学习的几个误区和一些很多人不知道的常试
第1个误区
学习hack技术要从ipc$入侵开始。ipc$入侵的利用。
这绝对是让很多人耽误时间的一个地方。
原因:ipc$ 的连接是建立在2000或XP中。它不存在于9X系统。利用范围局限在2000系统之间。
为什么说XP下存在。而利用范围里面没有它呢?
我们要从XP的权利指派来说起
我们打开控制面版。依次找到管理工具-本地安全策略-本地策略-安全策略。在里面找到“网络访问”。
如图1
默认为“仅来宾--本地用户以来宾身份验证”。别叫板说你的系统怎么不默认是这个。因为你的系统是别人的光盘版。纯净XP都是用这个来验证身份的。
这个指派的意思是说。远程用户连接到此计算机,都以guest用户权限来进行审核。换句话说。不论你建立什么权限的ipc$连接。都是guest权限。这也就是大家经常提出的。
“为什么我和另外一台电脑建立了非空连接。但是提示复制X个文件失败”的原因。
只有admin权限才可以进行ipc$复制运行的操作。guest是不行的。如果你希望对某计算机通过建立ipc$进行一次入侵。那么需要在希望入侵的那台计算机里。把这个指派改成。经典--本地用户以自己身份验证。
但是。我相信。你做不到这点。。如果你可以随便改的话。那还ipc$干什么。
我们再来看看ipc$的使用范围。 对XP。这是不可能了吧。那么为什么对2000版本的系统可以通过建立ipc$连接来入侵呢?
这就引导出了第1大误区中的第2个小误区。
xp sp2的防火墙问题。
xp 系统在打过sp2补丁后。会在系统里面安装一个防火墙。而这个防火墙。可以的防止远程用户对本地139 135 445高危端口的访问。所以ipc$对 xp sp2且没有关闭防火墙的电脑来说。是完全行不通的。
但是。2000系统是没有默认防火墙的。所以才可以通过ipc$来进行管道传输。
总结:如果XP sp2系统关闭了默认防火墙。并且在安全设置里面设置了“经典验证”。且没有第3方防火墙的话。同样可以对其进行ipc$连接入侵。
误区3 :找肉鸡
很多初学者对于一些工具可谓是情有独中,啊D网络工具包,windows自动攻击器啊。之类的成了他们手中的必杀。或者整天挂着x-scan扫描器去狂扫他们所谓的肉鸡。
其实这是一个学习绊脚石。
原因:啊D的找肉鸡功能。仅仅是通过大范围的搜索“可以进行135 139 445端口进行访问的计算机”。来实现找肉鸡的目的。而这些机器一定是2000系统或者是xp无防火墙系统。这也就局限了所谓“入侵”的定义。试问一个普通的电脑使用者。会去装个2000系统还不装个杀毒软件?这机会太少点了吧。简直是在浪费时间嘛。
那么windows自动攻击器呢?
它只不过比啊D多了一个sa弱口令扫描。用它的人不见得聪明到哪去。现在给没用过这工具的朋友一个经验。
确实能找到sa弱口令服务器。但是。9成以上的机器把 里面的关键东西xp_cmdshell被删除掉了。也就是说。你辛苦买到房子。却不能住进去。不能运行里面的东西。执行里面的命令。
这样做是不是很愚蠢呢?
误区4:3389与new帐户
很多初学者喜欢通过大范围的扫描开放终端服务的电脑。然后使用new+空口令进行登陆。
这实在是一个可笑的误区。
原因:XP纯净安装光盘在安装完系统后。是不会添加除administrator和安装时自定义的用户的。也就是说new用户在XP系统中是不存在的。
那么这个new是从何而来呢?
目前市场上的D版系统盘种类繁多。其出处也各不相同。但内容无非都是通过对XP纯净安装光盘进行的修改。有的在里面加入了一些常用软件。有的删除关闭了一些服务和组件。而有的光盘。通过特殊制作自动安装功能。自动分区。自动加载驱动文件。自动安装。
这些光盘在执行XP安装的最后一步。添加管理员的时候。为了方便起见。直接添加了一个名字为new的用户。装过系统的朋友都知道。添加管理员时。是没有密码设置的。需要手工回系统里面改。所以也就出现了。这个经典误区。new+空口令进行3389登陆。
误区总结:终端服务不是系统默认开放。而是这些电脑因为种种原因(多数是中了木马)导致开放3389。而连接3389的默认用户只有一个。那就是administrator +空口令。 如果口令不正确。那么就是对方设置了admin的密码。再继续对new进行尝试。因为有new这个用户的机器。不在少数。
误区5:2000与XP的终端服务连接问题。
由于图形化更适合人们的控制。所以很多新手都希望拥有一个终端服务的肉鸡。于是整天挂着扫描器扫包含终端服务弱口令的IP段。辛苦好久。终于找到台XP的。兴奋的打开mstsc.登陆上去。。高兴了还不到5秒中。就被断开了。。。最郁闷的是。。再也连不上了。这就是经典误区之5。XP用户登陆人数问题。
原因:从2000系统开始。windows开始了多用户。多任务的支持。但是真正的多用户同时操作。是在2000server系统开始的。也就是说。2000系统虽然有多用户支持。但是本身不包含切换用户。需要注销一个用户才可以登陆另一个用户控制。 而2000server不同。完全可以通过终端服务。来进行本地与远程对计算机同时登陆操作。
这就确定了2000 专业版的终端服务无法实现。(2000专业版里也没有终端服务的安装)
这也就创造了“求助一个开2000系统3389的软件”这个笑话。
而XP呢?XP虽然支持终端服务。但是有登陆人数为1的限制。也就是说。如果对方已经登陆了一个用户。你的登陆。会导致对方被强行注销当前会话。那么,稍微有点常识的人都知道发生了什么。就算他不知道。也会再次登陆系统。把你给T下来。。注意“如果他再次登陆系统。会提示:已经有用户登陆过系统了。您的登陆会注销当前用户的会话” 这样。你明白你被T掉的原因了么??
误区6:灰鸽子上线。
访问中国所有搞安全论坛。都可以找到这么一个问题:灰鸽子怎么用啊。怎么上线啊。哪个高手给做个教程啊。
这问题多到山清水秀。柳暗花明了。也就导致出。“网吧怎么上线啊。”“什么是内网外网啊”。“谁有FTP空间啊”。“更新成功不上线啊”等等一系列问题。这绝对是新手学习的一大误区。
首先。我们要明白,什么是灰鸽子。它有什么用。
灰鸽子,是程序员“葛军”先生写的一款远程控制软件。
因为它控制能力过于强大,会使得中鸽子的人。爆漏很多资料给控制者。所以被杀毒软件列入了“后门行列”
灰鸽子分正向已经反弹连接2种功能。
正向连接就是对方主动打开某个端口。通过灰鸽子来对该端口进行访问控制。这也就局限了正向连接的范围。需要对方防火墙允许接受该远程对该端口的访问。并且对方和你的连接没有经过路由或者其他方式阻碍。
也就是所说的端口直连。如果对方和你不在同一个局域网下。或者对方的机器不为直接登入互连网(通过交换机。路由或者其他共享方式访问网络的情况都算) 那么正向连接是无法直接实现的。这就需要一个大家经常看到的名词“端口映射”。不过这个话题不再本文章讨论内了。
下面说下大家熟悉的反弹连接误区。俗称:“自动上线”
很多人新手在学习使用灰鸽子的过程中。就因为不明白自动上线的原理。才会提出各种希奇古怪的问题。
自动上线的实现原理为:本地木马程序通过访问固定网络。来获得与宿主机的连接。如果宿主机网络地址不为固定。(俗称动态IP)那么则应该在配置木马的时候。选择可以转向宿主机实际地址的域名或其他网络标记进行配置。
那么我们常用的。黑防破解版的鸽子如何才能实现如下原理呢?
要从配置说起。我们看灰鸽子服务端最关键的配置处。如图。2
我们再来看下说明。如图3
从原理中我们不难看出。如果你的IP固定。上线设置直接写你的固定IP即可。
应用环境:比如你在一个网吧里面希望控制同一网吧的电脑。那么你的IP可以看成是固定的。直接让木马连接你的IP就行了。但是如果你换了台电脑。该配置就不起作用了。因为你的IP变化了。木马也就无法访问到了。。但如果你把IP改回配置前的IP。并强行注销掉原电脑地址。。同样可以实现自动上线。不难看出。这个应用环境范围很小。
如果不固定IP呢?则需要让想办法让鸽子来连接我们本地的一个固定标志。总之,就是要让它知道我们的IP在何处。并取得和我们的联系。
下面我们就来按照图3的说明来做详细操作。
第1。DNS上线原理:木马程序通过对DNS的解析。从而找到他应该上线的地址。来实现向我们的控制端进行连接。下次上线的时候。只要把本地的IP更新到DNS上。就完全实现自动上线了。
我们可以本地架设IIS服务。下面以XP SP2 +花生壳动态域名为例子。*(注本地网络为adsl动态IP)
如图4。这是配置的最关键一步
图中DNS上线地址我写了我申请的免费花生壳动态域名。只要我登陆花生壳对本地IP自动更新。图5
从而轻松让反弹木马上线。从图中。不难看出。我申请了3个免费的域名。也就是说。木马可以通过连接任意一个域名来找到我。 当我换了IP后。再登陆花生壳。他就会自动我的IP更新到域名上了。。这样不再需要进行任何设置即可自动上线。
第2。ftp上线原理。
木马通过对http://你的网站/ip.txt这个文件的访问。从中读取你当前IP的信息文件。来实现找到你的IP。
下面以
www.chaokuai.com
这个免费且支持asp+ftp的FTP空间来讲解FTP上线。
申请空间的过程略过,直接跳到生成服务端这里。
如图。
http://mircc.chaokuai.com/ip.txt
该文件为我的IP获取地址。如果把这个ip.txt的内容写成 如下格式:
http://221.194.59.175:8000/wwwroot/
221.194.59.175我当前的IP 。这样当我配置木马的时候。直接按照图上填写解析地址就可以实现自动上线了。
木马会对这个文件进行读取信息。从来获得与我的机器的连接。有的菜菜又问了。。下次你IP变了。怎么办?直接在FTP里把ip.txt这个文件内容替换掉当前的IP就可以了。现在。你明白为什么要支持FTP又要支持http的空间了吧?ftp进行文件的传输。http是为了让木马可以访问到我们的ip.txt文件。如果你的空间不支持其中一个。那么只要可以让木马访问到最新的ip.txt文件。是同样可以实现自动上线的。没必要一定要FTP来更新才可以。 图中的更新FTP文件到空间的原理就是通过ftp服务向空间传输这个ip.txt文件。 只不过我们是手动修改IP文件来进行更新。而这个是通过“自动更新这个功能来上传”
以上就是反弹木马自动上线的原理。很多同志玩不转反弹木马都因为不清楚原理而一味的看所谓的自动上线教程使得自己一头雾水。导致10天半个月过去了。还是玩不会。
误区7:
通过对上面的原理进行联想。如果你能联想到下面的几个问题。可以说,你已经具备一定的hack气质了。因为hack就是要举一反三。发散联想的嘛。
1。反弹木马终究是要通过解析出它所需要连接的ip。才能自动上线。
2。正向连接是给肉鸡开个端口。等待我们去连接。而反向连接呢?是给本地开放个端口。等带肉鸡来连接我们。那么。如果我们是内网的话?肉鸡如何才能连到我们呢?你可以这样想。假设我们是肉鸡。那么别人需要来连接我们。如果我们在内网的话。别人是不可能找的到我们的。就算更新了IP。也仅仅是更新了内网的IP。而中间有路由或者其他设备中转。所以。内网是不能“直接”实现自动上线的。那么就引出了这个让无数菜鸟晕头转向的又一误区------“端口映射”。
端口映射:因为我们在一个封闭的房子里。别人没法看到我们。如果他们想和我们取得联系。我们可以在屋子里用一跟管子。连接到外界。这样。外面的人就可以通过这个管子。来对我们进行连接了。而实际上我们仍然处于封闭的屋子里。我们本身没有改变位置。改变的是:我们把和外界连接的通道打开了。
我们用实战来说下这个映射到底是怎么个事情。
如图
我用BluesPortScan 对*.*.221.110这个IP从1一直扫描到12345端口。只提示开放了12345端口。而这个端口。是我入侵后修改的远程web路由管理端口。
好的。前提环境就介绍到这里。我们先归纳出下面的几个线索。
1.该路由过阻止了外界和路由后面内网计算机的一切端口访问。
2.只开放了12345端口。没有任何服务。即使是在内网中的一台计算机。打开了鸽子。并更新了ip.木马依然不能穿过路由找到他的灰鸽子控制端开放的端口8000。
那么如果我想在这个内网里,照样用鸽子的自动上线功能,应该如何设置呢?
思路是这样的:鸽子要自动上线。需要打开我们本地的8000端口。而由于我们在一个封闭的内网环境里。我们的8000端口不能被外人知道。所以我们要把这个端口映射出去。让别人可以通过一个管道来访问到我们内网计算机的8000端口。这个管道就是端口映射。
下面以集成远程管理的TL-R480E路由来详细解释端口映射在这个内网的作用
如图
这是某网吧的路由管理web.我们通过转发规则这个路由的功能。.成功的将内网中的192.168.1.101这台电脑的8000端口转到了路由外面.
那么.请大家先自己想下。我们应该如何配置鸽子上线的服务端呢?应该怎样解析我们的地址呢?
如果你想不明白。就跟着我的思路走:鸽子要上线,需要找到我们的地址。我们在内网。已经把本地的8000端口做成管子。连接到外面去了,那么鸽子只要能从这个管理里进来。就可以实现找到我们了。
所以。配置的时候。要输入外网的那个路由的IP就可以了。因为路由上已经打开了8000端口。而这个端口通向我们内网机器的IP。所以当我们配置完服务段。并给别人点了以后。就会直接上线了。因为IP是固定的。。所以不存在更新IP一说。(为什么IP固定了呢?。。因为是在网吧做的测试。)
网吧路由映射的原理就讲到这里。就因为这么一个很简单的东西。让很多新手迷茫了数天之久。我们想明白这个道理。就很容易弄明白其他的方法了。
下面介绍另外的一种情况:我们本身是内网。没有办法控制路由。或者没有用NAT环境共享上网。这时候我们应该如何映射呢?
分析条件:1。不能控制路由
2。本身内网。外界无法连接到我们。
这种条件下。我们自身的网络已经不能再帮助我们了。所以我们要借助第3方的网络环境。
我们来做如下设想。我们本身是内网。但是如果我们有一台3389的外网肉鸡。我们是不是可以直接在肉鸡上用鸽子呢?
答案是肯定的。但是。很少有人用2000server或者2003系统并且开3389了。。所以这个肉鸡的查找变得异常的困难。如果本地网络环境和系统允许通过啊D网络工具包找到一些弱口令电脑。那么我们可以通过这些电脑来做端口映射。但。这些用户基本上都是动态IP。下次变更了地址。我们就再也找不到了。肉鸡也就飞不回来了。。这时候的情况会非常郁闷。。用BT的端口映射工具也是如此的原理。所以我们得到结论:
如果需要做端口映射。映射主机的IP至少为固定 。
下面我们已一台肉鸡为例子详细解释如何做端口映射。因为没有固定IP的肉鸡做演示。我们假设这个肉鸡的IP为固定。来看下如何利用肉鸡做内网上线。
我用灰鸽子2006VIP版自带的端口映射工具。来做演示。先去官方站下载
http://www.huigezi.net
www.huigezi.net
最新版本的VIP鸽子。我们只用到他里面的一个小端口映射工具。就是这个。
我们来看下程序的界面。
如图。我们来详细解释一下各个配置的具体作用
第一条vport服务端IP这里。我们写上一个固定外网IP的肉鸡。映射端口。我们默认为9999
第二条映射设置:将远程端口 8000。映射到本地端口8000。(说明:因为我本地已经开放了8000端口为鸽子的服务。所以我写的是8888)
第3条.映射端口9999开机自动运行。都添好了。我们生成服务端。生成好了服务端。我们传到肉鸡上运行。就可以了。
下面来说下这个原理和使用说明:
1. Vport是什么? Vport 是在肉鸡上开放的端口。通过这个映射工具的“映射设置这个功能。进行对肉鸡vport 开放的端口进行连接。”
2. 连接的目的是什么?当我们在内网里。和肉鸡该9999端口进行连接的时候。会通过刚才肉鸡运行后的那个服务端。进行自动的中转。中转的目的用语言来形容是这样的:当一个人用映射工具连接我的9999端口的时候。我都会把来自8000端口的信息反馈给这个人的8000端口上。
这下明白了没?也就是说。我们的木马。是连接肉鸡的8000端口的。但是肉鸡平时根本就没有开放8000端口。当我们用映射工具连到肉鸡9999端口的时候。它就会打开8000端口。接收木马的信息。并反馈信息到连他9999端口的我们反馈到哪里呢??就是反馈到我们本地的8000上面来了。。。这样。我们本地打开鸽子。并用端口映射工具。连接好肉鸡的9999端口运行了我们配置好的木马的人就自动上线了如图。
通过上图我们可以看出来。Vport 的肉鸡我选择的是221.194.57.95。肉鸡开放了9999端口来让我连接。并且随系统自动启动。当我点了“连接”后。再点映射。他就会把再开一个8888端口。并把接受到的信息。反馈给连接它9999端口的人------也就是我。这样。当我本地让鸽子从8888端口上线的时候。鸽子就来了。因为我已经开放了8000端口为鸽子的服务。所以这次开8888做演示。大家配置木马的时候。可以不用这样操作。但。如果你8000端口已经被站用。那么就要考虑更换上线端口。以及本地鸽子开放端口了。如图。
如果讲到这里。还有人问我内网怎么配鸽子。把关键地方给你抓个图吧。
IP就直接写肉鸡的。端口看你实际情况而定。其他的就没什么特别要注意的了。只要写对IP和端口。没理由上不了线的。。
不过。如果你通过内网映射上线。上线时候的IP就会是127.0.0.1了。而不是你实际的内网IP。所有肉鸡都这样。会造成很大麻烦。而且。最关键的。如果你的固定IP的肉鸡丢了。你的肉鸡也就全丢了。所以。内网用户还是少用反弹木马。空间不稳定的用户。也要少用。 空间更新上线。最好就是自己用花生壳做更新。这样比FTP的稳定。因为不定哪天。你的FTP空间停了。你就傻了!。
好了。浪费了几千字再鸽子内网和外网上面。。没办法。谁让他是木马用户最多的群体呢。写清楚以后你就不会遇到问题了。任何反弹木马都可以玩转了。
下面要写到误区9了。希望前面8个误区你已经不会再发生同样错误了。下面的内容要根据论坛的提问效率来进行回答。
学hack技术的第九大误区------hacktools与backdoor
很多人刚接触hack这个名词的时候呢。总要下载一些黑软回去“研究”刚下载回来。就发现杀毒软件报警了。他XX的。黑基的站里也有病毒。于是到论坛一顿海骂。发现几小时后。自己的ID不见了。论坛也登陆不上去了。
一句老话:“常在河边走。哪有不湿鞋呢。”
玩黑的人就要时刻做好被黑的准备。这个准备。将会随着你的技术的增加而逐渐的遗忘。所以也就造成了。高手被菜鸟黑掉的笑话!也就造就了这个话题。Hacktools与backdoor
Hacktools:就是黑客工具。为什么一个工具要被叫成黑客工具呢?因为他带有攻击性。或者会对部分计算机使用者造成攻击威胁。所以会被杀毒软件列为“病毒软件”。这也就是很多新人在使用黑软的时候。乱叫:“病毒”的原因。但是随着网络安全的发展。很多人喜欢在工具里面捆绑了他们的后门软件。比如捆个鸽子。或者其他的反弹木马。让我们防不胜防。开着杀毒的吧。刚下载完了。就被杀光了。。关掉吧。。。又不安全。我们应该如何在这两者之中游刃有余呢?这就引导出这个误区的主题-------hacktools和backdoor
我们来用卡巴5.0+ 06.8.11日最新病毒库来实战分析下。什么是病毒。 什么是木马。,什么是后门。什么是有害的东西。
首先。我们要知道一些最基本的。“杀毒软件为病毒起的通用名”。
什么是通用名呢:就是对大类的概括。 比如。“男人”这个通用名。病毒也是有通用名的。。我们来看下病毒都有哪些名字呢?
杀毒软件给病毒起了太多名字了。为了方便杀毒软件为他们分类。一般都把病毒的名字做如下处理。.. 。 对于我们来说常见的有如下几种
1.Backdoor.后门的意思。作用一般来说。就是给入侵者留一个自己专用的登陆入口。来控制计算机。和前面说过的正向木马感觉差不多。但是现在反弹木马的普及。越来越多的杀毒软件已经把反弹木马和其他远程控制软件。均用backdoor来命名了。如图。这就是我用的卡巴对内存中鸽子的命名(我已经运行了鸽子的服务端)
如图。我们应该得出如下结论。Backdoor绝对是对系统有影响的病毒。所以我们不能随便去运行。不然有可能被别人去远程控制。我们来看下面这张图。这个是对黑防专版灰鸽子生成的服务端进行的扫描。
通过比较可以很明显的看出:内存中的。和生成的。都是backdoor这也就说明了。Backdoor的不安全性。所以。当我们的杀毒软件检测出来一个软件是backdoor的时候。我们首先要看清楚这个软件的位置。以及它的功能。如果仅仅对应一个服务端。那很正常。如果对应的是控制端。那就说明它经过捆绑了。这时候。我们要删除。或者不运行这个文件。
2.系统病毒。
系统病毒的前缀为:Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传播。如CIH病毒。
从图中我们可以看出来。Backdoor.win32.就是灰鸽子的联合前缀名。也就是说。它同时符合卡巴的两种病毒列。所以这样的东西是很危险的。系统病毒中。最经典的叫“win32 白蚁。”英文名字忘记了。这东西可以自动感染所有exe文件。拖慢你的网络。非常恶心。相信很多朋友都会中过。
3. 特洛伊木马病毒和黑客工具。
特洛伊木马:英文名字叫Trojan。黑客工具。英文名字叫:hacktools
现在在网上已经把他们搞的分不大清楚了。很早以前。木马和后门的感觉是差不多的。都是来入侵用。现在多用来偷盗密码。键盘记录。而hacktools顾名思义就是帮助黑客入侵别人的辅助工具。例如流光。有的杀毒软件就把他做hacktools判断。有的判断他是木马。我们在使用这些东西的时候。要非常明确他的作用。才可以进行正确的判断!。比如Trojan.QQ.PSW.。这多办就是偷QQ的病毒。Password是密码的意思。PSW是简称。QQ或者OICQ我就不用多说了吧。很多情况。病毒是什么自己都能猜到。
4.捆绑机病毒
捆绑机病毒的前缀是:Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒,从而给用户造成危害。
目前。网上有很多免杀的捆绑工具。Soft.hackbase.com里面经常更新这些软件。所以对于捆绑过的工具。我们要提高安全意识。光靠杀毒软件是不能搞定的。关于捆绑的问题。,我们会在以后的文章中介绍。
以上4个就是经常和我们打交道的病毒文件。其实知道这些。只不过就是让我们更理解杀毒软件和hacktools之间的斗争。没必要去把那些病毒名字都记忆下来。记得:安全是意识。而不是工具。如果你有意识的维护自己的安全。一个没有任何补丁的系统。依然是不会被入侵的。这也就是给那些喜欢给个人电脑打补丁的人说上一课。再多的补丁也不如安全意识的重要。 。
菜鸟经典误区10:安全意识与杀毒软件
这个话题如果说全面点。。说上3天也说不完。安全包括的方面太多太多了。作为初出茅庐的菜鸟。让你有一个比美国安全专家更敏锐的防范意识这是没有必要的。我们需要知道的。仅仅是。如何是安全。如何才安全。什么是意识。意识和软件相比哪个更重要。这几个问题明白了。相信你也就知道一切安全了!。
随着网络安全的普及化。越来越多的人给自己的电脑安装了杀毒软件。没有杀毒软件的人开始上互连网去寻觅一些免费的杀毒软件。各种破解版或注册外放版云云而生。然而当我们兴高采烈的安装这些软件以后。更新到了最新的病毒库以后。我们就真的安全了吗?
很多人以为。杀毒软件=安全防火墙=让我们安全。其实。这是一个很大的误区。
我们放眼世界上所有的杀毒软件其作用都是一条:“杀毒”
除了这个作用。很少有杀毒软件越权去执行其他的功能。目前越权的只有国内的瑞星和江民的监控功能。对注册表的启动项目。以及一些软件对注册表修改。有自动禁止的功能。
但杀毒软件的功能。也就仅仅局限在这里了。。如果它可以起到防火墙的效果。那么为什么还要退出“瑞星防火墙。江民防火墙。卡吧司机防火墙呢?”
由上可知。杀毒软件的功能是让病毒无法在我们的电脑里运行。而监控的功能是。监视文件的更改。以及新文件的安全性。所以。当我们开着杀毒软件下载黑软的时候。软件会自动报警说有XX病毒文件。
防火墙的作用又是什么呢?
http://soft.hackbase.com/view.asp?id=jczy.rar
注:把地址复制到下载工具里下载。先看完教程再继续下面的内容。
相信大家看了这个教程就明白。仅仅靠SP2带的防火墙。和杀毒软件的监控功能。是不能让我们安全的。
所以“用sp2防火墙+杀毒软件=安全” 这个误区。我们一定要走出来!装一个防火墙。哪怕是破解版的天网防火墙。依然会让入侵者很难进入我们的机器。用国外的防火墙就更不用说了。前提你找的到汉化或者认识E文
===============================================。
至此。新手学习一般遇到的10大误区已经告一段落。下面的内容里。再为大家整理几个常见的菜鸟问题。希望下面的文字能让你远离困惑。走向光明。
1. 为什么我的机器不能使用扫描器啊。或者为什么我扫不到结果啊。别人就可以?
回答:不能使用扫描器一般都是如下几个原因。1:你通过路由上网。本身不直接和外界相连。比如。你给一个人发了数据。但是他返回的数据不能返回到你电脑里。所以你会没有扫到结果。。如何解决呢?就是想办法找到一个肉鸡。在肉鸡上进行扫描。或者选择ADSL拨号直接上网。。第2个原因就是:你的系统版本不能使用扫描器。这绝对不是SP2的补丁问题。我有过亲身经历。去年用的系统一直扫描不到任何结果。今年还是SP2。换了张系统盘。结果什么扫描器都没问题。 很多人都说XP的TCP最大连接不对。我的系统一直用的默认的10。结果扫描上没有任何问题。。所以我说:如果你想用扫描器或者其他黑软。就装个2000系统吧。
2. 装2000系统会安全么?
安全是意识。不是工具。上面的字已经说的很清楚了。杀毒软件+第3方防火墙。可以让你的系统相对安全。但真正的安全还是要靠平时对病毒的积累。以及安全常识的积累。如基本进程。基本启动项目等。
3. 如果我想玩黑软。又想打游戏。装个双系统会不会好点啊?
回答:不会。安装双系统除了会浪费你的硬盘以外。没有什么方便的地方了。比如。你装个迅雷。这个系统里有右键菜单但是那个系统里就没有。装个word。这系统里能用。没装过的系统里就不能用。绿色软件到没什么。不给注册表和系统里写东西。只要是需要安装的软件。都会带来使用上的麻烦。而且。双系统经常造成一个系统出错。另外一个系统也不好用的现象。对于一个刚玩安全的菜鸟来说。重装系统可以说是家常便饭。如果是双系统,就会带来更大的麻烦。所以:“安装单一操作系统才是正道!” 学东西不能兼顾打游戏的。如果你能找到一张我这个版本。一个可以在SP2下扫描无障碍的光盘。那么真的很幸运了!
4. 我知道一个人的IP。怎样才能入侵它啊?我需要加入什么班或者找谁做师傅才能学到这样的技术呢?
回答:仅仅知道一个IP是不能入侵别人的。需要对他的机器进行扫描判断。通过他机器所开放的服务。我们来进行下一步渗透。如果他机器里面没有什么可以利用的端口(3389。23。139 135 445 1433)并且我们没有他的连接密码。这时候就要放弃从系统中入侵。依靠黑客的智慧---社会工程学。来入侵这个人。我们可以先了解这个人经常去什么网站。然后对这个网站进行挂马。还可以了解这个人喜欢什么样的软件站。通过对这些站来入侵。在软件上做手脚。更可以加他的QQ。装做是个异性。给他发网页木马来实现我们的目的。但是。这一切的一切都是我们利用自己的思想去创造出来的。仅仅靠一个IP。是不可能入侵别人的。虽然SP2的防火墙不安全。但是对于阻止跨网段的高危端口连接还是有一定功效的(139 135 445)。入侵我们的人。往往就是周围的机器。 再说一个例子。比如我想入侵sina服务器。那么我首先要入侵一个他同网段的机器再进行下面的检测。大家经常问的。如何偷一个指定的QQ。也是同样道理。社会工程学决定你的入侵成功
5. 为什么我会被别人入侵呢?怎样才能查出来自己是否被入侵。?被入侵有什么痕迹么?
回答:大家可以按照以下方法来判断是否被入侵(上网中。)。
A. 没有运行任何程序但是硬盘灯狂闪。多半是因为入侵者正在向你的硬盘中传输文件。或者运行什么文件。可以想想。硬盘怎么可能平白无辜的就乱闪呢?
B. QQ或者其他聊天工具没有打开,也没有下载什么文件。打开网页,但是ADSL的猫的网络连接灯一直在狂闪。网络连接指示灯是指示网络数据传输用的。。一般是一直亮。而不是一直闪。如果闪的话。就表示有很多数据正在交换。。那么这也是很不正常的。
C. 查看进程。一般来说。进程管理器中可以看到很详细的进程列表了。拿现在最火的木马“黑防鸽子(总之是D版的)”都靠IE来插入进程。但是如果你没打开IE。却有个IE的进程。那就表示你被干了。VIP版本的鸽子。就把进程用钩子技术挂到了IE中。并且隐藏起来。我们的任务管理器是看不到的。这时候我们需要用icesword这个工具。来查看所有的进程。这样。什么木马都不会隐藏了。但是。这个前提是。我们非常了解和清楚自己的电脑开机启动什么进程。所以强烈大家去学习。“windows优化大师。木马杀客。完美卸载 RegSnap ”这4款工具。他们可以在今后的路上帮你不少忙。了解启动。了解进程。是我们防御入侵的关键。
D. 视频突然被打开。C盘目录生成陌生文本。这都是木马留下的痕迹。
对于自己的安全。大家记得。平时多培养安全意识。中毒不怕。但是我们要预防下次中同样的病毒。推荐大家掌握GHOST或者一键还原精灵或者 矮人DOS工具箱 这3款中的一款工具的使用。这样可以在我们安全新系统的时候。把最干净的系统。备份出来。以便我们中毒后的及时还原。。另外。提示大家。保护好C盘。就能让病毒不再发作。除非他捆绑。感染了其他盘的文件。
新手10大误区5大难题。现在已经完全解决。感谢大家观看。
[
本帖最后由 yukun21 于 2007-4-24 10:34 编辑 ]
