多种方法教你找到电脑中隐藏的入侵黑手
平时使用电脑的时候也许会遇到这样的情况:计算机突然死机,有时又自动重新启动,无端端的少了些文件,发现桌面刷新慢,没有运行什么大的程序,硬盘却在拼命的读写,系统也莫明其妙地对软驱进行搜索,杀毒软件和防火墙报警,发现系统的速度越来越慢,这时候你就要小心了。
第一时间反应(养成一个好的习惯往碗可以减少所受的损失):用CTRL+ALT+DEL调出任务表,查看有什么程序在运行,如发现陌生的程序就要多加注意,一般来说,凡是在任务管理器上的程序都不会对系统的基本运行照成负面影响(注意:这里说的是基本运行,先和大家说明白,关于这条我是在网络上关于这个研究的结果),所以大家可以关闭一些可疑的程序来看看,发现一些不正常的情况恢复了正常,那么就可以初步确定是中了木马了,发现有多个名字相同的程序在运行,而且可能会随时间的增加而增多,这也是一种可疑的现象也要特别注意,你这时是在连入Internet网或是局域网后才发现这些现象的话,不要怀疑,动手查看一下吧!(注:也有可能是其它一些病毒在作怪)
1 先升级杀毒软件到最新,对系统进行全面的检查扫描。
2 点击工具→文件夹选项→查看把隐藏受保护的操作系统文件(推荐)和隐藏已知文件类型的扩展名这两项前面的勾去掉,以方便查看。
3 查看Windows目录下的WIN.INI文件中开头的几行:[WINDOWS] load= ren=这里放的是启动Windows自动执行的程序,可以看看对比对比一下。
4 查看Windows目录下的SYSTEM.INI文件中的这几行:[386Enh] device=这里是放置系统本身和外加的驱动程序。外加的驱动程序一般都用全路径,如:device=c:windowssystem32tianyangdemeng.exe(这里只是打个比方)
5 查看开始菜单中的「程序」→「启动」。这里放的也是启动Windows自动执行的程序,如果有的话,它就放在C:WindowsStart MenuPrograms中,将它保存在较安全的地方后再删除,需要恢复时在拿出来恢复即可。
6 在「开始」→「运行」中输入"MSCONFIG"查看是否有可疑的启动项,你也许会问,前面不是说了吗?其实,这两种方法是不同的,你分别用这两个方法查看一下就会发现不同了,至于要说更深入点,说实在话,我也不知道。呵呵不要笑话,希望高手出来解答一下!
7 查看注册表,在「开始」→「运行」中输入“REGEDIT”。
先对注册表进行备份,才对注册查看。(一定要养成一个习惯,在修改木文件时,对自己没有把握的需要先进行备份)
查看HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServic es和Run项,看看有没有可疑的程序。
查看HKEY_CLASSES_ROOTEXEFILESHELLOPENCOMMAND,看看是否有。EXE文
件关联的木马,正确值为"%1"%*查看HKEY_CLASSES_ROOTINFFILESHELLOPENCOMMAND,看看是否有。INF文件关联的木马,正确值为"SYSTEM ROOT%SYSTEM32NOTEPAD.EXE%1查看HKEY_CLASSES_ROOTTXTFILESHELLOPENCOMMAND,看看是否有。TXT文件关联的木马,正确值为%SYSTEM ROOT%SYSTEM32NOTEPAD.EXE%1启动CMD,输入NETSTAT -AN 查看有没有异常的端口。
8 Windows中的执行文件。exe、。com、。dll ……它们都有可能是黑客放置的病毒或是黑客病毒的携带者。在系统正常的时候,把以上文件做一个备份,到需要的时候就可以写回去!
9 在Windows目录下,看看有无一个名为Winstart.bat的文件。这个文件也是与Autoexec.bat类似的一个自动批处理文件,不过,它只能在Windows工作而不能在DOS 下使用。仔细看看有没有什么你不知道的驱动程序,把它记录下来,到百度查一下,一般这个自动批处理文件是不会被用到的。(只能凭经验判断了)
10 查看c:autoexec.bat与c:config.sys,这两个文件里有一些系统所需的驱动程序。看看有没有什么可疑的驱动程序。
11 右击「我的电脑」→事件查看器查看安全日志,看看里面有没有可疑的内容。
12 在CMD下输入NET USER 看看有没有可疑的用户,出现自己不曾设立的用户,马上用NET USER ABCD /DEL 把它删除(这里的ABCD是用户名,只要把它改成想要删除的用户就行了,也可去下个检查用户克隆器查看和其它一切能帮助到你的工具,有些黑客建立的用户用一般方法是看不见的,大家就要注意了。)
网络黑客及其常用攻击方法
计算机网络系统面临的严重安全问题之一就是黑客攻击。黑客由产生初期的正义的“网络大侠”演变成计算机情报间谍和破坏者,他们利用计算机系统和网络存在的缺陷,使用手中计算机,通过网络强行侵入用户的计算机,肆意对其进行各种非授权活动,给社会、企业和用户的生活及工作带来了很大烦恼。 1.黑客的概念及类型 (1)黑客及其演变 “黑客”是英文“Hacker”的译音,源于Hack,本意为“干了一件非常漂亮的事”。原指一群专业技能超群、聪明能干、精力旺盛、对计算机信息系统进行非授权访问的人。后来成为专门利用计算机进行破坏或入侵他人计算机系统的 人的代言词。 “骇客”是英文“Cacker”的译音,意为“破坏者和搞破坏的人”。是指那些在计算机技术上有一定特长,非法闯入他人计算机及其网络系统,获取和破坏重要数据,或为私利而制造麻烦的具有恶意行为特征的人。骇客的出现玷污了黑客,使人们把“黑客”和“骇客”混为一体。 早期的“黑客”是一些专门研究、发现计算机系统和网络漏洞的计算机爱好
者。他们只对计算机系统有着狂热的兴趣和执着的追求,不断地研究计算机和网络知识,喜欢挑战高难度的网络系统并从中找到漏洞,然后向管理员提出解决和修补漏洞的方法。“黑客”不是恶意破坏者,是一群纵横于网络上的大侠,追求共享、免费,提倡自由、平等,“黑客”的出现推动了计算机和网络的发展与完善。 现在,黑客一词已经被用于那些专门利用计算机进行破坏或入侵他人计算机系统的代言词,指少数凭借掌握的计算机技术,怀着不良的企图,采用非法手段获得系统访问权或逃过计算机网络系统的访问控制,进入计算机网络进行未授权或非法访问的人。 虚拟的网络世界里,黑客已成为一个特殊的社会群体。在世界上很多国家,有不少完全合法的黑客组织,经常召开黑客技术交流会,利用因特网在自己的网站上介绍黑客攻击手段,免费提供各种黑客工具软件,出版网上黑客杂志,致使普通用户也很容易下载并学会使用一些简单的黑客手段或工具,对网络进行某种程度的攻击,进一步地恶化了网络安全环境。有统计数据显示,世界上平均每5秒就有一起黑客事件发生,无论是政府机构、军事部门,还是各大银行和公司,只要与互联网接轨,就难逃黑客的“黑手”。 (2)中国黑客的形成与发展 1994年4月20日,中国国家计算与网络设施工程(The National Computing andNetworking Facility of China,NCFC)通过美国Sprint公司,连入Internet的64K国际专线开通,实现了与Internet的全功能连接。中国成
各种端口的关闭方法
各种端口的关闭方法 要知道端口是否开放,可在运行里输入"cmd"netstat -an 来查看自己开放端口.ip地址的后面的就是端口号。 关闭端口的详细步骤和多种方法。 1.系统关闭方法: (1)21端口: 端口说明: ftp 最常见的攻击者用于寻找打开“anonymous”的ftp服务器的方法。这些服务器带有可读写的目录。Hackers或Crackers 利用这些服务器作为传送warez (私有程序) 和pr0n(故意拼错词而避免被搜索引擎分类)的节点。 关闭方法:控制面板--管理工具--服务关闭FTP Publishing Service,它提供的服务是通过Internet 信息服务的管理单元提供FTP 连接和管理。 (2)23端口 端口说明:Telnet 入侵者在搜索远程登陆UNIX的服务。大多数情况下入侵者扫描这一端口是为了找到机器运行的操作系统。此外使用其它技术,入侵者会找到密码。 关闭方法:控制面板--管理工具--服务关闭Telnet服务,它允许远程用户登录到系统并且使用命令行运行控制台程序。 (3)25端口 端口说明:smtp 攻击者(spammer)寻找SMTP服务器是为了传递他们的spam。入侵者的帐户总被关闭,他们需要拨号连接到高带宽的e-mail服务器上,将简单的信息传递到不同的地址。SMTP服务器(尤其是sendmail)是进入系统
的最常用方法之一,因为它们必须完整的暴露于Internet且邮件的路由是复杂的(暴露+复杂=弱点)。 关闭方法:控制面板--管理工具--服务关闭Simple Mail Transport Protocol (SMTP)服务,它提供的功能是跨网传送电子邮件。 (4)80端口 端口说明:80端口是为HTTP(HyperText Transport Protocol,超文本传输协议)开放的,这是上网冲浪使用最多的协议,主要用于在WWW(World Wide Web,万维网)服务上传输信息的协议。 关闭方法:控制面板--管理工具--服务关掉WWW服务。在“服务”中显示名称为"World Wide WebPublishing Service",通过Internet 信息服务的管理单元提供Web连接和管理。 (5)135端口 端口说明c-serv MS RPC end-point mapper Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111 端口的功能很相似。使用DCOM和/或RPC的服务利用机器上的end-point mapper注册它们的位置。远端客户连接到机器时,它们查询end-pointmapper找到服务的位置。同样Hacker 扫描机器的这个端口是为了找到诸如:这个机器上运行ExchangeServer吗?是什么版本? 关闭方法:用一款16为编辑软件(推荐UltraEdit)打开你系统winnt\system32 或者x:\Windows\system32下的rpcss.dll文件。查找31 00 33 00 35替换为30 00 30 00 30查找3100330035,将其替换为3000300030,意思就是将135端口改为000。至此修改的任务已经完成,下面将面临一个保存的问题。因为该文件正在
多种方法教你找到电脑中隐藏的入侵黑手
平时使用电脑的时候也许会遇到这样的情况:计算机突然死机,有时又自动重新启动,无端端的少了些文件,发现桌面刷新慢,没有运行什么大的程序,硬盘却在拼命的读写,系统也莫明其妙地对软驱进行搜索,杀毒软件和防火墙报警,发现系统的速度越来越慢,这时候你就要小心了。 第一时间反应(养成一个好的习惯往碗可以减少所受的损失):用CTRL+ALT+DEL调出任务表,查看有什么程序在运行,如发现陌生的程序就要多加注意,一般来说,凡是在任务管理器上的程序都不会对系统的基本运行照成负面影响(注意:这里说的是基本运行,先和大家说明白,关于这条我是在网络上关于这个研究的结果),所以大家可以关闭一些可疑的程序来看看,发现一些不正常的情况恢复了正常,那么就可以初步确定是中了木马了,发现有多个名字相同的程序在运行,而且可能会随时间的增加而增多,这也是一种可疑的现象也要特别注意,你这时是在连入Internet网或是局域网后才发现这些现象的话,不要怀疑,动手查看一下吧!(注:也有可能是其它一些病毒在作怪) 1 先升级杀毒软件到最新,对系统进行全面的检查扫描。 2 点击工具→文件夹选项→查看把隐藏受保护的操作系统文件(推荐)和隐藏已知文件类型的扩展名这两项前面的勾去掉,以方便查看。 3 查看Windows目录下的WIN.INI文件中开头的几行:[WINDOWS] load= ren=这里放的是启动Windows自动执行的程序,可以看看对比对比一下。 4 查看Windows目录下的SYSTEM.INI文件中的这几行:[386Enh] device=这里是放置系统本身和外加的驱动程序。外加的驱动程序一般都用全路径,如:device=c:windowssystem32tianyangdemeng.exe(这里只是打个比方) 5 查看开始菜单中的「程序」→「启动」。这里放的也是启动Windows自动执行的程序,如果有的话,它就放在C:WindowsStart MenuPrograms中,将它保存在较安全的地方后再删除,需要恢复时在拿出来恢复即可。 6 在「开始」→「运行」中输入"MSCONFIG"查看是否有可疑的启动项,你也许会问,前面不是说了吗?其实,这两种方法是不同的,你分别用这两个方法查看一下就会发现不同了,至于要说更深入点,说实在话,我也不知道。呵呵不要笑话,希望高手出来解答一下! 7 查看注册表,在「开始」→「运行」中输入“REGEDIT”。 先对注册表进行备份,才对注册查看。(一定要养成一个习惯,在修改木文件时,对自己没有把握的需要先进行备份) 查看HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServic es和Run项,看看有没有可疑的程序。 查看HKEY_CLASSES_ROOTEXEFILESHELLOPENCOMMAND,看看是否有。EXE文
知道对方IP入侵别人的电脑(最简单方法)
黑客已经成为一种文化,很多人想成为黑客,他们偶尔学到了几种小花招,总喜欢拿别人开玩笑,搞些恶作剧。其实黑客的最高境界在于防守,不在于进攻。所谓明枪易躲暗箭难防,要防住他人所有的进攻,肯定需要懂得比对方更多的系统知识,了解更多的系统漏洞,及如何弥补漏洞。现在满天都是黑客教程,但真正有用的不多,下面介绍一种WIN9X下的入侵方法: 115.48.97.221 1.取得对方IP地址如XX.XX.XX.XX,方法太多不细讲了。 2.判断对方上网的地点,开个DOS窗口键入TRACERT XX.XX.XX.XX 第4和第5行反映的信息既是对方的上网地点。 3.得到对方电脑的名称,开个DOS窗口键入NBTSTA T -A XX.XX.XX.XX 第一行是对方电脑名称第二行是对方电脑所在工作组第三行是对方电脑的说明 4.在Windows目录下有一文件名为LMHOSTS.SAM,将其改名为LMHOSTS,删除其内容,将对方的IP及电脑名按以下格式写入文件:XX.XX.XX.XX 电脑名 5.开DOS窗口键入NBTSTA T -R 6.在开始-查找-电脑中输入对方电脑名,出现对方电脑点击即可进入。 以上方法请不要乱用,本人对你用上面的方法所惹出的麻烦概不负责,请慎重。对付上面进攻的最好办法就是隐藏你的IP地址。 MultiProxy是利用HTTP代理隐藏IP。方法是打开IE浏览器,在地址栏中输http: //https://www.360docs.net/doc/b219156592.html,/page1.html,虽然全是英文可能有些看不懂,没关系,只要将那些代理IP复制到Word中,按下 [Ctrl+Shift+F8]组合键,把所有代理IP以外的内容删除后,再用“替换”功能修改成形如×××.×××.×××.×××:port格式。操 作很简单,把IP与端口号之间的两个空格替换成“:”就可以了。修改完成后,将文件保存成TXT文件。 接下来启动MultiProxy程序,点击主界面的[选项]按钮,在“常规选择”页中把“缺省超时”的时间设长些如“30”,其他设置保持不变。切换 到“代理服务器列表”页面,按右下角的[菜单]→[文件]→[导入代理列表]命令,将刚才保存的代理IP文件打开,此时会弹出一个“检查代理”对话框,按 [确定],再按一次[确定]返回程序主界面。如果刚才选择的代理IP文件不能导入到列表中,可能文件中存在不符合格式的IP,将它们修改正确,保存后重新 导入即可。现在点击[检查所有的代理]按钮,验证IP是否可连接。检验完毕后,再次单击[选项]按钮,切换到“代理服务器列表”页,点击左下角的[菜单] →[代理表]→[删除没有应答的代理]命令,接着会询问“是否肯定删除所有没有应答的代理”,单击[确定],把没有应答的代理IP删除后,剩下的就是可连 接的代理IP了(如图2),单击[确定]按钮返回到程序主界面。 现在启动IE浏览器(不要关闭MultiProxy)测试一下,点击[工具]→[Internet选项]命令,切
怎样查找并删除电脑中的病毒文件
怎样查找并删除电脑中的病毒文件在日常使用电脑的过程中,我们经常会遇到电脑感染病毒的情况。 病毒文件的存在不仅会占用系统资源,降低电脑性能,还会损坏文件、窃取个人信息等威胁我们的电脑安全。因此,及时查找并删除电脑中 的病毒文件显得尤为重要。本文将介绍几种常用的方法,帮助大家解 决这一问题。 1. 使用杀毒软件进行全盘扫描 杀毒软件是最常见且有效的查找和删除电脑中病毒文件的工具。 现在市面上有许多优秀的杀毒软件可供选择,如360安全卫士、腾讯 电脑管家等。这些软件都提供了全盘扫描功能,可以及时检测出病毒 文件并将其隔离或删除。具体操作步骤如下: (1)打开杀毒软件,进入主界面。 (2)找到全盘扫描选项,并点击开始扫描。 (3)等待扫描完成后,查看扫描结果。 (4)如有病毒文件,根据软件提示进行隔离或删除操作。 2. 使用系统自带的安全工具进行病毒查杀 除了第三方杀毒软件,操作系统本身也提供了一些安全工具,如Windows的Windows Defender。这些工具可以用于查找和删除电脑病 毒文件,使用方法如下: (1)打开Windows Defender或其他系统安全工具。
(2)选择“全盘扫描”或“快速扫描”等选项。 (3)等待扫描完成后,查看扫描结果。 (4)根据系统工具的提示,进行病毒文件的处理。 3. 手动查找和删除病毒文件 如果你对电脑有一定的了解,并且知道病毒文件的存储路径,也可以通过手动查找的方式进行病毒文件的删除。手动查找病毒文件时需要谨慎,避免误删系统文件。具体的步骤如下: (1)打开资源管理器,进入系统文件夹或者其他可能存在病毒文件的文件夹。 (2)找到可疑文件,并使用右键菜单选择“删除”或“移动到回收站”进行操作。 (3)在删除或移动文件之前,最好先备份重要数据和文件,避免误操作导致数据丢失。 4. 防止病毒文件的再次感染 除了删除已经存在的病毒文件,我们还需要采取一些措施,防止电脑再次被感染。以下几点建议供大家参考: (1)经常更新操作系统和杀毒软件的补丁和病毒库,确保及时获得最新的防护能力。 (2)不轻易下载和安装来路不明的软件,尽量选择官方或信任的下载渠道。
电脑中病毒的10种症状及简单处理办法
电脑中病毒的10种症状及简单处理办法 电脑中病毒的10种症状及简单处理办法 电脑已经成为我们生活的一部分,电脑给我们的生活带来了丰富多彩的事情,那么计算机中了病毒有什么症状呢?通常情况下,当计算中病毒后,在电脑操作者看来并无明显的特征,但是我们仍然可以通过一些细节问题来判断电脑是否已中病毒。 电脑中病毒的症状 电脑中病毒的症状(一)文件或文件夹无故消失: 当发现电脑中的部分文件或文件夹无缘无故消失,就可以确定电脑已经中了病毒。部分电脑病毒通过将文件或文件夹隐藏,然后伪造已隐藏的文件或文件夹并生成可执行文件,当用户点击这类带有病毒程序的伪装文件时,将直接造成病毒的运行,从而造成用户信息的泄露。 电脑中病毒的症状(二)运行应用程序无反应: 部分电脑病毒采用映像劫持技术,将常用的应用程序运行路径进行更改为病毒运行目录,从而当我们试图运行正常的程序时,其实是运行了病毒程序,导致电脑病毒的启动。 电脑中病毒的症状(三)电脑启动项含有可疑的启动项: 检查“系统配置实现程序”窗口,如果发现有不明的可执行目录,则可以确定自己的电脑已经中病毒啦。当然更多时候病毒程序是利用修改注册表项来添加自启动项。 电脑中病毒的症状(四)电脑运行极度缓慢: 当电脑运行速度明显变得缓慢时,就及有可能是电脑中病毒所致。中病毒的电脑,通过病毒程序会在后台持续运行,并且绝大多数病毒会占有过多的CPU及内存,而且木马病毒大都会借助网络来传播用户隐私信息。 电脑中病毒的症状(五)杀毒软件失效: 通过杀毒软件用于对系统进行防护,因此当杀毒软件无法正常运行进行杀毒操作时,就可以确信电脑已中病毒,此时我们需要借助网
络来实行在线杀毒操作。大部分安全防护软件如360,金山卫士,QQ 管家这三款比较主流的国产安全防护软件都有自主防御的防御模块,而病毒或木马最先攻击的就是安全防护软件的自主防御模块。如果您发现主动防御模块被关闭或安全防护软件直接无法启动或内存错误,很有可能是安全防护软件也招架不住这种强悍的病毒而瘫痪了电脑中病毒的症状(六)电脑运行异常: 病毒会占用过多的系统性能,以及造成文件的破坏,甚至严重影响系统的稳定性。当电脑出现无故蓝屏、运行程序异常、运行速度太慢以及出现大量可疑后台运行程序时,就要引起注意,可能电脑已经中病毒啦。 电脑中病毒的症状(七)系统语言更改为其他语言 大家的计算机系统语言默认是简体中文,如果开机后发现急速阿吉系统语言被修改为其他语言,很有可能是中了恶意病毒了,可以试用安全防护软件扫描清除病毒 电脑中病毒的症状(八)蓝屏黑屏 黑屏比较少见,蓝屏却比较多见了。中了莫名的恶意病毒可能在运行某个游戏或某个软件时突然计算机蓝屏,蓝屏代码可能是某条常见代码,可能是说计算机为了保护系统自动强行重启。 电脑中病毒的症状(九)主页篡改,强行刷新或跳转网页,频繁弹广告 主页被篡改是早期病毒的.主要攻击对象,计算机操作系统中毒后一般都会发生浏览器主页被篡改的现象,所以当年IE伴侣这款修复主页篡改的小软件挺受欢迎。如果同时伴有浏览器页面不停反复载入/刷新或无缘无故弹出广告,那么很有可能是中毒了 电脑中病毒的症状(十)应用程序图标被篡改或空白 计算机桌面的程序快捷方式图标或程序目录的主exe文件的图标被篡改或为空白,那么很有可能这个软件的exe程序被病毒或木马感染。店铺印象中蠕虫病毒会进行此类感染修改 电脑中病毒后简单的处理方式 一、正在上网的用户,发现异常应首先马上断开连接
使用命令提示符查找电脑中隐藏的“黑手”
一、TASKLIST——火眼金睛 如今的病毒越来越狡猾,常常不见首也不见尾。但许多病毒往往在进程这一环节中露出狐狸尾巴,因而查看进程是查杀病毒的一个重要的方法。命令行提供了进程查看的命令工具——Tasklist(Windows XP或更新版本)。此命令与任务管理器一样可以显示活动进程的列表。但通过使用参数,可以看到任务管理器查看不到的信息,可以实现更强大的功能。使用参数“/M”,运行“Tasklist /M”将显示每个任务加载的所有的DLL模块;使用参数“/SVC”,运行“Tasklist /SVC”命令则会显示每个进程中活动服务的列表,从中可以看到进程svchost.exe加载的服务,通过服务就能分辨出究竟是不是恶意病毒进程。此外,还能利用Tasklist命令来查看远程系统的进程,如在命令提示符下输入“Tasklist /s 208.202.12.206 /u friend /p 123456”(不包括引号)即可查看到IP地址为208.202.12.206的远程系统的进程。其中/s参数后的“208.202.12.206”指要查看的远程系统的IP地址,/u后的“friend”指Tasklist命令使用的用户账号,它必须是远程系统上的一个合法账号,/p后的“123456”指friend账号的密码。这样,网管进行远程查杀病毒也就方便多了。 二、TASKKILL——进程杀手 有了Tasklist这双火眼金睛,许多病毒就现身了,但更重要的不是找出病毒,而是要清除它们,这时另一个命令——TASKKIL就派上用场了。例如想结束某个进程,只需从任务管理器中记下进程名,运行下列命令即可:“TASKKILL /F /IM 进程名”;也可以通过连接PID的方式,可先运行“Tasklist”命令,记下进程的PID号,在命令提符下输入“taskkill /pid PID 号”即可。说到这里恐怕有人要说这还不如直接利用任务管理器方便。而实际上TASKKILL 命令的独门绝技就在于它能结束一些在任务管理器中不能直接中止的进程,这时就要加上参数“/F”,这样就能强制关闭进程,例如运行“TASKKILL /F /pid 1606”命令就能强制结束PID为1656的进程。除此之外,TASKKILL命令还能结束进程树、远程进程、指定筛选进或筛选出查询的的进程,具体操作可利用“taskkill/?”命令进行查看。 三、 Netstat——端口侦探 如今的木马越来越多,对用户的威胁也越来越大,于是出现许多专门用于木马查杀的工具。其实只要我们合理使用命令行下的Netstat命令就能查出大部分隐藏在电脑中的木马。 我们知道,大部分木马感染系统后都留有服务端口,而这类服务端口通常都处于LISTENING 状态,因而从端口的使用情况可以查到木马的踪迹,而这利用Netstat命令就能轻松实现。在命令行中运行“Netstat –a”,这个命令将显示一个所有的有效连接信息列表,包括已建立的连接(ESTABLISHED),也包括监听连接请求(LISTENING)的那些连接。其中Proto代表协议,Local Address代表本机地址,该地址冒号后的数字就是开放的端口号,Foreign Address 代表远程地址,如果和其它机器正在通信,显示的就是对方的地址,State代表状态,显示的LISTENING表示处于侦听状态,就是说该端口是开放的,由于木马开启后门成功后该后门处于LISTENING状态,因此你需要注意的就是处于LISTENING状态的端口,如果该端口号陌生,而且端口号数很大,你就应该有所警觉。 还可以查看使用端口所对应的进程来进一步确认,这就需要加上参数“-O”,运行“Netstat –ao”命令就会显示一个所有的有效连接信息列表,并给出端口对应的PID号。 四、 FIND——捆绑克星 相信许多人都上过文件捆绑木马的当,表面看起来是一张漂亮MM的图片,而暗地里却隐藏着木马,这种通过文件捆绑进行隐藏是木马的惯用伎俩。而对可疑文件进行必要的检查及时处
有关脚本注入方法的总结电脑资料
有关脚本注入方法的总结 -电脑资料 1.上传漏洞[不多讲] pS: 如果看到:选择你要上传的文件 [重新上传]或者出现“请登陆后使用”,80%就有漏洞了! 有时上传不一定会成功,这是因为Cookies不一样.我们就要用WSockExpert取得Cookies.再用DOMAIN上传. 2.注入漏洞[不多讲] pS:对MD5密码.有时我们不是哪么容易跑出来.如果是[SQL数据库].那么我们可以用以下命令: http://注入网址;update admin set password='新MD5密码' where password='旧MD5密码'-- [admin为表名.] 3.旁注,也就是跨站. 我们入侵某站时可能这个站坚固的无懈可击,我们可以找下和这个站同一服务器的站点,然后在利用这个站点用提权,嗅探等方法来入侵我们要入侵的站点, 有关脚本注入方法的总结 。,在这里有个难点,就是一些服务器的绝对路径经过加密,这就看我们的本事了 这个支持,比较威的.... 4.暴库:把二级目录中间的/换成%5c EY:/otherweb ... s.asp?BigClassName=职责范围&BigClassType=1 如果你能看到: 'E:\ahttc040901\otherweb\dz\database\iXuEr_Studio.asa'不是一个有效的路径。确定路径名称拼写是否正确,以及是否连接到文件存放的服务器。 这样的就是数据库了。下载时用FLASHGET换成.MDB格式的就行. 5.'or'='or'这是一个可以连接SQL的语名句.可以直接进入后台。我收集了一下。类似的还有:
破解万象管理员密码
破解万象管理员密码 在上一期的文章中,我们讲解了利用爆破的方法破解网吧管理软件“万象网管2004”,爆破的方法是非常实用的。但是有许多时候,我们没有太多的时间去爆破,或者无法下载合适的爆破软件,有没有其它方法快速破解万象2004的管理员密码呢?获得了万象网管2004的密码之后,又该如何才能免费上网呢? 一、万象网管的密码藏身之处 最初的万象网管2004,其管理员密码是放在注册表中的,后来提供了补丁之后,又将密码放在了一个名为“mcfer.dat”的文件里。通过对注册表或密码文件进行修改,破解或删除,都可达到破解万象2004管理员密码的目的。 二、清除注册表键值,破解密码 在网吧中突破限制,下载运行“精锐网吧辅助工具 V6.5”,选择“限制恢复”选项页,点击“解锁注册表”按钮,清除网吧管理软件对注册表的限制。再选择“系统工具”选项页,点击“注册表编辑器”按钮,打开注册表编辑器工具。 在注册表编辑器中,展开注册表项目[HKEY_USERS\S-l-5-21-l443042724l90900048017016536561000\Software\sicent\wx2004cl t]。由于万象版本的不同,中间的数字也许不会完全相同,因此也可以利用搜索功能,直接搜索注册表项目“wx2004clt”。找到该项后,在右边窗口中可查看到其下的键值,其中名称为“!!!RunSetCipher”键,就是用于设置管理员密码的,其对应的键值,就是经过MD5加密过后的密文。“!!!UnlockCipher”键保存的是管理员解锁的密码;“!!!ExnCipher”键保存的是退出密码;“!!!II~2SetCipher”键保存的则是IE设置密码(如图1)。 这里,我们直接右键点击“sicent”注册表项目,在弹出菜单中选择“删除”命令,即可将注册表万象密码存储键删除掉。重启电脑后,即可以空密码登录万象管理界面了。 三、破解“mcfer.dat”文件 上面的方法适合于未安装还原精灵或其它还原软件的网吧,而且对于有些打过补丁的万象2004可能无效。这类比较新的万象网管2004软件,是将密码保存在“mcfer.dat”文件里的,该文件一般是位于“C:\WINDOWS\System32”目录下。可在精锐网吧辅助工具中,选择“文件搜索”选项页,在其中输入文件名“mcfer.dat”,选择搜索路径为C盘,点击“开始搜索”按钮,即可找到该文件(如图2)。在列表中右键点击该文件,选择弹出命令“打开该文件所在文件夹”。确定后即可进入系统目录中,用记事本打打开该文件,可以看到如下内容: !!!RunSetCipher=5BE7D47DD37364D24ED6A09E96CB9B1C !!!UnlockCipher=5BE7D47DD37364D24ED6A09E96CB9B1C !!!IESetCipher=5BE7D47DD37364D24ED6A09E96CB9B1C 这三行就是管理员密码用MD5加密的密文,复制后到一些在线暴力破解MD5的网站去破解该密码,例如可到“https://www.360docs.net/doc/b219156592.html,/”网站。在“Hash to reverse:”中输入密文,点击“Reverse Hash”按钮,在右边的“Resault”栏中即可看到破解出来的密码了 技巧:在命令行下获取密文 有时由于网吧管理软件本身的限制,可能无法直接打开系统目录文件夹,此时我们可在命令行下查看获取“mcfer.dat”文件中的MD5密文。运行精锐网吧辅助工具,选择“CMD模拟”选项页,在命令行窗口中执行命令: type c:\windows\system32\mcfer.dat 即可在命令行下显示“mcfer.dat”中的内容了,拖动右边的滑块,可查看到管理员密码的加密密文。右键点击命令窗口,在弹出菜单中选择“标记”命令,拖动选择密文,点击右键,即可将密文复制到剪切板上(如图4)。再到MD5密码查询站点上去破解密码即可。 四、替换“mcfer.dat”文件
QQ木马病毒解决方法教程
QQ木马病毒解决方法教程 电脑病毒看不见,却无处不在,有时防护措施不够或者不当操作都会导致病毒入侵。前几天,同学在QQ上收到一个人传来的文件(见图1),十分欣喜地打开,结果什么都没有,然后就发现自己也在不停地给人传文件,于是找我帮忙清除。其查杀过程一波三折,现成此文,以供大家参阅。 案例分析 1.轻松搞定伪装品 先删除了他接收到的文件,然后用进程查看软件TroyanFindInfo(下载地址:http:// https://www.360docs.net/doc/b219156592.html,/soft/36670.htm)查看一下系统中所有进程。很快发现了一个很奇怪的进程(见图2),虽然名称是RUNDLL32.EXE,但其他的诸如版本、产品名、说明都和微软的RUNDLL32.EXE不同。 另外,该文件保存在System目录下,而同学的系统是Windows 2000,系统自带的RUNDLL32.EXE应该保存在System32的文件夹中。基于以上的判断,初步断定该进程为木马进程,于是就用TroyanFindInfo中的“Edit→Kill process”(编辑→结束进程)关闭掉该进程。同时把C:\WINNT\System\目录下的木马原文件也删除。最后在注册表中查找所有的开机自启动项目,找到和刚才删除的RUNDLL32.EXE有关的键值即可。 小提示 进程查看软件很多,比如以前介绍过的IceSword,本文介绍的TroyanFindInfo等。我个人喜欢用TroyanFindInfo,因为它比较小巧,信息也比较全面,实用。当你自己不能判断出进程文件时,还可以点击“Save”(保存)按钮,保存好LOG文件,然后传给高手,让他帮忙分析。 以前大多数QQ病毒都是通过发送病毒网站地址来传播的,现在也有不少通过QQ直接发送病毒文件,比如,使用图片图标的EXE文件,大家在接收来自好友或陌生人的消息及文件时一定要提高警惕,
电脑信息安全的基础常识
电脑信息安全的基础常识 电脑信息安全的基础常识 一、安全设置 1、开机密码设置。 方法:点击“开始”→打开“控制面板”→双击“用户账户” →点击列表中你要更改的账户名→点“创建密码”→在打开页面第一栏内输入自己的密码,再在第二栏内输入自己的密码进行确认,最后点击页面右下角的“创建密码”按钮即设置成功。重新启动电脑,你会发现登入桌面以前会弹出要求输入密码的对话框,在密码框内输入正确的密码才能正常登入系统。 作用:可以防止别人在未经自己允许的情况下打开电脑,同时还能有效的防止黑客匿名侵入系统。 2、屏幕保护设置。 方法:系统桌面空白处单击鼠标右键→“属性”→“屏幕保护”进行设置。 作用:在windows中启用了屏幕保护之后,只要我们离开计算机(或者不操作计算机)的时间达到预设的时间,系统就会自动启动屏幕保护程序,而当用户移动鼠标或敲击键盘想返回正常工作状态时,系统就会打开一个密码确认框,只有输入正确的密码之后才能返回系统,不知道密码的用户将无法进入工作状态,从而保护了数据的安全。 3、屏幕锁定。 方法:在计算机处于打开状态,要临时离开时,为避免别人使用
自己的计算机,可同时按下windows + l键,将计算机屏幕锁定。要回到系统桌面,只须点击用户名,再输入正确的密码即可。 作用:在计算机开机状态下快速锁定计算机,避免他人使用。 4、关闭远程功能。 方法:在“我的电脑”上右击→“属性”→“远程”→将“远程协助”和“远程桌面”下方框内的钩去掉。 作用:可防止黑客利用“远程协助”和“远程桌面”两个功能连入你的计算机,控制你的电脑。 5、关闭共享设置。 方法:依次打开“开始菜单→控制面板→管理工具→计算机管理→共享文件夹”,查看电脑中所有的共享资源,如果有共享,则依次打开“开始菜单→控制面板→管理工具→服务”,找到“server”服务,停止该服务,并且在“属性”中将“启动类型”设置为“手动”或“已禁用”。注意,这样设置后的电脑,其它电脑将不能进行网络打印。 作用:共享服务会给黑客入侵带来方便,禁用后可有效防止黑客入侵。 6、打开自动更新。 方法:在“我的电脑”上右击→“属性”→“自动更新”→选择“自动(推荐)” →确定即可。 作用:当微软发现操作系统漏洞后,会发布补丁程序,开启此功能,在连入互联网的计算机上可自动下载补丁程序进行安装,从而有效防止黑客入侵。
windows系统日志与入侵检测详解-电脑教程
windows系统日志与入侵检测详解-电脑教程.txt我很想知道,多少人分开了,还是深爱着.ゝ自己哭自己笑自己看着自己闹.你用隐身来躲避我丶我用隐身来成全你!待到一日权在手,杀尽天下负我狗.windows系统日志与入侵检测详解-电脑教程 系统日志源自航海日志:当人们出海远行地时候,总是要做好航海日志,以便为以后地工作做出依据.日志文件作为微软Windows系列操作系统中地一个比较特殊地文件,在安全方面具有无可替代地价值.日志每天为我们忠实地记录着系统所发生一切,利用系统日志文件,可以使系统管理员快速对潜在地系统入侵作出记录和预测,但遗憾地是目前绝大多数地人都忽略了它地存在.反而是因为黑客们光临才会使我们想起这个重要地系统日志文件. 7.1 日志文件地特殊性 要了解日志文件,首先就要从它地特殊性讲起,说它特殊是因为这个文件由系统管理,并加以保护,一般情况下普通用户不能随意更改.我们不能用针对普通TXT文件地编辑方法来编辑它.例如WPS系列、Word系列、写字板、Edit等等,都奈何它不得.我们甚至不能对它进行“重命名”或“删除”、“移动”操作,否则系统就会很不客气告诉你:访问被拒绝.当然,在纯DOS地状态下,可以对它进行一些常规操作(例如Win98状态下>,但是你很快就会发现,你地修改根本就无济于事,当重新启动Windows 98时,系统将会自动检查这个特殊地文本文件,若不存在就会自动产生一个;若存在地话,将向该文本追加日志记录. 7.1.1 黑客为什么会对日志文件感兴趣 黑客们在获得服务器地系统管理员权限之后就可以随意破坏系统上地文件了,包括日志文件.但是这一切都将被系统日志所记录下来,所以黑客们想要隐藏自己地入侵踪迹,就必须对日志进行修改.最简单地方法就是删除系统日志文件,但这样做一般都是初级黑客所为,真正地高级黑客们总是用修改日志地方法来防止系统管理员追踪到自己,网络上有很多专门进行此类功能地程序,例如Zap、Wipe等. 7.1.2 Windows系列日志系统简介 1.Windows 98地日志文件 因目前绝大多数地用户还是使用地操作系统是Windows 98,所以本节先从Windows 98地日志文件讲起.Windows 98下地普通用户无需使用系统日志,除非有特殊用途,例如,利用Windows 98建立个人Web服务器时,就会需要启用系统日志来作为服务器安全方面地参考,当已利用Windows 98建立个人Web服务器地用户,可以进行下列操作来启用日志功能. (1>在“控制面板”中双击“个人Web服务器”图标;(必须已经在配置好相关地网络协议,并添加“个人Web服务器”地情况下>. (2>在“管理”选项卡中单击“管理”按钮; (3>在“Internet服务管理员”页中单击“WWW管理”; (4>在“WWW管理”页中单击“日志”选项卡; (5>选中“启用日志”复选框,并根据需要进行更改. 将日志文件命名为“Inetserver_event.log”.如果“日志”选项卡中没有指定日志文件地目录,则文件将被保存在Windows文件夹中. 普通用户可以在Windows 98地系统文件夹中找到日志文件schedlog.txt.我们可以通过以下几种方法找到它.在“开始”/“查找”中查找到它,或是启动“任务计划程序”,在“高级”菜单中单击“查看日志”来查看到它.Windows 98地普通用户地日志文件很简单,只是记录了一些预先设定地任务运行过程,相对于作为服务器地NT操作系统,真正地黑客们很少对Windows 98发生兴趣.所以Windows 98下地日志不为人们所重视. 2.Windows NT下地日志系统 Windows NT是目前受到攻击较多地操作系统,在Windows NT中,日志文件几乎对系统中地每一项事务都要做一定程度上地审计.Windows NT地日志文件一般分为三类: