(双击鼠标开启屏幕滚动,鼠标上下控制速度)
作者:l李云龙 大小:125K 类型:文学 时间:2009-11-18 21:26:02
灯吹鬼 作者:l李云龙
电脑的F1——F12都有什么功能
今天,我就开始为大家讲述怎么做好一个黑客,和黑客常用的知识必备。
那么,我们就从基础开始!
首先,告诉大家的是,这不是本小说,可能有点枯燥,但是你学会之后,绝对所向无敌!
我们开始课程!
特别提示:智商低于120的请勿阅读!以防走火入魔!谢谢!
F1: 如果你处在一个选定的程序中而需要帮助,那么请按下F1。如果现在不是处在任何程序中,而是处在资源管理器或桌面,那么按下F1就会出现Windows的帮助程序。如果你正在对某个程序进行操作,而想得到Windows帮助,则需要按下Win+F1。按下Shift+F1,会出现What\' This?的帮助信息。
F2:如果在资源管理器中选定了一个文件或文件夹,按下F2则会对这个选定的文件或文件夹重命名。
F3:在资源管理器或桌面上按下F3,则会出现“搜索文件”的窗口,因此如果想对某个文件夹中的文件进行搜索,那么直接按下F3键就能快速打开搜索窗口,并且搜索范围已经默认设置为该文件夹。同样,在Windows Media Player中按下它,会出现“通过搜索计算机添加到媒体库”的窗口。
F4:这个键用来打开IE中的地址栏列表,要关闭IE窗口,可以用Alt+F4组合键。
F5:用来刷新IE或资源管理器中当前所在窗口的内容。
F6:可以快速在资源管理器及IE中定位到地址栏。
F7:在Windows中没有任何作用。不过在DOS窗口中,它是有作用的,试试看吧!
F8:在启动电脑时,可以用它来显示启动菜单。有些电脑还可以在电脑启动最初按下这个键来快速调出启动设置菜单,从中可以快速选择是软盘启动,还是光盘启动,或者直接用硬盘启动,不必费事进入BIOS进行启动顺序的修改。另外,还可以在***Windows时接受微软的***协议。
F9:在Windows中同样没有任何作用。但在Windows Media Player中可以用来快速降低音量。
F10:用来激活Windows或程序中的菜单,按下Shift+F10会出现右键快捷菜单。和键盘中A lication键的作用是相同的。而在Windows Media Player中,它的功能是提高音量。
F11:可以使当前的资源管理器或IE变为全屏显示。
F12:在Windows中同样没有任何作用。但在Word中,按下它会快速弹出另存为文件的窗口。
系统文件Hosts的三个特殊妙用
Hosts是一个没有扩展名的系统文件,可以用记事本等工具打开,其作用就是将一些常用的网址域名与其对应的IP地址建立一个关联
“数据库”,当用户在浏览器中输入一个需要登录的网址时,系统会首先自动从Hosts文件中寻找对应的IP地址,一旦找到,系统会立即
打开对应网页,如果没有找到,则系统再会将网址提交DNS域名解析服务器进行IP地址的解析。
Hosts是一个没有扩展名的系统文件,可以用记事本等工具打开,其作用就是将一些常用的网址域名与其对应的IP地址建立一个关联“数
据库”,当用户在浏览器中输入一个需要登录的网址时,系统会首先自动从Hosts文件中寻找对应的IP地址,一旦找到,系统会立即打开
对应网页,如果没有找到,则系统再会将网址提交DNS域名解析服务器进行IP地址的解析。现在笔者就向大家介绍该文件的三个特殊妙用
一、重新找回“失效”网址
提起这事笔者非常惭愧,前些天登录了几次搜狐的站点,可首页就是打不开,于是便料定搜狐可能由于内部什么调整而将服务器关
了,笔者甚至还幸灾乐祸的发短信向朋友们报告自己发现的“惊爆新闻”!当笔者知道在其他几乎所有的电脑上均能打开传说中的搜狐
网站而只有自己打不开时,笔者傻了,难道真的是朋友们说的“人品问题”……
按照解决问题的常规,在运行框中输入“ping ”,发现其返回的IP地址不是搜狐对应的“”,而是莫
名其妙的“”!至此真相大白,原来一些网页恶意脚本将笔者的Hosts文件进行了修改,即在Hosts文件中添加了一条
”记录,当笔者在地址栏中输入搜狐的网址时,被系统解析出来的IP地址不是正确的“”而
是“”,所以自然就打不开了。
解决方法很简单,在c:\windows\system32\drivers\etc文件夹中找到Hosts文件并用记事本打开(Windows 9x/Me系统在C:\
Windows文件夹中找),将其中的错误记录(如“ ”)或者全部记录删去,保存文件退出,这时再登录搜狐的站点
就应该畅通无阻了。
提示:如果用户感觉手工寻找Hosts文件及手工指定记事本工具打开Hosts文件??Hosts文件没有与Windows记事本建立关联??比较麻
烦,则可以在下载并***“雅虎助手”,在其操作面板中打开“IE修复专家”,切换到“编辑Hosts
表”选项卡,软件会自动读取Hosts文件中的所有记录,用户可以通过勾选选中需要删除的错误记录并单击“删除”按钮或者干脆直接单
击“清空Hosts表”就行了,操作上更加直观和方便。当然在退出程序前一定要单击“立即保存”按钮哦。
二、自动屏蔽网页恶意插件
上网观看免费影视剧是笔者的一大爱好,前段时间经一个大侠朋友推荐,笔者终于又找到了一个很不错的免费在线电影站点,不过
在打开每一部电影播放页面前,站点均会弹出一个要求***百度工具条的网页并且不等用户同意便立即进入下载***状态!尽管这个网
页窗口可以一关了之,但要看的电影不是一部,每次都要连接下载肯定会影响正常网页的打开速度及正在播放视频的流畅。
通过观察,在各个电影播放页面中弹出的这个百度工具条***窗口都是同一网址,由于原网址较长,我们用
代替,下面我们打开系统文件夹中的Hosts文件,在文件中新开启一行,输入“
”(输入内容没有引号,但IP地址与网址间有空格),接下来将文件保存退出,当电影站点试图打开
页面时,系统会自动将其解析到“”这样一个不可能存在的IP地址上,这样也就屏蔽了该网页插件
提示:
1.用户可以用同样的方法将其他恶意插件、各种网页弹出广告和一些非法网站添加进Hosts文件进行彻底屏蔽。另外,如果用户需要
经常向Hosts文件添加屏蔽网址,则也可以不用每次进入系统目录中寻找Hosts文件:同样将“雅虎助手”切换到“编辑Hosts表”选项卡
,单击“添加”按钮,这样便可以批量向Hosts文件添加屏蔽网址了。
2.大家是否经历过这样的怪事:在正常浏览网页或进行其他办公操作的过程中,IE每隔一段时间就会自动弹出整屏的网页广告并且
这些网页广告内容还会自动随机变换!不过网址的形式比较固定:比如、/v/和
/new/等,其实这是一种类似“”的系列木马病毒,大家也可以按照上面的方法将这些网址解析
成“”,从而摆脱病毒的骚扰。
三、一键登录局域网指定服务器
单位的“高工”在公司的局域网中建了个cs对战服务器,于是我们这些一人吃饱全家皆饱的单身汉便又有了在下班时间消遣的好去
处。不过有一点美中不足,局域网中没有再架设DNS服务器,所以我们每次只能输入IP地址进行登录,尽管只是数量不算多的一串数字,
但毕竟数字枯燥啊!
在这种情况下,我们可以通过修改Hosts文件来达到一键登录局域网CS服务器的目的:打开Hosts文件,同样在新开启的空白行中输
入“”(假定是CS服务器在局域网中的IP地址),这样我们以后只要输入“”就可以直接登
录局域网CS服务器了。书包 网 bookbao.com 想看书来书包网
Windows XP系统总命令集合
winver---------检查Windows版本
打开windows管理体系结构(WMI)
wupdmgr--------windows更新程序
wscript--------windows脚本宿主设置
write----------写字板
winmsd---------系统信息
wiaacmgr-------扫描仪和照相机向导
winchat--------XP自带局域网聊天
显示内存使用情况
系统配置实用程序
mplayer2-------简易widnows media player
m aint--------画图板
mstsc----------远程桌面连接
mplayer2-------媒体播放机
magnify--------放大镜实用程序
mmc------------打开控制台
mo ync--------同步命令
dxdiag---------检查DirectX信息
drwt 32------ 系统医生
设备管理器
磁盘碎片整理程序
磁盘管理实用程序
dcomcnfg-------打开系统组件服务
ddeshare-------打开DDE共享设置
dvdplay--------DVD播放器
net stop me enger-----停止信使服务
net start me enger----开始信使服务
notepad--------打开记事本
lookup-------网络管理的工具向导
ntbackup-------系统备份和还原
narrator-------屏幕“讲述人”
移动存储管理器
移动存储管理员操作请求
netstat -an----(TC)命令检查接口
synca --------创建一个公文包
sysedit--------系统配置编辑器
sigverif-------文件签名验证程序
drec32-------录音机
shrpubw--------创建共享文件夹
本地安全策略
syskey---------系统加密,一旦加密就不能解开,保护windows xp系统的双重密码
本地服务设置
Sndvol32-------音罧刂瞥绦?
系统文件检查器
sfc /sca ow---windows文件保护
t hutdn-------60秒倒计时关机命令
tourstart------xp简介(***完成后出现的漫游xp程序)
taskmgr--------任务管理器
eventvwr-------事件查看器
eudcedit-------造字程序
explorer-------打开资源管理器
packager-------对象包装程序
计算机性能监测程序
progman--------程序管理器
注册表
组策略结果集
regedt32-------注册表编辑器
rononce -p ----15秒关机
regsvr32 /u *.dll----停止dll文件运行
regsvr32 /u 取消ZIP支持
命令提示符
磁盘检查
***管理实用程序
calc-----------启动计算器
charmap--------启动字符映射表
cliconfg-------SQL SERVER 客户端网络实用程序
Cli rd--------剪贴板查看器
conf-----------启动netmeeting
计算机管理
cleanmgr-------垃圾整理
索引服务程序
osk------------打开屏幕键盘
odbcad32-------ODBC数据源管理器
oobe/msoobe /a----检查XP是否激活
本机用户和组
logoff---------注销命令
iexpre -------木马捆绑工具,系统自带
Nslookup-------IP地址侦测器
共享文件夹管理器
utilman--------辅助工具管理器
组策略
用简单的命令检查电脑是否被***木马
一些基本的命令往往可以在保护网络安全上起到很大的作用,下面几条命令的作用就非常突出。
检测网络连接
如果你怀疑自己的计算机上被别人***了木马,或者是中了病毒,但是手里没有完善的工具来检测是不是真有这样的事情发生,那可以使用windows自带的网络命令来看看谁在连接你的计算机。具体的命令格式是:netstat -an这个命令能看到所有和本地计算机建立连接的ip,它包含四个部分——proto(连接方式)、local addre (本地连接地址)、foreign addre (和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息,我们就可以完全监控计算机上的连接,从而达到控制计算机的目的。
禁用不明服务
很多朋友在某天系统重新启动后会发现计算机速度变慢了,不管怎么优化都慢,用杀毒软件也查不出问题,这个时候很可能是别人通过入侵你的计算机后给你开放了特别的某种服务,比如iis信息服务等,这样你的杀毒软件是查不出来的。但是别急,可以通过“net start”来查看系统中究竟有什么服务在开启,如果发现了不是自己开放的服务,我们就可以有针对性地禁用这个服务了。方法就是直接输入“net start”来查看服务,再用“net stop server”来禁止服务。
轻松检查账户
很长一段时间,恶意的攻击者非常喜欢使用克隆账号的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户,但这个账户是不经常用的,然后使用工具把这个账户提升到管理员权限,从表面上看来这个账户还是和原来一样,但是这个克隆的账户却是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。为了避免这种情况,可以用很简单的方法对账户进行检测。
首先在命令行下输入net user,查看计算机上有些什么用户,然后再使用“net user+用户名”查看这个用户是属于什么权限的,一般除了administrator是administrators组的,其他都不是!如果你发现一个系统内置的用户是属于administrators组的,那几乎肯定你被入侵了,而且别人在你的计算机上克隆了账户。快使用“net user用户名/del”来删掉这个用户吧!书 包 网 txt小说上传分享
排除网络故障的常用方法简介
作为网络管理员,在实际维护网络的过程中,遇到网络故障几乎是一件不可避免的事情。从故障现象来看,有的网络故障解决办法是相通的,但从实际运行环境来看,解决相同现象的故障,方法可能迥然不同;如果我们在破解网络故障的过程中,不善于动脑筋,就容易受到一些常规教条的束缚,最终会导致网络故障破解效率不高。相反,如果我们能跳出框框,从平时很少会考虑到的盲点下手来破解网络故障的话,说不定能收到事半功倍的效果。下面是几则常见网络故障排除实例,和大家共享。
跳线下手
单位局域网网络建好已有一段时间,在这段时间中网络一直运行正常。可最近这几天,由于交换机上覆盖灰尘太多的原因或外界干扰方面的原因,局域网中经常有几台工作站不能正常上网,遇到这种现象时笔者常常只是简单地更换一下交换机的端口,或者只是对交换机与工作站网卡之间的连接线缆进行一下跳线就能消除无法上网的故障。
可这两天有一台工作站遇到相同的网络故障时,笔者尝试使用以前的解决方法来排除网络故障时,发现以前的方法竟然不管用了。后来,笔者又对该故障计算机到交换机之间的连接线路进行了详细检查,但始终没有发现可疑之处。在万般无奈之下,笔者在局域网交换机那边将跳线直接和网络测线仪进行连接,信息点那边直接和故障计算机相连,然后进行信号测试,结果发现网络测试仪控制面板中的1号灯、2号灯、3号灯、6号灯全部处于点亮状态。之后,当笔者直接将跳线和交换机中的某个端口相连接时,竟然发现故障计算机无法上网的故障现象立即消失了,而且经过了很多天后该计算机一直没有出现任何网络连接故障。通过这则网络故障的排除操作,我们不难看出当日后遇到用完常规方法还无法解决网络连接故障时,我们不妨尝试对连接线缆进行跳线,这说不定能够收到意想不到的效果。
走线下手
在局域网网络环境中,我们有时会遇到这样的网络故障,那就是某台工作站在正确登录进 Windows系统中,并打开本地的网上邻居窗口后,只能从中看到本地计算机的名称,而无法看到局域网其他计算机的名称。通常情况下,在网上邻居窗口中只要能看到本地计算机名称,那就表明***在本地计算机中的网卡设备在硬件方面不存在问题,而且也能表明网卡的驱动程序***是正确的。在查看本地连接的其他属性参数时,发现各项参数配置都是正确的。在查看网络连接物理线路时,笔者看到连接该计算机的网络线缆留得很长,在布线的时候工作人员可能考虑到走线美观方面的因素,将多余的线缆相互捆扎在一起了,当笔者将捆在一起的线缆全部放开之后,再次进入网上邻居窗口中时,网上邻居窗口中不但出现了本地计算机名称,局域网中其他计算机名称也显示出来了。
后来查看网上的相关资料,笔者才发现当计算机使用普通的双绞线作为连接介质时,如果连接两个节点的双绞线线缆长度大于100米的话,那么网络通信信号就会产生大幅度地衰减,最终导致本地计算机无法与局域网进行正常通信。此外,双绞线线缆进行走线时,如果人为地将多余线缆相互捆扎在一起的话,那么网络连接通信线路就被人为地增加了数值不小的感抗,这样也容易导致信号在传输过程中出错。
预装下手
大家知道,在批量购置一些品牌电脑时,电脑供应商往往会为预装好Windows操作系统,而且会为我们直接配置好网络。可是当我们将这些预装好操作系统并配置好网络参数的电脑,接入到单位的局域网中时,发现网络连接很不稳定,经常是一会儿能上网一会儿又不能上网。检查那些上网不稳定的电脑时,我们发现这些电脑的网络参数配置得并没有任何错误。再检查这些电脑与交换机之间的物理连接线路时,笔者发现物理线路都是连通的,而且笔者不放心接头是否接触牢靠,特地把各个接头拔下来重新插拔了一下,可是这样努力还是无法消除电脑不能稳定上网的故障。后来笔者将那些有故障的电脑重新***了一下操作系统,并且按照原来的网络配置将它们的上网参数分别配置好,最后再将它们接入到局域网中。
总结这则网络故障现象,笔者认为购买大批量的电脑时,电脑供应商为了节约***系统的时间,他们往往会采用网络发送或硬盘克隆的方法,来帮助我们预先***好操作系统并配置好网络参数。殊不知一旦母机与子机中的各个元件***位置不一样或各个元件型号不完全一样的话,那么通过克隆方法***好的操作系统很有可能出现这样或者那样的问题,那么这些被克隆的电脑在实际工作过程中就容易出现不稳定的现象,网络连接不稳定的现象当然也属于这类问题之内了。因此,当我们在平时上网的过程中,如果遇到经常性地网络断线故障的话,不妨先通过常规方法来尝试排查网络连接故障原因,要是按这样的方法找不到明显故障原因的话,那就要考虑重新***一下操作系统了,这样往往能够将各种不明显的网络故障隐患全部清除掉。
收发下手
单位局域网是通过光纤收发器、路由器、交换机等网络设备连接光纤线路,来实现与本地电信部门直接互联的。最近这几天,单击局域网中的工作站相互之间访问时,连接速度很正常,可只要出去访问Internet网络时,我们就会发现网络连接速度明显慢了许多。碰到这种网络通信故障时,笔者认为多半是局域网的出口网络设备或者光纤线路出现了问题,查看光纤收发器、路由器这两种网络设备时,笔者看到它们的显示状态好象是正常的。为了准确找到网络连接的故障原因,笔者先将路由器设备与光纤收发器设备断开连接,然后将一台网络配置正确而且运行非常正常的。
笔记本电脑直接接入到光纤收发器设备中,然后在笔记本电脑中尝试进行Internet访问操作,结果笔者发现以一台单独主机的形式直接访问Internet网络还是不成功,这表明该网络连接故障与路由器设备无关,而很有可能与光纤线路或光纤收发器有关。那究竟是光纤收发器损坏了,还是连接局域网的宽带光纤线路出了问题呢?笔者***联系了本地电信部门的技术人员,请求他们帮忙测试一下光纤线路是否发生了短接或断裂现象,可是经过专业技术人员的技术测试后,发现光纤线路处于连通状态,这就进一步肯定了该网络故障是由光纤收发器引起的。可是光纤收发器一般接受处理的数据信号都是微弱信号,该设备没有特殊原因是不大容易被损坏的。后来笔者想起单位这几天市电输入电压不稳定,曾有部分电器设备不小心被烧坏过,于是笔者怀疑光纤收发器由于没有UPS电源保护,很有可能受到了不稳定输入电源的冲击。当尝试将光纤收发器设备更换掉之后,整个局域网中的所有工作站又都能正常访问Internet网络了,至此整个局域网不能访问Internet的故障现象就得到彻底排除了。从这则网络故障的排除过程来看,我们日后一旦用常规方法排查内部网络,没有发现什么问题的时候,一定要拓宽分析思路,从网络连接的收发部分出发,来逐步排查出收发部分的具体故障原因,而不能仅仅将眼光瞄准网络内部,不然的话很容易在解决网络故障的过程中多走若干弯路。
接头下手
某政府大楼局域网采用的是百兆桌面、千兆主干的网络拓扑结构,局域网使用的主交换机是CISCO品牌的Catalyst 3550型号的产品,二级交换机全部使用的是Bay公司的产品。在实际运行过程中,我们有时会看到主交换机与部分二级交换机之间的网络通信不正常,导致许多工作站不能稳定地上网。碰到这种网络故障时,多数情况下都是光纤收发模块遇到了问题,通常只要将光纤收发模块重新更换或者将接口调换一下,就能把网络故障消除掉。如果这种方法不能将网络故障消除的话,还有一种方法值得我们尝试,那就是在主交换机那边将有故障的光纤头和没有故障的光纤头成组进行一下对调,而让模块保持不动,这样说不定能收到奇效。之所以调换接头能破解一些网络故障,这主要是网络通信过程相对比较复杂,运行环境不断处于变化之中,所以许多通信故障不一定都是物理故障,调换连接接头有时能给我们带来意想不到的效果。书包网 电子书 分享网站
网络上经典的DOS小命令
1.最基本,最常用的,测试物理网络的
ping -t ,参数-t是等待用户去中断测试
2.查看DNS(对猫用户),还是比较有用处的
:winipcfg
以上:Ipconfig/all
:CMD,然后NSLOOKUP
3.网络信使
Net send 计算机名/IP 传送内容,注意不能跨网段
net stop me enger 停止信使服务,也可以在面板-服务修改
net start me enger 开始信使服务
4.探测对方对方计算机名,所在的组、域及当前用户名
ping -a IP地址 -t ,只显示NetBios名
tstat -a 比较全的
显示出你的计算机当前所开放的所有端口
netstat -s -e 比较详细的显示你的网络资料,包括TCP、UDP、ICMP 和 IP的统计等
6.探测谁连接了我的计算机
arp -a
7.捆绑IP和MAC解决局域网内盗用IP的问题
ARP -s 00-50-ff-6c-08-75
8.在网络邻居上隐藏你的计算机
net config server /hidden:yes
net config server /hidden:no 则为开
9.几个net命令
A.显示当前工作组服务器列表 net view,当不带选项使用本命令时,它就会显示当前域或网络上的计算机上的列表。
比如:查看这个IP上的共享资源,就可以
C:\> et view
的共享资源
资源共享名 类型 用途 注释
--------------------------------------
网站服务 Disk
命令成功完成。
B.查看计算机上的用户帐号列表 net user
C.查看网络链接 net use
例如:net use z: \\\movie 将这个IP的movie共享目录映射为本地的Z盘
D.记录链接 net se ion
例如:
C:\> et se ion
计算机 用户名 客户类型 打开空闲时间
-------------------------------------------------------------------------------
\\:03:12
\\:00:39
命令成功完成。
10.路由跟踪命令
回复可见全部
除了显示路由外,还提供325S的分析,计算丢失包的%
11.关于共享安全的几个命令
A.查看你机器的共享资源 net share
B.手工删除共享
net share c$Content$ /d
net share d$Content$ /d
net share ipc$Content$ /d
net share admin$Content$ /d
注意$后有空格。
C.增加一个共享:
c:\net share mymovie=e:\downloads\movie /users:1
mymovie 共享成功。
同时限制链接用户数为1人。
12.在DOS行下设置静态IP
A.设置静态IP
CMD
netsh
netshint
interfaceip
interface i gt et add 本地链接 static IP地址 mask gateway
B.查看IP设置
interface i gt how addre txt电子书分享平台 书包网
TCP/IP协议安全性能(一)
互联网技术屏蔽了底层网络硬件细节,使得异种网络之间可以互相通信。TCP/IP协议组是目前使用最广泛的网络互连协议。但TCP/IP协议组本身存在着一些安全性问题。这就给“黑客”们攻击网络以可乘之机。
由于大量重要的应用程序都以TCP作为它们的传输层协议,因此TCP的安全性问题会给网络带来严重的后果。
1 TCP状态转移图和定时器
T CP状态转移图控制了一次连接的初始化、建立和终止,该图由定义的状态以及这些状态之间的转移弧构成。TCP状态转移图与定时器密切相关,不同的定时器对应于连接建立或终止、流量控制和数据传输。几类主要的定时器及其功能如下:
●连接定时器:在连接建立阶段,当发送了SYN包后,就启动连接定时器。如果在75秒内没有收到应答,则放弃连接建立。
●FIN-WAIT-2定时器:当连接从FIN-WAIT-1状态转移到FIN-WAIT-2状态时,将一个FIN-WAIT-2定时器设置为10分钟。如果在规定时间内该连接没有收到一个带有置位
FIN的TCP包,则定时器超时,再定时为75秒。如果在该时间段内仍无FIN包到达,
则放弃该连接。
●TIME-WAIT定时器:当连接进入TIME-WAIT状态时,该定时器被激活。当定时器超时时,与该连接相关的内核数据块被删除,连接终止。
●维持连接定时器:其作用是预测性地检测连接的另一端是否仍为活动状态。如果设置了SO-KEEPALIVE套接字选择项,则TCP机状态是ESTABLISHED或CLOSE-WAIT。
下面我们就着重讨论TCP状态转移图和定时器所带来的网络安全性问题。
2 网络入侵方式
伪造IP地址
入侵者使用假IP地址发送包,利用基于IP地址证实的应用程序。其结果是未授权的远端用户进入带有防火墙的主机系统。
假设有两台主机A、B和入侵者控制的主机X。假设B授予A某些特权,使得A能够获得B所执行的一些操作。X的目标就是得到与B相同的权利。为了实现该目标,X必须执行两步操作:首先,与B建立一个虚假连接;然后,阻止A向B报告网络证实系统的问题。主机X必须假造A的IP地址,从而使B相信从X发来的包的确是从A发来的。
我们同时假设主机A和B之间的通信遵守TCP/IP的三次握手机制。握手方法是:
A→:SYN(序列号=M)
B→A:SYN(序列号=N),ACK(应答序号=M+1)
A→B:ACK(应答序号=N+1)
主机X伪造IP地址步骤如下:首先,X冒充A,向主机B发送一个带有随机序列号的SYN包。主机B响应,向主机A发送一个带有应答号的SYN+ACK包、该应答号等于原序列号加1。同时,主机B产生自己发送包序列号,并将其与应答号一起发送。为了完成三次握手,主机X需要向主
机B回送一个应答包,其应答号等于主机B向主机A发送的包序列号加1。假设主机X与A和B不同在一个子网内,则不能检测到B的包,主机X只有算出B的序列号,才能创建TCP连接。其过程描述如下:
X→B:SYN(序列号=M),SRC=A
B→A:SYN(序列号=N),ACK(应答号=M+1)
X→B:ACK(应答号=N+1),SRC=A
同时,主机X应该阻止主机A响应主机B的包。为此,X可以等到主机A因某种原因终止运行,或者阻塞主机A的操作系统协议部分,使它不能响应主机B。
一旦主机X完成了以上操作,它就可以向主机B发送命令。主机B将执行这些命令,认为他们是由合法主机A发来的。
状态转移的问题
上述的入侵过程,主机X是如何阻止主机A向主机B发送响应在的,主机调通过发送一系列的SYN包,但不让A向调发送SYN-ACK包而中止主机A的登录端口。如前所述,TCP维持一个连接建立定时器。如果在规定时间内(通常为75秒)不能建立连接,则TCP将重置连接。在前面的例子中,服务器端口是无法在75秒内作出响应的。
下面我们来讨论一下主机X和主机A之间相互发送的包序列。X向A发送一个包,其SYN位和FIN位置位,A向X发送ACK包作为响应:
X→A:SYN FIN(系列号=M)
A→X:ACK(应答序号=M+1)
从图2的状态转移可以看出,A开始处于***(LISTEN)状态。当它收到来自X的包后,就开始处理这
个包。值得注意的是,在TCP协议中,关于如何处理SYN和FIN同时置位的包并未作出明确的规定。我们假设它首先处理SYN标志位,转移到SYN-RCVD状态。然后再处理FIN标志位,转移到CLOSE-WAIT状态。如果前一个状态是ESTABLISHED,那么转移到CLOSE-WAIT状态就是正常转
移。但是,TCP协议中并未对从SYN-RCVD状态到CLOSE-WAIT状态的转移作出定义。但在几种TCP应用程序中都有这样的转移,例如开放系统SUN ,SUR4和。因此,在这些TCP应用程序中存在一条TCP协议中未作定义的从状态SYN-RCVD到状态CLOSE-WAIT的转移弧,如图2所示。
在上述入侵例子中,由于三次握手没能彻底完成,因此并未真正建立TCP连接,相应的网络应用程序并未从核心内获得连接。但是,主机A的TCP机处于CLOSE-WAIT状态,因此它可以向X发送一个FIN包终止连接。这个半开放连接保留在套接字侦听队列中,而且应用进程不发送任何帮助TCP执行状态转移的消息。因此,主机A的TCP机被锁在了CL0SE-WAIT状态。如果维持活动定时器特征被使用,通常2小时后TCP将会重置连接并转移到CLOSED状态。
当TCP机收到来自对等主机的RST时,就从ESTABLISHED,FINWAIT-1和FIN-WAIT-2状态转移到CLOSED状态。这些转移是很重要的,因为它们重置TCP机且中断网络连接。但是,由于到达的数据段只根据源IP地址和当前队列窗口号来证实。因此入侵者可以假装成已建立了合法连接的一个主机,然后向另一台主机发送一个带有适当序列号的RST段,这样就可以终止连接了!
从上面的分析我们可以看到几种TCP应用程序中都存在外部状态转移。这会给系统带来严重的安全性问题。txt电子书分享平台 书包网
TCP/IP协议安全性能(二)
定时器问题
正如前文所述,一旦进入连接建立过程,则启动连接定时器。如果在规定时间内不能建立连接,则TCP机回到CLOSED状态。
我们来分析一下主机A和主机X的例子。主机A向主机X发送一个SYN包,期待着回应一个SYN-ACK包。假设几乎同时,主机X想与主机A建立连接,向A发送一个SYN包。A和X在收到对方的SYN包后都向对方发送一个SYN-ACK包。
当都收到对方的SYN-ACK包后,就可认为连接已建立。在本文中,假设当主机收到对方的SYN包后,就关闭连接建立定时器。
X→A:SYN(序列号=M)
A→X:SYN(序列号=N)
X→A:SYN(序列号=M),ACK(应答号=N+1)
A→X:SYN(序列号=N),ACK(应答号=M+1)
●主机X向主机A发送一个FTP请求。在X和A之间建立起一个TCP连接来传送控制信号。主机A向X发送一个SYN包以启动一个TCP连接用来传输数据,其状态转移到SYN-SENT状态。
●当X收到来自A的SYN包时,它回送一个SYN包作为响应。
●主机X收到来自A的SYN-ACK包,但不回送任何包。
●主机A期待着接收来自X的SYN-ACK。由于X不回送任何包,因此A被锁在SYN-RCVD状态。这样,X就成功地封锁了A的一个端口。
3 利用网络监控设备观测网络入侵
我们在局域网上***一个网络监控设备观测通过网络的包,从而判断是否发生了网络入侵。下面我们将讨论在几种入侵过程中网络监控设备可观测到的序列包。
伪造IP地址
最初,网络监控设备会监测到大量的TCP SYN包从某个主机发往A的登录端口。主机A会回送相应的SYN-ACK包。SYN包的目的是创建大量的与主机A的半开放的TCP连接,从而填满了主机A的登录端口连接队列。
大量的TCP SYN包将从主机X经过网络发往主机B,相应地有SYN-ACK包从主机B发往主机X。然后主机X将用RST包作应答。这个SYN/SYN-ACK/RST包序列使得入侵者可以知道主机B的TCP序列号发生器的动作。
主机A向主机B发送一个SYN包。实际上,这是主机X发送的一个“伪造”包。收到这个包之后,主机B将向主机A发送相应的SYN-ACK包。主机A向主机B发送ACK包。按照上述步骤,入侵主机能够与主机B建立单向TCP连接。
虚假状态转移
当入侵者试图利用从SYN-RCVD到CLOSE-WAIT的状态转移长时间阻塞某服务器的一个网络端口时,可以观察到如下序列包:
●从主机X到主机B发送一个带有SYN和FIN标志位置位的TCP包。
●主机B首先处理SYN标志,生成一个带有相应ACK标志位置位的包,并使状态转移到SYN-RCVD,然后处理FIN标志,使状态转移到CLOSE-WAIT,并向X回送ACK包。
●主机X不向主机B发送其它任何包。主机的TCP机将固定在CLOSE-WAIT状态。直到维持连接定时器将其重置为CLOSED状态。
因此,如果网络监控设备发现一串SYN-FIN/ACK包,可推断入侵者正在阻塞主机B的某个端口。
定时器问题
如果一入侵者企图在不建立连接的情况下使连接建立定时器无效,我们可以观察到以下序列包:
●主机X从主机B收到一个TCP SYN包。
●主机X向主机B回送一个SYN包。
主机X不向主机B发送任何ACK包。因此,B被阻塞在SYN-RCVD状态,无法响应来自其它客户机的连接请求。
4 总结
目前还没有十分简便的方法防止伪造IP地址的和侵行为。
让Windows 死机密码
前面几章讲了写基础东西,想必大家觉得枯燥,这一章给大家轻松一下,先教大家一点简单的黑客指令,还有很多我会在以后的章节给大家慢慢来!
使用Windows出现蓝色屏幕是经常的事,而且每每因为不清楚错误的来源而频繁重新***系统,劳神费时。下列收集了一些Windows死机密码,供大家参考。
0x0000 操作完成
0x0001 不正确的函数
0x0002 系统找不到指定的文件
0x0003 系统找不到指定的路径
0x0004 系统无法打开文件
0x0005 拒绝存取
0x0006 无效的代码
0x0007 内存控制模块已损坏
0x0008 内存空间不足,无法处理这个指令
0x0009 内存控制模块地址无效
0x000a 环境不正确
0x000b 尝试载入一个格式错误的程序
0x000c 存取码错误
0x000d 资料错误
0x000e 内存空间不够,无法完成这项操作
0x000f 系统找不到制定的硬盘
0x0010 无法移除目录
0x0011 系统无法将文件移到其他的硬盘
0x0012 没有任何文件
0x0019 找不到指定的扇区或磁道
0x001a 指定的磁盘或磁片无法存取
0x001b 磁盘找不到要求的扇区
0x001c 打印机没有纸
0x001d 系统无法将资料写入制定的磁盘
0x001e 系统无法读取指定的装置
0x001f 连接到系统的某个装置没有作用
0x0021 文件的一部分被锁定
0x0024 开启的分享文件数量太多
0x0026 到达文件结尾
0x0027 磁盘已满
0x0036 网络繁忙
0x003b 网络发生意外的错误
0x0043 网络名称找不到
0x0050 文件已经存在
0x0052 无法建立目录或文件
0x0053 int24失败
0x006b 因为代用的磁盘尚未插入,所以程序已经停止
0x006c 磁盘正在使用中或被锁定
0x006f 文件名太长
0x0070 硬盘空间不足
0x007f 找不到指定的程序
0x045b 系统正在关机
0x045c 无法种植系统关机,因为没有关机的动作在进行中
0x046a 可用服务器储存空间不足,无法处理这项指令
0x047e 指定的程序需要新的Windows版本
0x047f 指定的程序不是Windows或MS-DOS程序
0x0480 指定的程序已经启动,无法再启动一次
0x0481 指定的程序是为旧版的Windows所写的
0x0482 执行此应用程序所需的程序库文件之一毁坏
0x0483 没有应用程序与此项操作的指定文件建立关联
0x0484 传送指令到应用程序发生错误
0x04b0 指定的装置名称无效
0x05a2 窗口不是子窗口
0x05aa 系统资源不足,无法完成所要求的服务
0x05ab 系统子还不足,无法完成所需要的服务
0x05ac 系统资源不足,无法完成所要求的服务
0x06b9 资源不足,无法完成操作
把你心爱的人的名字刻在IE浏览器和CMD上
虽说Dos命令已是昨日黄花,但我们不少时候仍需要用到DOS命令,因此Windows XP系统也还保留有“命令提示符”,不过整天面对黑底白字的界面实在有些心里不爽,下面我们就不错助任何外来工具,手工打造个性的“命令提示符”吧。(如下图)
第一步:先新建一个.cmd文件,文件名可以自定,我们命名为吧,在里面输入以下内容:
@echo off
echo Microsoft Windows XP
echo 欢迎来到骑着驴裸奔的BLOG!!!
echo 今天是%date%
echo 现在已经是%time%
title 键盘上的烟灰个性
color 8F
@echo on
中间echo后面的文字都可以任意更改,比如加入自己喜欢的座右铭或者其它文字,而%date%和%time%是调用系统当前日期和时间,“title 键盘上的烟灰”是更改cmd窗口标题名字。“color 3c”则是设置cmd窗口的前景和背景颜色,前一个数字或字母为背景色,后一个数字或者字母为前景色,下面是一些颜色对应的数字或字母:0=黑、1=蓝、2=绿、3=浅绿、4=红、5=紫、6=黄、7=白、8=灰、9=淡蓝、A=淡绿、B=淡浅绿、C=淡红、D=淡紫、E=淡黄、F=亮白。编辑好文件后,我们现在可以把它复制到系统目录下,如c:/windows。
第二步:在开始菜单中运行“regedit”打开注册表编辑器,定位到[HKEY_LOCAL_MacHINE\\SOFTWARE\\Microsoft\\command proce or]下,将“AutoRun”这个DWord值更改为“%systemroot%\\”(不含引号),保存注册表,在开始菜单中运行cmd命令看看效果吧,是不是很酷。
另外,如果希望一打开“命令提示符”就显示的某个自己需要的命令提示符,还可以在文件里加入这样的一段代码,如“prompt C:/windows”,代码格式为“prompt 名称”。
1.CMD制作过程.
首先我们来做一个批处理文件.内容如下:
@Dongd OFF
CLS
Dongd XX制作
Dongd []
Dongd XX我想你你 %USER
title 上你你你你你你
color 02
prompt [username@]
@echo on
把上面文件名保存为
.当然啦,喜欢把上面的文字改成你喜欢的.倒入就行了.
然后把这个拷到c盘系统目录中,如:c:\windows\system32\
接下来就是导入注册表,或直接修改也行,我这里为了方便,就不改了,直接导入:
Windows Registry Editor Version
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Proce or]
AutoRu quot;=C:\\WINDOWS\\SYSTEM32\\;
CompletionChar=dword:00000040
DefaultColor=dword:00000000
EnableExte io quot;=dword:00000001
PathCompletionChar=dword:00000040
好了,试一下,打开你的CMD是不是变了.很酷吧?
2.IE浏览器个性化修改
正常我们看到,IE浏览器,一直以来的都是微软的英文字母,看起来就不爽,有没有好看一点,属于我们的想要的字呢,好,修改台头title
打开注册表:
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
在里面添加你想要的例如:
Window Title=我爱你宝贝
操作Linux系统 必学的60个命令
Linux提供了大量的命令,利用它可以有效地完成大量的工作,如磁盘操作、文件存取、目录操作、进程管理、文件权限设定等。所以,在Linux系统上工作离不开使用系统提供的命令。要想真正理解Linux系统,就必须从Linux命令学起,通过基础的命令学习可以进一步理解Linux系统。
不同Linux发行版的命令数量不一样,但Linux发行版本最少的命令也有200多个。这里笔者把比较重要和使用频率最多的命令,按照它们在系统中的作用分成下面六个部分一一介绍。
◆ ***和登录命令:
login、shutdown、halt、reboot、i tall、mount、umount、chsh、exit、last;
◆ 文件处理命令:
file、mkdir、grep、dd、find、mv、ls、diff、cat、ln;
◆ 系统管理相关命令:
df、top、free、quota、at、lp、adduser、groupadd、kill、crontab;
◆ 网络操作命令:
ifconfig、ip、ping、netstat、telnet、ftp、route、rlogin、rcp、finger、mail、 lookup;
◆ 系统安全相关命令:
pa wd、su、umask、chgrp、chmod、chown、chattr、sudo 、who;
◆ 其它命令:
tar、unzip、gunzip、unarj、mtools、man、unendcode、uudecode。
本文以Mandrake Linux (Kenrel )为例,介绍Linux下的***和登录命令。
login
1.作用
login的作用是登录系统,它的使用权限是所有用户。
2.格式
login [name][-p ][-h 主机名称]
3.主要参数
-p:通知login保持现在的环境参数。
-h:用来向远程登录的之间传输用户名。
如果选择用命令行模式登录Linux的话,那么看到的第一个Linux命令就是login:。
一般界面是这样的:
Manddrake Linux release (Bamboo) for i586
renrel -
localhost login:root
pa word:
上面代码中,第一行是Linux发行版本号,第二行是内核版本号和登录的虚拟控制台,我们在第三行输入登录名,按“Enter”键在Pa word后输入账户密码,即可登录系统。出于安全考虑,输入账户密码时字符不会在屏幕上回显,光标也不移动。
登录后会看到下面这个界面(以超级用户为例):
[root@localhost root]#
last login:Tue ,Nov 18 10:00:55 on vc/1
上面显示的是登录星期、月、日、时间和使用的虚拟控制台。
4.应用技巧
Linux 是一个真正的多用户操作系统,可以同时接受多个用户登录,还允许一个用户进行多次登录。这是因为Linux和许多版本的Unix一样,提供了虚拟控制台的访问方式,允许用户在同一时间从控制台(系统的控制台是与系统直接相连的监视器和键盘)进行多次登录。每个虚拟控制台可以看作是一个独立的工作站,工作台之间可以切换。虚拟控制台的切换可以通过按下Alt键和一个功能键来实现,通常使用F1-F6 。
例如,用户登录后,按一下“Alt+ F2”键,用户就可以看到上面出现的“login:”提示符,说明用户看到了第二个虚拟控制台。然后只需按“Alt+ F1”键,就可以回到第一个虚拟控制台。一个新***的Linux系统允许用户使用“Alt+F1”到“Alt+F6”键来访问前六个虚拟控制台。虚拟控制台最有用的是,当一个程序出错造成系统死锁时,可以切换到其它虚拟控制台工作,关闭这个程序。
shutdown
1.作用
shutdown命令的作用是关闭计算机,它的使用权限是超级用户。
2.格式
shutdown [-h][-i][-k][-m][-t]
3.重要参数
-t:在改变到其它运行级别之前,告诉init程序多久以后关机。
-k:并不真正关机,只是送警告信号给每位登录者。
-h:关机后关闭电源。
-c:cancel current proce 取消目前正在执行的关机程序。所以这个选项当然没有时间参数,但是可以输入一个用来解释的讯息,而这信息将会送到每位使用者。
-F:在重启计算机时强迫fsck。
-time:设定关机前的时间。
-m: 将系统改为单用户模式。
-i:关机时显示系统信息。
4.命令说明
shutdown 命令可以安全地将系统关机。有些用户会使用直接断掉电源的方式来关闭Linux系统,这是十分危险的。因为Linux与Windows不同,其后台运行着许多进程,所以强制关机可能会导致进程的数据丢失,使系统处于不稳定的状态,甚至在有的系统中会损坏硬件设备(硬盘)。在系统关机前使用 shutdown命令,系统管理员会通知所有登录的用户系统将要关闭,并且login指令会被冻结,即新的用户不能再登录。
halt
1.作用
halt命令的作用是关闭系统,它的使用权限是超级用户。
2.格式
halt [-n] [-w] [-d] [-f] [-i] [-p]
3.主要参数说明
-n:防止sync系统调用,它用在用fsck修补根分区之后,以阻止内核用老版本的超级块覆盖修补过的超级块。
-w:并不是真正的重启或关机,只是写wtmp(/var/log/wtmp)纪录。
-f:没有调用shutdown,而强制关机或重启。
-i:关机(或重启)前,关掉所有的网络接口。
-f:强迫关机,不呼叫shutdown这个指令。
-p: 当关机的时候顺便做关闭电源的动作。
-d:关闭系统,但不留下纪录。
4.命令说明
halt 就是调用shutdown -h。halt执行时,杀死应用进程,执行sync(将存于buffer中的资料强制写入硬盘中)系统调用,文件系统写操作完成后就会停止内核。若系统的运行级别为0或6,则关闭系统;否则以shutdown指令(加上-h参数)来取代。
reboot
1.作用
reboot命令的作用是重新启动计算机,它的使用权限是系统管理者。
2.格式
reboot [-n] [-w] [-d] [-f] [-i]
3.主要参数
-n: 在重开机前不做将记忆体资料写回硬盘的动作。
-w: 并不会真的重开机,只是把记录写到/var/log/wtmp文件里。
-d: 不把记录写到/var/log/wtmp文件里(-n这个参数包含了-d)。
-i: 在重开机之前先把所有与网络相关的装置停止。
i tall
1.作用
i tall命令的作用是***或升级软件或备份数据,它的使用权限是所有用户。
2.格式
(1)i tall [选项]... 来源 目的地
(2)i tall [选项]... 来源... 目录
(3)i tall -d [选项]... 目录...
在前两种格式中,会将来源复制至目的地或将多个来源文件复制至已存在的目录,同时设定权限模式及所有者/所属组。在第三种格式中,会创建所有指定的目录及它们的主目录。长选项必须用的参数在使用短选项时也是必须的。
3.主要参数
--backup[=CO***OL]:为每个已存在的目的地文件进行备份。
-b:类似 --backup,但不接受任何参数。
-c:(此选项不作处理)。
-d,--directory:所有参数都作为目录处理,而且会创建指定目录的所有主目录。
-D:创建目的地前的所有主目录,然后将来源复制至 目的地;在第一种使用格式中有用。
-g,--group=组:自行设定所属组,而不是进程目前的所属组。
-m,--mode=模式:自行设定权限模式 (像chmod),而不是rwxr-xr-x。
-o,--owner=所有者:自行设定所有者 (只适用于超级用户)。
-p,--preserve-timestam :以来源文件的访问/修改时间作为相应的目的地文件的时间属性。
-s,--strip:用strip命令删除symbol table,只适用于第一及第二种使用格式。
-S,--suffix=后缀:自行指定备份文件的后缀。
-v,--verbose:处理每个文件/目录时印出名称。
--help:显示此帮助信息并离开。
--version:显示版本信息并离开。
mount
1.作用
mount命令的作用是加载文件系统,它的用权限是超级用户或/etc/fstab中允许的使用者。
2.格式
mount -a [-fv] [-t vfstype] [-n] [-rw] [-F] device dir
3.主要参数
-h:显示辅助信息。
-v:显示信息,通常和-f用来除错。
-a:将/etc/fstab中定义的所有文件系统挂上。
-F:这个命令通常和-a一起使用,它会为每一个mount的动作产生一个行程负责执行。在系统需要挂上大量NFS文件系统时可以加快加载的速度。
-f:通常用于除错。它会使mount不执行实际挂上的动作,而是模拟整个挂上的过程,通常会和-v一起使用。
-t vfstype:显示被加载文件系统的类型。
-n:一般而言,mount挂上后会在/etc/mtab中写入一笔资料,在系统中没有可写入文件系统的情况下,可以用这个选项取消这个动作。
4.应用技巧
在Linux 和Unix系统上,所有文件都是作为一个大型树(以/为根)的一部分访问的。要访问CD-ROM上的文件,需要将CD-ROM设备挂装在文件树中的某个挂装点。如果发行版***了自动挂装包,那么这个步骤可自动进行。在Linux中,如果要使用硬盘、光驱等储存设备,就得先将它加载,当储存设备挂上了之后,就可以把它当成一个目录来访问。挂上一个设备使用mount命令。在使用mount这个指令时,至少要先知道下列三种信息:要加载对象的文件系统类型、要加载对象的设备名称及要将设备加载到哪个目录下。
(1)Linux可以识别的文件系统
◆ Windows 95/98常用的FAT 32文件系统:vfat ;
◆ Win NT/2000 的文件系统:ntfs ;
◆ OS/2用的文件系统:hpfs;
◆ Linux用的文件系统:ext2、ext3;
◆ CD-ROM光盘用的文件系统:iso9660。
虽然vfat是指FAT 32系统,但事实上它也兼容FAT 16的文件系统类型。
(2)确定设备的名称
在Linux 中,设备名称通常都存在/dev里。这些设备名称的命名都是有规则的,可以用“推理”的方式把设备名称找出来。例如,/dev/hda1这个 IDE设备,hd是Hard Disk(硬盘)的,sd是SCSI Device,fd是Flo y Device(或是Flo y Disk?)。a代表第一个设备,通常IDE接口可以接上4个IDE设备(比如4块硬盘)。所以要识别IDE硬盘的方法分别就是hda、hdb、hdc、 hdd。hda1中的“1”代表hda的第一个硬盘分区 (partition),hda2代表hda的第二主分区,第一个逻辑分区从hda5开始,依此类推。此外,可以直接检查 /var/log/me ages文件,在该文件中可以找到计算机开机后系统已辨认出来的设备代号。
(3)查找挂接点
在决定将设备挂接之前,先要查看一下计算机是不是有个/mnt的空目录,该目录就是专门用来当作挂载点(Mount Point)的目录。建议在/mnt里建几个/mnt/cdrom、/mnt/flo y、/mnt/mo等目录,当作目录的专用挂载点。举例而言,如要挂载下列5个设备,其执行指令可能如下 (假设都是Linux的ext2系统,如果是Windows XX请将ext2改成vfat):
软盘 ===mount -t ext2 /dev/fd0 /mnt/flo y
cdrom ===mount -t iso9660 /dev/hdc /mnt/cdrom
SCSI cdrom ===mount -t iso9660 /dev/sdb /mnt/scdrom
SCSI cdr ===mount -t iso9660 /dev/sdc /mnt/scdr
不过目前大多数较新的Linux发行版本(包括红旗 Linux、中软Linux、Mandrake Linux等)都可以自动挂装文件系统,但Red Hat Linux除外。
umount
1.作用
umount命令的作用是卸载一个文件系统,它的使用权限是超级用户或/etc/fstab中允许的使用者。
2.格式
unmount -a [-fFnrsvw] [-t vfstype] [-n] [-rw] [-F] device dir
3.使用说明
umount 命令是mount命令的逆操作,它的参数和使用方法和mount命令是一样的。Linux挂装CD-ROM后,会锁定CD—ROM,这样就不能用CD- ROM面板上的Eject按钮弹出它。但是,当不再需要光盘时,如果已将/cdrom作为符号链接,请使用umount/cdrom来卸装它。仅当无用户正在使用光盘时,该命令才会成功。该命令包括了将带有当前工作目录当作该光盘中的目录的终端窗口。
chsh
1.作用
chsh命令的作用是更改使用者shell设定,它的使用权限是所有使用者。
2.格式
chsh [ -s ] [ -list] [ --help ] [ -v ] [ username ]
3.主要参数
-l:显示系统所有Shell类型。
-v:显示Shell版本号。
4.应用技巧
前面介绍了Linux下有多种Shell,一般缺省的是Bash,如果想更换Shell类型可以使用chsh命令。先输入账户密码,然后输入新Shell类型,如果操作正确系统会显示“Shell change”。其界面一般如下:
Changing fihanging shell for cao
Pa word:
New shell [/bin/bash]: /bin/tcsh
上面代码中,[ ]内是目前使用的Shell。普通用户只能修改自己的Shell,超级用户可以修改全体用户的Shell。要想查询系统提供哪些Shell,可以使用chsh -l 命令,见图1所示。
图1 系统可以使用的Shell类型
从图1中可以看到,笔者系统中可以使用的Shell有bash(缺省)、csh、sh、tcsh四种。
exit
1.作用
exit命令的作用是退出系统,它的使用权限是所有用户。
2.格式
exit
3.参数
exit命令没有参数,运行后退出系统进入登录界面。
last
1.作用
last命令的作用是显示近期用户或终端的登录情况,它的使用权限是所有用户。通过last命令查看该程序的log,管理员可以获知谁曾经或企图连接系统。
2.格式
1ast[—n][-f file][-t tty] [—h 节点][-I —IP][—1][-y][1D]
3.主要参数
-n:指定输出记录的条数。
-f file:指定用文件file作为查询用的log文件。
-t tty:只显示指定的虚拟控制台上登录情况。
-h 节点:只显示指定的节点上的登录情况。
-i IP:只显示指定的IP上登录的情况。
-1:用IP来显示远端地址。
-y:显示记录的年、月、日。
-ID:知道查询的用户名。
-x:显示系统关闭、用户登录和退出的历史。
动手练习
上面介绍了Linux***和登录命令,下面介绍几个实例,动手练习一下刚才讲过的命令。
1.一次运行多个命令
在一个命令行中可以执行多个命令,用分号将各个命令隔开即可,例如:
#last -x;halt
上面代码表示在显示系统关闭、用户登录和退出的历史后关闭计算机。
2.利用mount挂装文件系统访问Windows系统
许多Linux发行版本现在都可以自动加载Vfat分区来访问Windows系统,而Red Hat各个版本都没有自动加载Vfat分区,因此还需要进行手工操作。
mount 可以将Windows分区作为Linux的一个“文件”挂接到Linux的一个空文件夹下,从而将Windows的分区和/mnt这个目录联系起来。因此,只要访问这个文件夹就相当于访问该分区了。首先要在/mnt下建立winc文件夹,在命令提示符下输入下面命令:
#mount -t vfat /dev/hda1 /mnt/winc
即表示将Windows的C分区挂到Liunx的/mnt/winc目录下。这时,在/mnt/winc目录下就可以看到Windows中C盘的内容了。使用类似的方法可以访问Windows系统的D、E盘。在Linux系统显示Windows的分区一般顺序这样的:hda1为C盘、hda5为D盘、 hda6为E盘……以此类推。上述方法可以查看Windows系统有一个很大的问题,就是Windows中的所有中文文件名或文件夹名全部显示为问号 “?”,而英文却可以正常显示。我们可以通过加入一些参数让它显示中文。还以上面的操作为例,此时输入命令:
#mount -t vfat -o iocharset=cp936 /dev/hda1 /mnt/winc
现在它就可以正常显示中文了。
3.使用mount加挂闪盘上的文件系统
在Linux下使用闪盘非常简单。Linux对USB设备有很好的支持,当插入闪盘后,闪盘被识别为一个SCSI盘,通常输入以下命令:
# mount /dev/sda1 /u 就能够加挂闪盘上的文件系统。
小知识
Linux命令与Shell
所谓Shell,就是命令解释程序,它提供了程序设计接口,可以使用程序来编程。学习Shell对于Linux初学者理解Linux系统是非常重要的。 Linux系统的Shell作为操作系统的外壳,为用户提供了使用操作系统的接口。Shell是命令语言、命令解释程序及程序设计语言的统称,是用户和 Linux内核之间的接口程序。如果把Linux内核想象成一个球体的中心,Shell就是围绕内核的外层。当从Shell或其它程序向Linux传递命令时,内核会做出相应的反应。Shell在Linux系统的作用和MS DOS下的和Windows 95/98 的 相似。Shell虽然不是系统核心的一部分,只是系统核心的一个外延,但它能够调用系统内核的大部分功能。因此,可以说 Shell是Unux/Linux最重要的实用程序。
Linux中的Shell有多种类型,其中最常用的是Bourne Shell(sh)、C Shell(csh)和Korn Shell(ksh)。大多数Linux发行版本缺省的Shell是Bourne Again Shell,它是Bourne Shell的扩展,简称bash,与Bourne Shell完全向后兼容,并且在Bourne Shell的基础上增加了很多特性。bash放在/bin/bash中,可以提供如命令补全、命令编辑和命令历史表等功能。它还包含了很多C Shell和Korn Shell中的优点,有灵活和强大的编程接口,同时又有很友好的用户界面。Linux系统中200多个命令中有40个是bash的内部命令,主要包括 exit、le 、lp、kill、 cd、pwd、fc、fg等。
计算机进程查对表
Windows的任务管理器是一个非常有用的工具,它能提供我们很多信息,比如现在系统中运行的程序(进程),但是面对那些文件可执行文件名我们可能有点茫然,不知道它们是做什么的,会不会有可疑进程(病毒,木马等)。本文的目的就是提供一些常用的Windows 中的进程名,并简单说明它们的用处。
在 WINDOWS中,系统常用进程:
五个
System
System Idle Proce
WinXP
微软其他相关服务、软件补充
——(Microsoft) Microsoft windows, office的激活服务
——(Microsoft)Microsoft WebTV的A ouncement Listener
——(Microsoft)ASP服务(不是Active Server page)
——(Microsoft)
——(Microsoft)微软TVviewer软件
——(Microsoft)Windows NT 剪贴板DDE服务器,支持“剪贴簿查看器”,以便可以从远程剪贴簿查阅剪贴页面
——(Microsoft) Microsoft Co ection Manager Monitor.微软连接管理监视器
——输入法编辑器,允许用户使用标准键盘就能输入复杂的字符与符号。
——管理分布于局域网或广域网的逻辑卷
——应答对域名系统(d )名称的查询和更新请求
——(Microsoft)磁盘管理请求的系统管理服务,又叫“逻辑磁盘管理服务”
——(Microsoft) Windows 错误报告程序
——(Microsoft) Microsoft的应用程序错误报告
——(Microsoft)Microsoft DirectX 的DLL 注册.
——(Microsoft) 微软旧版本的Powertoys for win xp软件,据说可以加快程序启动
——(Microsoft)Microsoft 传真服务,帮助您发送和接收传真, Windows 2000/XP/2003中出现
——(Microsoft) Microsoft传真服务,帮助您发送和接收传真, Windows XP and 2003.
——扫描零备份存储(sis)卷上的重复文件,并且将重复文件指向一个数据存储点,以节省磁盘空间(只对 ntfs 文件系统有用)
——(Microsoft)Microsoft Home Click networking 软件的后台组件
——(Microsoft) Microsoft 帮助中心服务
——(Microsoft)ICSMGR 是微软Internet連接共享协议管理
——(Microsoft)打開Internet 連接向導后出現
——(Microsoft)Image Mastering API Service for CD-Burning.
——(Microsoft) Win95下面的Personal Web Server
——允许在 windows advanced server 站点间发送和接收消息
——(Microsoft) Microsoft Debugger for Java. 也有可能是病毒
——(Microsoft) Microsoft的Modem监视器
——(Microsoft) 远程过程调用定位服务,管理 rpc 名称服务数据库
——注册客户端许可证
——***记录服务
——(Microsoft) Microsoft Windows 消息子系统缓冲
——(Microsoft) Microsoft Office 工具栏
——(Microsoft) 在从win9x升级到2000/XP后出现,估计是处理9X的网络打印问题
——(Microsoft)Microsoft NetMeeting 远程桌面共享,允许有权限的用户使用 netmeeting ——远程访问 windows 桌面
——(Microsoft) Microsoft Office XP快速搜索
——在多个服务器间维护文件目录内容的文件同步
——提供动态数据交换 (dde) 的网络传输和安全特性
——协调用来储存不常用数据的服务和管理工具
——管理远程储存的文件的操作
——依赖质量服务(qos)的程序和控制应用程序提供网络信号和本地通信控制***功功能
——控制用来远程储存数据的媒体
——对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制
——配置性能日志和警报
——接收由本地或远程 mp 代理程序产生的陷阱(trap)消息,然后将消息传递到运行在这台计算机上 mp管理程序
——(Microsoft)系统 任务管理器
——实现 tftp internet 标准。该标准不要求用户名和密码。
——从一个窗口中启动和配置辅助工具
——WMI 提供程序 (WMI provider) 在 WMI 和操作系统、应用程序以及其他系统的组件之间充当中介。
——为注册和解析 netbios 型名称的 tcp/ip 客户提供 netbios 名称服务
——允许远程用户登录到系统并且使用命令行运行控制台程序。
——提供多会话环境允许客户端设备访问虚拟的 Windows 2000
Profe ional——桌面会话以及运行在服务器上的基于 Windows 的程序。
——管理连接到计算机的不间断电源(u ——控制面板(在XP打上SP2后才有——原先控制面板只是默认为文件夹,不会专门出现在进程表上;可能会同时出现多个,且内存占用不低,但属正常情况)
——微软的安全中心的通知程序(在XP打上SP2后才有,一般在在你系统安全设置存在风险的时候就会出现。)你要想让它不出现,就得①***杀毒软件,或者放弃监视。②开启自动更新。③开启防火墙,或者选择不监视防火墙。否则这个东东就赖在任务栏了。
——Automatic Updates 自动升级 占用的资源也不算太小。运行时内存占用达到了6m左右,好在自动升级不是每时每刻开着的。但是如果你关闭了这个程序的话,呵呵。就会启动,又是3m内存,呵呵。时时刻刻通知你,该注意自动升级这事情了。又得内存说话了。
——系统服务,Me age Queuing Triggers
——MSMQ Migration Utility信息队列迁移工具
——管理 V2i Protector 代理,系统服务
注:介绍了这么多简单知识,接下了来我们可以了解一些黑客入侵的简单手段了,好了,我不多说,从下一卷开始,我们正式学习入侵!!书包网 bookbao.com 想看书来书包网
破解万象网管,网吧免费上网绝招!
好了,今天起,我给大家讲解一些简单的入侵知识和方法,供大家娱乐一下
目前仍然还有不少网吧使用的万象版本比较底.对于这类被淘汰的老古董.破解的方法实在是多.我就给总结一下下.说的不好.请大虾们不要笑我.还有如果哪位大虾有别的技巧.可否拿出来一起分享.
1 输入法漏洞
相信这个漏洞已经是无人不知了.方法是 V + ↑+delete+回车.我就不再多说了
2 从进程入手
这类都是从进程入手的方法.其实都大同小异. 一般都是结束掉万象的CLSMN这个进程.或者使用
Proce Explorer 这个软件把clsmn给挂起.
结束进程的话要在开机的时候抓准时机用C +A+D呼出任务管理器.结束进程两次.
万象有自我保护措施.进程断开后又会重启.但是第二次就不会了.
3 从网络连接入手
网络连接是一个突破口.只要能打开网上邻居查看网络连接就行了.打开连接属性.除了TCP/IP这个协议以外全部去掉.这样你就与主机的万象断开了.想干嘛就干嘛了.
如果你只是要玩单机游戏.不想上网.建议你干脆把网络连接给禁用了.或者更狠点.把机箱后面的网线给拔了更省事. (要做好被网管发现的准备)
4 还是从网络连接入手
现在有很多万象都不让查看网络连接了.有没有什么办法让那个可爱的:网上邻居再次出现呢?
当然有.方法还不少.
一.使用命令提示符.给系统添加帐户.这个方法需要一点点DOS命令方面的知识.实在不知道.那就硬记好了.~``````````````````````````
等一下,有人要问了.网吧里怎么打开命令提示符啊?.呵呵这个简单.知道DOS会用DOS的人.一定能打开它的.有了CMD(也就是命令提示符)我们就能访问到本地磁盘了.呵呵````
方法是:单击右键.选择 新建文本文档.在文档里面输入:" 然后另存为后辍名是BAT的文件就行了.比如然后你运行看看.这不就是我们的CMD吗?很简单吧~`````````````
又有人要问了.网吧里右键都被屏逼掉了.怎么办啊.?
方法是有的.而却还是很多的.SHIF+F10 这两个按扭就能让右键出来了.要是还不行的话.你就要利用其他程序的帮助了.一般网吧里都会提供一个可以访问的下载盘.在这个盘里一定可以使用右键.实在没有就用QQ等软件.比如发送图片.或者文件.这时跳出的窗口里就能用右键了.
好了.有了CMD怎么办呢? 当然是给系统添加帐户咯.输入:" et user 用户名 /add (用户名随便打.自己记住了就行).好了现在要把你刚才添加的用户添加到管理员组方法是输入:" et localgroup administrators 用户名 /add 这样就行了.好了注销吧~```````
现在进入登入界面.别着急.使用换挡键却换到用户名那里输入你刚才添加的用户名进入就行了.
好了现在已经进入新用户的桌面了.看看.全都不一样了吧.呵呵 那个网上邻居不是出来了?再看看你的右键.还有开始菜单.是不是全都出来了.现在就可以照上面的方法把万象的连接协议去掉了.留下TCP/IP就行了.接下来就玩吧
(有些万象实在是狠.改了注册表.新的管理员帐户也无法访问本地磁盘.别着急.我们不是还有CMD嘛.呵呵,只要有它还怕什么啊,想干嘛就干嘛吧.)
二.这个方法更简单.
同样先照上面方法.打开CMD.然后 出入REGEDIT也就是我们的注册表.打开注册表后要按顺序
HKEY_CURRENT_USE-------SOFTWARE--------SICENT---------WX2004CLT
然后把!!!APP. !!IESETCIPHER. !!!RUNSETCIPHER.
!!!UNLOCKCIPHER这四个键全都删了.
也就是前面有三个感叹号的全都删除掉就行了.
现在你看看能不能用空密码进入万象的系统设置.呵呵.一般都可以吧.既然能设置系统了.你还有什么不能玩的呢?呵呵~````````
5 利用破解软件.
现在有很多针对万象啊美萍啊.还有还原精灵的破解软件.使用他们非常简单.比如狼盗破解器等等的```````反正有很多.只要在BAIDU里搜一下就是一大堆了.具体的使用方法.就没法一一阐述了.这类软件的寿命不长.万象也是会不断更新的.
补充:
还有一个方法.因为网吧里没有运行.所以也要同上面一样先打开一个CMD 来.然后输入就是组策略拉.然后是:用户配置-------管理模板.接下来.你自己在里面看咯....呵呵.相信你应该知道要怎么做吧.不要说我懒.因为这是补充嘛.有些东西是要自己去努力发现的.不能光别人说的..
接下来如果你成功了的话.你应该会在开始菜单或者桌面上看到:网上邻居接下来还是去掉除TCP/IP以外的协议.这样就OK了
以上就是我总结的破解网吧管理的方法. 其实网络上有很多很多.自己可以用GOOGLE或者BAIDU搜一下就行了.有一种新的破解方法.就会有一新的限制.这跟病毒和杀软的关系一样.两者都是在不断的更新的.但是病毒总是比杀软领先一步.总是有个空子来钻的.书包 网 bookbao.com 想看书来书包网
用IE浏览器实现远程控制
一、有IE 想黑就黑
简单点说,rmtSvc是一款集FTP、Telnet服务、Proxy服务以及vIDC服务的远程控制工具。用户可以通过此款工具方便地对远程计算机进行控制。此工具和其它远程控制工具不同,它采用B/S结构(无需***),用户可通过浏览器进行远程控制(我们的口号是:有IE,想黑就黑!)。
下面,笔者就以入侵控制的实例来为大家分别介绍rmtSvc常用功能的使用方法及技巧。解压下载后的压缩包,先别急着让在目标机运行(未加壳的程序会遭到杀毒软件的查杀),笔者先告诉大家如何给源程序加壳从而避免被查杀吧(不然就没得玩了-_-|)。运行该软件,进入“选项”菜单,勾选“保留额外数据”,然后“打开文件”,选择源程序后就会自动压缩了。
特别提醒:压缩后的不会被杀毒软件查杀,而且文件体积会减少近50%(经过金山毒霸6增强版、KV2005、诺顿2005测试),如果想进一步增强隐蔽性,请参考2004年第50期G9版《披着羊皮的狼——将Radmin改造为百分百木马》一文介绍的“超级捆绑”软件的使用方法。木马程序的欺骗发送本文就不作进一步讨论了。
二、武装RmtSvc “暗杀”杀毒软件
1.打开浏览器输入http://IP:port(其中IP为被控机的IP地址,port为rmtSvc的服务端口,默认为7778)。连接成功后将会看到如图1的欢迎登录画面,输入访问密码(默认为123456),就可以进行rmtSvc所支持的操作(如果之前已经连同和webe目录都发给了对方,那么rmtSvc将会多出用MSN进行远程控制和HTTP方式文件管理的功能)。
2.欢迎登录画面的上方为rmtSvc的系统菜单,从左至右的功能依次为:Pview (进程查看)、Spy++(远程控制管理)、Proxy(启动或停止rmtSvc的代理服务)、vIDC(设置vIDCs的访问权限)、logoff(注销对rmtSvc登录)、Option(配置rmtSvc的运行参数)、About(rmtsvc欢迎/登录画面)。
3.第一次登录需进入rmtSvc的参数设置更改敏感信息(图2),这样才能保障其安全性。先在“Modify Pa word”修改rmtSvc访问密码,再在“Service Port”更改rmtSvc服务端口为任意一个4位不常用的端口(需要重启服务才会生效,建议设为高端端口)。然后将“Start Control、Stolen mode”选上,这样rmtSvc会自动***为Windows服务随机启动且服务为隐藏属性,这也就意味着在下次启动时,你可以继续控制目标机器。
4.接下来在“Start mode”选项中,设置rmtSvc运行后自动启动FTP和Telnet服务(另外还有Proxy、vIDCs映射等)。通过FTP可以方便地进行文件上传下载。再将“Auto i tall service”和“Forbid detaching Dll”选择上,这样每次程序运行时会自动检测rmtSvc服务是否已***,如果没有***则自动***为服务(相当于自我修复功能)并释放一个DLL文件(可修改文件名,默认为),这是为了防止自动释放的未加壳的DLL被杀毒软件查杀,用户可以选择不释放DLL。手工将加壳后的DLL拷入到被控机的系统目录下,在释放DLL的名称处填入你加壳后的DLL名称。
高手传经:rmtSvc释放的DLL主要有以下用处:隐藏进程、模拟“Ctrl+Alt+Del”按键、显示密码框密码、监视rmtSvc运行情况。如果异常退出或被杀掉则会自动重新启动,将配置参数写入rmtSvc程序本身(强烈建议选择)。
5.接下来在“Killed Program”中,设定rmtSvc监视并自动杀掉的进程名称,如有多个进程,各个名称之间以逗号分隔。例如输入:,就可以把金山毒霸和天网防火墙关闭。
6.一切设置无误后,点击“Save”保存当前配置,在弹出的对话框中输入reg,将配置参数写入到注册表。输入self则是将配置参数写入该EXE文件自身,如果填写其它则会生成相应文件名的.exe的副本,并将配置参数写入此EXE副本。例如:输入c:\,将在c盘根目录下生成一个副本,并将配置参数写入此副本。
7.随后rmtSvc服务会重新启动运行。
高手传经:隐藏模式下才可以将配置参数写入EXE本身,如果没有保存,每次在rmtSvc正常退出时也会将配置参数写入EXE本身。
8.再次使用新设密码登录后,单击Pview进入“进程查看”页面,在这里将显示三个部分的信息:系统信息、进程/模块信息、CPU/内存使用信息。在页面的右边为进程模块显示区域,点击某个进程名则显示此进程的相关模块信息,点击“Kill It”按钮就可以杀掉该进程(需要注意的是进程列表不会实时自动刷新,用户必须手工刷新)。现在你的rmtSvc已经被武装到了牙齿,还等什么,可以出手了。
三、用IE控制过把瘾
把挡路的安全软件给“暗杀”后,接下来就可以趁对方不在时使用Spy++远程控制管理来远程控制机器了。当然在控制前我们需要将相关参数设置妥当,这样才能得到更好的控制效果。
1.在“Quality”显示效果中选择Good(好),“Stretch”设置捕获图像的缩小比率80%。最后将“Cursor”选上,这样在捕获远程计算机屏幕时就会连同鼠标光标一起捕捉,以便用户知道当前鼠标光标位置。设置好后点击“Set”使上述三个参数生效。
2.接下来就可以尝试控制了。当远程桌面图像处于焦点状态(鼠标在图像区域内),你就可以直接敲击键盘发送按键信息,和你操作本地机器一样。但是对于输入大段的文本这是非常不方便的,因为你的每次按键动作都会作为一次HTTP请求发出,输入速度很慢。
如果你想输入大段文本,可以将鼠标选中I ut输入框,然后输入你想要发送的文本,按下回车即可;如果选中了Crlf复选框,则在你输入的文本后面会自动加入回车换行。
3.但是在进行远程计算机登录时,有些机器可能无法通过I ut输入框直接输入登录密码,只能通过模拟键盘输入登录密码。方法如下:通过鼠标直接点击桌面图像,系统会自动识别你的鼠标的单击、双击键信息。如果你在按下鼠标的同时按下了“Shift”、“Alt”或“Ctrl”键,系统也能自动识别。
4.为了更方便地控制远程桌面,可以将远程桌面图像设为自动刷新,这样就不会出现有动作发出而图像没有变化需要手工刷新的情况了。方法如下,勾选“Auto-refresh”项,在右边输入自动刷新间隔,默认为500ms。
高手传经:如果想知道远程被控机中密码框中的密码。则需要用到Pa word→Text项,在有密码框时此项会变为Text→Pa word。此时只要用鼠标左键点击远程桌面图像的密码输入框,则远程被控机密码框中的密码会被翻译成明文显示。如果你取消此项功能,点击Text→Pa word项即可,此时此项就会变为Pa word→Text。
5.如果要远程执行程序,选择Start下拉列表框的Run项,输入你要远程执行的文件名和参数即可,使用方法和Windows的开始菜单的运行命令一致。
如此这般,通过IE就能像操作本机一样控制目标机了。
四、FTP/Telnet 一个都不能少
远程控制似乎并不能让我们感到满足,那就再来开启对方的FTP/Telnet服务,彻底过把入侵瘾吧。
1.进入“FTP&am Telnet”菜单,点击FTP/Telnet服务旁边的“Run”就可以启动相关服务了。FTP/Telnet port:设置FTP/Telnet服务的端口,默认FTP为2121,Telnet为2323。Anonymous acce :设置访问FTP服务的权限,是否允许匿名访问(enable),如果不允许则设置访问的用户名和密码。
2.另外,我们还要允许设置不同访问的账号,每个账号可以指定是否可写/可删除/可执行以及设置不同的FTP根目录。可以在FTP设置的文本输入框中输入多个访问账号信息,各个账号信息用回车换行分隔,账号信息格式为:
[帐号名]SP[密码]SP[访问权限]SP[允许访问的目录]CRLF
高手传经:设置PERMISSION(访问权限)时,0:仅仅只读,1:可写,3:可写并且可删除 7:可写可删除可执行。例如:[cytkk] [123456] [7] [c:] 就建立了一个拥有管理员权限,密码为123456的cytkk账户。
3.此时FTP账号信息仅仅写入注册表保存,不会保存到EXE中。
最新QQ空间5级花代码
第一: 能养五级花
第二:开花效果。 植物的叶子会更加茂盛,直接开花
第三: 附带一个金色人参果
先在这里发一款可以拿去试下: 蛋糕仔 只要在地址栏输入如下代码
javascript:(7,11600,0,0,0,1,0);
javascript:(7,11600,0,0,0,1,0); 蛋糕仔
javascript:(7,10809,0,0,0,1,0); 快乐圣诞节
javascript:(7,10810,0,0,0,1,0); 甜入心房
javascript:(7,10104,0,0,0,1,0); 海底世界
javascript:(7,10106,0,0,0,1,0); 清寒幽兰
javascript:(7,6552,0,0,0,1,0);
javascript:(7,6549,0,0,0,1,0);
javascript:(7,7981,0,0,0,1,0);
javascript:(7,7288,0,0,0,1,0);
javascript:(7,9997,0,0,0,1,0);
christmas
javascript:(7,9782,0,0,0,1,0);
梦之小屋
javascript:(7,9784,0,0,0,1,0);
深海世界
javascript:(7,9785,0,0,0,1,0);
深秋遗风
javascript:(7,9465,0,0,0,1,0);
javascript:(7,9361,0,0,0,1,0);
狮子圆舞曲
javascript:(7,9362,0,0,0,1,0);
幽伤时刻
javascript:(7,8980,0,0,0,1,0);
天星-白羊
javascript:(7,8974,0,0,0,1,0);
博爱-水瓶
javascript:(7,8032,0,0,0,1,0);
心心相应
javascript:(7,7946,0,0,0,1,0);
可爱青春
javascript:(7,7182,0,0,0,1,0);
花从锭放
javascript:(7,7183,0,0,0,1,0);
javascript:(7,6729,0,0,0,1,0);
javascript:(7,6550,0,0,0,1,0);
蠢蠢的爱
javascript:(7,6551,0,0,0,1,0);
淡淡相思
javascript:(7,6553,0,0,0,1,0);
黑夜妖精
javascript:(7,6554,0,0,0,1,0);
火红季节
javascript:(7,6556,0,0,0,1,0);
魅力恋歌
javascript:(7,6557,0,0,0,1,0);
清爽之夏
javascript:(7,6559,0,0,0,1,0);
酸酸甜甜
javascript:(7,6398,0,0,0,1,0);
javascript:(7,6399,0,0,0,1,0);
javascript:(7,6400,0,0,0,1,0);
天使的爱
javascript:(7,6401,0,0,0,1,0);
爱之星月下
javascript:(7,6274,0,0,0,1,0);
清淡之香
javascript:(7,6071,0,0,0,1,0);
javascript:(7,3675,0,0,0,1,0);
最爱兰花
javascript:(7,2942,0,0,0,1,0);
javascript:(7,2875,0,0,0,1,0);
草莓情缘
javascript:(7,2877,0,0,0,1,0);
小野花之恋
javascript:(7,2876,0,0,0,1,0);
葵心向我
javascript:(7,2668,0,0,0,1,0);
javascript:(7,2468,0,0,0,1,0);
我心依旧
javascript:(7,2467,0,0,0,1,0);
javascript:(7,2464,0,0,0,1,0);
javascript:(7,2465,0,0,0,1,0);
烈艳红唇
javascript:(7,2466,0,0,0,1,0);
绿茶飘香
就算你是花匠学徒,你也可以拥有五级花,是黑客的话,什么都不怕!!!!txt电子书分享平台 书包网
网络入侵检测初步探测方法
经过精心配置的Win2000服务器可以防御90%以上的入侵和渗透,但是,就象上一章结束时所提到的:系统安全是一个连续的过程,随着新漏洞的出现和服务器应用的变化,系统的安全状况也在不断变化着;同时由于攻防是矛盾的统一体,道消魔长和魔消道长也在不断的转换中,因此,再高明的系统管理员也不能保证一台正在提供服务的服务器长时间绝对不被入侵。
所以,安全配置服务器并不是安全工作的[/size]结束,相反却是漫长乏味的安全工作的开始,本文我们将初步探讨Win2000服务器入侵检测的初步技巧,希望能帮助您长期维护服务器的安全。
入侵的检测主要还是根据应用来进行,提供了相应的服务就应该有相应的检测分析系统来进行保护,对于一般的主机来说,主要应该注意以下几个方面:
1.基于80端口入侵的检测
WWW服务大概是最常见的服务之一了,而且由于这个服务面对广大用户,服务的流量和复杂度都很高,所以针对这个服务的漏洞和入侵技巧也最多。对于NT来说,IIS一直是系统管理员比较头疼的一部分,不过好在IIS自带的日志功能从某种程度上可以成为入侵检测的得力帮手。IIS自带的日志文件默认存放在System32/LogFiles目录下,一般是按24小时滚动的,在IIS管理器中可以对它进行详细的配置。
我们假设一台WEB服务器,开放了WWW服务,你是这台服务器的系统管理员,已经小心地配置了IIS,使用W3C扩展的日志格式,并至少记录了时间(Time)、客户端IP(Client IP)、方法(Method)、URI资源(URI Stem)、URI查询(URI Query),协议状态(Protocol Status),我们用最近比较[/size]流行的Unicode漏洞来进行分析:打开IE的窗口,在地址栏输入:+dir默认的情况下你可以看到目录列表,让我们来看看IIS的日志都记录了些什么,打开(Ex代表W3C扩展格式,后面的一串数字代表日志的记录日期):07:42:58 \../wi t/system32\+dir 200上面这行日志表示在格林威治时间07:42:58(就是北京时间23:42:58),有一个家伙(入侵者)从的IP在你的机器上利用Unicode漏洞(%c1%1c被解码为“\”,实际的情况会因为Windows版本的不同而有略微的差别)运行了,参数是/c dir,运行结果成功(HTTP 200代表正确返回)。
大多数情况下,IIS的日志会忠实地记录它接收到的任何请求(也有特殊的不被IIS记录的攻击,这个我们以后再讨论)。但是,IIS的日志动辄数十兆、流量大的网站甚至数十G,人工检查几乎没有可能,唯一的选择就是使用日志分析软件,用任何语言编写一个日志分析软件(其实就是文本过滤器)都非常简单。
告诉大家一个简单的方法,比方说你想知道有没有人从80端口上试图取得你的文件,可以使用以下的命令:find “” 。这个命令使用的是NT自带的工具,可以轻松的从文本文件中找到你想过滤的字符串,“”是需要查询的字符串,是待过滤的文本文件,/i代表忽略大小写。因为我无意把这篇文章写成微软的Help文档,所以关于这个命令的其他参数以及它的增强版的用法请去查看Win2000的帮助文件。
无论是基于日志分析软件或者是Find命令,你都可以建立一张敏感字符串列表,包含已有的IIS漏洞(比如“+.htr”)以及未来将要出现的漏洞可能会调用的资源(比如或者),通过过滤这张不断更新的字符串表,一定可以尽早了解入侵者的行动。
需要提醒的是,使用任何日志分析软件都会占用一定的系统资源,因此,对于IIS日志分析这样低优先级的任务,放在夜里空闲时自动执行会比较合适,如果再写一段脚本把过滤后的可疑文本发送给系统管理员,那就更加完美了。同时,如果敏感字符串表较大,过滤策略复杂,我建议还是用C写一个专用程序会比较合算。
2.基于安全日志的检测
通过基于IIS日志的入侵监测,我们能提前知道窥伺者的行踪(如果你处理失当,窥伺者随时会变成入侵者),但是IIS日志不是万能的,它在某种情况下甚至不能记录来自80端口的入侵,根据我对IIS日志系统的分析,IIS只有在一个请求完成后才会写入日志,换言之,如果一个请求中途失败,日志文件中是不会有它的踪影的(这里的中途失败并不是指发生HTTP400错误这样的情况,而是从TCP层上没有完成HTTP请求,例如在POST大量数据时异常中断),对于入侵者来说,就有可能绕过日志系统完成大量的活动。
而且,对于非80 Only的主机,入侵者也可以从其它的服务进入服务器,因此,建立一套完整的安全监测系统是非常必要的。
Win2000自带了相当强大的安全日志系统,从用户登录到特权的使用都有非常详细的记录,可惜的是,默认***下安全审核是关闭的,以至于一些主机被黑后根本没法追踪入侵者。所以,我们要做的第一步是在管理工具-本地安全策略-本地策略-审核策略中打开必要的审核,一般来说,登录事件与账户管理是我们最关心的事件,同时打开成功和失败审核非常必要,其他的审核也要打开失败审核,这样可以使得入侵者步步维艰,一不小心就会露出马脚。仅仅打开安全审核并没有完全解决问题,如果没有很好的配置安全日志的大小及覆盖方式,一个老练的入侵者就能够通过洪水般的伪造入侵请求覆盖掉他真正的行踪。通常情况下,将安全日志的大小指定为50MB并且只允许覆盖7天前的日志可以避免上述情况的出现。
除了安全日志,系统日志和应用程序日志也是非常好的辅助监测工具,一般来说,入侵者除了在安全日志中留下痕迹(如果他拿到了Admin权限,那么他一定会去清除痕迹的),在系统和应用程序日志中也会留下蛛丝马迹,作为系统管理员,要有不放过任何异常的态度,这样入侵者就很难隐藏他们的行踪。
3.文件访问日志与关键文件保护
除了系统默认的安全审核外,对于关键的文件,我们还要加设文件访问日志,记录对它们的访问。
文件访问有很多的选项:访问、修改、执行、新建、属性更改……一般来说,关注访问和修改就能起到很大的监视作用。
例如,如果我们监视了系统目录的修改、创建,甚至部分重要文件的访问(例如,,system32目录),那么,入侵者就很难在不引起我们注意的情况下安放后门。要注意的是,监视的关键文件和项目不能太多,否则不仅增加系统负担,还会扰乱日常的日志监测工作。关键文件不仅仅指的是系统文件,还包括有可能对系统管理员和其他用户构成危害的任何文件,例如系统管理员的配置、桌面文件等等,这
