黑客知识人人爱 想要学会黑客技术只需三步!
　　【PConline 杂谈】作为网络爱好者，我们中的很多人都有一个黑客梦，就如同多数男孩都有一个武侠梦。黑客们凭借着高超的电脑技术、来无影去无踪的身手，宛如一个个武艺高超，轻功卓越的大侠在我们眼前飘过，令人心驰神往，却又可遇而不可求。和大多数人一样，我们不是上天的宠儿，不会凭借因缘际会而拾到武林秘籍。因此我们也很难通过自己的摸索而掌握高超的黑客技术。&　　&从哪儿开始学起？&，&学习黑客技术的方法是什么？&。这是许多黑客技术爱好者想要解决的问题。针对这些疑问，笔者将在今天的文章中，为大家介绍下学习黑客技术的方法，供大家参考。成为一个黑客需要掌握什么技术呢？　　既然我们不是天选之子，没有主角光环，那么和做其他任何事情一样，没有一种魔法可以使我们一夜间学会黑客技术。因此学习黑客知识除了足够的兴趣外，还需要坚定的毅力。首先你需要打下坚实的基础：掌握计算机操作系统的基础知识；知道计算机工作原理；电脑网络知识；网络安全知识以及编程。成为一个黑客最好的方法是什么呢？　　正如前面所说，通往黑客之路最好的方法就是打好基础，如果你想要成为一个黑客大师，那么牢固的基础必不可少。当你打定基础，你会发现，你已经开始站在黑客的角度思考问题了。牢记下面的步骤，这将是你黑客生涯的开端。
键盘也能翻页，试试“← →”键
网络设备论坛帖子排行
最新资讯离线随时看
聊天吐槽赢奖品网络黑客有哪些种类他们都有哪些行为网络黑客有哪些种类他们都有哪些行为AI达人百家号网络黑客随着互联网技术的普及，让他们越来越能受到关注；那么当前网络黑客有哪些种类他们都有哪些行为呢？针对这些以下业内相关专家就来进行介绍。网络黑客的种类业内相关专家介绍，现在网络黑客的类型分为正和邪2大类，前者主要就是能够依靠自己掌握的知识来帮助系统管理员进行找出系统中的漏洞并进行完善，而邪派黑客就是能通过各种黑客技能来对系统进行攻击、入侵或者做其他一些有害于网络的事情；不过不论是那种类型的黑客，他们最初的学习内容都是大致相同的，且他们掌握的相关基本技能也都是一样的，即便日后他们都走向了不同的道路但是所做的事情也都是差不多只不过其出发点和目的是不一样的。网络黑客都有哪些行为行为一：有学习技术行为。当互联网上的新技术一旦出现，黑客们就需要能够马上进行学习，并能用最短的时间进行掌握这项技术；当然了这种掌握也绝对不是一般的了解，而是需要能够阅读相关协议进行深入了解这种技术的机理，不然一旦停止学习只依靠最初学习的技能超不过一年就彻底会被淘汰出局；大家还需要知道的是，初级黑客往往学习到的知识也是比较困难的，毕竟初级黑客没有学习基础因此学习起来就要接触非常多的基本内容，这些太深的内容就会给初手黑客带来极大困难。行为二：伪装自己的行为。在实际中网络黑客的一举一动往往就会被服务器给记录下来，因此黑客就必须要能伪装好自己让对方无法进行辨别自己真实的身份，而这也需要有熟练的技巧来伪装自己的IP地址、使用跳板逃避跟踪、巧妙躲开防火墙和清理记录扰乱对方线索等；不过这些伪装都要非常过硬基本功才行的，这对于众多初学者来说是做不到的，因此初学者在利用知识对网络进行攻击当行迹暴露就会害人害己。行为三：进行发现漏洞。漏洞对于网络黑客来说就是一种最重要的信息，所以黑客就要能经常学习别人进行发现漏洞，并需要努力来找到一些未知漏洞并从海量的漏洞中再进行寻找相关有价值的信息，如果是正义黑客其最终目的就是通过发现漏洞来进行修补。本文仅代表作者观点，不代表百度立场。系作者授权百家号发表，未经许可不得转载。AI达人百家号最近更新：简介:面相未来专注最有用最新的AI资讯作者最新文章相关文章记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华
https://github.com/gchq/CyberChef
GCHQ发布了一款为CyberChef开源WEB工具，它专门为分析和解码数据而设计。
开源数据是情报机构的特权来源，几乎所有的政府都会对开源数据投入巨大资金技术进行分析。
最近，英国情报机构GCHQ推出了一款专门为分析和解码数据而设计的一款开源网络工具。
这款叫CyberChef的工具被GCHQ誉为“网络瑞士军刀”。
“CyberChef是一款简单，直观的Web应用程序，它被用于在Web浏览器中执行各种“网络”操作。 这些操作包括创建hexdumps，简单编码（如XOR或Base64），更复杂的加密（如AES，DES和Blowfish），数据压缩和解压缩，计算哈希和校验和，IPv6和X.509解析等等” GCHQ在GitHub上
发布时间: |
阅读:54816 | 评论:0 |
关注公众号hackdig，学习最新黑客技术黑客实例讲解木马的分析方法！ -通信/网络-与非网
以前有过一款国产，它有个好听的名字，叫做&广外女生&。这个木马是广东外语外贸大学&广外女生&网络小组的作品，它可以运行于WIN98，WIN98SE，WINME，WINNT，WIN2000或已经安装Winsock2.0的Win95/97上。与以往的木马相比，它具有体积更小、隐藏更为巧妙的特点。可以预料，在将来的日子里它会成为继&冰河&之后的又一流行的木马品种。
由于&广外女生&这个木马的驻留、启动的方法比较具有典型性，下面我就通过对这种新型木马的详细分析过程来向大家阐述对一般木马的研究方法。下面的测试环境为Windows2000中文版。
一、所需工具
1.RegSnap v2.80 监视注册表以及系统文件变化的最好工具
2.fport v1.33 查看程序所打开的端口的工具
3.FileInfo v2.45a 查看文件类型的工具
4.ProcDump v1.6.2 脱壳工具
5.IDA v4.0.4 反汇编工具
二、分析步骤
一切工具准备就绪了，我们开始分析这个木马。一般的木马的端一旦运行之后都会对注册表以及系统文件做一些手脚，所以我们在分析之前就要先对注册表以及系统文件做一个备份。
首先打开RegSnap，从file菜单选new,然后点OK。这样就对当前的注册表以及系统文件做了一个记录，一会儿如果木马修改了其中某项，我们就可以分析出来了。备份完成之后把它存为Regsnp1.rgs。
然后我们就在我们的电脑上运行&广外女生&的服务器端，不要害怕，因为我们已经做了比较详细的备份了，它做的手脚我们都可以照原样改回来的。双击gdufs.exe，然后等一小会儿。如果你正在运行着&天网&或&金山毒霸&的话，应该发现这两个程序自动退出了，很奇怪吗？且听我们后面的分析。现在木马就已经驻留在我们的系统中了。我们来看一看它究竟对我们的做了哪些操作。重新打开RegSnap，从file菜单选new,然后点OK，把这次的snap结果存为Regsnp2.rgs。
从RegSnap的file菜单选择Compare，在First snapshot中选择打开Regsnp1.rgs，在Second snapshot中选择打开Regsnp2.rgs，并在下面的单选框中选中Show modifiedkey names and key values。然后按OK按钮，这样RegSnap就开始比较两次记录又什么区别了，当比较完成时会自动打开分析结果文件Regsnp1-Regsnp2.htm。
看一下Regsnp1-Regsnp2.htm，注意其中的：
Summary info:
Deleted keys: 0
Modified keys: 15
New keys : 1
意思就是两次记录中，没有删除注册表键，修改了15处注册表，新增加了一处注册表。再看看后边的：
File list in C:WINNTSystem32*.*
Summary info:
Deleted files: 0
Modified files: 0
New files : 1
diagcfg.exe Size: 97 792 , Date/Time: 日 23:00:12
--------------
Total positions: 1
这一段话的意思就是，在C:WINNTSystem32目录下面新增加了一个文件diagcfg.exe，这个文件非常可疑，因为我们在比较两次系统信息之间只运行了&广外女生&这个木马，所以我们有理由相信diagcfg.exe就是木马留在系统中的后门程序。不信的话你打开任务管理器看一下，会发现其中有一个DIAGCFG.EXE的进程，这就是木马的原身。但这个时候千万不要删除DIAGCFG.EXE，否则系统就无法正常运行了。
木马一般都会在注册表中设置一些键值以便以后在系统每次重新启动时能够自动运行。我们再来看看Regsnp1-Regsnp2.htm中哪些注册表项发生了变化，凭借经验应该注意到下面这条了：
HKEY_LOCAL_MACHINESOFTWAREClassesexefileshellopencommand@
Old value: String: &&%1& %*&
New value: String: &C:WINNTSystem32DIAGCFG.EXE &%1& %*&
这个键值由原来的&%1& %*被修改为了C:WINNTSystem32DIAGCFG.EXE &%1& %*，因为其中包含了木马程序DIAGCFG.EXE所以最为可疑。那么这个注册表项有什么作用呢？
它就是运行可执行文件的格式，被改成C:WINNTSystem32DIAGCFG.EXE &%1&。%*之后每次再运行任何可执行文件时都要先运行C:WINNTSystem32DIAGCFG.EXE这个程序。
原来这个木马就是通过这里做了手脚，使自己能够自动运行，它的启动方法与一般普通木马不太一样，一般的木马是在
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun*
键里增加一个键值，使自己能够自启动，但这种方法被杀毒软件所熟知了，所以很容易被查杀。而&广外女生&这个木马就比较狡猾，它把启动项设在了另外的位置。
现在我们已经掌握了这个木马的驻留位置以及在注册表中的启动项，还有重要的一点就是我们还要找出它到底监听了哪个端口。使用fport可以轻松的实现这一点。在命令行中运行fport.exe，可以看到：
C:toolfport&fport
FPort v1.33 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com
Pid Process　　　Port Proto Path
584 tcpsvcs　-& 7　　 TCP C:WINNTSystem32tcpsvcs.exe
584 tcpsvcs　-& 9　　 TCP C:WINNTSystem32tcpsvcs.exe
584 tcpsvcs　-& 13　　TCP C:WINNTSystem32tcpsvcs.exe
584 tcpsvcs　-& 17　　TCP C:WINNTSystem32tcpsvcs.exe
584 tcpsvcs　-& 19　　TCP C:WINNTSystem32tcpsvcs.exe
836 inetinfo　-& 80　　TCP C:WINNTSystem32inetsrvinetinfo.exe
408 svchost　-& 135 TCP C:WINNTsystem32svchost.exe
836 inetinfo　-& 443 TCP C:WINNTSystem32inetsrvinetinfo.exe
8　　 System　 -& 445 TCP
464 msdtc　 -& 1025 TCP C:WINNTSystem32msdtc.exe
684 MSTask　 -& 1026 TCP C:WINNTsystem32MSTask.exe
584 tcpsvcs　-& 1028 TCP C:WINNTSystem32tcpsvcs.exe
836 inetinfo　-& 1029 TCP C:WINNTSystem32inetsrvinetinfo.exe
8　　 System　 -& 1030 TCP
464 msdtc　 -& 3372 TCP C:WINNTSystem32msdtc.exe
1176 DIAGCFG　-& 6267 TCP C:WINNTSystem32DIAGCFG.EXE
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 注意这行！！！
836 inetinfo　-& 7075 TCP C:WINNTSystem32inetsrvinetinfo.exe
584 tcpsvcs　-& 7　　 UDP C:WINNTSystem32tcpsvcs.exe
584 tcpsvcs　-& 9　　 UDP C:WINNTSystem32tcpsvcs.exe
584 tcpsvcs　-& 13　　UDP C:WINNTSystem32tcpsvcs.exe
584 tcpsvcs　-& 17　　UDP C:WINNTSystem32tcpsvcs.exe
584 tcpsvcs　-& 19　　UDP C:WINNTSystem32tcpsvcs.exe
584 tcpsvcs　-& 68　　UDP C:WINNTSystem32tcpsvcs.exe
408 svchost　-& 135 UDP C:WINNTsystem32svchost.exe
8　　 System　 -& 445 UDP
228 services　-& 1027 UDP C:WINNTsystem32services.exe
836 inetinfo　-& 3456 UDP C:WINNTSystem32inetsrvinetinfo.exe
我们可以清楚的看到，木马程序监听在TCP的6267号端口上了。我们到目前为止就可以说掌握了&广外女生&这个木马在我们系统中的全部动作了，现在我们可以轻而易举的查杀它了。
经过前面的分析我们已经了解了&广外女生&这种木马的工作方式，现在我们就来清除它。下面就是彻底清除&广外女生&的方法，注意：这个步骤的次序不能颠倒，否则可能无法完全清除掉此木马。
1.按&开始&菜单，选择&运行&，输入regedit，按确定。打开下面键值：
HKEY_LOCAL_MACHINESOFTWAREClassesexefileshellopencommand
但是先不要修改，因为如果这时就修改注册表的话，DIAGCFG.EXE进程仍然会立刻把它改回来的。
2.打开&任务管理器&，找到DIAGCFG.EXE这个进程，选中它，按&结束进程&来关掉这个进程。注意，一定也不要先关进程再打开注册表管理器，否则执行regedit.exe时就又会启动DIAGCFG.EXE。
HKEY_LOCAL_MACHINESOFTWAREClassesexefileshellopencommand
的键值由原来的C:WINNTSystem32DIAGCFG.EXE &%1& %*改为&%1& %*。
4.这时就可以删除C:WINNTSystem32目录下的DIAGCFG.EXE了。切记万万不可首先删除这个文件，否则的话就无法再系统中运行任何可执行文件了。由于我们下面还打算进一步深入分析这个木马，所以现在不删除它，而是把它拷贝到其他的目录以便研究。
四、深入研究
我们已经知道了&广外女生&的基本工作原理、启动流程以及如何彻底清除它了，但是还有一点我们没有彻底弄清楚，那就是它是如何对付&天网防火墙&或&金山毒霸&的。要深入了解这一点，我们必须要去看&广外女生&的代码，这个木马并没有公布源代码，但是我们仍然可以通过反汇编它来看个究竟。
&广外女生&的服务器端只有96K，显然是使用了压缩软件进行了加壳的，我们首先就要确定它到底加了什么壳。通过使用FileInfo这个小工具就可以侦测出来。现在我们就把前面分析过的那个DIAGCFG.EXE复制到FileInfo的目录下，然后在命令行下fi.exe，然后按回车，就会显示：
　　FileInfo v2.45a (c)
from JUN-06-2001
FileInfo v2.45a (c)
by Michael Hering - herinmi@tu-cottbus.de
ASPack v1.06b A.Solodovnikov .data　　 DIAGCFG.EXE ......1997
aPack v0.98/0.99 (Jibz) {short} ....... EXETOOLS.COM .......895 10.11.2000 !
aPack v0.98/0.99 (Jibz) ............... FI.EXE　.....06.2001 !
...................................... FILE_ID.DIZ .......2001 !
?7-bit text ........................... REG.BAT　.......280 06.06.2001 !
...................................... SUMMER.KEY　　.......157 06.06.2001 !
* detected 4/6 files in 110 ms
──═ FileInfo summary ═──── Date: Mi,01.01.1997 ─ Time: 21:32:15 ─
scan path: C:TOOLFI
file mask: *.*
all size: 236182 Bytes = 230 KB
　　 4/6 files in 110 ms (18.33 ms/file)
FileInfo就已经检测出DIAGCFG.EXE是使用了ASPack v1.06b进行加壳。知道了它的加密方法我们就可以使用ProcDump来把它脱壳了。
运行ProcDump，点击Unpack按钮，因为我们要脱ASPack v1.06b的壳，所以就在其中选中Aspack&108，然后按OK。这时它会让你打开要脱壳的文件，我们就选DIAGCFG.EXE，打开。然后稍微等几秒种后按&确定&，ProcDump就会把DIAGCFG.EXE脱壳，然后会出个对话框要你把脱壳过的文件存盘，我们就把它存为gwns.exe。
注意：这时候，木马又在你的系统上运行了一次，所以必须按照前面的清除步骤重新把它清除掉。由于前面已经写过清除方法，这里就不再赘述了。
好了，现在我们已经得到了这个木马加壳前的原始文件了，看看脱壳过的gwns.exe，有194k之大，比原来的程序大了一倍还多，这就是加壳软件的功劳了。现在就可以使用反汇编程序对其进行反汇编，然后看它的汇编程序代码了。
我们就用IDA来反汇编它，顺便说一句，这个IDA是个超强的反汇编工具，是cracker以及Windows hacker所必备的工具。下面我们就来看看部分反汇编过的代码：
0042B1AC　　 push　　offset aKernel32_ &kernel32.dll&
　　 call　　j_LoadLibraryA
　　 mov　　 [ebx], eax
　　 push　　offset aR &RegisterServiceProcess&
0042B1BD　　 mov　　 eax, [ebx]
0042B1BF　　 push　　eax
　　 call　　j_GetProcAddress
　　 mov　　 ds:dword_42EA5C, eax
0042B1CA　　 cmp　　 ds:dword_42EA5C, 0
　　 jz　　 short loc_42B1E1
　　 push　　1
　　 call　　j_GetCurrentProcessId
0042B1DA　　 push　　eax
0042B1DB　　 call　　ds:dword_42EA5C
木马首先加载了kernel32.dll，然后利用GetProcAddress来得到RegisterServiceProcess这个API的地址，木马首先需要把自己注册为系统服务，这样在Win9x下运行时就不容易被任务管理器发现。然后它会GetCommandLineA来得到运行参数，如果参数是可执行文件的话就调用Winexec来运行。
　　 mov　　 eax, ds:dword_42EA80
　　 mov　　 edx, offset aSnfw_ &snfw.exe&
0042B27B　　 call　　sub_403900
　　 jz　　 short loc_42B293
　　 mov　　 eax, ds:dword_42EA80
　　 mov　　 edx, offset aKav9x_ &kav9x.exe&
然后木马会查找snfw.exe和kav9x.exe的进程，也就是&天网防火墙&或&金山毒霸&的进程，然后将其杀掉。
0042B6AD　　 push　　ebx
0042B6AE　　 push　　0
　　 push　　0
　　 push　　offset aSoftwareMicr_0 ; &Software\Microsoft\Windows\CurrentVersi&...
　　 push　　h
0042B6BC　　 call　　j_RegOpenKeyExA_0
　　 push　　offset aKingsoftA &Kingsoft AntiVirus&
　　 mov　　 eax, [ebx]
　　 push　　eax
　　 call　　j_RegDeleteValueA
0042B6CE　　 mov　　 eax, [ebx]
　　 push　　eax
　　 call　　j_RegCloseKey_0
木马还会修改&天网防火墙&或&金山毒霸&在注册表中的启动项，使其在下次系统重新启动时无法自动运行。
　　 mov　　 dword ptr [esi], 100h
　　 push　　esi
　　 push　　edi
　　 push　　offset a_exe_1 ; &.exe&
0042B82D　　 push　　h
　　 call　　j_RegQueryValueA
　　 push　　8
　　 push　　offset a1　; &&%1& %*&
0042B83E　　 push　　1
　　 lea　　 eax, [ebp+var_10]
　　 mov　　 edx, edi
　　 mov　　 ecx, 100h
0042B84A　　 call　　sub_4037A0
0042B84F　　 lea　　 eax, [ebp+var_10]
　　 mov　　 edx, offset aShellOpenC &\shell\open\command&
　　 call　　sub_4037F8
0042B85C　　 mov　　 eax, [ebp+var_10]
0042B85F　　 call　　sub_4039A4
　　 push　　eax
　　 push　　h
0042B86A　　 call　　j_RegSetValueA
0042B86F　　 push　　0
　　 mov　　 eax, ds:dword_42D040
　　 mov　　 eax, [eax]
　　 push　　eax
　　 call　　j_WinExec
下面就是修改木马的注册表启动项，即
HKEY_LOCAL_MACHINESOFTWAREClassesexefileshellopencommand
项，使其能够在每次系统重新启动时能够自行启动。接下来木马就会初始化Winsock dll，绑定端口，等待木马客户端的连接。
截止目前为止，我们已经完成了对&广外女生&这个木马程序的全部分析过程，了解了木马的启动、运行机制。当然，我写本文的目的并不是简单的介绍&广外女生&这一种木马，而是通过对这个具有典型意义的木马的详细分析，来向大家介绍对一般木马的分析方法。利用本文的分析方法，你完全对任何一种未知的木马品种进行分析。最后我们再来总结一下对木马分析的方法及步骤：
首先对系统注册表以及系统文件进行备份，然后运行木马服务器端，再对运行过木马的注册表以及系统文件进行记录，利用注册表分析工具对两次记录结果进行比较，这样就可以了解木马在系统中做了哪些手脚。利用fport来查看木马监听端口。然后利用所获取的信息做出木马的清除方法。
如果想要对木马进行深入的分析，还应该对木马服务器端进行脱壳、反汇编。这样就可以完全掌握木马的任何动作，当然，这需要你对汇编语言有相当的掌握程度以及一定的耐心，因为冗长的汇编代码不是一般的新手所能完全阅读的。
如果还想进一步分析木马报文格式的话，就用sniffer对木马的端口进行监听，然后进行比较分析，这种分析方法比较复杂，本文就不举例说明了。
只是阅读文章还不行，要想完全分析清楚一只木马，还需要实际操练一下！祝你好运！
关注与非网微信 ( ee-focus )
限量版产业观察、行业动态、技术大餐每日推荐
享受快时代的精品慢阅读
有没有想过要设计多大的企业规模系统？在主要的软件开发开始之前，我们必须选择一个合适的体系结构，它将为我们提供所需的功能和质量属性。因此，在将它们应用到我们的设计之前，我们应该了解不同的体系结构。
发表于： 14:16:45
今年一月初，下一代互联网国家工程中心正式宣布推出IPv6公共DNS，并在北京、广州、芝加哥、伦敦、法兰克福等多地部署了递归节点，将向全球免费提供公共DNS服务。
发表于： 10:48:39
上周，日本比特币交易所中，价值5亿美元的比特币被盗窃。这件事情让人们更加相信，比特币所谓的“绝对安全”到头来只是个用于提升其价值的“幌子”。
发表于： 10:09:15
前英特尔总裁雷尼·詹姆斯（Renee James）运营的新芯片公司安培（Ampere）今天推出了一种全新的高效ARM服务器芯片，专门针对超大规模数据中心。
发表于： 09:06:38
基于FPGA的防火墙系统设计。基于FPGA平台，设计一个具有防火墙功能的系统，具备对进出网络数据包解析、过滤等功能。目前正处于总体设计与论证阶段。
发表于： 15:48:17
ZigBee是以IEEE 802.15.4标准为基础的一种低成本、低功耗的无线网络技术,通过ZigBee协议栈，可将各ZigBee节点形成一个节点容量大、通信范围广的ZigBee网络。
发表于： 16:35:28
随着网络技术的快速发展，FC交换机对网络协议的分析、故障的定位等功能提出新的挑战。首先提出基于FC交换机协议处理芯片的监控端口（Monitor Port, MT）软核的工作原理；然后对监控端口软核进行了设计与实现；最后在虚拟仿真平台和FPGA验证平台下对MT端口的功能和性能分别进行仿真和测试。
发表于： 16:28:56
ITU-T G.701标准对抖动的定义为：“抖动是指数字信号在短期内重要的瞬时变化相对于理想位置发生的偏移”。
发表于： 15:46:47
在这个无wifi不能生活的年代，很多人家里都有了wifi，但仍然不乏这样一些“倔强”的人，他们坚信只要功夫深，蹭网就能成！
发表于： 11:16:52
快播创始人王欣的出狱理所当然地成为刷爆朋友圈的热点事件，人们对于王欣出狱的期待或许已经超越了王欣本身。他所创立的快播在三年前是宅男的必备神器，同样是那个时代众多互联网产品中最值得期待的产品。
发表于： 10:42:17
与非门科技(北京)有限公司 All Rights Reserved.
京ICP证:070212号
北京市公安局备案编号： 京ICP备：号