|
作者: abctm [abctm] 版主 | 登录 |
win2000网络命令初步 ==================== 1】ping 用来测试网络是否建立连接,获取ip地址,也可以用来攻击 ping -l 65500 -t 127.0.0.0『对某个地址连续发送大小为65500大小的数据包,一直到它死机,对98使用较好 2】netstat -a 查看自己开的端口,常常用来手工查看是否中了木马,或者黑客程序 3】netstat -n 查看自己机器正在和哪些机器的哪个端口进行连接 4】ftp 文件传送协议命令,与对方机器连接后上传和下载文件 下载对方的东西的格式: get *.* c:\ 上传文件: put c:\*.* 5】net use 1 ipc$连接 net use \\127.0.0.1\ipc$ "123" /user:"admin" 密码为123 用户名 admin 2 退出ipc$ net use \127.0.0.1\ips$ /delte 3 把对方的共享的文件夹映射 net use z: \\127.0.0.1\c$ 6】net time 查看对方时间 net time \\127.0.0.1 7】指定时间运行对方机器中的程序 at \\127.0.0.1 12:30 *.exe 8】telnet 与对方做远程连接 一般需要用户名和密码,你在它的机器安装了木马就简单了 telnet 【ip】 【端口】 9】net user 添加用户命令 net user netdemon 123 /add 添加一个用户名为netdemon密码为123的用户 激活guest netuser guest /active:yes 10】提升权限 ner localgroup administrators netdemon /add 把netdemon提升为管理员 11】net start 查看机器开放的服务 可以启动服务 net start telnet 启动telnet服务 12】net stop 停止服务 net stop telnet 用来关闭服务 13】iisreset /reboot 重启机器2k 14】finger 查看对方最近有那些用户登陆用来得到对方的用户名 figer username @host 15】ipconfig 查机器有多少网卡:查看本机器ip地址 [此贴被 日月双星[NG](abctm) 在 12月31日18时57分 编辑过] |
地主 发表时间: 03-12-31 18:31 |
回复: wojiaokl1 [wojiaokl1] 论坛用户 | 登录 |
不错不错 可是我看不懂 还是要顶一下 呵呵 |
B1层 发表时间: 03-12-31 18:44 |
回复: zybzc [zybzc] 论坛用户 | 登录 |
果然初级 |
B2层 发表时间: 03-12-31 18:45 |
回复: lida1818 [lida1818] 论坛用户 | 登录 |
net use \\127.0.0.1\ipc$ "123" /user"admin" ??? net use \127.0.0.1ips$ /delte ??? at \\127.0.0.1 12:60 *.exe ????你家的钟是这样的?哈~ 网上文章的通病,还得改改! |
B3层 发表时间: 03-12-31 18:49 |
回复: afan271314 [afan271314] 论坛用户 | 登录 |
烟雨说的好 这样能连上啊 我日 |
B4层 发表时间: 03-12-31 18:54 |
回复: yzxh24 [yzxh24] 论坛用户 | 登录 |
写的好 |
B5层 发表时间: 03-12-31 18:58 |
回复: abctm [abctm] 版主 | 登录 |
那个钟表的是想搞笑!~~~~ |
B6层 发表时间: 03-12-31 19:04 |
回复: abctm [abctm] 版主 | 登录 |
|
B7层 发表时间: 03-12-31 21:43 |
回复: abctm [abctm] 版主 | 登录 |
随着计算机的普及和人们对电脑知识的了解“木马”这个名词被越来越多的提起。 “木马”全称是“特洛伊木马(TrojanHorse)”,原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上,“特洛伊木马”指一些程序设计人员(或居心不良的马夫)在其可从网络上下载(Download)的应用程序或游戏外挂、或网页中,包含了可以控制用户的计算机系统或通过邮件盗取用户信息的恶意程序,可能造成用户的系统被破坏、信息丢失甚至令系统瘫痪。 木马的特性 特洛伊木马属于客户/服务模式。它分为两大部分,既客户端和服务端。其原理是一台主机提供服务(服务器端),另一台主机接受服务(客户端),作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求,服务器上的相应程序就会自动运行,来答应客户机的请求。这个程序被称为进程。木马一般以寻找后门、窃取密码为主。 在使用计算机的过程中如果您发现: 计算机反应速度变慢 硬盘在不停地读写 鼠标键盘不听使唤 窗口突然被关闭 新的窗口被莫名其妙地打开 网络传输指示灯一直在闪烁 系统资源站用很多 或运行了某个程序没有反映 在关闭某个程序时防火墙探测到有邮件发出…… 这些不正常现象表明:您的计算机中了木马病毒。 木马的工作原理以及手动查杀介绍 由于菜鸟对安全问题了解不多,所以并不知道自己的计算机中了“木马”该怎么样清除。因此最关键的还是要知道“木马”的工作原理,这样就会很容易发现“木马”。相信你看了这篇文章之后,就会成为一名查杀“木马”的高手了 木马”程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把Form的Visible属性设为False。ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。木马会悄悄的自动运行,会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的方法,“木马”都会用上,如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。通过win.ini和system.ini来加载木马。在Windows系统中,win.ini和system.ini这两个系统配置文件都存放在C:windows目录下,你可以直接用记事本打开。可以通过修改win.ini文件中windows节的“load=file.exe,run=file.exe”语句来达到木马自动加载的目的。此外在system.ini中的boot节,正常的情况下是“Shell=Explorer.exe”(Windows系统的图形界面命令解释器)。下面具体谈谈“木马”是怎样自动加载的。 1】在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOLTrojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。 通过c:windowswininit.ini文件。很多木马程序在这里做一些小动作,这种方法往往是在文件的安装过程中被使用,程序安装完成之后文件就立即执行,与此同时安装的原文件被Windows删除干净,因此隐蔽性非常强,例如在wininit.ini中如果Rename节有如下内容:NUL=c:windowspicture.exe,该语句将c:windowspicture.exe发往NUL,这就意味着原来的文件pictrue.exe已经被删除,因此它运行起来就格外隐蔽。 2】在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell=explorer.exe程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。 3】win.ini、system.ini文件可以通过“开始”菜单里的“运行”来查看。只要在“运行”对话框中输入“msconfig”,后点击“确定”按钮就行了。(这里大家一定要注意,如果你对计算机不是很了解,请不要输入此命令或删除里边的文件,否则一切后果和损失自己负责。斑竹和本人不承担任何责任。) 4】对于下面所列的文件也要勤加检查,木马们也可能隐藏在 C:\windows\winstart.bat和C:\windows\winnint.ini,还有Autoexec.bat 5】注册表(注册表就是注册表,懂电脑的人一看就知道了) 1、从菜单中加载。如果自动加载的文件是直接通过在Windows菜单上自定义添加的,一般都会放在主菜单的“开始->程序->启动”处,在Win98资源管理器里的位置是“C:windowsstartmenuprograms启动”处。通过这种方式使文件自动加载时,一般都会将其存放在注册表中下述4个位置上: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserS!hellFolders HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\UserShellFolders HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellFolders 2、在注册表中的情况最复杂,在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“AcidBatteryv1.0木马”,它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer键值改为Explorer=“C:\WINDOWS\expiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能,最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索即可。 3、此外在注册表中的HKEY_CLASSES_ROOT\exefile\shell\open\command= “%1”“%*”处,如果其中的“%1”被修改为木马,那么每次启动一个该可执行文件时木马就会启动一次,例如著名的冰河木马就是将TXT文件的Notepad.exe改成!了它自己的启动文件,每次打开记事本时就会自动启动冰河木马,做得非常隐蔽。 注册表可以通过在“运行”对话框中输入“regedit”来查看。需要说明的是,对系统注册表进行删除修改操作前一定要将注册表备份,因为对注册表操作有一定的危险性,加上木马的隐藏较隐蔽,可能会有一些误操作,如果发现错误,可以将备份的注册表文件导入到系统中进行恢复。(次命令同样很危险,如不懂计算机请不要尝试。切记) 端口(端口,其实就是网络数据通过操作系统进入计算机的入口) 1、万变不离其宗,木马启动都有一个方式,它只是在一个特定的情况下启动。所以平常多注意你的端口。一般的木马默认端口有 BO31337,YAL1999,Deep2140,Throat3150,冰河7636,Sub71243 那么如何查看本机开放哪些端口呢? 在dos里输入以下命令:netstat-an,就能看到自己的端口了,一般网络常用端口有:21,23,25,53,80,110,139,如果你的端口还有其他的,你可要注意了,因为现在有许多木马可以自己设定端口。(上面这些木马的端口是以前的,由于时间和安全的关系现在好多新木马的端口我不知道,也不敢去试,因为技术更新的太快了,我跟不上了。55555555555555) 2、由于木马的运行常通过网络的连接来实现的,因此如果发现可疑的网络连接就可以推测木马的存在,最简单的办法是利用Windows自带的Netstat命令来查看。一般情况下,如果没有进行任何上网操作,在MS-DOS窗口中用Netstat命令将看不到什么信息,此时可以使用“netstat-a”,“-a”选项用以显示计算机中目前所有处于监听状态的端口。如果出现不明端口处于监听状态,而目前又没有进行任何网络服务的操作,那么在监听该端口的很可能是木马。 3、系统进程: 在Win2000/XP中按下“CTL+ALT+DEL”,进入任务管理器,就可看到系统正在运行的全部进程,一一清查即可发现木马的活动进程。 在Win98下,查找进程的方法不那么方便,但有一些查找进程的工具可供使用。通过查看系统进程这种方法来检测木马非常简便易行,但是对系统必须熟悉,因为Windows系统在运行时本身就有一些我们不是很熟悉的进程在运行着,因此这个时候一定要小心操作,木马还是可以通过这种方法被检测出来的。 木马的防御 随着网络的普及和网络游戏装备可以换人民币的浪潮,木马的传播越来越快,而且新的变种层出不穷,我们在检测清除它的同时,更要注意采取措施来预防它,下面列举几种预防木马的方法。(大家的意见,我借用而已) 1、不要下载、接收、执行任何来历不明的软件或文件 很多木马病毒都是通过绑定在其他的软件或文件中来实现传播的,一旦运行了这个被绑定的软件或文件就会被感染,因此在下载的时候需要特别注意,一般推荐去一些信誉比较高的站点。在软件安装之前一定要用反病毒软件检查一下,建议用专门查杀木马的软件来进行检查,确定无毒和无马后再使用。 2、不要随意打开邮件的附件,也不要点击邮件中的可疑图片。(后边另外介绍一个关于邮件的例子,大家注意收看。) 3、将资源管理器配置成始终显示扩展名。将Windows资源管理器配置成始终显示扩展名,一些文件扩展名为vbs、shs、pif的文件多为木马病毒的特征文件,如果碰到这些可疑的文件扩展名时就应该引起注意。 4、尽量少用共享文件夹。如果因工作等原因必须将电脑设置成共享,则最好单独开一个共享文!件夹,把所有需共享的文件都放在这个共享文件夹中,注意千万不要将系统目录设置成共享。 5、运行反木马实时监控程序。木马防范重要的一点就是在上网时最好运行反木马实时监控程序,PC万用精灵等软件一般都能实时显示当前所有运行程序并有详细的描述信息。此外如加上一些专业的最新杀毒软件、个人防火墙等进行监控基本就可以放心了。 6、经常升级系统。很多木马都是通过系统漏洞来进行攻击的,微软公司发现这些漏洞之后都会在第一时间内发布补丁,很多时候打过补丁之后的系统本身就是一种最好的木马防范办法。 |
B8层 发表时间: 04-01-01 15:07 |
回复: shizhe [shizhe] 论坛用户 | 登录 |
真不错呀,好最好多一点 |
B9层 发表时间: 04-01-01 16:03 |
回复: abctm [abctm] 版主 | 登录 |
嘿嘿,要加入教程的 [此贴被 日月双星[NG](abctm) 在 01月01日16时17分 编辑过] |
B10层 发表时间: 04-01-01 16:17 |
回复: sforzaafa [sforzaafa] 论坛用户 | 登录 |
不错,不错,教程要揣摩一下。教程的页面做的也很不错。 |
B11层 发表时间: 04-01-01 20:55 |
回复: szp1111 [szp1111] 论坛用户 | 登录 |
终于找到了 好贴好顶 10分感谢双星啊!! |
B12层 发表时间: 04-01-02 02:51 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号