本文目录一览:
谁知道木马怎么用啊 !~~~~~~~
一、ping命令
在Windows的控制窗口中(Windows 95/98/ME的command解释器、Windows NT/2000的cmd解释器),运行ping可以看到这个命令的说明,它是一个探测本地电脑和远程电脑之间信息传送速度的命令,这个命令需要TCP/IP协议的支持,ping将会计算一条信息从本地发送到远程再返回所需要的时间,黑客使用这个命令决定是否对服务器进行攻击
另外这个命令还可以透过域名找到对方服务器的IP地址,我们知道域名只是提供给浏览网页用的,当我们看到一个域名地址后,要想通过telnet连接它,就必须知道对方的IP地址,这里也要使用ping命令的。
这个命令的基本使用格式可以通过直接运行ping获得,现在假设目标是,则可以在控制台下输入ping ,得到如下:
Pinging [204.202.136.32] with 32 bytes of data:
Reply from 204.202.136.32: bytes=32 time=302ms TTL=240
Reply from 204.202.136.32: bytes=32 time=357ms TTL=240
Reply from 204.202.136.32: bytes=32 time=288ms TTL=240
Reply from 204.202.136.32: bytes=32 time=274ms TTL=240
Ping statistics for 204.202.136.32:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 274ms, Maximum = 357ms, Average = 305ms
这些信息的意思是:的IP地址是204.202.136.32,对他发送了四次数据包,数据包的大小是32字节,每一次返回的时间分别是302ms、357ms、288ms、274ms。综合看,发送了四个数据包全部返回,最小时间是274ms,最大时间357ms,他们的平均时间是305ms。
这样黑客就了解了连接对方服务器使用的时间。另外这个命令还有一些特殊的用法,例如可以通过IP地址反查服务器的NetBIOS名,现在以211.100.8.87为例,使用ping配合“-a”,在控制台下输入命令ping -a 211.100.8.87,它的返回结果是:
Pinging POPNET-FBZ9JDFV [211.100.8.87] with 32 bytes of data:
Reply from 211.100.8.87: bytes=32 time=96ms TTL=120
Reply from 211.100.8.87: bytes=32 time=110ms TTL=120
Reply from 211.100.8.87: bytes=32 time=110ms TTL=120
Reply from 211.100.8.87: bytes=32 time=109ms TTL=120
Ping statistics for 211.100.8.87:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 96ms, Maximum = 110ms, Average = 106ms
从这个结果会知道服务器的NetBIOS名称是POPNET-FBZ9JDFV。另外在一般情况下还可以通过ping对方让对方返回给你的TTL值大小,粗略的判断目标主机的系统类型是Windows系列还是UNIX/Linux系列,一般情况下Windows系列的系统返回的TTL值在100-130之间,而UNIX/Linux系列的系统返回的TTL值在240-255之间,例如上面的返回的TTL是240,对方的系统很可能是Linux,而第二个目标的TTL是120,那么说明它使用的系统也许是Windows。
二、net命令:
在Windows ME/NT/2000内,很多网络功能都是以net命令为开始的,通过net help可以看到这些命令的详细介绍:
NET CONFIG 显示系统网络设置
NET DIAG 运行MS的DIAGNOSTICS程序显示网络的DIAGNOSTIC信息
NET HELP 显示帮助信息
NET INIT 不通过绑定来加载协议或网卡驱动
NET LOGOFF 断开连接的共享资源
NET LOGON 在WORKGROUP中登陆
NET PASSWORD 改变系统登陆密码
NET PRINT 显示或控制打印作业及打印队列
NET START 启动服务,或显示已启动服务的列表
NET STOP 停止网络服务
NET TIME 使计算机的时钟与另一台计算机或域的时间同步
NET USE 连接计算机或断开计算机与共享资源的连接,或显示计算机的连接信息
NET VER 显示局域网内正在使用的网络连接类型和信息
NET VIEW 显示域列表、计算机列表或指定计算机的共享资源列表
这些命令在Win95/98中支持的比较少,只有几个基本常见的,而在NT或者2000中又元元多于上面的介绍,最常用到的是NET VIEW和NET USE,通过者两个命令,可以连接网络上开放了远程共享的系统,并且获得资料。这种远程共享本来是为便捷操作设计的,但是很多网络管理员忽视了它的安全性,所以造成了很多不应该共享的信息的暴露,
例如在控制台下输入net view \\202.96.50.24则可以获得对应IP的系统共享目录,进而找到他们的共享文件,当然这需要202.96.50.24系统的确存在共享目录
三:telnet和ftp命令:
这两个命令分别可以远程对系统进行telnet登陆和ftp登陆,两种登陆使用的不同的协议,分别属于两种不同的网络服务,ftp是远程文件共享服务,也就是说可以将自己的资料上传、下载,但是它并没有过多的权利,无法在远程电脑上执行上传的文件;而telnet则属于远程登陆服务,也就是说可以登陆到远程系统上,并获得一个解释器权限,拥有解释器就意味着拥有了一定的权限,这种权限可能是基本的文件操作、也可能是可以控制系统的管理员权限
四:netstat命令:
它可以显示当前正在活动的网络连接的详细信息,如采用的协议类型、当前主机与远端相连主机(一个或多个)的IP地址以及它们之间的连接状态等。 使用netstat ?可以显示它的命令格式和参数说明:
netstat [-a] [-e] [-n] [-s] [-p proto] [-r] [interval] 其中的参数说明如下:
-a 显示所有主机的端口号;
-e 显示以太网统计信息;
-n 以数字表格形式显示地址和端口;
-p proto 显示特定的协议的具体使用信息;
-r 显示本机路由表的内容;
-s 显示每个协议的使用状态(包括TCP、UDP、IP);
interval 重新显示所选的状态,每次显示之间的间隔数(单位秒)。
netstat命令的主要用途是检测本地系统开放的端口,这样做可以了解自己的系统开放了什么服务、还可以初步推断系统是否存在木马,因为常见的网络服务开放的默认端口轻易不会被木马占用,例如:用于FTP(文件传输协议)的端口是21;用于TELNET(远程登录协议)的端口是23;用于SMTP(邮件传输协议)的端口是25;用于DNS(域名服务,即域名与IP之间的转换)的端口是53;用于HTTP(超文本传输协议)的端口是80;用于POP3(电子邮件的一种接收协议)的端口是110;WINDOWS中开放的端口是139,除此以外,如果系统中还有其他陌生的到口,就可能是木马程序使用的了。通过netstat或者netstat -a可以观察开放的端口,如果发现下面的端口,就说明已经有木马程序在系统中存在:
31337号端口是BackOffice木马的默认端口;1999是Yai木马程序;2140或者3150都是DEEP THROAT木马使用的端口;还有NETBUS、冰河或者SUB7等木马程序都可以自定义端口,因此发现了陌生端口一定要提高警惕,使用防火墙或者查病毒软件进行检测
五:tracert命令:
这个命令的功能是判定数据包到达目的主机所经过的路径、显示数据包经过的中继节点清单和到达时间。tracert命令的格式如下:
tracert [-d] [-h maximum_hops] [-j host-list] [-w timeout] target_name
命令行中的参数-d是要求tracert不对主机名进行解析,-h是指定搜索到目的地址的最大轮数,-j的功能是沿着主机列表释放源路由,-w用来设置超时时间间隔。
通过tracert可以判断一个服务器是属于国内还是国际(网络服务器的物理未知不能依靠域名进行判断),根据路由路经可以判断信息从自己的系统发送到网络上,先后经过了哪些IP到大对方服务器,我们清楚了自己的信息的传送路径,才能够更清晰的了解网络、对服务器进行攻击。
六、winipcfg:
winipcfg和ipconfig都是用来显示主机内IP协议的配置信息。只是winipcfg适用于Windows 95/98,而ipconfig适用于Windows NT。winipcfg不使用参数,直接运行它,它就会采用Windows窗口的形式显示具体信息。这些信息包括:网络适配器的物理地址、主机的IP地址、子网掩码以及默认网关等,点击其中的“其他信息”,还可以查看主机的相关信息如:主机名、DNS服务器、节点类型等。其中网络适配器的物理地址在检测网络错误时非常有用。
ipconfig的命令格式如下:ipconfig [/? | /all | /release [adapter] | /renew [adapter]]
其中的参数说明如下:
使用不带参数的ipconfig命令可以得到以下信息:IP地址、子网掩码、默认网关。而使用ipconfig
/? 显示ipconfig的格式和参数的英文说明;
/all 显示所有的配置信息;
/release 为指定的适配器(或全部适配器)释放IP地址(只适用于DHCP);
/renew 为指定的适配器(或全部适配器)更新IP地址(只适用于DHCP)。
/all,则可以得到更多的信息:主机名、DNS服务器、节点类型、网络适配器的物理地址、主机的IP地址、子网掩码以及默认网关等
我下载的黑客工具怎么才能知道它是否捆绑了木马?
一般的工具都可能难得查到。
试一下就更不可能了,
建议下载一个:木马分析专家的工具,
能够有效的查出所有木马病毒程序,而且不会杀掉任何系统文件,十分有用。
黑客们使用最常见的远程控制木马有哪些
1,一般就是灰鸽子、冰河木马这种
2,现在这种木马都可以防护的
3,装个电脑管家,病毒进入电脑就能被检测出来
QQ木马是怎么回事?
GOP木马与其它木马不一样,它有一个很大的特色,就是没有客户端,也就是说,黑客不用千辛万苦地到你的机器上捣鼓就能轻而易举地得到你的OICQ号及密码,哇,是不是真的,这似乎太恐怖了吧!!如果你的OICQ还没有受到攻击的话,赶快看看下文吧!
让我们一步一步来: QQ吧 | QQ加油站 网站真的好
一、剖析GOP木马的使用设置 qqbar.org
常言道“知己知彼,百战不殆”,要防范GOP的攻击,首先就要了解它的运作机理。 本文来自 QQ吧 | QQ加油站
最新版的GOP 1.3下载(本站下载区有请访问)解压缩之后是3个可执行文件(.EXE)加一个说明文档,还有一个附带的图标。 本文来自 QQ吧 | QQ加油站
其中gop.exe是服务端,EditGOP.exe是服务端编辑器(如图)GOPSlit.exe是个整理发送记录的工具。EditGOP的配置分为四个部分。
//start------本行不允许更改
1.一般设置
复制到定义目录:下拉菜单中可以选择目录、目录、目录和源目录四种之一。这就是木马的藏身之地。如果是在目录下,你还不可以直接删除! 本文来自 QQ吧 | QQ加油站
运行后删除源文件:一般不要选上。(谁不知道运行后莫名其妙就消失的东东是木马!)
爱上网,QQ吧 | QQ加油站
服务文件名(.EXE)/钩子文件名(.DLL):默认为sysexhook.exe/gHookDll.dll,位置为定义目录下(上文所说四种目录之一),但这两个文件名可以随意更改!
欢迎来到 qqbar.org
定义注册表键名:木马一旦被运行过,就会在注册表中HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run主键之下添加木马的键(默认值为WindowsAgent,当然你也可以改的),以便今后每次开机时木马都能够自动运行。
爱上网,QQ吧 | QQ加油站
当记录数超过××个时开始清理:当GOP记录文件中的记录数达到这个××值的时候自动对记录进行清理(黑客真是坐享其成哦)。
爱上网,QQ吧 | QQ加油站
2.邮件设置
QQ吧 | QQ加油站 网站真的好
SMTP:设置邮件发送服务器。知道这是干什么用的吗?当你上网的时候,GOP木马就会通过这个邮件服务器把你的OICQ密码发送到黑客的邮箱里面,还可以进行当场测试!(哦,怪不得没有客户端呢)。
QQ吧 | QQ加油站 版权所有
发送邮箱:这是黑客用来发送邮件的信箱帐号。国内的免费信箱的提供商大都对SMTP服务器进行了限制,所以需要设置一个合法的邮件账号来发送信件。 qqbar.org
接收信箱:接收GOP木马发送的OICQ号和密码记录文档的信箱,受害者密码的最终目的地。格式:OICQ: [OICQ号] || PASSWORD: [OICQ密码] QQ吧 | QQ加油站
主题标识:黑客收到OICQ号和密码记录文档的主题。格式:[主题标识]-[服务端计算机的名]-GOPv1.2 by boomslang。这里可以区分从各地发过来的记录。 QQ吧 | QQ加油站 版权所有
检查间隔(秒):设定GOP检查记录文档的时间间隔。如果检查时记录已经更新并且在线,就马上发送记录。还可以设置邮件优先级(低、中、高),很像正规邮件嘛! QQ吧 | QQ加油站 网站真的好
3.欺骗窗口
爱上网,QQ吧 | QQ加油站
这里你可千万要注意!当你运行GOP木马(文件名不一定是GOP,所以千万要警慎!)的时候弹出一个欺骗窗口。比方说,定义一个标题为“警告”,内容为“内存不足!”,图标为“叹号”的欺骗窗口。这样在别人第一次运行这个木马的时候就会弹出定义的那个窗口,于是在神不知鬼不觉之中木马已经被植入电脑了。还可以设置其它的弹出窗口!
QQ吧 | QQ加油站 网站真的好
4.文件捆绑 欢迎来到 qqbar.org
该木马自带文件捆绑工具,真是很恐怖。以下是它的重要选项:
宿主文件:黑客可以在网上随便找一个小动画或者小程序,把它作为“寄生”的目标。所以你最好不要到不知名的网站下载东东,可能这就是一个陷阱哦!
爱上网,QQ吧 | QQ加油站
文件图标:如果黑客找一个和系统工具一样的图标(16色图标文件),一般的人是不敢删除的。这样,及时知道有木马也无法及时清除。想得真是周到!
qqbar.org
gop.exe:这就是GOP木马!需要GOPEdit编辑,具体过程就是上文所说的。文件可以任意更名,所以当你收到陌生人的邮件(带有可执行附件),千万不要打开啊! QQ吧 | QQ加油站 版权所有
GOPSplit.exe:好像没什么大用,因为在GOPEdit.exe里可清理。
//start------本行不允许更改
(好了,有了GOP木马,大家就可以放心的去偷别人的OICQ密码了,可千万别说是我告诉你的哦!(哈哈,开个玩笑!) 本文来自 QQ吧 | QQ加油站
下面开始讲如何对付这个木马。因为它很新(才出来几天呀)! qqbar.org
二、GOP木马的检查
QQ吧 | QQ加油站 网站真的好
该木马运行的时候在Windows的任务窗口中是看不到的(费话!要是能看得到,还会有这样多人“遣忘”密码吗?)你可以点任务条上的“开始”、“运行”、“msinfo32”(就是Windows自带的系统信息,在“附件”中)。看其中的软件环境→正在运行的任务。这才是Windows现在全部运行的任务。当你在运行了什么东西之后觉得有问题的时候就看看这里。如果有一个项目有程序名和路径,而没有版本、厂商和说明,你就应该紧张一下了。GOP木马在这里显示的版本为:“不能用”。如果你发现GOP木马,先关掉你的猫(断网),然后脱机重新登录一次你的OICQ,查找电脑中是否有record.dat文件(每个盘都应该查一下!绝不放过!)(这是GOP记录OICQ密码的文档,如果你的OICQ密码被监控到了就一定会有。当然,即使你中了木马,在你还没有用OICQ的时候是不会有这个文件的。反正现在不在网上,不用担心密码被发走)。如果有的话,那么“恭喜”你了,100%中了木马。不信?用记事本打开那个record.dat,看看有没有你的宝贝OICQ的号码和密码。 //start------本行不允许更改
你还可以运行系统配置实用程序(开始—运行—msconfig),在启动栏里,你亦可发现“WindowsAgent”(就是上文提到的“定义注册表键名”,可能会是其它键名)。 QQ吧 | QQ加油站
三、木马的清除 本文来自 QQ吧 | QQ加油站
庆幸的是,至今为止绝大部分的木马都是在注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run主键下添加一个键值来让木马自动运行,该木马也不例外。运行regedit,进入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run主键,记住那个在系统信息中查到的那个文件,也可在msconfig—启动—名称里找到(在“剖析木马的设置”中,我们知道木马文件名是可以任意定制的,所以无法确定具体的文件名)的存放路径,删除该键值。然后关闭计算机,稍候一下启动计算机(注意:不要选重新启动)。然后进入文件的存放路径删除木马文件即可。
QQ吧 | QQ加油站 版权所有
最好的办法是自己也下载一个GOP,然后用EditGOP打开木马文件,会知道和木马关联的文件位置,然后删除。如果是删除的文件是系统本身就有的,还需要再拷贝一个正确的回来。最重要的一点是打开木马之后可以知道黑客的E-mail地址了(如果不清楚,请参看上面“剖析木马的设置”)。知道这个东东有什么用就看你自己的了。反正腾讯公司说偷窃别人的OICQ是违法的行为。
qqbar.org
因为OICQ是腾讯人发明的,所以,腾讯人也采取了措施,在腾讯公司的主页—最新下载—防木马软件—有一个专门清除GOP木马的软件KILLGOP(如行后如图killgop)
QQ吧 | QQ加油站 版权所有
运行后扫描就行了,如果清除失败的话可再扫描一遍。如果你是个电脑新手而又是QQ高手的话,赶紧去下载一个,看看你是否中了GOP木马!
QQ吧 | QQ加油站 网站真的好