如何在网吧免费上网
如今的网吧已经成为人们沟通联络、休闲娱乐的重要场所。但是总有那么一部分人喜欢不劳而获,想方设法通过各种方式来免费上网,这样做不但会给网吧的安全带来危害,还给网吧的拥有者造成了大量的经济损失,是一种极不道德的行为。为了避免网吧的使用者通过各种方式进行免费上网,给网吧拥有者造成不必要的损失,今天就为各位网吧管理员介绍防范各种免费上网的高招。
大兵,黑客安全技术专家,非常关注黑客及安全技术的动向和发展,主张并坚持知识开放、技术共享。对于软件破解和网络攻防有独到的见解。
免费上网第一招:无中生有
本小黑行走江湖,寻找各个门派的免费上网秘招,不敢独享,拿来与菜鸟们分享,先来第一招“无中生有”。要想通过更改用户数据库的方法,让自己免费上网,首先就需要知道网吧主机的IP地址才行。点击“开始”菜单中的“运行”命令,接着在弹出的窗口中输入“gpedit.msc”并确定,打开“组策略”窗口。点击“用户配置”下“管理模板”中的“系统”,双击“停用命令提示符”选项,选中“已停用”这项,这样操作就可以轻松地突破网吧管理软件的命令提示符以及Windows命令行下工具的使用限制。
接着点击“开始”菜单中的“运行”命令,接着在弹出的窗口中输入“cmd.exe”并确定,打开命令提示符窗口,在窗口的命令行中输入“ipconfig /all”,在返回的信息中找到网吧主机的IP地址192.168.0.1以及本机的IP地址192.168.0.6(一般网吧均使用类似内网地址)。Www.iTcOMpUter.com.cN然后运行准备好的“啊D网络工具包”,点击“工具”菜单下的“肉鸡查找”命令,在出现的操作界面中进行设置。首先在操作界面的“IP”选项中设置为192.168.0.1,然后点击“开始查找”按钮,程序就会自动对网吧主机的账号密码进行破解。如果用户运气好的话,用“啊D网络工具包”自带的弱口令就可以成功破解网吧主机的账号密码,接着和网吧主机成功进行IPC连接。
成功连接到网吧主机以后,点击“Win2000远程管理”按钮来查看网吧主机的一些相关信息,包括系统信息、系统服务、用户和组以及共享文件夹等等(如图1)。网吧主机相关信息 通过对这项信息的查看,我们可以掌握到一些相关的信息,正所谓“知己知彼,百战不殆”。然后通过程序的“种植者”功能来上传我们配置好的木马程序。点击“木马种植”按钮,在弹出的“木马种植机”窗口中进行设置,程序已经自动将主机、用户名、密码等选项设置好了,我们只需要点击“本地文件”后的按钮来选择需要生成的木马程序就可以了。设置完成后,点击“开始”按钮,程序就会自动地将程序上传到网吧主机的系统中,然后自动运行它(如图2)。图2
木马种植机界面
如何清除木马
随着黑客技术的日益发展,各种“装备先进”的木马在网上大面积传播。如果大家遇到杀毒软件能够查出来,但却无法清除的病毒,那么多半就是现在网上非常流行的DLL动态嵌入式木马,相对普通木马来说,DLL木马的查杀不易。难道我们就拿它们没有办法了吗?如何清除木马呢?下面我们就一步一步来删掉这个如蛆附骨的DLL木马。www.sq120.com推荐
小知识:什么是动态嵌入式DLL木马?
这种木马是将DLL木马文件嵌入到正在运行的系统进程中如“explorer.exe”、“svchost.exe”、“smss.exe”或系统常见的进程如“iexplore.exe”、“notepad.exe”,而在任务管理器里出现的就只是DLL的载体EXE文件,由于这些进程就是系统本身的进程,因此DLL木马具有极强的隐蔽性。
惊现病毒——杀毒软件束手无策
近日,笔者的Norton报警发现病毒“E:\windows\sagent\mssasu.com”(注:笔者系统安装在E盘)如图1。从病毒名称可以判断是一个黑客后门程序,看来是有人在电脑上安装了后门。
发现病毒自然是杀毒,将病毒库升级,启动Norton进行全面查杀,Norton又提示发现其他两个病毒,不过Norton既无法隔离也无法将病毒删除,如图2所示。
寻根究底——木马现原形
Norton无法删除病毒,原因显然是由于病毒进程正在运行导致的。由于Norton总是弹出发现病毒窗口而无法查杀,笔者便将Norton的自动防护暂时关闭。打开任务管理器,奇怪的是并没有发现有什么陌生的进程,不过其中的“iexplore.exe”引起笔者的警觉,因为此时笔者并没有运行IE浏览器,进程列表里怎么会出现这个进程?
右击进程选择“打开所在目录”,通过查看“iexplore.exe”属性,发现这的确是系统自带的IE浏览器,难道是IE染毒了?然后我又发现在关闭Norton自动防护情况下,每次终止“iexplore.exe”后,不到2秒它就会立刻复活,而启动Norton的防护后,则会发现“E:\WINDOWS\msagent\msdwix.com”病毒的提示。显然“msdwix.com”就是“iexplore.exe”的守护进程,当它发现监视的进程被终止后会立刻使它复活。
结合Norton发现的“Dxdgns.dll”这个病毒,笔者初步判断这应该是一个动态嵌入式DLL木马,它把“Dxdgns.dll”木马文件插入“iexplore.exe”进程里了。为了便于比较,笔者又启动一个“iexplore.exe”进程。进程调用的DLL文件,通过“Windows优化大师”组件“Windows进程管理”来查看。启动程序后选中“iexplore.exe”,单击“模块信息”,通过和正常IE进程详细对比,可以看到“e:\windows\dxdgn.dll”的确被IE调用,这就是病毒真身了,如图3所示。
先治标——清除病毒文件
对于此类病毒,笔者使用了“系统权限法”来阻止进程运行(注意:使用该法前提是系统采用NTFS格式)。打开“我的电脑”,单击“工具→文件夹选项→查看”,然后在“高级设置”选项下去除“简单文件共享(推荐)”前的小钩。
现在打开“E:\WINDOWS\msagent”,找到“msdwix.com”右击选择“属性”,然后单击“安全”标签,接着在属性窗口单击“高级”,在弹出的窗口清除“从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”复选框,在弹出窗口单击“删除”,去除所有继承的权限,依次单击“确定”后退出,这样电脑上就没有任何用户可以运行“msdwix.com”了。
提示:对于采用FAT32格式的用户,可以将电脑重启到纯DOS下,手工删除“msdwix.com”文件。此外,对于通过系统的“rundll32.exe”命令调用DLL文件作恶的木马,也可以利用上述方法去除DLL文件的运行和读取权限。
现在使用任务管理器终止“iexplore.exe”,由于“msdwix.com”无法运行,自然它也不能重新加载“Dxdgns.dll”木马了。将电脑注销一下进入“e:\windows”,顺利删除了“Dxdgns.dll”。现在进入“E:\WINDOWS\msagent”,找到“msdwix.com”右击选择“属性”,重复前面的操作,勾选“从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”复选框。最后按照Norton查毒的提示,删除其它病毒文件。
再治本——清除木马启动程序
因为每次启动这个木马病毒会运行,显然它在注册表添加了自启动项目,查看自启动项目软件有很多,笔者这里向大家推荐一款软件Autoruns 7.01 汉化版(下载地址http://www.d66.net/soft/6942.htm),它可以详细列出电脑上所有的自启动项目,运行程序后单击“查看”,依次勾选所要显示的项目(如服务、DLL文件、浏览器加载项、空位置),单击“刷新”后就可以看到检测结果了,它会列出所有启动位置。
从Autoruns检测可以看到,这个木马的启动键值是[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]和[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]下的COM服务,原来木马还通过注册为系统服务的方式启动。右击查找到的启动项目选择“跳转到具体位置”。这样可以直接打开注册表并定位到相应启动键值,按提示删除COM服务键值即可修复注册表。至此顺利将这个难缠的DLL木马扫地出门!
如何防止垃圾邮件的骚扰
相信很多朋友都受到过垃圾邮件的骚扰。我们难道只能被动地接受骚扰吗?每个E-mail本身附带有发信者的IP地址信息,我们可以用本文的方法来查对方的IP,抓住垃圾邮件的“小辫子”,从而进行举报过滤。www.sq120.com推荐
以搜狐的免费邮箱为例,打开来信后单击邮件正文右下方的“源文件”按钮,在弹出的“显示信件原文”窗口中会有一行“X-Received:Unkown,166.111.118.8,20051117105508”的信息(图1),这就代表从IP地址为166.111.118.8处接收到本信件。如果你用的不是搜狐而是其他服务商提供的邮箱(比如163),方法也是大同小异:在打开邮件正文后点击右下方的“查看信头”按钮,在弹出的窗口中找到“X-Originating-IP:[219.146.143.209]”行即可。 得到对方的IP地址之后,选中复制下来,再到百度(Http://www.baidu.com)点击“更多→网站→实用查询→IP查询”,在“IP探索者”(Http://ipseeker.cn/index.php?job=search)页面中把刚才复制的IP粘贴到“IP地址:”后的文本框中(图2),然后单击后面的“查询”按钮,结果就显示在下方:“官方数据查询结果:166.111.118.8-北京市 清华大学”。
我们要警告那些垃圾邮件制造者:不要以为随便拿个邮箱就能任意乱发一通,这些东西是会留下你的蛛丝马迹的。