经典黑客软件
WinNuke
平台:Windows 95(包括OSR2版)
原理:利用Windows 95系统的漏洞,通过TCP/IP协议向远程机器发送一段信息,导致一个OOB错误,使之崩溃。
现象:电脑屏幕上出现一个蓝底白字的提示:“系统出现异常错误”,按ESC键后又回到原来的状态,或者死机。
危害:影响正常工作。
对策:用写字板或其它的编辑软件建立一个文本文件,文件名为OOBFIX.REG,内容如下:
REGEDIT4[HKEY_LOCAL_MACHINESystemCurrentControlSetServicesVxDMSTCP]″BSDUrgent″=″0″
启动资源管理器,双击该文件即可。
NetSpy
平台:Windows 95/Windows 98/Windows NT/Windows 2000
原理:NetSpy是一个基于TCP/IP的简单文件传送软件,实际上你可以将它看作一个没有权限控制的增强型FTP服务器。通过它,黑客可以神不知鬼不觉地下传和上载目标机器上的任意文件,并可以执行一些特殊的操作。
现象:屏幕上奇怪地出现一个标题为“信使服务”的对话框,其内容是黑客在其监控端上指定的;正常执行的程序(游戏、Internet浏览器、NetTerm、AutoCAD、WORD等等)“在无声中”关闭;突然关机了;机器异常执行了一些程序;按Ctrl+Alt+Del键,在出现的任务栏中会清楚地看到NetSpy这个进程。
危害:机器上的数据安全受到威协。系统中的系统进程和用户进程,可被随意的创建(Create)和终止(Kill)。屏幕受到黑客的监视。
对策:到注册表中,删除[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunService或Run]中的NetSpy.EXE的键值。
BO 2000
平台:Windows 95/Windows 98/Windows 2000
原理:BO 2000(Back orifice)是功能最全的TCP/IP构架的黑客工具。它除了具有NetSpy 2.0的全部功能外,还支持修改客户端的电脑的注册表。支持多媒体操作。数据采用加密形式的UDP包,原理与NetSpy v2.0大同小异(实际上NetSpy是BO 2000的一个汉化后的用Visual C++重新编译的简装版)。
现象:一切都是在“无声中”进行。硬盘总是奇怪地在响。
危害:机器完全在别人的控制之下,黑客成了超级用户。连你的所有操作,都可由BO 2000自带的“秘密摄像机”录制成“录像带”。非MSDOS的一切窗口中的键盘的按键也会分门别类地记录下来。
对策:到注册表中,删除[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunService或Run]中的BOGUI.EXE和BOClient键值。
HDFILL
平台:Windows 95/Windows 98/Windows NT/Windows 2000
原理:电脑爱好者总喜欢执行SETUP.EXE或INSTALL.EXE看看是什么软件,HDFILL就是一个“特洛伊木马”,表面上看像个安装程序,实际上在“安装”过程中产生999999999个变长的文件,直到把你的硬盘“灌”满为止。
现象:可爱的安装画面,等你发现时,硬盘中的垃圾太多了。
危害:999999999个文件的清除工作量实在太大,不然只有动用Format来格式化硬盘。
对策:用HackerScan v0.69对来历不明的软件扫描。
KeyboardGhost
平台:Windows 95/Windows 98/Windows NT/Windows 2000
原理:Windows系统是一个以消息循环(Message Loop)为基础的操作系统。系统的核心区保留了一定的字节作为键盘输入的缓冲区,其数据结构形式是队列。键盘幽灵正是通过直接访问这一队列,使键盘上输入的Password(显示在屏幕上的是星号)得以记录。
现象:在系统根目录下生成一文件名为KG.DAT的隐含文件。
危害:你的电子邮箱、代理的账号、密码会被记录下来。总之,一切涉及以星号形式显示出来的密码窗口的所有符号都会被记录下来。
对策:在注册表中将[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunService]→KG.EXE这一键值删除,并将文件KG.EXE从WindowsSystem目录下删除。还有C:KG.DAT文件也要删除。
ViewPwd
平台:Windows 3.x/Windows 95/Windows 98/Windows NT/Windows 2000
原理:通过访问窗口中的私有数据获取信息,使屏幕上加密的星号密码现出“庐山真面目”。
现象:无。
危害:泄露个人信息,可能会蒙受经济损失。
对策:及时清除Foxmail、JetCar之类的软件中的星号。
天行刺客
平台:Windows 95/Windows 98
原理:通过从路由器中窃取未加密的信息,对指定的机器进行监控。水平极高。
现象:无
危害:你的E-mail中的UserID和Password会被黑客窃取,你的FTP、BBS登录的用户名和密码同样也会被窃取。
对策:尽量少用MS DOS下的FTP命令和Windows下的Telnet命令,使用Foxmail和JetCar、Dlexpert、NetAnt时小心你的Proxy Password被截取。尽量采用IE或Netscape这样的浏览器上站,因为它们将你的重要数据进行了加密。
ProxyThief
平台:Windows 95/Windows 98/Windows NT
原理:通过将你的计算机设置成代理服务器,让你缴纳网费,用你的IP连入Internet干坏事,结果你成了“替罪羊”。前提是,黑客必须直接在你的机器上执行ProxyThief,或通过NetSpy或BO 2000远程执行它。ProxyThief的安装是在后台进行的,你觉察不到。
现象:偶尔机器上网速度变慢。空机不执行任何程序,硬盘也会无故狂转;用NetInspect v1.0(网络监视)对机器从0到9999端口进行扫描,会找出Free Proxy!端口,一般经验不足的黑客不会修改其缺省值8080。如果你的机器不是网关或代理,那你的端口已经被黑客盗用。
危害:蒙受经济损失,隐藏了黑客。
对策:启动REGEDIT.EXE,查找关键字“ProxyThief”,将所有与之相关的键和键值删除。
ExeBind
平台:Windows 3.x/Windows 95/Windows 98/Windows NT/Windows 2000
原理:该小程序将指定的黑客程序捆绑到任何一个广为传播的热门软件上,使宿主程序执行时,寄生程序(黑客程序)也在后台被执行。而且支持多重捆绑。实际上是通过多次分割文件,多次从父进程中调用子进程来实现的。
现象:几乎无。
危害:NetSpy、HDFILL、BO 2000常通过这种形式在Internet上寄生传播。
对策:用HackerScan v0.69进行扫描,查出被捆程序,并删除。
PortHunter
平台:Windows 95/Windows 98
原理:该软件占用大量的Socks进行端口搜索,降低局域网传输的效率,危害网络安全。利用系统管理人员的疏忽,盗用SMTP端口发E-mail(:119)、盗用没有密码的代理端口(:8080)、盗用内部使用的FTP端口(:25)。
现象:局域网变慢,浏览器上不了网,BBS掉线。
危害:自己机器的端口被黑客盗用,甚至在一些个人主页上的“免费代理”栏目中出现。这会使一大帮“网虫”一起来用你的端口上Internet、发匿名E-mail、在FTP上“灌水”、使用“邮箱炸弹”、打网上传呼。到那时,你不仅上不了网,连游戏都玩不了。
对策:对于Novell网为框架的局域网,我们可以限制指定程序的运行,如:ProxyHunter、Xhunter、SocksHunter、PortScanner、PortHunter。对于其它框架的局域网的用户,也可以在服务器中设定禁止一些黑客程序的运行。但这只是骗骗小孩的把戏,因为只要将ProxyHunter.EXE更名为123abc.EXE就又可以照“黑”不误了。
基本派系
远程控制系
它脱胎于四千多年前特洛伊城中的那个大木马,就是现在特别活跃的那些木马后门程序。包括两个部分:1.被控端,又称服务端,将其植入要控制的PC内,用于记录用户的相关信息(特别是密码、账号之类的特别信息),相当于给人安了个后门;2.控制端,又称客户端(千万别和前者搞混了!),是黑客用于操纵的一端,用来发布黑客的控制命令,例如屏幕截图、记录用户的键盘操作、传传文件甚至是格式化你的硬盘。
远程控制系的功夫都十分厉害,一旦你中招就没了秘密,你的一切对幕后的那些(可能有很多个)黑客来说都是完全透明的,他能任意操纵你PC上的文件、重启、关机……一句话,此时你的PC就是他的。比较有名的有灰鸽子、冰河、广外女生、BO及木马BEAST等等,它们是黑兵器中种类最齐全、数目最多、破坏性最大的一派。
漏洞扫描系
此派系主要是对付操作系统,不用说,Windows自然咸了众矢之的。这些年来,微软不断地缝补Windows,就是因为有太多的漏洞被人扫描出来,像Unicode漏洞、CGI漏洞、WebDAV溢出漏洞、idq-ida溢出漏洞等。其中最常见的就是端口扫描,它能根据操作系统开放了各个端口的反馈信息来进行探测,从而为下一步攻击找出最佳点。像X-Scan、流光、代理猎手、溯雪、Super-Scan、追捕之流就是该派系中的佼佼者,可以说该派系是黑客作案的踩点器。
信息炸弹系
最初只是用来轰炸邮箱,就是把大量的垃圾邮件不断塞入同一信箱内,直至最终撑爆它。后来又发展到QQ炸弹(把你从QQ踢下来)、蓝屏攻击(使你的PC出现蓝屏而不得不重启)等,还有的是恶攻服务器,使服务器不堪重负并导致线路拥塞直至崩溃。此为黑客报复、泄愤的惯用招式(如几年前的中美黑客大战就属这种类型),属于一种“面对面”的攻击。此派系的代表是kaboom!、QQ千夫指、ICQ Revenge、WinNuke V95等。
暴力破解系
此派系又称Cracker一族,是专门对付各种商业软件或共享软件的。因为除免费软件外,几乎所有软件都要求用户输入注册信息(如用户名、机器码或者注册码),当然这些都得用钱来买,否则就要受功能或者日期的限制。黑客们只须套上个字典文件,把其中的用户名和密码逐一取出试用,直到遇上那个正确的为止。只要他们把字典文件设置得当,破解这类软件只是个时间问题,此法法是穷举破解,又称为暴力破解。还有的是直接记录调进内存的注册码明文或者密文信息,经过提取、对比、分析(这里面要用到一些比较复杂的汇编语言方面知识),最后算出可用的注册码。不管用哪种方式,黑客最后都会给成功破解的软件加上一个所谓的注册机或者“打狗棒”程序,以达到与合法用户相同的权限。像网络刺客2、Language2000及winhex等均属此类。此外,还有一种专门探查星号式密码的工具,一般用来破解共享的密码或者屏保密码、QQ密码等。因为密码多用星号掩盖,而它们就能把这些星号还原成明文显示,如星星密语、SnadBoy's Revelation和PQwak等。
精典黑客工具
webadv 针对iis+sp3的溢出成功率很高(溢出后system权限!) *
ipscan 大范围网段快速ipc$猜解
svc 远程安装/删除win2k服务
3389.vbs 远程安装win2k终端服务不需i386
arpsniffer arp环境sniffer(需要winpcap2.1以上) *
ascii 查询字符和数字ascii码(常用来对URL编码用以躲避ids或脚本过滤)
ca 远程克隆账号
cca 检查是否有克隆账号
cgi-backdoor 几个cgi木马(十多种利用最新漏洞的web脚本后门,涵盖jsp,php,asp,cgi等等) *
crackvnc 远程/本地破解WinVNC密码(本地破用-W参数)
pass.dic 密码字典
debploit win2k+sp2配置最佳权限提升工具
fpipe 端口重定向工具
fscan superscan命令行版本(可定义扫描时的源端口并支持udp端口扫描) *
hgod04 DDOS攻击器
idahack ida溢出
idq.dll 利用isapi漏洞提升权限(对sp0+sp1+sp2都非常有效,也是很棒的web后门)
IIS idq溢出
inst.zip 指定程序安装为win2k服务 *
ip_mail.rar 发送主机动态IP的软件 *
ipc.vbs 不依赖ipc$给远程主机开telnet
ispc.exe idq.dll连接客户端
Keyghost.zip 正版键盘记录器
log.vbs 日志清除器(远程清除不依赖ipc$)
md5.pl 论坛md5加密密码破解器
msadc.pl winnt的msadc漏洞溢出器 *
MsSqlHack mssql溢出程序1
mysql-client mysql客户端
Name.dic 最常用的中国人用户名(看看你常用的用户名在不在里面)
PassSniffer 大小仅3kb的非交换机sniffer软件 *
p***ec 通过ipc管道直接登录主机
pskill 杀进程高手:)
pslist 列进程高手:)
rar 命令行下的中文版winrar(功能相当全面) *
reboot.vbs 远程重启主机的脚本
sdemo.zip 巨好的屏幕拍摄的录像软件
shed 远程查找win9x的共享资源
sid 用sid列用户名
SkServerGUI snake多重代理软件
SkSockServer snake代理程序
SMBCrack 超快的ipc破解软件(适合破一台机)
socks 利用这工具安装木马,即使网关重新低格硬盘木马也在嘿嘿 *
SocksCap 把SOCKS5代理转化为万能代理
SPC.zip 可以直接显示出远程win98共享资源密码的东东 *
WMIhack 基于WMI服务进行账号密码的东东(不需要ipc)
skmontor snake的注册表监视器(特酷的)
sql1.exe mssql溢出程序2
sql2.exe mssql溢出程序3
SqlExec mssql客户端
SuperScan GUI界面的优秀扫描器
syn SYN攻击第一高手
upx120 特好的压缩软件,常用来压缩木马躲避杀毒软件
wget 命令行下的http下载软件
Win2kPass2 win2k的密码大盗
Winnuke 攻击rpc服务的软件(win2ksp0/1/2/3+winnt+winxp系统不稳定)
smbnuke 攻击netbios的软件(win2ksp0/1/2/3+winnt+winxp系统死机)
WinPcap_2_3 nmap,arpsniffer等等都要用这个
WinPcap_2_3_nogui.exe 无安装界面自动安装的WinPcap_2_3(命令行版) *
scanbaby2.0 能对80%的mail服务利用漏洞列账号密码破解(超酷哦,去看rfc里有mail弱点说明) *
SuperDic_V31 非常全面的黑客字典生成器
Getadmin win2k+sp3配置的权限提升程序(不错!!!) *
whoami 了理自己的权限
FsSniffer 巨好的非交换机sniffer工具
twwwscan 命令行下巨好的cgi扫描器
TFTPD32 给远方开tftp服务的主机传文件(当然要有个shell)
RangeScan 自定义cgi漏洞的GUI扫描器
pwdump2 本地抓winnt/2k密码散列值(不可缺)
pwdump3 远程抓winnt/2k密码散列值(不可缺)
procexpnt 查看系统进程与端口关联(GUI界面) *
nc 已经不是简单的telnet客户端了
CMD.txt 有什么cmd命令不懂就查查它 *
fport 命令行下查看系统进程与端口关联(没有GUI界面的procexpnt强)
BrutusA2 全功能的密码破解软件,支持telnet,ftp,http等服务的口令破解
cmd.reg 文件名自动补全的reg文件(命令行:按TAB键自动把sys补全为system,再按一次就变为system32)
regshell 命令行下的注册表编辑器
nscopy 备份员工具(当你是Backup Operators组的用户时有时你的权限会比admin还大)
session.rar 有了win/nt2000目标主机的密码散列值,就可以直接发送散列值给主机而登录主机 *
klogger.exe 一个几kb的击键记录工具,运行后会在当前目录生成KLOGGER.TXT文件 *
SMB2 发动smb的中间人MITM攻击的工具,在session中插入自己的执行命令 *
xptsc.rar winxp的远程终端客户端(支持win2000/xp)
SQLhack.zip 相当快的mssql密码暴力破解器
mssql 相当快的mssql密码暴力破解器
ntcrack.zip 利用获取到的MD4 passwd hash破解帐号密码
SQLSniffer.rar MSsql的密码明文嗅探器
TelnetHack.rar 在拥有管理员权限的条件下,远程打开WIN2000机器的Telnet服务
RFPortXP.exe XP下关联端口与进程的程序
SQLTools.rar mssql工具包
ServiceApp.exe 远程安装/删除服务
hgod 具有SYN/DRDoS/UDP/ICMP/IGMP拒绝服务测试功能的选项
hscan 小型综合扫描器(支持cisco,mysql,mssql,cgi,rpc,ipc(sid),ftp,ssh,smtp等等相当全面)
HDoor.rar ping后门(icmp后门)
SIDUserEnum.exe 利用sid得到用户列表(小榕的那个sid有时不能完全列举出来) *
RPC_LE.exe 利用rpc溢出使win2k重启(对sp3+sp4hotfix有效) *
r3389.exe 查询TERMINAL SERVER更改后的端口(1秒内) *
smbsniffer.exe 获取访问本地主机网页的主机散列值(支持截获内网主机散列) *
NetEnum.exe 通过3389端口+空连接获取对方主机大量信息 *
aspcode.exe 经测试最有效的asp溢出程序第二版(对sp2有效)
SSLProxy 针对使用ssl加密协议的代理(扫描器通过它就可以扫描ssl主机了!!!!) *
lsa2 在lsa注册表键里获取winnt/2k的明文密码包括sqlserver的(打了补丁就没用了) *
psu.exe 用指定进程的权限打开指定的程序
ldap.msi ldap 轻量级目录服务客户端,通过389端口获取主机大量信息如账号列表 *
rootkit 从系统底层完美隐藏指定进程,服务,注册表鍵并可以端口绑定的内核级win2k后门
兵器谱排名
纵横于黑客江湖,没几件称心兵器怎能立足?
No.1懂得用刀杀人并不困难,要懂得如何用刀救人,却是件困难的事。
兵器名称:X-Scan
杀伤指数:★★★★☆
独门绝技:采用了多线程方式对指定IP地址段进行安全漏洞检测,支持插件功能,提供了图形界面和命令行两种操作方式。扫描内容包括:远程服务类型、操作系统类型及版本,各种弱口令漏洞、后门、应用服务漏洞、网络设备漏洞、拒绝服务漏洞等二十几个大类,支持在线升级,是国内最优秀的安全扫描软件之一。通常为黑客攻击前寻找肉鸡,检测漏洞之用。
No.2一个人一生中一定要勉强自己做几件不愿做的事,这样的生命才有意义。
兵器名称:流光
杀伤指数:★★★★☆
独门绝技:可以探测POP3、FTP、HTTP、PROXY、FORM、SQL、SMTP、IPC$上的各种漏洞,并针对各种漏洞设计了不同的破解方案,能够在有漏洞的系统上轻易得到被探测的用户密码,进而掌控guest和管理员权限。不论是新手还是资深黑客都对它青睐有加。每天有大量受害者欲哭无泪。
No.3世上若还有比遇见一个泼妇更头痛的事,那就是遇见了一群泼妇。
兵器名称:DDoS系列
杀伤指数:★★★★★
独门绝技:分布式拒绝服务攻击,比较难以防范的攻击手段。攻击者借助一定数量的傀儡机,提出过量合理的服务请求来占用攻击对象系统和网络资源,造成目标瘫痪和崩溃。
黑客的神兵利器数不胜数,好把式的黑客还可以随手打造专用工具。心有多大,舞台就有多大。难道这些就算是黑客最厉害的武器吗?当然不是,黑客最厉害的武器,是他们的微笑。
软件用途分类
一、防范:
这是从安全的角度出发涉及的一类软件,例如防火墙、查病毒软件、系统进程监视器、端口管理程序等都属于此类软件。这类软件可以在最大程度上保证电脑使用者的安全和个人隐私,不被黑客破坏。网络服务器对于此类软件的需要也是十分重视的,如日志分析软件、系统入侵软件等可以帮助管理员维护服务器并对入侵系统的黑客进行追踪。
二、信息搜集:
信息搜集软件种类比较多,包括端口扫描、漏洞扫描、弱口令扫描等扫描类软件;还有监听、截获信息包等间谍类软件,其大多数属于亦正亦邪的软件,也就是说无论正派黑客、邪派黑客、系统管理员还是一般的电脑使用者,都可以使用者类软件完成各自不同的目的。在大多数情况下,黑客使用者类软件的频率更高,因为他们需要依靠此类软件对服务器进行全方位的扫描,获得尽可能多的关于服务器的信息,在对服务器有了充分的了解之后,才能进行黑客动作。
三、木马与蠕虫:
这是两种类型的软件,不过他们的工作原理大致相同,都具有病毒的隐藏性和破坏性,另外此类软件还可以由拥有控制权的人进行操作,或由事先精心设计的程序完成一定的工作。当然这类软件也可以被系统管理员利用,当作远程管理服务器的工具。
四、洪水:
所谓“洪水”即信息垃圾炸弹,通过大量的垃圾请求可以导致目标服务器负载超负荷而崩溃,近年来网络上又开始流行DOS分散式攻击,简单地说也可以将其归入此类软件中。洪水软件还可以用作邮件炸弹或者聊天式炸弹,这些都是经过简化并由网络安全爱好者程序化的“傻瓜式”软件,也就是本书一开始指责的“伪黑客”手中经常使用的软件。
五、密码破解:
网络安全得以保证的最实用方法是依靠各种加密算法的密码系统,黑客也许可以很容易获得一份暗文密码文件,但是如果没有加密算法,它仍然无法获得真正的密码,因此使用密码破解类软件势在必行,利用电脑的高速计算能力,此类软件可以用密码字典或者穷举等方式还原经过加密的暗文。
六、欺骗:
如果希望获得上面提到的明文密码,黑客需要对暗文进行加密算法还原,但如果是一个复杂的密码,破解起来就不是那么简单了。但如果让知道密码的人直接告诉黑客密码的原型,是不是更加方便?欺骗类软件就是为了完成这个目的而设计的。
七、伪装:
网络上进行的各种操作都会被ISP、服务器记录下来,如果没有经过很好的伪装就进行黑客动作,很容易就会被反跟踪技术追查到黑客的所在,所以伪装自己的IP地址、身份是黑客非常重要的一节必修课,但是伪装技术需要高深的网络知识,一开始没有坚实的基础就要用到这一类软件了。
