候,冰河又阴魂不散地出现了...怎么回事?原来冰河的服务端会在c:\windows(这个会随你windows的安装目录变化而变化)下生成一个叫sysexplr.exe文件(太象超级解霸了,好毒呀,冰河!),这个文件是与文本文件相关联的,只要你打开文本(哪天不打开几次文本?),sysexplr.exe文件就会重新生成krnel32.exe, 然后你还是被冰河控制著。(冰河就是这样长期霸占著穷苦劳动人民宝贵的系统资源的,555555)
4、端口
木马都会很注意自己的端口(你呢?你关心你的6万多个端口吗?),如果你留意的话,你就会发现,木马端口一般都在1000以上,而且呈越来越大的趋势(netspy是1243....)这是因为,1000以下的端口是常用端口,占用这些端口可能会造成系统不正常,这样木马就会很容易暴露;而由于端口扫描是需要时间的(一个很快的端口扫描器在远程也需要大约二十分钟才能扫完所有的端口),故而使用诸如54321的端口会让你很难发现它。在文章的末尾我给大家转贴了一个常见木马的端口表,你就对著这个表去查吧(不过,值得提醒的是,冰河及很多比较新的木马都提供端口修改功能,所以,实际上木马能以任意端口出现)
5.最新的隐身技术
目前,除了冰河使用的隐身技术外,更新、更隐蔽的 *** 已经出现,那就是-驱动程序及动态链接库技术(冰河3.0会采用这种 *** 吗?)。
驱动程序及动态链接库技术和一般的木马不同,它基本上摆脱了原有的木马模式-监听端口,而采用替代系统功能的 *** (改写驱动程序或动态链接库)。这样做的结果是:系统中没有增加新的文件(所以不能用扫描的 *** 查杀)、不需要打开新的端口(所以不能用端口监视的 *** 查杀)、没有新的进程(所以使用进程查看的 *** 发现不了它,也不能用kill进程的 *** 终止它的运行)。在正常运行时木马几乎没有任何的症状,而一旦木马的控制端向被控端发出特定的信息后,隐藏的程序就立即开始运作......
事实上,我已经看到过几个这样类型的木马,其中就有通过改写vxd文件建立隐藏共享的木马...(江湖上又将掀起新的波浪)
四、破解篇(魔高一尺、道高一丈)
本文主要是探讨木马的基本原理,木马的破解并非是本文的重点(也不是我的长处),具体的破解请大家期待yagami的《特洛伊木马看过来》(我都期待一年了,大家和我一起继续期待吧,嘿嘿),本文只是对通用的木马防御、卸载 *** 做一个小小的总结:
1.端口扫描
端口扫描是检查远程机器有无木马的更好办法, 端口扫描的原理非常简单, 扫描程序尝试连接某个端口, 如果成功, 则说明端口开放, 如果失败或超过某个特定的时间(超时), 则说明端口关闭。(关于端口扫描,Oliver有一篇关于“半连接扫描”的文章,很精彩,那种扫描的原理不太一样,不过不在本文讨论的范围之中)
但是值得说明的是, 对于驱动程序/动态链接木马, 扫描端口是不起作用的。
2.查看连接
查看连接和端口扫描的原理基本相同,不过是在本地机上通过netstat-a(或某个第三方的程序)查看所有的TCP/UDP连接,查看连接要比端口扫描快,缺点同样是无法查出驱动程序/动态链接木马,而且仅仅能在本地使用。
3.检查注册表
上面在讨论木马的启动方式时已经提到,木马可以通过注册表启动(好像现在大部分的木马都是通过注册表启动的,至少也把注册表作为一个自我保护的方式),那么,我们同样可以通过检查注册表来发现"马蹄印",冰河在注册表里留下的痕迹请参照《潜行篇》。
4.查找文件
查找木马特定的文件也是一个常用的 *** (这个我知道,冰河的特征文件是G_Server.exe吧? 笨蛋!哪会这么简单,冰河是狡猾狡猾的......)冰河的一个特征文件是kernl32.exe(靠,伪装成Windows的内核呀),另一个更隐蔽,是sysexlpr.exe(什么什么,不是超级解霸吗?)对!冰河之所以给这两个文件取这样的名字就是为了更好的伪装自己, 只要删除了这两个文件,冰河就已经不起作用了。其他的木马也是一样(废话,Server端程序都没了,还能干嘛?)
如果你只是删除了sysexlpr.exe而没有做扫尾工作的话,可能会遇到一些麻烦-就是你的文本文件打不开了,因为前面说了,sysexplr.exe是和文本文件关联的,你还必须把文本文件跟notepad关联上, *** 有三种:
a.更改注册表(我就不说了,有能力自己改的想来也不要我说,否则还是不要乱动的好)
b.在我的电脑-查看-文件夹选项-文件类型中编辑
c.按住SHIFT键的同时鼠标右击任何一个TXT文件,选择打开方式,选中始终用该程序打开......,然后找到notepad,点一下就OK了。(这个最简单,推荐使用)
提醒一下,对于木马这种狡猾的东西,一定要小心又小心,冰河是和txt文件关联的,txt打不开没什么大不了,如果木马是和exe文件关联而你贸然地删了它......你苦了!连regedit都不能运行了!
5.杀病毒软件
之所以把杀病毒软件放在最后是因为它实在没有太大的用,包括一些号称专杀木马的软件也同样是如此,不过对于过时的木马以及菜鸟安装的木马(没有配置服务端)还是有点用处的, 值得一提的是最近新出来的ip armor在这一方面可以称得上是比较领先的,它采用了监视动态链接库的技术,可以监视所有调用Winsock的程序,并可以动态杀除进程,是一个个人防御的好工具(虽然我对传说中“该软件可以查杀未来十年木马”的说法表示怀疑,嘿嘿,两年后的事都说不清,谁知道十年后木马会“进化”到什么程度?甚至十年后的操作系统是什么样的我都想象不出来)
另外,对于驱动程序/动态链接库木马,有一种 *** 可以试试,使用Windows的"系统文件检查器",通过"开始菜单"-"程序"-"附件"-"系统工具"-"系统信息"-"工具"可以运行"系统文件检查器"(这么详细,不会找不到吧? 什么,你找不到! 吐血! 找一张98安装盘补装一下吧), 用“系统文件检查器”可检测操作系统文件的完整性,如果这些文件损坏,检查器可以将其还原,检查器还可以从安装盘中解压缩已压缩的文件(如驱动程序)。如果你的驱动程序或动态链接库在你没有升级它们的情况下被改动了,就有可能是木马(或者损坏了),提取改动过的文件可以保证你的系统安全和稳定。(注意,这个操作需要熟悉系统的操作者完成,由于安装某些程序可能会自动升级驱动程序或动态链接库,在这种情况下恢复"损坏的"文件可能会导致系统崩溃或程序不可用!)
五、狡诈篇(只要你的一点点疏忽......)
只要你有一点点的疏忽,就有可能被人安装了木马,知道一些给人种植木马的常见伎俩对于保证自己的安全不无裨益。
1. 木马种植伎俩
网上“帮”人种植木马的伎俩主要有以下的几条
a.软哄硬骗法
这个 *** 很多啦, 而且跟技术无关的, 有的是装成大虾, 有的是装成PLMM, 有的态度谦恭,有的......反正目的都一样,就是让你去运行一个木马的服务端。
b.组装合成法
就是所谓的221(Two To One二合一)把一个合法的程序和一个木马绑定,合法程序的功能不受影响,但当你运行合法程序时,木马就自动加载了,同时,由于绑定后程序的代码发生了变化,根据特征码扫描的杀毒软件很难查找出来。
c.改名换姓法
这个 *** 出现的比较晚,不过现在很流行,对于不熟练的windows操作者,很容易上当。具体 *** 是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标, 再把文件名改为*.jpg *.exe, 由于Win98默认设置是"不显示已知的文件后缀名",文件将会显示为*.jpg, 不注意的人一点这个图标就中木马了(如果你在程序中嵌一张图片就更完美了)
d.愿者上钩法
木马的主人在网页上放置恶意代码,引诱用户点击,用户点击的结果不言而喻:开门揖盗;奉劝:不要随便点击网页上的链接,除非你了解它,信任它,为它死了也愿意...
2. 几点注意(一些陈词滥调)
a.不要随便从网站上下载软件,要下也要到比较有名、比较有信誉的站点,这些站点一般都有专人杀马杀毒;
b.不要过于相信别人,不能随便运行别人给的软件;
(特别是认识的,不要以为认识了就安全了,就是认识的人才会给你装木马,哈哈,挑拨离间......)
c.经常检查自己的系统文件、注册表、端口什么的,经常去安全站点查看最新的木马公告;
d.改掉windows关于隐藏文件后缀名的默认设置(我是只有看见文件的后缀名才会放心地点它的)
e.如果上网时发现莫名奇妙地硬盘乱响或猫上的数据灯乱闪,要小心;
如何隐藏自己的ip地址
使用 *** ,原理就是用 *** 的地址来上网。
比如在IE,工具-Internet选项-连接-局域网连接-填写一个 *** 服务器的地址和端口.
同样 *** 也有同样的设置,在 *** 的登录窗口可以看到。
附加提供一下一些今天找到的HTTP服务器:
221.3.154.9:80@HTTP;云南省楚雄州联通
116.52.12.210:8080@HTTP;云南省昆明市电信
116.52.149.60:8080@HTTP;云南省昆明市电信
115.236.37.18:808@HTTP;浙江省杭州市电信
61.164.40.151:8080@HTTP;浙江省杭州市电信
202.107.196.2:3128@HTTP;浙江省杭州市电信
220.189.209.244:3128@HTTP;浙江省杭州市电信
221.12.162.142:80@HTTP;浙江省杭州市联通
110.75.120.60:80@HTTP;浙江省杭州市 *** *** 有限公司
110.75.120.72:80@HTTP;浙江省杭州市 *** *** 有限公司
122.225.100.13:8080@HTTP;浙江省湖州市电信
60.191.239.241:8123@HTTP;浙江省金华市电信
222.177.13.25:3128@HTTP;重庆市电信
60.175.203.243:8080@HTTP;安徽省宿州市电信
189.26.244.34:3128@HTTP;巴西
60.247.25.42:80@HTTP;北京市电信
60.247.30.20:80@HTTP;北京市电信
60.247.30.21:80@HTTP;北京市电信
123.124.170.42:80@HTTP;北京市联通ADSL
124.65.136.106:3128@HTTP;北京市联通ADSL
119.57.20.235:80@HTTP;北京市日升天信科技有限公司
211.101.55.183:808@HTTP;北京市瀛海威用户
62.176.15.67:8080@HTTP;俄罗斯
78.29.6.0:3128@HTTP;俄罗斯
87.117.135.86:8080@HTTP;俄罗斯
94.251.38.24:8080@HTTP;俄罗斯
218.207.217.227:80@HTTP;福建省移动
218.207.217.233:80@HTTP;福建省移动
120.31.67.2:3128@HTTP;广东省铁通
125.95.189.82:8080@HTTP;广东省佛山市南海区平洲汇联网吧
121.8.184.162:8080@HTTP;广东省广州市番禺区电信
119.145.139.242:3128@HTTP;广东省深圳市电信ADSL
219.134.131.81:8080@HTTP;广东省深圳市电信ADSL
218.14.227.197:3128@HTTP;广东省湛江市电信ADSL
121.12.249.207:3128@HTTP;广东省中山市火炬开发区张家边东镇大道星发网吧
121.12.249.207:9090@HTTP;广东省中山市火炬开发区张家边东镇大道星发网吧
219.159.239.104:3128@HTTP;广西崇左市电信
202.100.209.238:3128@HTTP;海南省三亚市胜利路星空网吧
222.223.82.137:8080@HTTP;河北省秦皇岛市山海关区道南银河网吧
222.88.40.6:8080@HTTP;河南省郑州市电信ADSL
122.156.236.130:3128@HTTP;黑龙江省大庆市联通
120.202.89.142:3128@HTTP;湖北省移动
219.139.158.59:8080@HTTP;湖北省宜昌市电信ADSL
111.8.33.249:80@HTTP;湖南省移动
124.232.147.229:8081@HTTP;湖南省长沙市电信IDC机房
222.169.11.234:8080@HTTP;吉林省延吉市电信
222.92.116.32:8080@HTTP;江苏省苏州市电信
58.240.237.132:8080@HTTP;江苏省苏州市联通
221.231.114.147:3128@HTTP;江苏省盐城市(东台市)电信
221.231.114.147:8080@HTTP;江苏省盐城市(东台市)电信
222.186.42.239:8080@HTTP;江苏省镇江市电信ADSL
59.46.67.106:8080@HTTP;辽宁省沈阳市广电宽带(电信出口)
220.167.224.19:80@HTTP;青海省西宁市电信
220.167.224.22:80@HTTP;青海省西宁市电信
221.204.246.150:8080@HTTP;山西省太原市联通IDC机房
61.185.143.178:8080@HTTP;陕西省商洛市洛南县苹果网吧
211.144.100.166:8080@HTTP;上海市科技网
202.98.123.126:8080@HTTP;四川省成都市电信IDC机房
222.213.240.18:8080@HTTP;四川省雅安市电信
222.213.248.137:80@HTTP;四川省雅安市电信
222.213.248.137:8080@HTTP;四川省雅安市电信
222.208.211.177:8080@HTTP;四川省雅安市电信ADSL
222.213.245.166:8080@HTTP;四川省雅安市荥经县启松网吧
222.213.247.86:8080@HTTP;四川省雅安市荥经县星期八网吧
122.154.26.157:8080@HTTP;泰国
60.28.212.184:80@HTTP;天津市联通ADSL
60.29.123.66:3128@HTTP;天津市联通ADSL
60.29.131.18:3128@HTTP;天津市联通ADSL
213.0.88.85:8080@HTTP;西班牙
119.246.104.50:3128@HTTP;香港城市电讯有限公司
112.121.176.74:3128@HTTP;香港湾仔区SimcentricSolutions有限公司
27.109.107.39:80@HTTP;新加坡
203.208.252.51:80@HTTP;新加坡电信公司
83.147.245.170:8080@HTTP;伊朗
116.66.207.70:8080@HTTP;印度尼西亚
222.124.193.35:8080@HTTP;印度尼西亚
在网吧下载软件时提示:此文件被设置了密码,怎样破解他的密码?
1. XP星号密码查看器 V8.58
这绝对是世界上体积最小的星号密码查看器啦,在3.0版的
2. XP星号密码查看器 8.57
Windows中星号密码查看器
download.pchome.net/utility/showpass/18327.html
3. 木马克星iparmor 5.46 build 1025 英文版
木马克星乃本站原创反黑客-杀木马工具,可以查杀8122种国际木马,1053种密码偷窃木马
4. 星号密码还原器 1.9
一种密码恢复软件,它可以帮助你阅读任何隐藏于*号的密码。使用上相当简单,不需要任
5. 星号密码查看器 3.1
如果你的密码忘了,现在你看到的就是*,如何办呢?用这个软件好了。当然你不应该用这个
6. A型密码破解 0.2
这是一款简单的破密码软件,破access密码和星号密码,操作简单。
7. 晨风星号密码查看器 3.0
如果你曾经保存了密码,但现在忘记了,想要把原来保存的密码取回来。就要利用这个工具
8. *** 新手反黑客实用工具箱 3.0
本软件主要为 *** 新手而编写,分进程查看、本机IP、星号密码、端口扫描、上网密码、反
dl.pconline.com.cn/html/1/2/dlid=8452dltypeid=1pn=0.html
9. *** all 密码查看器 1.8
这可能是世界上最小巧的星号密码查看器了,自身程序大小还不到5K。如果再用Winrar进行
10. Advanced密码星号显示察看器 1.00
Advanced密码星号显示察看器用来察看**好的密码。本软件的特点是让密码直接显示在直接
11. ACCESS 密码克星
MicrsoftAccess97/2000/XP/2003密码破解工具!该软件虽然非常小巧,但功能强大,大家
12. XP星号密码查看器 7.6
Windows中星号密码查看器
antivirus.pchome.net/utility/showpass/18327.html
13. 星号密码还原器 V1.9
一种密码恢复软件,它可以帮助你阅读任何隐藏于*号的密
14. 星号密码克星(Asterisk Password Recovery XP) V1.89
星号密码克星用来读取隐藏在星号*****后面的密码,此版
15. 生日密码(LuckyStar) V1.0
以占星术的方式,揭示你生日所蕴涵的人生的秘密。本软
16. Dialupass 2.43 汉化版
是一款拯救忘记了拨号 *** 密码的使用者的救星,它能够显示出计算机中记录的拨号 *** 密
17. XP星号密码查看器 8.50
查看Windows中以“*****”显示的密码窗口中的实际内容,支持Windows 95/98/ME/NT
dl.pconline.com.cn/html/1/4/dlid=11144dltypeid=1pn=0.html
18. 系统DIY小鬼头 2.3
汇编写的DIY小工具集:密码的取得或删除功能:*星号密码、IE*星号密码、IE分级密码、魔
19. 光纤卫星电视 1.3.3
卫星信号加解扰系统,用户无须硬件解码器,只需解扰卡号和密码即可观看
download.pchome.net/multimedia/onlineplayer/19208.html
20. 东日-看星星 1.01
你是否曾经遇到过这样的情况?比如你在拨号 *** 中设置了“保存密码”,然后就渐渐忘记
21. 密码之爪 1.08
看到星星背后的密码原文
download.pchome.net/utility/showpass/21619.html
22. Hyperion 0.3 beta
土星模拟器Hyperion终于放出了之一个公众版(也就是不用再解密码了)另外这个版本比以
23. XP星号密码查看器 V8.48
这绝对是世界上体积最小的星号密码查看器啦,在3.0版的基础上再进行压缩,自身体?
download.21cn.com/list.php?id=33522
24. ACCESS密码克星 V4.0
Micrsoft Access97/2000/XP/2003 密码破解工具!该软件
25. HF星号探测器 1.0
本软件可以显示星号密码部分,网页密码暂时无法显示.有什么问题可以到黑色反击提问.htt
26. 星号密码查看大盗 V1.0
查看星号密码的工具;支持查看对话框的星号密码;
27. PwdViewer 1.02
又一款查看星号密码的工具,体积只有6.5K,支持查看对话框和网页中的星号密码,纯绿色软
28. *** all 密码查看器 V1.8
这可能是世界上最小巧的星号密码查看器了,自身程序大小还不到5K。如果再用Winrar
download.21cn.com/list.php?id=33604
29. 晨风星号密码查看器 V1.0
如果你曾经保存了密码,但现在忘记了,想要把原来保存的密码取回来。就要利用这个
download.21cn.com/list.php?id=45599
30. SUNTV光纤直播卫星电视 1.3.6
卫星信号加解扰系统,用户无须硬件解码器,只需解扰卡号和密码即可观看:3大频段(1-2是SU
31. Asterisk Logger V1.02 汉化版
Asterisk Logger 能自动显示隐藏在星号后面的密码(标
32. Atomic Asterisk Cracker 1.20 汉化版
小巧的星号密码查看器。仅支持2K以上系统。(记得9X下GetPWD是更好使的^_^)必须安装
33. 星号密码还原器 V1.9
一种密码恢复软件,它可以帮助你阅读任何隐藏于*号的密码。使用上相当简单,不需?
download.21cn.com/list.php?id=29289
34. SecureIt Pro V4.70.0117
SecureIt Pro 是一个五星级的桌面密码锁,每当你要离开
35. Dialupass 2.43
Dialupass是一款拯救忘记了拨号 *** 密码的使用者的救星,它能够显示出计算机中记录的
36. NGN 星号密码查看器 V2.0
比较好用的察看星号密码工具,可以察看系统中的星号密
37. 系统DIY 小鬼头 V2.1
汇编写的DIY小工具集:密码的取得或删除功能:*星号密码、IE*星号密码、IE分级密码?
download.21cn.com/list.php?id=38736
38. 密码还原
将文本框中的星星还原出来。
download.21cn.com/list.php?id=29196
39. 幸运星餐饮酒吧管理系统 9.0
初始用户名密码都为1适合餐厅、酒吧、酒楼、歌舞厅、夜总会、 *** 、咖啡厅、快餐店、
40. 光纤卫星电视SUNTV V1.2.1
卫星信号加解扰系统,用户无须硬件解码器,只需解扰卡号和密码即可观看:3大
download.21cn.com/list.php?id=50915
;word=星+密码site=allby=jsnum=139