[原创]冰血封情精彩问答录第一期

[这个贴子最后由冰血封情在 2003/06/28 03:18pm 第 1 次编辑] 这是第一期冰血封情《问答录》，是早先在SNAKEBIN的正义黑客联盟回答的问题集锦！ 希望能给广大还在迷茫中的我一样的菜鸟提供一盏小油灯：）

我现在有一个问题 我将我自己的注册表禁止了,来防止别人进行修改.但现在我也无法进行修改了. 因为我运行解锁软件无效软件如下 REGEDIT4 HKEY_CURRENT_USER\SLFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\……

这种方法要有三点注意: 1\格式: REGEDIT4 [HKEY_CURRENT_USER\SLFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM] "DISABLEREGISTRYTOOLS"=DWORD:00000000 (REGEDIT4下一定要空行) 2\系统: 若为WIN2K,那么REGEDIT4应为Windows Registry EditorVersion 3\导入: 导入后要多刷新几次,是很多次才见效的! _______________________________________________________________

怎样在局域网中知道主机的名字，在网站论坛上显示的IP真的是我主机的吗？

不完全正确！因为有可能是代理服务器的IP！ 正确的方法应该是： 1、IF你想得到主机在LAN的名字，可以在你的TCP/IP属性里查GATEWAY的IP（是内网的），然后再用PING命令解析主机的名字！ 2、IF你想得到主机在WAN的名字，可以用TACERT命令找出主机的IP，在解析他的名字！ _______________________________________________________________

我是WIN-XP（V6） 在安装系统后，135是开（RPCSS），139是关的， 我已启用TCP-NETBIOS， IPC$，C，D，$是开的. 如何才开我的139, 奇怪的是我用SUPER3.0上网后扫我的IP 139是关的,135 是开 不上网用SUPER3.0扫本机(127.0.0.1)的139是开的?????135是开

您的问题是这样的： 听您说的意思您已经安装了NetBEUI协议，并且启用了！ 但是您是否清楚，起用后还要将NetBEUI、TCP/IP、IPX/SPX协议绑定在一起才能 够达到预期的效果！那么这样一来，IPX/SPX也要添加，另外还要一个Microsoft 网络上的文件与打印机共享服务才能实现139内网交流！另外，如果您使用了防火 墙也会对此有影响！ 我真不明白，NETBIOS存在致命的缺陷是众所周知的，别人解除还来不急，您怎 么偏偏要装？？ _________________________________________________________________

什么是windows2000的IPC默认共享，怎么建立一个空连接

IPC是共享“命名管道”的资源，它对于程序间的通讯很重要。在远程管理计算机和查看计算机的共享资源时使用。利用IPC我们可以与目标主机建立一个空的连接(无需用户名与密码)，而利用这个空的连接，我们还可以得到目标主机上的用户列表，并使用一些字典工具，对目标主机进行攻击。 空连接其实就是不用密码和用户名的IPC连接． 我们可以如此实现！ C:\〉net use \\IP "" /user:"" 要是你自己有此漏洞怎么办？怎样删除ipc$的共享呢？ 冰血封情这顺便就说说吧！ 在注册表的自动运行选项里新建一个项目,可以任意改名,然后修改键值为 net share ipc$ /del ___________________________________________________________________

冰兄，我的电脑出了很多问题了，这一切都是从我对黑客感兴趣开始的 　一开始，我先在我的电脑上装了些黑客软件，如BO2K，冰河，广外女生等， 我的电脑就不能正常关机了，要单击关闭系统的同时按住Ctrl键，但这样关机 后，下次　开机后，出来就是“是否恢复Desktop“这个（我曾经发过帖子求助）；而且很多次我用磁盘扫描后，经常查出说有文件被破坏；双击文本文件后打不开，也没出错提示；昨天我用金山毒霸查了一下，查出girl.exe,I love you.exe，还有一个好像是木马的服务器程序（是不是广外女生）。杀了以后，再打开文本文件，就出来提示说是不能找到girl.exe，应该怎么修复过来。 我用netstat -a看了一下结果如下： 请冰兄帮我看一下，有没有问题，还有上次你说你只开了一个端口，能教我一 下怎么关端口吗？还有一个问题是现在我删除文件的话，速度非常慢，如果这个 时候操作其它的话，就死机了。冰兄能帮我分析一下吗，我应该从哪里查起

先看看你的问题：你中了I love you（爱虫）病毒，请立刻用最新的Z版杀毒软件再查一便； 你说：“……而且很多次我用磁盘扫描后，经常查出说有文件被破坏……”就是因为爱虫的缘故！ 而那个girl.exe是木马广外女生自带的服务端，一般杀毒软件会认为他为木马（不是认为，他就是木马，只是未被激活），并且查杀，这是正常现象； 你还说：“……还有一个好像是木马的服务器程序（是不是广外女生）……”你的计算机中有那么多木马，如：BO2K，冰河……他们如果自带了服务端，都会被杀的！当然你不用担心，因为木马的自带服务端被KILL后，你可以手动再生成！！ 至于你有说：“……杀了以后，再打开文本文件，就出来提示说是不能找到girl.exe，应该怎么修复过来……”我想你是误执行了某个木马的服务端，导致你本身被木了！而一些木马木马有文件关连功能，但你杀掉后，是会出现文件关联错误的！剧你所说，是文本文件的关联被破坏了，你可以试试用以下方法恢复（如果不成功，只有重装SYSTEM），方法如下（没有的主键要加）： 进入REGEDIT，进入HKEY_CLASSES_ROOT\.txt，把右窗口中的内容按照下面的改（一样的就算了） 将字符串键名“(默认)”的键值改为“txtfile”； 再将字符串键名“Content Type”的键值改为“text/plain”； 进入HKEY_CLASSES_ROOT\.txt\ShellEx，把右窗口中的字符串键名“(默认)”键键值设空； 进入HKEY_CLASSES_ROOT\.txt\ShellEx\{BB2E617C-0920-11d1-9A0B-00C04FC2D6C1}，把右窗口中的字符串键名“(默认)”键键值设为“{EAB841A0-9550-11cf-8C16-00805F1408F3}”（注意：所有0为零，不是大写的o）； 进入HKEY_CLASSES_ROOT\.txt\ShellNew，把右窗口中的字符串键名“(默认)”键键值也设空，把右窗口中的字符串键名“NullFile”的键值设空！ 进入HKEY_CLASSES_ROOT\txtfile，把右窗口中的字符串键名“(默认)”键键值设为“文本文档”，把右窗口中的DWORD键名“EditFlags”，将16进制键值设为“10000”； 进入HKEY_CLASSES_ROOT\txtfile\DefaultIcon，把右窗口中的字符串键名“(默认)”键键值设为“shell32.dll,-152”； 进入HKEY_CLASSES_ROOT\txtfile\shell和HKEY_CLASSES_ROOT\txtfile\shell\open和HKEY_CLASSES_ROOT\txtfile\shell\print，把右窗口中的字符串键名“(默认)”键键值都设空； 进入HKEY_CLASSES_ROOT\txtfile\shell\open\command，把右窗口中的字符串键名“(默认)”键键值设为“Notepad %1”； 进入HKEY_CLASSES_ROOT\txtfile\shell\print\command，把右窗口中的字符串键名“(默认)”键键值设为“C:\WINDOWS\NOTEPAD.EXE /p %1”； 进入HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\.txt将其键下构造设置成与HKEY_CLASSES_ROOT\.txt下一样！ 进入HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\txtfile，将其键下构造社成与前面所提的HKEY_CLASSES_ROOT\txtfile下的构造一样！ —— 以后从网络上下载文件（特别是可执行的文件），一定要先查杀病毒，而且尽量在大网站下，即使是黑客软件也要从知名的黑客站下！ 另外，你也应该知道，现在的EXE捆绑器很多，如果有人将木马的服务端与某软件捆绑再放到网络上供你下载，那……而且计算机上不能存有木马服务端！ —— 恢复的方法这么麻烦，而且还不一定有效，因为，木马不仅会关连TXT，也许还会关联COM，那就是这几倍的工作量，如果你不是个很有耐心的（像唐僧一样）的人，还是重新安装吧，虽然丢人，但是这万全之策！！ 另外，那张你的端口节图，我这里现实不出来~？ 还有，端口开的多少，是由人觉决定的，但是并不是开的多就危险！ 只要不开类似139这类网络上常见的漏洞，众所周知的入侵方法的端口就OK！ 但是，还是尽量少开端口，少开服务，可以降低被黑的概率！ 推荐安装“天网”防火墙，虽然不是最好的，但是要知道任何防火墙都是可以被攻破的，我们要使实用、上手的！ 以下是国产部分常用防火墙的优点： 天网：可以随时终止你不需要的服务，对计算机的那些程序开了哪些端口一目了然，还可以控制各个程序的网络连接，生杀大权在你手中，就是MICROSOFT的阴谋诡计也不例外！ 瑞星：可以查出任何与你产生连接的人或站点的IP，省去了在命令行下用PING查网站IP地址的麻烦，就算有人朝你扔木马，你也可以知道是谁干的！ __________________________________________________________________

请教几个问题：1、我的电脑上安装了BO2K以后，每次开机都被诺顿查出来，很讨厌。 有没有办法让这个跳过去，但不要关了诺顿的开机检查。 　　　　　　　2、QQ里的传文件功能，能否用于传木马？ 　　　　　　　3、你平常看哪些书？我在网络方面的知识比较缺乏，你能建议一下 看哪方面的书（基础一点）。最好你能专门做几个讲座。

RE： 1、没办法的任何杀毒软件的目的就是查杀病毒、木马！就算开机不检查， 时时监控也会在运行是KILL他的！一般的黑客是不用杀毒软件的，或是自 己编的！ 2、可以，正常文件怎么传，木马一样可以！怎样，乱点东西很惨吧！？ 3、我看的书可多了，除了高校的教程还有几乎所有的IT类月刊都买！ ___________________________________________________________________

谢谢了，还有一点问题：1、就是自己不去运行Bo2k.exe,自己的电脑应该不会感染木马 吧；2、我在一篇介绍Bo2K的文章中看到有这样一句话：“BO去掉开机自启动选项也可做到 安全封锁”是什么意思，怎么操作？3、我通过QQ的传送文件功能把Bo2k.exe发给我的好友 （我只是想试试行不行，没恶意）她打开了，但我连不上她的电脑，为什么？

RE： 1、当然，只要您不去执行BO的服务端，一般不会有事！但是，请注意， 不能让肉机与你的计算机在连接状态下时启动木马服务端，否则您也会被影响！ 这是很多人容易疏忽的问题！ 2、这是“死牛之祭”的一个绝活，就是即便从启动中被驱除，BO仍然可以被击 活！这是BO的自我保护措施，是默认的，不用您去设置！ 3、您得等些时间，因为木马要把对方的信息发到您事先制定的邮箱去，等到收 到邮件后，照着邮件上取得的信息，填如BO客户端的指定位置再点击连接！ _______________________________________________________________________

冰兄，我用X-way扫描一段IP，其中有这样一个结果： 探测主机：61.164.132.40 服务检测 SMTP-> 服务检测 POP-> +OK KAV2000 POP3 proxy ready! 检测 Port-> 61.164.132.40 端口 25 [smtp] 开放 ...OK 你能解释一下吗，还有这个端口25有什么用吗 在扫描过程中，它猜解了很多的密码，如[backup]、[admin]、[administrator]等 后面跟着的是猜出来的密码结果吗？

POP是用来到邮件服务器接收邮件用的，POP3默认端口是110，但是61.164.132.40这个家伙，用了江民公司的杀毒软件进行了邮件监控！可以有效的防止邮件病毒的侵袭！ STMP是邮件发送用的，其默认端口是25！ ______________________________________________________________________

还有我扫描了一下我的IP，结果是这样的： 检测 Port-> 61.164.132.42 端口 25 [smtp] 开放 ...OK 检测 Port-> 61.164.132.42 端口 135 [epmap] 开放 ...OK 检测 Port-> 61.164.132.42 端口 139 [netbios-ssn] 开放 ...OK 检测 Port-> 61.164.132.42 端口 110 [pop3] 开放 ...OK 请你看一下，有没有问题。

你用WIN2K/NT吗？？ 前面已经说了，STMP是用来您自己发邮件用的服务！ 至于epmap是什么服务，一直以来我都没明白，也没时间问，直到刚才我也不太清楚，只知道是MICROSOFT的一个网络定位服务！于是去问了神秘USA高手，他给了我这样一个回答，看看吧： Port 135 loc-srv/epmap Microsoft DCE Locator service aka. end-point mapper. It works like Sun RPC portmapper, except that end-points can also be named pipes. Microsoft relies upon DCE RPC to remotely manage services. Some services that use port 135 of end-point mapping are: DHCP server DNS server WINS server 现在知道了吧： 他是MICROSOFT的一个网络定位服务，作用有些像Sun的RPC portmapper！ 除了终端以外，还可以被称做管道！可以依赖emap实现远程服务，用135终端的服务有： DHCP server DNS server WINS server 知道了吧！ 139端口就不用说了，说他是万恶之源都不过分那！如果WINDOWS或SMB服务器的这个端口对INTERNET打开着，会餐使HACKER连上文件服务器成为可能，就像他们是本地用户一样…… ______________________________________________________________________

冰血封情你好啊冰血我发现你是这里最热心的人了可以教教我怎样开 对方的3389端口吗？我扫到了密码就是没有开3389教教我啊~谢谢！ 我有了administrator密码了就是对方没开3389我想问一下3389怎么开是不是有什么木马可以做到？谢谢了1

首先你应该了解3389终端服务,可以运行在什么系统下,个人了解,终端服务在M$的大部分产品中都可运行,如:winnt4/win2000server/win2000ADV-server/win2000DS/XP等.但winnt4中是需要单独购买的,2000专业版不能远程安装终端服务的,至少我没成功过.我们在以下的探索中,是以win2000server和高级server为例的.(现在用的也最多). 前面我已经说过2000专业版不能远程安装终端服务的!! 所以你要去判断对方是否可以开! 首先与远程主机建立连接 net use \\192.168.0.1\ipc$ "7788" /user:"wawa" 再打开本机注册表 "开始"==>"运行"==>regedit 在"注册表"下拉菜单中选择"连接网络注册表" 在"计算机名"中输入 \\192.168.0.1 这样就进入了远程主机注册表. 现在我们找到这里: hkey_local_machine\system\currentcontrolset\control\terminal server\winstations\rdp-tcp\fEnableWinStation 将fEnableWinStation值由0改为1 断开远程注册表,断开IPC$连接. 现在虽然我们已经打开了RDP的连接,但现在我们还是连不上,对方重起后,才可以.如果你等不急,又不怕对方发现或你知道那没人!可以使用 shotdown \\192.168.0.1 /reboot直接重起主机. 好了去享用你的3389肉机吧! 在NET命令中当连接取得ADMIN时，并且同步时间，建立作业ID后就可以用： at\\IP TIME TermService 启动对方该服务，成功率不高！！ _____________________________________________________________________

封情大哥： 我用的是win2000个人版，我使用了最新的升级包（补丁），而且也装了终端服务客户端， 我也扫描到了许多的3389端口，我试着用终端服务客户端登陆，出现对方主机的登陆画面 但不存在输入法漏洞，你能帮我分析一下吗？？？ 谢谢！！！

只要装了SP2补丁的都会补输入法漏洞！！ ______________________________________________________________________

映射的硬盘能删除吗? 我为什么删不了

小姐呀！得有可写权才能删除东西的啊！ 另外送你——国际黑客道德准则第一条： 不要破坏你所入侵的系统，除非万不得已！ _______________________________________________________________________

我得注册表被人禁止了。我编辑了下列文件然后导入注册表，但是仍然不能用。 Windows Registry Editor Version 5.00 [Hkey_current_user\Software\microsoft\windows\currentversion\Policies\system] "DisableRegistryTools"=dword:00000000 请大侠快快指点。。。

你是什么操作系统？？ 这是WIN2K的开头——Windows Registry Editor Version 5.00 如果是WIN9X/ME——请将Windows Registry Editor Version 5.00改为REGEDIT4 另外不管是Windows Registry Editor Version 5.00还是REGEDIT4，下面一定要空一行！ 格式如下（FOR WIN9X）： REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"=dword:00000000<回车> 这样才对！