windecember

现在我们来看看木马在黑客学习中的作用。首先学习者要明确木马究竟是什么，同时还要搞清楚木马的类型，并且学习一些流行的木马程序的用法，这是一个相辅相成的学习进程，当黑客利用漏洞进入服务器之后，就可以选择两条路：一、破坏系统、获得资料、显示自己；二、利用木马为自己开辟一个合法的登录账号、掌管系统、利用被入侵系统作为跳板继续攻击其他系统。

由此看来，木马程序是为第二种情况涉及的一种可以远程控制系统的程序，根据实现木马程序的目的，可以知道这种程序应该具有以下性质：

1、伪装性：程序将自己的服务端伪装成合法程序，并且具有诱惑力的让被攻击者执行，在程序被激活后，木马代码会在未经授权的情况下运行并装载到系统开始运行进程中；

2、隐藏性：木马程序通病毒程序一样，不会暴露在系统进程管理器内，也不会让使用者察觉到木马的存在，它的所有动作都是伴随其他程序的运行进行的，因此在一般情况下使用者很难发现系统中木马的存在；

3、破坏性：通过远程控制，黑客可以通过木马程序对系统中的文件进行删除、编辑操作，还可以进行诸如格式化硬盘、改变系统启动参数等恶性破坏操作；

4、窃密性：木马程序最大的特点就是可以窥视被入侵电脑上的所有资料，这不仅包括硬盘上的文件，还包括显示器画面、使用者在操作电脑过程中在硬盘上输入的所有命令等。

看了上面的介绍，学习者应该对木马程序的用途有了一个初步了解，并且区分清除木马程序和病毒之间的相同点和不同点，由于黑客手段的日益增多，许多新出现的黑客手段（例如 D.O.S）经常会让学习者思维混乱，但实际上这些新出现的黑客手段都是从最开始的溢出、木马演变出来的，因而对于初学者来说，并不需要急于接触过多的新技术，而是要对最基本的也是最有效的黑客技术进行深入学习。

一、木马的原理：

大多数木马程序的基本原理都是一样的，他们是由两个程序配合使用——被安装在入侵系统内的Server程序；另一个是对Server其控制作用的Client程序。学习者已经了解了木马和病毒的区别，大多数Server程序不会像病毒一样主动传播，而是潜伏在一些合法程序内部，然后由目标操作者亲手将其安装到系统中，虽然这一切都是没有经过目标操作者授权的，然而从某种程度上说，这的确是在经过诱惑后目标“心甘情愿”接收木马的，当Server安装成功后，黑客就可以通过Client控制程序对Server端进行各种操作了。

[此贴子已经被作者于2005-12-8 12:25:49编辑过]

windecember

木马程序的Server端为了隐藏自己，必须在设计中做到不让自己显示到任务栏或者系统进程控制器中，同时还不会影响其他程序的正常运行，当使用者电脑处于断线状态下，Server段不会发送任何信息到预设的端口上，而会自动检测网络状态直到网络连接好，Server会通过email或者其他形式将Server端系统资料通知Client端，同时接收Client发送出来的请求。

二、木马实战：

先说国产木马老大，冰河——你不得不了解的工具。

（编者残语：）说到冰河，也许在2005年的今天显得很落后，但冰河创造了一个时代，一个人人能做黑客的时代。使用方便简单，人人都能上手。图形界面，中文菜单，了解木马，先从了解远程控制软件冰河开始。

======================================================

使用冰河前，请注意：如果你的机器有杀毒软件，可能会出现病毒提示。说实话，他还真是一个病毒。呵呵。所以在使用前，请慎重考虑，出了问题，小编可担当不起。建议使用不管是客户端还是服务端都请关闭杀毒软件以达到更好的使用效果。

======================================================

软件功能概述:

该软件主要用于远程监控，具体功能包括:

1．自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用)；

2．记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息，且1.2以上的版本中允许用户对该功能自行扩充，2.0以上版本还同时提供了击键记录功能；

3．获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据；

4．限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制；

5．远程文件操作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件（提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式）等多项文件操作功能；

6．注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能；

7．发送信息：以四种常用图标向被控端发送简短信息；

8．点对点通讯：以聊天室形式同被控端进行在线交谈。

windecember

一.文件列表:

1. G_Server.exe: 被监控端后台监控程序(运行一次即自动安装，可任意改名)，在安装前可以先通过'G_Client'的'配置本地服务器程序'功能进行一些特殊配置，例如是否将动态IP发送到指定信箱、改变监听端口、设置访问口令等)；

2. G_Client.exe: 监控端执行程序，用于监控远程计算机和配置服务器程序。

二.准备工作:

冰河是一个基于TCP/IP协议和WINDOWS操作系统的网络工具，所以首先应确保该协议已被安装且网络连接无误，然后配置服务器程序(如果不进行配置则取默认设置)，并在欲监控的计算机上运行服务器端监控程序即可。

三.升级方法:

由于冰河2.0的改版较大，所以2.0以后版本与以前各版本完全不兼容。为此只能向老用户提供一套升级方案：对于1.1版本的用户(好象已经没什么人用了)，可以先用1.1或1.2版的CLIENT端将新版本的SERVER程序上传至被监控端，然后执行'文件打开'命令即可；对于1.2版本的用户相对简单，只要通过1.2版的CLIENT远程打开新版本的SERVER程序就可以自动升级了。2.0以后的各版本完全兼容。

'DARKSUN专版'中还提供了另一种升级方法，可以免去在不同版本中切换的麻烦。如果您不能确定远程主机的冰河版本，在用'文件管理器'浏览目录前，最好先在工具栏下的'当前连接'列表框中选择打算连接的主机，然后直接点'升级1.2版本'按钮进行升级，如果返回的信息是'无法解释的命令'，那说明远程主机安装了2.0以上版本，具体的版本及系统信息可以通过'命令控制台'的'口令类命令\系统信息及口令\系统信息'来查看。

四.各模块简要说明:

安装好服务器端监控程序后，运行客户端程序就可以对远程计算机进行监控了，客户端执行程序的各模块功能如下:

windecember

1. "添加主机": 将被监控端IP地址添加至主机列表，同时设置好访问口令及端口，设置将保存在'Operate.ini'文件中，以后不必重输。如果需要修改设置，可以重新添加该主机，或在主界面工具栏内重新输入访问口令及端口并保存设置；

2. "删除主机": 将被监控端IP地址从主机列表中删除(相关设置也将同时被清除)；

3. "自动搜索": 搜索指定子网内安装有'冰河'的计算机。(例如欲搜索IP地址'192.168.1.1'至'192.168.1.255'网段的计算机，应将'起始域'设为'192.168.1',将'起始地址'和'终止地址'分别设为'1'和'255')；

4. "查看屏幕": 查看被监控端屏幕(相当于命令控制台中的'控制类命令\捕获屏幕\查看屏幕')；

5. "屏幕控制": 远程模拟鼠标及键盘输入(相当于命令控制台中的'控制类命令\捕获屏幕\屏幕控制')。其余同"查看屏幕"；

6. "冰河信使": 点对点聊天室，也就是传说中的'二人世界'；

7. "升级1.2版本": 通过'DARKSUN专版'的冰河来升级远程1.2版本的服务器程序；

8. "修改远程配置": 在线修改访问口令、监听端口等服务器程序设置，不需要重新上传整个文件，修改后立即生效；

9. "配置本地服务器程序": 在安装前对'G_Server.exe'进行配置(例如是否将动态IP发送到指定信箱、改变监听端口、设置访问口令等)。

五.文件管理器操作说明:

文件管理器对文件操作提供了下列鼠标操作功能：

1. 文件上传：右键单击欲上传的文件，选择'复制'，在目的目录中粘贴即可。也可以在目的目录中选择'文件上传自'，并选定欲上传的文件；

2. 文件下载：右键单击欲下载的文件，选择'复制'，在目的目录中粘贴即可。也可以在选定欲下载的文件后选择'文件下载至'，并选定目的目录及文件名；

3. 打开远程或本地文件：选定欲打开的文件,在弹出菜单中选择'远程打开'或'本地打开'，对于可执行文件若选择了'远程打开'，可以进一步设置文件的运行方式和运行参数(运行参数可为空)；

4. 删除文件或目录：选定欲删除的文件或目录，在弹出菜单中选择'删除'；

5. 新建目录：在弹出菜单中选择'新建文件夹'并输入目录名即可；

6. 文件查找：选定查找路径,在弹出菜单中选择'文件查找'，并输入文件名即可(支持通配符)；

7. 拷贝整个目录(只限于被监控端本机)：选定源目录并复制，选定目的目录并粘贴即可。

windecember

六.命令控制台主要命令:

1. 口令类命令: 系统信息及口令、历史口令、击键记录；

2. 控制类命令: 捕获屏幕、发送信息、进程管理、窗口管理、鼠标控制、系统控制、其它控制(如'锁定注册表'等)；

3. 网络类命令: 创建共享、删除共享、查看网络信息；

4. 文件类命令: 目录增删、文本浏览、文件查找、压缩、复制、移动、上传、下载、删除、打开(对于可执行文件则相当于创建进程)；

5. 注册表读写: 注册表键值读写、重命名、主键浏览、读写、重命名；

6. 设置类命令: 更换墙纸、更改计算机名、读取服务器端配置、在线修改服务器配置。

七.使用技巧:

1. 用'查看屏幕'命令抓取对方屏幕信息后,若希望程序自动跟踪对方的屏幕变化,在右键弹出菜单中选中'自动跟踪'项即可；

2. 在文件操作过程中,鼠标双击本地文件将在本地开该文件；鼠标双击远程文件将先下载该文件至临时目录,然后在本地打开；

3. 在使用'网络共享创建'命令时，如果不希望其他人看到新创建的共享名，可以在共享名后加上'$'符号。自己欲浏览时只要在IE的地址栏或'开始菜单'的'运行'对话框内键入'\\[机器名]\[共享名(含'$'符号)]即可；

4. 在1.2以后的版本中允许用户设定捕获图像的色深(1~7级)，图像将按设定保存为2的N次方种颜色(N=2的[1~7]次方)，即1级为单色，2级为16色，3级为256色，依此类推。

需要说明的是如果将色深设为0或8则表示色深依被监控端当前的分辨率而定，适当减小色深可以提高图像的传输速度。

2.1以后的版本新增了以JPEG格式传输图像的功能，以利于在INTERNET上传输图像，但这项功能只适用于2.1以上版本(制被控端)，否则实际上仍是通过BMP图象格式传输，所以请先确认版本后再使用。

windecember

八.常见问题:

1. 安装不成功，该问题通常是由于TCP/IP协议安装或设置不正确所致；

2. 被监控端启动时或与监控端连接时弹出'建立连接'对话框，该问题是由于系统设置了自动拨号属性。可以通过安装前定制服务器程序来禁止自动拨号；

3. 可以连接但没有反应，通常是版本不匹配所致，因为1.2以前的版本设计上存在缺陷，所以如果您不能确定远程主机的冰河版本，最好先按照前面所说的升级办法试一下，否则被监控端可能会出现错误提示。另外冰河没有提供代理功能，局域网外无法监控局域网内的机器，除非被控端是网关；

4. '更换墙纸'命令无效，这个问题的可能性太多了，较常见的原因是被监控端的桌面设置为'按WEB页查看'；

5. 对被监控端进行文件或目录的增删操作后，少数情况不会自动刷新，可以通过[Ctrl+R]或选择弹出菜单的'刷新'命令手动刷新；

6. 开机口令不正确，因为CMOS口令是单向编码，所以编码后的口令是不可逆也是不唯一的，冰河通过穷举算出来的口令可能与原口令不符，但也是有效口令。毛主席说过没有调查就没有发言权，所以没有试过就千万别妄下定论；

7. 占用系统资源过高，其实准确的说应该是CPU利用率过高，系统资源占用并不算过分，这主要是不断探测口令信息(敏感字符)造成的，所以在'DARKSUN专版'中允许用户将该功能屏蔽(我实在不知道怎样才能兼顾鱼和熊掌)，只要在配置时清空'敏感字符'中的所有字符串就行了。

8. 如何卸载冰河，这是我解答次数最多的一个问题，其实冰河1.2正式版以后的各版本都在CLIENT端提供了彻底的卸载功能。对于1.2版本，请执行命令列表中的'自动卸载'命令，对其以后的版本，请执行'命令控制台'中的'控制类命令\系统控制\自动卸载冰河'。

小编有言：说说卸冰河木马方法和冰河的通用密码

很多朋友问我中了木马“冰河”有什么方法可以卸掉，其实很简单，有两个方法：

（1）用杀毒软件“金山毒霸”就可以卸掉。但有朋友说用“金山”卸掉“冰河”后

打不开本文文件了，那你可以用手动方法去卸。如果你觉得那个办法太麻烦，可以用我介绍的第二种方法。

（2）用“冰河”卸“冰河”： 如果你确定你的机器种了冰河，那你上网后开启冰河。 在增添主机那里添自己的IP。 然后电击自己的IP， 选命令控制台那里选控制命令里的系统命令。 然后自己看啦。不要再说你不会啊。我会晕的啊。：）

冰河通用密码

3.0版：yzkzero.51.net

3.0版：yzkzero!

3.1-netbug版密码: 123456!@

2.2杀手专版：05181977

2.2杀手专版：dzq2000!

windecember

关于木马种植策略和防护手段

了解如何种植木马才能防止别人种植木马，看看一般人用的手段。（本文比较适合入门级别选手）

1.网吧种植

这个似乎在以前很流行，先关闭网吧的放火墙，再安装木马客户端，立刻结帐下机，注意，重点是不要重起机器，因为现在网吧都有还原精灵，所以在不关机器的情况下，木马是不会给发现的。因此，在网吧上网，首先要重起机器，其次看看杀毒软件有没有打开。最后建议，不要在网吧打开有重要密码的东西，如网络银行等。毕竟现在木马客户端躲避防火墙的能力很强，其次是还存在其他的病毒。

2.通讯软件传送

发一条消息给你，说，“这个我的照片哦，快看看。”当你接受并打开的时候，你已经中了木马了。（此时，你打开的文件好象“没有任何反应”）“她”可能接着说说：“呀，发错了。再见。”防御：不要轻易接受别人传的东西，其次是打开前要用杀毒软件查毒。

3.恐怖的捆绑

捆绑软件现在很多，具体使用就是把木马客户端和一个其他文件捆绑在一起（拿JPG图象为例），你看到的文件可能是.jpg，图标也是正常（第2条直接传的木马客户端是个windows无法识别文件的图标，比较好认），特别是现在有些捆绑软件对捆绑过后的软件进行优化，杀毒软件很难识别其中是否包含木马程序。建议：不要打开陌生人传递的文件。特别是图象文件。（诱惑力大哦）

4.高深的编译

对木马客户程序进行编译。让木马更加难以识别。（其实效果同第三条）

5.微妙的网页嵌入

将木马安装在自己的主页里面，当你打开页面就自动下载运行。（见下篇，打造网页木马）“你中奖了，请去www.**.com领取你的奖品”，黑客可能这么和你说。建议：陌生人提供的网页不要打开，不要去很奇怪名字的网站。及时升级杀毒软件。

总结：及时升级杀毒软件。不要打开未知文件以及陌生人传来的文件。不要随便打开陌生网页。升级最新版本的操作系统。还有....请看本专题以后的文章咯。

windecember

概论：黑客初级技术应用

网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。确保网络系统的信息安全是网络安全的目标，信息安全包括两个方面：信息的存储安全和信息的传输安全。信息的存储安全是指信息在静态存放状态下的安全，如是否会被非授权调用等。信息的传输安全是指信息在动态传输过程中安全。为了确保网络信息的传输安全，有以下几个问题：

１）对网络上信息的监听

２）对用户身份的仿冒

３）对网络上信息的篡改

４）对发出的信息予以否认

５）对信息进行重发

对于一般的常用入侵方法主要有

1.口令入侵

所谓口令入侵，就是指用一些软件解开已经得到但被人加密的口令文档，不过许多黑客已大量采用一种可以绕开或屏蔽口令保护的程序来完成这项工作。对于那些可以解开或屏蔽口令保护的程序通常被称为“Crack”。由于这些软件的广为流传，使得入侵电脑网络系统有时变得相当简单，一般不需要很深入了解系统的内部结构，是初学者的好方法。

2.特洛伊木马术

说到特洛伊木马，只要知道这个故事的人就不难理解，它最典型的做法可能就是把一个能帮助黑客完成某一特定动作的程序依附在某一合法用户的正常程序中，这时合法用户的程序代码已被该变。一旦用户触发该程序，那么依附在内的黑客指令代码同时被激活，这些代码往往能完成黑客指定的任务。由于这种入侵法需要黑客有很好的编程经验，且要更改代码、要一定的权限，所以较难掌握。但正因为它的复杂性，一般的系统管理员很难发现。

windecember

3.监听法

这是一个很实用但风险也很大的黑客入侵方法，但还是有很多入侵系统的黑客采用此类方法，正所谓艺高人胆大。

网络节点或工作站之间的交流是通过信息流的转送得以实现，而当在一个没有集线器的网络中，数据的传输并没有指明特定的方向，这时每一个网络节点或工作站都是一个接口。这就好比某一节点说：“嗨！你们中有谁是我要发信息的工作站。”

此时，所有的系统接口都收到了这个信息，一旦某个工作站说：“嗨！那是我，请把数据传过来。”联接就马上完成。

目前有网络上流传着很多嗅探软件，利用这些软件就可以很简单的监听到数据，甚至就包含口令文件，有的服务在传输文件中直接使用明文传输，这也是非常危险的。

4.E-mail技术

使用email加木马程序这是黑客经常使用的一种手段，而且非常奏效，一般的用户，甚至是网管，对网络安全的意识太过于淡薄，这就给很多黑客以可乘之机。

5.病毒技术

作为一个黑客，如此使用应该是一件可耻的事情，不过大家可以学习，毕竟也是一种攻击的办法，特殊时间，特殊地点完全可以使用。

6.隐藏技术

网络攻击的一般步骤及实例

攻击的准备阶段

首先需要说明的是， 入侵者的来源有两种，一种是内部人员利用自己的工作机会和权限来获取不应该获取的权限而进行的攻击。另一种是外部人员入侵，包括远程入侵、网络节点接入入侵等。本节主要讨论远程攻击。

进行网络攻击是一件系统性很强的工作，其主要工作流程是：收集情报，远程攻击，远程登录，取得普通用户的权限，取得超级用户的权限，留下后门，清除日志。主要内容包括目标分析，文档获取，破解密码，日志清除等技术，下面分别介绍。

windecember

1.确定攻击的目的

攻击者在进行一次完整的攻击之前首先要确定攻击要达到什么样的目的，即给对方造成什么样的后果。常见的攻击目的有破坏型和入侵型两种。破坏型攻击指的只是破坏攻击目标，使其不能正常工作，而不能随意控制目标的系统的运行。要达到破坏型攻击的目的，主要的手段是拒绝服务攻击（Denial Of Service）。另一类常见的攻击目的是入侵攻击目标，这种攻击是要获得一定的权限来达到控制攻击目标的目的。应该说这种攻击比破坏型攻击更为普遍，威胁性也更大。因为黑客一旦获取攻击目标的管理员权限就可以对此服务器做任意动作，包括破坏性的攻击。此类攻击一般也是利用服务器操作系统、应用软件或者网络协议存在的漏洞进行的。当然还有另一种造成此种攻击的原因就是密码泄露，攻击者靠猜测或者穷举法来得到服务器用户的密码，然后就可以用和真正的管理员一样对服务器进行访问。

2.信息收集

除了确定攻击目的之外，攻击前的最主要工作就是收集尽量多的关于攻击目标的信息。这些信息主要包括目标的操作系统类型及版本，目标提供哪些服务，各服务器程序的类型与版本以及相关的社会信息。

要攻击一台机器，首先要确定它上面正在运行的操作系统是什么，因为对于不同类型的操作系统，其上的系统漏洞有很大区别，所以攻击的方法也完全不同，甚至同一种操作系统的不同版本的系统漏洞也是不一样的。要确定一台服务器的操作系统一般是靠经验，有些服务器的某些服务显示信息会泄露其操作系统。例如当我们通过TELNET连上一台机器时，如果显示

Unix（r）System V Release 4．0

login：

那么根据经验就可以确定这个机器上运行的操作系统为SUN OS 5．5或5．5．l。但这样确定操作系统类型是不准确的，因为有些网站管理员为了迷惑攻击者会故意更改显示信息，造成假象。

还有一种不是很有效的方法，诸如查询DNS的主机信息（不是很可靠）来看登记域名时的申请机器类型和操作系统类型，或者使用社会工程学的方法来获得，以及利用某些主机开放的SNMP的公共组来查询。