經典黑客軟件
WinNuke
平台:Windows 95(包括OSR2版)
原理:利用Windows 95系統的漏洞,通過TCP/IP協議向遠程機器發送一段信息,導緻一個OOB錯誤,使之崩潰。
現象:電腦屏幕上出現一個藍底白字的提示:“系統出現異常錯誤”,按ESC鍵後又回到原來的狀态,或者死機。
危害:影響正常工作。
對策:用寫字闆或其它的編輯軟件建立一個文本文件,文件名為OOBFIX.REG,内容如下:
REGEDIT4[HKEY_LOCAL_MACHINESystemCurrentControlSetServicesVxDMSTCP]″BSDUrgent″=″0″
啟動資源管理器,雙擊該文件即可。
NetSpy
平台:Windows 95/Windows 98/Windows NT/Windows 2000
原理:NetSpy是一個基于TCP/IP的簡單文件傳送軟件,實際上你可以将它看作一個沒有權限控制的增強型FTP服務器。通過它,黑客可以神不知鬼不覺地下傳和上載目标機器上的任意文件,并可以執行一些特殊的操作。
現象:屏幕上奇怪地出現一個标題為“信使服務”的對話框,其内容是黑客在其監控端上指定的;正常執行的程序(遊戲、Internet浏覽器、NetTerm、AutoCAD、WORD等等)“在無聲中”關閉;突然關機了;機器異常執行了一些程序;按Ctrl+Alt+Del鍵,在出現的任務欄中會清楚地看到NetSpy這個進程。
危害:機器上的數據安全受到威協。系統中的系統進程和用戶進程,可被随意的創建(Create)和終止(Kill)。屏幕受到黑客的監視。
對策:到注冊表中,删除[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunService或Run]中的NetSpy.EXE的鍵值。
BO 2000
平台:Windows 95/Windows 98/Windows 2000
原理:BO 2000(Back orifice)是功能最全的TCP/IP構架的黑客工具。它除了具有NetSpy 2.0的全部功能外,還支持修改客戶端的電腦的注冊表。支持多媒體操作。數據采用加密形式的UDP包,原理與NetSpy v2.0大同小異(實際上NetSpy是BO 2000的一個漢化後的用Visual C++重新編譯的簡裝版)。
現象:一切都是在“無聲中”進行。硬盤總是奇怪地在響。
危害:機器完全在别人的控制之下,黑客成了超級用戶。連你的所有操作,都可由BO 2000自帶的“秘密攝像機”錄制成“錄像帶”。非MSDOS的一切窗口中的鍵盤的按鍵也會分門别類地記錄下來。
對策:到注冊表中,删除[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunService或Run]中的BOGUI.EXE和BOClient鍵值。
HDFILL
平台:Windows 95/Windows 98/Windows NT/Windows 2000
原理:電腦愛好者總喜歡執行SETUP.EXE或INSTALL.EXE看看是什麼軟件,HDFILL就是一個“特洛伊木馬”,表面上看像個安裝程序,實際上在“安裝”過程中産生999999999個變長的文件,直到把你的硬盤“灌”滿為止。
現象:可愛的安裝畫面,等你發現時,硬盤中的垃圾太多了。
危害:999999999個文件的清除工作量實在太大,不然隻有動用Format來格式化硬盤。
對策:用HackerScan v0.69對來曆不明的軟件掃描。
KeyboardGhost
平台:Windows 95/Windows 98/Windows NT/Windows 2000
原理:Windows系統是一個以消息循環(Message Loop)為基礎的操作系統。系統的核心區保留了一定的字節作為鍵盤輸入的緩沖區,其數據結構形式是隊列。鍵盤幽靈正是通過直接訪問這一隊列,使鍵盤上輸入的Password(顯示在屏幕上的是星号)得以記錄。
現象:在系統根目錄下生成一文件名為KG.DAT的隐含文件。
危害:你的電子郵箱、代理的賬号、密碼會被記錄下來。總之,一切涉及以星号形式顯示出來的密碼窗口的所有符号都會被記錄下來。
對策:在注冊表中将[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunService]→KG.EXE這一鍵值删除,并将文件KG.EXE從WindowsSystem目錄下删除。還有C:KG.DAT文件也要删除。
ViewPwd
平台:Windows 3.x/Windows 95/Windows 98/Windows NT/Windows 2000
原理:通過訪問窗口中的私有數據獲取信息,使屏幕上加密的星号密碼現出“廬山真面目”。
現象:無。
危害:洩露個人信息,可能會蒙受經濟損失。
對策:及時清除Foxmail、JetCar之類的軟件中的星号。
天行刺客
平台:Windows 95/Windows 98
原理:通過從路由器中竊取未加密的信息,對指定的機器進行監控。水平極高。
現象:無
危害:你的E-mail中的UserID和Password會被黑客竊取,你的FTP、BBS登錄的用戶名和密碼同樣也會被竊取。
對策:盡量少用MS DOS下的FTP命令和Windows下的Telnet命令,使用Foxmail和JetCar、Dlexpert、NetAnt時小心你的Proxy Password被截取。盡量采用IE或Netscape這樣的浏覽器上站,因為它們将你的重要數據進行了加密。
ProxyThief
平台:Windows 95/Windows 98/Windows NT
原理:通過将你的計算機設置成代理服務器,讓你繳納網費,用你的IP連入Internet幹壞事,結果你成了“替罪羊”。前提是,黑客必須直接在你的機器上執行ProxyThief,或通過NetSpy或BO 2000遠程執行它。ProxyThief的安裝是在後台進行的,你覺察不到。
現象:偶爾機器上網速度變慢。空機不執行任何程序,硬盤也會無故狂轉;用NetInspect v1.0(網絡監視)對機器從0到9999端口進行掃描,會找出Free Proxy!端口,一般經驗不足的黑客不會修改其缺省值8080。如果你的機器不是網關或代理,那你的端口已經被黑客盜用。
危害:蒙受經濟損失,隐藏了黑客。
對策:啟動REGEDIT.EXE,查找關鍵字“ProxyThief”,将所有與之相關的鍵和鍵值删除。
ExeBind
平台:Windows 3.x/Windows 95/Windows 98/Windows NT/Windows 2000
原理:該小程序将指定的黑客程序捆綁到任何一個廣為傳播的熱門軟件上,使宿主程序執行時,寄生程序(黑客程序)也在後台被執行。而且支持多重捆綁。實際上是通過多次分割文件,多次從父進程中調用子進程來實現的。
現象:幾乎無。
危害:NetSpy、HDFILL、BO 2000常通過這種形式在Internet上寄生傳播。
對策:用HackerScan v0.69進行掃描,查出被捆程序,并删除。
PortHunter
平台:Windows 95/Windows 98
原理:該軟件占用大量的Socks進行端口搜索,降低局域網傳輸的效率,危害網絡安全。利用系統管理人員的疏忽,盜用SMTP端口發E-mail(:119)、盜用沒有密碼的代理端口(:8080)、盜用内部使用的FTP端口(:25)。
現象:局域網變慢,浏覽器上不了網,BBS掉線。
危害:自己機器的端口被黑客盜用,甚至在一些個人主頁上的“免費代理”欄目中出現。這會使一大幫“網蟲”一起來用你的端口上Internet、發匿名E-mail、在FTP上“灌水”、使用“郵箱炸彈”、打網上傳呼。到那時,你不僅上不了網,連遊戲都玩不了。
對策:對于Novell網為框架的局域網,我們可以限制指定程序的運行,如:ProxyHunter、Xhunter、SocksHunter、PortScanner、PortHunter。對于其它框架的局域網的用戶,也可以在服務器中設定禁止一些黑客程序的運行。但這隻是騙騙小孩的把戲,因為隻要将ProxyHunter.EXE更名為123abc.EXE就又可以照“黑”不誤了。
基本派系
遠程控制系
它脫胎于四千多年前特洛伊城中的那個大木馬,就是現在特别活躍的那些木馬後門程序。包括兩個部分:1.被控端,又稱服務端,将其植入要控制的PC内,用于記錄用戶的相關信息(特别是密碼、賬号之類的特别信息),相當于給人安了個後門;2.控制端,又稱客戶端(千萬别和前者搞混了!),是黑客用于操縱的一端,用來發布黑客的控制命令,例如屏幕截圖、記錄用戶的鍵盤操作、傳傳文件甚至是格式化你的硬盤。
遠程控制系的功夫都十分厲害,一旦你中招就沒了秘密,你的一切對幕後的那些(可能有很多個)黑客來說都是完全透明的,他能任意操縱你PC上的文件、重啟、關機……一句話,此時你的PC就是他的。比較有名的有灰鴿子、冰河、廣外女生、BO及木馬BEAST等等,它們是黑兵器中種類最齊全、數目最多、破壞性最大的一派。
漏洞掃描系
此派系主要是對付操作系統,不用說,Windows自然鹹了衆矢之的。這些年來,微軟不斷地縫補Windows,就是因為有太多的漏洞被人掃描出來,像Unicode漏洞、CGI漏洞、WebDAV溢出漏洞、idq-ida溢出漏洞等。其中最常見的就是端口掃描,它能根據操作系統開放了各個端口的反饋信息來進行探測,從而為下一步攻擊找出最佳點。像X-Scan、流光、代理獵手、溯雪、Super-Scan、追捕之流就是該派系中的佼佼者,可以說該派系是黑客作案的踩點器。
信息炸彈系
最初隻是用來轟炸郵箱,就是把大量的垃圾郵件不斷塞入同一信箱内,直至最終撐爆它。後來又發展到QQ炸彈(把你從QQ踢下來)、藍屏攻擊(使你的PC出現藍屏而不得不重啟)等,還有的是惡攻服務器,使服務器不堪重負并導緻線路擁塞直至崩潰。此為黑客報複、洩憤的慣用招式(如幾年前的中美黑客大戰就屬這種類型),屬于一種“面對面”的攻擊。此派系的代表是kaboom!、QQ千夫指、ICQ Revenge、WinNuke V95等。
暴力破解系
此派系又稱Cracker一族,是專門對付各種商業軟件或共享軟件的。因為除免費軟件外,幾乎所有軟件都要求用戶輸入注冊信息(如用戶名、機器碼或者注冊碼),當然這些都得用錢來買,否則就要受功能或者日期的限制。黑客們隻須套上個字典文件,把其中的用戶名和密碼逐一取出試用,直到遇上那個正确的為止。隻要他們把字典文件設置得當,破解這類軟件隻是個時間問題,此法法是窮舉破解,又稱為暴力破解。還有的是直接記錄調進内存的注冊碼明文或者密文信息,經過提取、對比、分析(這裡面要用到一些比較複雜的彙編語言方面知識),最後算出可用的注冊碼。不管用哪種方式,黑客最後都會給成功破解的軟件加上一個所謂的注冊機或者“打狗棒”程序,以達到與合法用戶相同的權限。像網絡刺客2、Language2000及winhex等均屬此類。此外,還有一種專門探查星号式密碼的工具,一般用來破解共享的密碼或者屏保密碼、QQ密碼等。因為密碼多用星号掩蓋,而它們就能把這些星号還原成明文顯示,如星星密語、SnadBoy's Revelation和PQwak等。
精典黑客工具
webadv 針對iis+sp3的溢出成功率很高(溢出後system權限!) *
ipscan 大範圍網段快速ipc$猜解
svc 遠程安裝/删除win2k服務
3389.vbs 遠程安裝win2k終端服務不需i386
arpsniffer arp環境sniffer(需要winpcap2.1以上) *
ascii 查詢字符和數字ascii碼(常用來對URL編碼用以躲避ids或腳本過濾)
ca 遠程克隆賬号
cca 檢查是否有克隆賬号
cgi-backdoor 幾個cgi木馬(十多種利用最新漏洞的web腳本後門,涵蓋jsp,php,asp,cgi等等) *
crackvnc 遠程/本地破解WinVNC密碼(本地破用-W參數)
pass.dic 密碼字典
debploit win2k+sp2配置最佳權限提升工具
fpipe 端口重定向工具
fscan superscan命令行版本(可定義掃描時的源端口并支持udp端口掃描) *
hgod04 DDOS攻擊器
idahack ida溢出
idq.dll 利用isapi漏洞提升權限(對sp0+sp1+sp2都非常有效,也是很棒的web後門)
IIS idq溢出
inst.zip 指定程序安裝為win2k服務 *
ip_mail.rar 發送主機動态IP的軟件 *
ipc.vbs 不依賴ipc$給遠程主機開telnet
ispc.exe idq.dll連接客戶端
Keyghost.zip 正版鍵盤記錄器
log.vbs 日志清除器(遠程清除不依賴ipc$)
md5.pl 論壇md5加密密碼破解器
msadc.pl winnt的msadc漏洞溢出器 *
MsSqlHack mssql溢出程序1
mysql-client mysql客戶端
Name.dic 最常用的中國人用戶名(看看你常用的用戶名在不在裡面)
PassSniffer 大小僅3kb的非交換機sniffer軟件 *
p***ec 通過ipc管道直接登錄主機
pskill 殺進程高手:)
pslist 列進程高手:)
rar 命令行下的中文版winrar(功能相當全面) *
reboot.vbs 遠程重啟主機的腳本
sdemo.zip 巨好的屏幕拍攝的錄像軟件
shed 遠程查找win9x的共享資源
sid 用sid列用戶名
SkServerGUI snake多重代理軟件
SkSockServer snake代理程序
SMBCrack 超快的ipc破解軟件(适合破一台機)
socks 利用這工具安裝木馬,即使網關重新低格硬盤木馬也在嘿嘿 *
SocksCap 把SOCKS5代理轉化為萬能代理
SPC.zip 可以直接顯示出遠程win98共享資源密碼的東東 *
WMIhack 基于WMI服務進行賬号密碼的東東(不需要ipc)
skmontor snake的注冊表監視器(特酷的)
sql1.exe mssql溢出程序2
sql2.exe mssql溢出程序3
SqlExec mssql客戶端
SuperScan GUI界面的優秀掃描器
syn SYN攻擊第一高手
upx120 特好的壓縮軟件,常用來壓縮木馬躲避殺毒軟件
wget 命令行下的http下載軟件
Win2kPass2 win2k的密碼大盜
Winnuke 攻擊rpc服務的軟件(win2ksp0/1/2/3+winnt+winxp系統不穩定)
smbnuke 攻擊netbios的軟件(win2ksp0/1/2/3+winnt+winxp系統死機)
WinPcap_2_3 nmap,arpsniffer等等都要用這個
WinPcap_2_3_nogui.exe 無安裝界面自動安裝的WinPcap_2_3(命令行版) *
scanbaby2.0 能對80%的mail服務利用漏洞列賬号密碼破解(超酷哦,去看rfc裡有mail弱點說明) *
SuperDic_V31 非常全面的黑客字典生成器
Getadmin win2k+sp3配置的權限提升程序(不錯!!!) *
whoami 了理自己的權限
FsSniffer 巨好的非交換機sniffer工具
twwwscan 命令行下巨好的cgi掃描器
TFTPD32 給遠方開tftp服務的主機傳文件(當然要有個shell)
RangeScan 自定義cgi漏洞的GUI掃描器
pwdump2 本地抓winnt/2k密碼散列值(不可缺)
pwdump3 遠程抓winnt/2k密碼散列值(不可缺)
procexpnt 查看系統進程與端口關聯(GUI界面) *
nc 已經不是簡單的telnet客戶端了
CMD.txt 有什麼cmd命令不懂就查查它 *
fport 命令行下查看系統進程與端口關聯(沒有GUI界面的procexpnt強)
BrutusA2 全功能的密碼破解軟件,支持telnet,ftp,http等服務的口令破解
cmd.reg 文件名自動補全的reg文件(命令行:按TAB鍵自動把sys補全為system,再按一次就變為system32)
regshell 命令行下的注冊表編輯器
nscopy 備份員工具(當你是Backup Operators組的用戶時有時你的權限會比admin還大)
session.rar 有了win/nt2000目标主機的密碼散列值,就可以直接發送散列值給主機而登錄主機 *
klogger.exe 一個幾kb的擊鍵記錄工具,運行後會在當前目錄生成KLOGGER.TXT文件 *
SMB2 發動smb的中間人MITM攻擊的工具,在session中插入自己的執行命令 *
xptsc.rar winxp的遠程終端客戶端(支持win2000/xp)
SQLhack.zip 相當快的mssql密碼暴力破解器
mssql 相當快的mssql密碼暴力破解器
ntcrack.zip 利用獲取到的MD4 passwd hash破解帳号密碼
SQLSniffer.rar MSsql的密碼明文嗅探器
TelnetHack.rar 在擁有管理員權限的條件下,遠程打開WIN2000機器的Telnet服務
RFPortXP.exe XP下關聯端口與進程的程序
SQLTools.rar mssql工具包
ServiceApp.exe 遠程安裝/删除服務
hgod 具有SYN/DRDoS/UDP/ICMP/IGMP拒絕服務測試功能的選項
hscan 小型綜合掃描器(支持cisco,mysql,mssql,cgi,rpc,ipc(sid),ftp,ssh,smtp等等相當全面)
HDoor.rar ping後門(icmp後門)
SIDUserEnum.exe 利用sid得到用戶列表(小榕的那個sid有時不能完全列舉出來) *
RPC_LE.exe 利用rpc溢出使win2k重啟(對sp3+sp4hotfix有效) *
r3389.exe 查詢TERMINAL SERVER更改後的端口(1秒内) *
smbsniffer.exe 獲取訪問本地主機網頁的主機散列值(支持截獲内網主機散列) *
NetEnum.exe 通過3389端口+空連接獲取對方主機大量信息 *
aspcode.exe 經測試最有效的asp溢出程序第二版(對sp2有效)
SSLProxy 針對使用ssl加密協議的代理(掃描器通過它就可以掃描ssl主機了!!!!) *
lsa2 在lsa注冊表鍵裡獲取winnt/2k的明文密碼包括sqlserver的(打了補丁就沒用了) *
psu.exe 用指定進程的權限打開指定的程序
ldap.msi ldap 輕量級目錄服務客戶端,通過389端口獲取主機大量信息如賬号列表 *
rootkit 從系統底層完美隐藏指定進程,服務,注冊表鍵并可以端口綁定的内核級win2k後門
兵器譜排名
縱橫于黑客江湖,沒幾件稱心兵器怎能立足?
No.1懂得用刀殺人并不困難,要懂得如何用刀救人,卻是件困難的事。
兵器名稱:X-Scan
殺傷指數:★★★★☆
獨門絕技:采用了多線程方式對指定IP地址段進行安全漏洞檢測,支持插件功能,提供了圖形界面和命令行兩種操作方式。掃描内容包括:遠程服務類型、操作系統類型及版本,各種弱口令漏洞、後門、應用服務漏洞、網絡設備漏洞、拒絕服務漏洞等二十幾個大類,支持在線升級,是國内最優秀的安全掃描軟件之一。通常為黑客攻擊前尋找肉雞,檢測漏洞之用。
No.2一個人一生中一定要勉強自己做幾件不願做的事,這樣的生命才有意義。
兵器名稱:流光
殺傷指數:★★★★☆
獨門絕技:可以探測POP3、FTP、HTTP、PROXY、FORM、SQL、SMTP、IPC$上的各種漏洞,并針對各種漏洞設計了不同的破解方案,能夠在有漏洞的系統上輕易得到被探測的用戶密碼,進而掌控guest和管理員權限。不論是新手還是資深黑客都對它青睐有加。每天有大量受害者欲哭無淚。
No.3世上若還有比遇見一個潑婦更頭痛的事,那就是遇見了一群潑婦。
兵器名稱:DDoS系列
殺傷指數:★★★★★
獨門絕技:分布式拒絕服務攻擊,比較難以防範的攻擊手段。攻擊者借助一定數量的傀儡機,提出過量合理的服務請求來占用攻擊對象系統和網絡資源,造成目标癱瘓和崩潰。
黑客的神兵利器數不勝數,好把式的黑客還可以随手打造專用工具。心有多大,舞台就有多大。難道這些就算是黑客最厲害的武器嗎?當然不是,黑客最厲害的武器,是他們的微笑。
軟件用途分類
一、防範:
這是從安全的角度出發涉及的一類軟件,例如防火牆、查病毒軟件、系統進程監視器、端口管理程序等都屬于此類軟件。這類軟件可以在最大程度上保證電腦使用者的安全和個人隐私,不被黑客破壞。網絡服務器對于此類軟件的需要也是十分重視的,如日志分析軟件、系統入侵軟件等可以幫助管理員維護服務器并對入侵系統的黑客進行追蹤。
二、信息搜集:
信息搜集軟件種類比較多,包括端口掃描、漏洞掃描、弱口令掃描等掃描類軟件;還有監聽、截獲信息包等間諜類軟件,其大多數屬于亦正亦邪的軟件,也就是說無論正派黑客、邪派黑客、系統管理員還是一般的電腦使用者,都可以使用者類軟件完成各自不同的目的。在大多數情況下,黑客使用者類軟件的頻率更高,因為他們需要依靠此類軟件對服務器進行全方位的掃描,獲得盡可能多的關于服務器的信息,在對服務器有了充分的了解之後,才能進行黑客動作。
三、木馬與蠕蟲:
這是兩種類型的軟件,不過他們的工作原理大緻相同,都具有病毒的隐藏性和破壞性,另外此類軟件還可以由擁有控制權的人進行操作,或由事先精心設計的程序完成一定的工作。當然這類軟件也可以被系統管理員利用,當作遠程管理服務器的工具。
四、洪水:
所謂“洪水”即信息垃圾炸彈,通過大量的垃圾請求可以導緻目标服務器負載超負荷而崩潰,近年來網絡上又開始流行DOS分散式攻擊,簡單地說也可以将其歸入此類軟件中。洪水軟件還可以用作郵件炸彈或者聊天式炸彈,這些都是經過簡化并由網絡安全愛好者程序化的“傻瓜式”軟件,也就是本書一開始指責的“僞黑客”手中經常使用的軟件。
五、密碼破解:
網絡安全得以保證的最實用方法是依靠各種加密算法的密碼系統,黑客也許可以很容易獲得一份暗文密碼文件,但是如果沒有加密算法,它仍然無法獲得真正的密碼,因此使用密碼破解類軟件勢在必行,利用電腦的高速計算能力,此類軟件可以用密碼字典或者窮舉等方式還原經過加密的暗文。
六、欺騙:
如果希望獲得上面提到的明文密碼,黑客需要對暗文進行加密算法還原,但如果是一個複雜的密碼,破解起來就不是那麼簡單了。但如果讓知道密碼的人直接告訴黑客密碼的原型,是不是更加方便?欺騙類軟件就是為了完成這個目的而設計的。
七、僞裝:
網絡上進行的各種操作都會被ISP、服務器記錄下來,如果沒有經過很好的僞裝就進行黑客動作,很容易就會被反跟蹤技術追查到黑客的所在,所以僞裝自己的IP地址、身份是黑客非常重要的一節必修課,但是僞裝技術需要高深的網絡知識,一開始沒有堅實的基礎就要用到這一類軟件了。
