黑客工具16进制编辑器_16进制软件编辑器

文字简介：

• 1、如何下载16进制文件编辑器ultraedit
• 2、用软件做免杀改特征码的 ***
• 3、怎么破解收费软件。
• 4、wireshark之文件还原
• 5、如何修复还原精灵密码?
• 6、c系统盘下面有一个JMSOFT文件夹，请问高手这是干什么的？

如何下载16进制文件编辑器ultraedit

随意查看别人的 *** 聊天记录和好友名单

要想看或导出对方的 *** 聊天记录，需要使用专门的黑客软件吗？许多人会说当然需要！其实并非如此，只要把 *** 的主文件改一改，我们就可以无需其他黑客软件，也无需知道对方的qq密码，就可以在离线状态下登录别人的qq，查看他人的聊天记录。

我们用来改qq主文件的软件是16进制文件编辑器Ultraedit，运行Ultraedit，点击"文件"菜单中的"打开"找到 *** 安装目录下的qq.exe文件打开，单击"搜索"菜单下的"查找"，会弹出"查找"窗口，在"查找什么"菜单栏中输入：85c05f0f8489000000，单击"下一个"，按钮就会找到惟一的一处结果，将上述代码改为85c05fe98a00000090，然后保存修改结果。在离线状态下运行qq，在qq号码列表框中找到你想查看的号码，在"用户口令"栏中什么都不用输入，直接点击"登录"按钮就可以在离线状态下登录qq，然后就可以查看或导出他人的聊天记录了。注意，本技艺在qq200c build1230中通过。这个技巧在网吧或学校机房等公共场所使用更好，通过它你就可以随心所欲地查看任何人的聊天记录！对于使用qq2000c build 0825版的朋友，可以查找：0f8564010000a1f0找到后改为e96501000090a1f0，然后保存修改结果即可。对于还在使用qq200c build 0630版的qq的朋友，可以使用Ultraedit打开qq的主程序，查找8500f854c010000，找到后替换为85c0e94d01000090。运行qq，无需输入密码就可以进入qq了！

另外，在qq200c1230以后版本的qq安装目录中，以你的qq号码为文件夹名的目录下，有个名为ewh,db的文件，该文件中记录着本地登录时你的qq号码的加密密码，在偏移地址001eh到002dh的16个字节就是加密密码。只要用自己qq号码目录下的ewh.db文件最后4个字节以前的数据段，覆盖其他号的ewh.db文件中的相同的部分，你就可以用这个密码在本地查看他人的好友聊天记录了。更简单的 *** 是用你的qq号码下的ewh.db文件覆盖别人的这个文件，然后就可以用你的密码本地登录他人的qq了！

用软件做免杀改特征码的 ***

一、主动免杀1. 修改字符特征：主动查找可能的特征码，包括木马文件修改注册表、生成新文件的名称与路径、注入的进程名等动作，也包括运行过程中可能出现或一定会出现的字符等文件特征。然后找出这些字符，并将其修改。2. 修改输入表：查找此文件的输入表函数名（API Name），并将其移位。3. 打乱文件结构：利用跳转（JMP），打乱文件原有结构。4. 修改入口点：将文件的入口点加1。5. 修改PE段：将PE段移动到空白位置二、被动免杀1. 修改特征码：用一些工具找出特征码并针对特征码做免杀处理。2. 用Vmprotect：使用Vmprotect加密区段。3. 文件加壳：可以用一些比较生僻的壳对木马文件进行保护。有的朋友看到这里有可能蒙了，PE、Vmprotect、入口点……这些都是什么意思啊？不要着急，下面我会一一介绍的，只要你看完这篇文章，就一定会成为免杀高手！怎么样？Go！3.实战演习1.）修改字符特征好，下面我们依然以一个病毒防御工作者的角度来考虑我们每一步应该做什么，然后在利用逆向思维分而治之。现在假如我们拿到一个木马样本灰鸽子，首先当然要分析它究竟有什么功能，怎样运行以及怎样保护自己等。其实这一步要求的专业知识是很多的，但考虑到我们的读者，我们暂且用一个比较简单易行的 *** ——运行木马AND查看此程序的帮助文档。我们打开RegSnap，新建一个快照，打开RegSnap后，点击[新建快照]按钮（如图1）。

在弹出的对话框中选择[生成所有项目的快照]（如图2）。然后保存快照，现在已经将RegSnap配置好了，下面运行我们的木马程序（提醒：做免杀时，一定要记住养好随时备分的好习惯，以防止修改错误或是实验运行时破坏、删除木马）。木马运行完毕后，我们在按照上面的 *** 重新做一个快照并保存，然后按快捷键F5，在弹出的“比较快照”对话框中选择刚才保存的快照，在“之一个快照”中选择我们刚才之一次保存的快照，而“第二个快照”选择我们后保存的快照存档，很快结果就出来了（如图3）。

有的朋友对于使用RegSnap收集到的信息感到无力分析，抱怨收集到的东西太多，在这里我简单的介绍一下，首先应注意的是生成做对比的两个快照之间的时间要尽可能短，另外要排除带有OpenSaveMRU的注册表键值，还要排除有关*.rsnp文件的创建读写等操作记录。下面我们就将有用的信息提取出来，逐一分析。文件列表于 C:\WINDOWS\*.*新增文件木马.exe注册表报告新增主键HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\Documents and Settings\A1Pass-admin\桌面\huigezi\复件 Server02.exe键值: 字符串: "复件 Server02"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*6728*9A6C*670D*52A1\0000\Class键值: 字符串: "LegacyDriver"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*6728*9A6C*670D*52A1\0000\ClassGUID键值: 字符串: "{8ECC055D-047F-11D1-A537-0000F8753ED1}"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*6728*9A6C*670D*52A1\0000\Control\ActiveService键值: 字符串: "木马服务"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\木马服务\Description键值: 字符串: "灰鸽子服务端程序。远程监控管理."……这里我只摘录了部分关键性的木马动作记录，全部记录请见光盘。通过文件列表我们可以知道木马在WINDOW目录下生成了一个新文件，而通过注册表的监控信息我们也知道了木马是怎样将自己注册为系统服务并自动运行的。那么我们回到瑞星的研究分析室，看看那些大哥大姐们会怎么办……瑞星大哥：“最近这灰鸽子太猖狂啦！我们是不是应该多定义几套特征码？”瑞星大姐：“恩，不错！先在注册表那定义一套特征码在说吧。”A1Pass：“STOP！！”（只见画面突然定格，A1Pass将播放器最小化。）通过上面的对话，我们可以知道他们要将注册表的某个字符定义为特征码，从上面RegSnap分析出来的记录来看，他们的选择真的是太多了！那么他们究竟会用到哪些呢？其实，就做为一个黑客来讲，只要不影响服务端正常运行，就应该尽量多的改掉木马的所有字符，当然全部改变是不可能的，除非你自己编写木马。有的朋友要问了，除了注册表别的就不可以改了吗？答案当然是否定的，譬如生成新文件的名称与路径、注入的进程名等动作，这些我们可以利用WINDOWS对字母大小写不敏感的这一特点直接替换字母的大小写，而对于运行过程中可能出现或一定会出现的字符等我们可以直接将其替换成别的内容。下面我为大家演示一下怎样更改注入进程的名称。首先配置服务端，通过图4我们可以看出来灰鸽子的启动运行是需要“IEXPLORE.EXE”这个进程的，根据注册表的推理，我们可以认为其未加壳的服务端是应该存在“IEXPLORE.EXE”这一字符串的。既然如此，我们就先请出我们的之一把武器“WinHex”！

WinHex是一款极为出名16进制编辑器。得到 ZDNetSoftwareLibrary 五星级更高评价，拥有强大的系统效用。在这里，我们只用它来编辑文件，其余不做过多讨论。首先我们用WinHex打开我们的木马文件“Server.exe”，打开后如图5所示。

然后我们按[Ctrl]+[F]快捷键调出查找文本对话框，输入IEXPLORE.EXE后点击“是”（如图6）。

结果如图7所示。下面我们就对其进行大小写转换，用鼠标点击要更改的字母（例如I），然后在按键盘上的i，即可完成更改，就象使用WINDOWS的记事本一样。更改完毕后，按[Ctrl]+[S]快捷键保存即可。

就这么简单？对！就这么简单！其他的例如注册表、生成新文件的名称与路径等等都可以利用此 *** 更改。但是不幸的是，经过这样改后，还不足以对付例如金山、江民等品牌杀毒软件，要想对付这些杀毒软件的查杀，我们还需要对我们的木马进行进一步处理。下面，我们开始学习输入表函数（APIName）免杀！2.）修改输入表不知有的朋友是否知道，PE文件的正常运行是离不开其内部输入表函数的，而不同的程序，其内部输入表函数的名称与在文件中的位置是不一样的，所以输入表函数也成了病毒防御工作者 *** 特征码紧盯的地方之一。在我查出来的关于灰鸽子的特征码来看，“瑞星大哥”已经将其的一处输入表函数作为特征码了。所以掌握输入表函数免杀技巧对于新入门的朋友来说势在必行！

[PE文件小知识：PE文件是WINDOWS系统中特有的一种文件结构，它包括PE文件头、输入表与相关资源文件等等]经过我的测试，直接单独修改文件内部的输入表函数会导致程序运行不正常甚至崩溃！那就没有办法了吗？我可没那么容易认输！经过一翻苦战，终于让我在LordPE中找到了解决办法，同时FoBnN的文章也给了我非常大的启发……我们先打开LordPE，点击[PE编辑器]按钮，在弹出的对话框中选中木马文件，打开后点击[目录]（如图8）。在点击导入表后面的[…]（如图9）。在弹出的对话框中我们选择wininet.dll下的InternetOpenUrlA（如图10），有的朋友要问了，为什么非选择InternetOpenUrlA这个输入表函数呢？呵呵！那是因为这个输入表里有特征码哦，关于怎样确定特征码，我在后面会介绍，大家先别着急。

好的，关于LordPE就先停在这，下面我们就用WinHex来查找InternetOpenUrlA这个输入表函数的所在位置，并将其用0填充（操作 *** ：单击WinHex右面的16进制信息，输入0即可）（如图11、12）。

然后将其写到空白区域（既显示000000的区域），一定要从头开始写入，这样在以后计算地址时不容易出错，除此之外也要注意输入表函数的大小写不要搞错（如图13）。保存后我们在回到LordPE那里，在需要更改的InternetOpenUrlA输入表函数上单击右键，在弹出的菜单里选择“编辑”，将Thunk里的信息改成000B9D5E（如图14）即可。有的朋友要问了，刚才我们不是把那个输入表函数放到000B9D60那里了吗？到这怎么变成000B9D5E了？其实原理很简单，因为每个输入表函数前面都是有一个空格的，我们虽不用真正把那个空格加进去，但填写它的地址时一定要空出来，否则就会出错！而将000B9D60减去一个空格所占的位置，其地址正好为000B9D5E，还不十分明白的朋友在仔细看看图13，下面我们在回到LordPE，看看我们改过的输入表函数变成什么样了（如图15）？呵呵！那我们该怎么办呢？其实简单的很，只要在重新改一下输入表函数的名称就可以了（如图16）。有的时候因为我们所填写的地址为比较靠后的，例如我们现在改的这个000B9D5E，后面仅能容纳两个字节，所以更改输入表函数时只能键入两个字，对于这种情况我们可以先把Thunk里的信息改成如000B9D60这样的起始地址，改输入表函数名更改完毕后在将000B9D60改回原来的值（既000B9D5E），保存后即可成功，我们试一下看看（如图17）。经测验鸽子的各项功能均正常！在用瑞星查一下试试（如图18），结果当然不言而喻……

3.）修改特征码虽然到这我们免杀已经成功，但是为了学到更多的技术，为了让我们免杀的鸽子存活的更久，下面我在为大家介绍一下特征码的查找与修改技巧。特征码是杀毒软件的心脏，但同样也是我们的心脏！就看谁先找到对方地心脏，并能发出致命一击，谁就是胜利者！一提到查找特征码，就不得不说说MyCCL与CCL，这两个软件的名字相信留心过免杀技术的朋友不会陌生，但由于软件操作的傻瓜化，很多时候对于CCL的介绍只是一带而过，这可苦了入门的朋友！这一小节我就先介绍一下MyCCL的用法……我们先来认识一下MyCCL（如图19），根据这张图我们下面就来大体介绍一下MyCCL的应用 *** 。首先点击第1处选择文件，然后在第2处输入分块个数，分块个数越多，定位越精确，然而生成的速度同时也就越慢，生成的文件总体积也就越大，就象灰鸽子这么大的服务端，如果分块数为300的话，那么它生成文件的总体积将超过230M！所以在这里不建议填写太大的数字，一般象灰鸽子这样的服务端分块数填400个就足够了。生成完毕后会弹出个对话框提醒你去相应目录杀毒，图中所示为“E:\文章\极度免杀\鸽子\OUTPUT”文件夹，我们到那个文件夹下开始杀毒，查到病毒就让杀毒软件将其彻底删除，注意，这一点很重要！处理完毕后点击第3处的二次处理，在点击[生成]上面的[特征区间]按钮即可出现右面的对话框。下面我们在“区间设定”里右键单击特征码区间，在弹出的菜单中选择“复合精确定位此处特征”（如图20），然后重复上面的操作，直到你认为[单位长度]已经小到很方便更改的时候，特征码的定位就算结束了。好了，一口气说了这么多，不知道刚入门的朋友是否懂得一些MyCCL的用法了没有……但是上面我们定位的是文件特征码，还有内存特征码没有定义，这里我们要用到CCL的内存特征码定位功能，打开CCL后，我们依次选择[文件]→[特征码验测]→[内存特征码]（如图21）。

在弹出的对话框中选择我们要进行免杀操作的木马，然后会进入“定位范围选择窗口”（如图22）。由图中可知，之一个CODE段的偏移量为00000400，也就是说我们可以用00000400做为起始位置，那么我么就在用户输入区的“起始位置”处填写00000400，下面的那个验测大小怎么填写呢？看到图22中画线的那个“当前文件大小”了吗？我们可以用WINDOWS系统自带的计算器进行计算，把计算器的“查看”菜单设置为科学型、十六进制、四字（如图23）。然后用当前文件大小的值减去起始值00000400，得到的结果为000B9A00，那么我们就在“验测大小”后填上000B9A00，然后点击“填加区段”按钮（如图24）。最后点击确定，在新弹出的对话框中点击运行，不过需要注意的是，在进行此步操作时一定要打开杀毒软件的所有功能。下面你要做的就是等待……然而光找特征码是不够的，我们还得学会怎样更改，而关于特征码地更改是非常有学问的！这里为了方便广大读者能学以致用，在此我只介绍部分理论知识，着重介绍实践操作，但是我想请大家注意，免杀的 *** 象你做完免杀的木马一样，都有生存时间，而过了这个时间，这种免杀 *** 就变的不在实用，或者免杀效果大打折扣！所以要想真正成为免杀高手，还的打牢基本功，不断创造出新的免杀 *** ，因为我们是在与杀毒软件厂商的专业技术人员“斗法”啊！关于需要注意的问题就先讲的这，下面我带大家先来了解一下目前更改特征码的办法。1. 大小写替换（只适用于文件免杀）适 用 于：出现可识别的英文字母或词组，并且确定其不是相关函数（如输入表函数）。操作 *** ：如咱们“实战演习”的之一节讲的一样，只须将大小写替换一下就可以了，例如特征码中出现了A，你只要将其替换为a即可。原 理：利用WINDOWS系统对大小写不敏感，而杀毒软件却对大小写非常敏感这一特性达到免杀目的。2. 用00填充适 用 于：几乎任何情况，但成功率不是非常高。操作 *** ：例如我们找到了一处特征码0009EE7F_00000005，那么根据这段特征码信息我们可以知道它的位置在0009EE7F，大小为5个字节，也就是0009EE7F-0009EE83这一段内容（如图25）。

一直跟着文章实践操作的朋友肯定有疑问，你是怎么找到那个地址的呢？而我怎么找不到呢？那是因为WinHex的默认偏移量为decimal模式，我们单击Offset栏将其改为16进制模式即可（如图26）。

然后我们有选择的一处处地用00填充（如图27）。记住要多试几次，80%的情况下你都能找到一处既能免杀又不影响程序正常运行的区域。对于定义出的内存特征码，只要将其内存地址用一个叫做《便宜量转换器》的小程序转换成16进制偏移量，然后在进行相应操作即可。原 理：由于PE文件的特殊格式以及程序编译语言等问题，使得生成目标代码的效率并不高，难免出现一些“垃圾信息”，而这些信息存在与否对与程序是否能正常运行并不起决定性的作用，而当木马的这部分“垃圾信息”被定义为特征码时，我们完全可以将其删除，而删除的 *** 就是用无任何意义的00将其替换。3. 跳到空白区域适 用 于：几乎任何情况，成功率比较高。操作 *** ：还是以特征码0009EE7F_00000005为例子，假如我们使用00填充的 *** 失败了那么不要多想，接下来马上试试OllyDbg，关于OllyDbg我就不多介绍了，它是非常棒而且非常专业的一个动态反汇编/调试工具，这里我们只用它来帮助我们进行免杀作业，首先应该做的就是将我们的16进制偏移量0009EE7F转换为内存地址，因为OllyDbg的工作原理是先将程序释放到内存空间里，然后才能进行相关作业…这里要用到的是一个叫做《便宜量转换器》的小程序，我们用其转换完毕后得到的内存地址为0049FA7F（如图28）。

下面我们用OllyDbg打开我们的木马服务端，首先找到一处空白区，并域记下这的地址004A24A5，然后找到我们刚转换过来的地址0049FA7F，先将以0049FA7F开始以下的这三行数据选定，然后单击右键选则[复制]→[到接剪贴板]（如图29）。将其复制到本文文档里备用，然后在将这三行代码一一NOP掉（如图30）。最后右键点击0049FA7F，在弹出的对话框中选择汇编，并写入“jmp 004A24A5”这条汇编指令（如图31）。记住，在点击[汇编]按钮之前一定先把“使用 NOP 填充”前面的勾去掉。然后我们记下汇编后0049FA7F的下面那个地址0049FA84（仔细观察图31）。好，下面我们回到004A24A5这处刚才找到的空白地址（如图32）。

然后用刚才汇编的 *** 把在本文文档里备用的信息一句句地汇编进去，然后在将最后一句代码的下一行004A24AA处加入“jmp 0049FA84”这行代码（如图33）。然后单击右键→[复制到可执行文件]→[所有修改]（如图34）。

在弹出的对话框中选择“全部复制”然后保存即可。而对于内存免杀就省去了内存地址转换这一步了。原 理：大家先看图35，由图中可知，正象此 *** 的名字“跳到空白区域”一样，这种 *** 的原理就是将原本含有特征码的信息转移到空白区域，并把原先位置的信息全部NOP掉，并在那里加一个跳转指令，让其跳到004A24A5处，也就是我们找到的空白区域，并把原来在0049FA84的信息移到这里，加完信息后在加一条指令让其在跳回去，以使程序连贯起来。

4. 上下互换适 用 于：几乎任何情况，成功率比较高。操作 *** ：先用OllyDbg载入木马程序，假定其特征码为0009EE7F_00000005，我们还是先用《偏移量转换器》将其转换为内存地址，上面我们已经知道0009EE7F对应的内存地址为0049FA7F，然后在OllyDbg中找到相应位置，利用上面“跳到空白区域”里介绍的修改 *** 将0049FA7F上下两句代码调换位置即可。而对于内存免杀就省去了内存地址转换这一步了。原 理：杀毒软件的特征码定位是严格按照相关偏移量于内存地址进行的，而其实我们的应用程序中的机器码执行顺序的先后在一般情况下是没有死规定的，所以我们只需将其上下互换，杀毒软件自然就不认识了。5.ADD与SUB 互换适 用 于：在内存特征码中出现ADD或 SUB指令的，成功率比较高。操作 *** ：用OllyDbg载入木马程序，假定其特征码所对应的地址中有ADD或SUB指令，例如00018A88：XXXXX 00000088 ADD ECX 10000000我们可以将ADD ECX 10000000这段机器码改为SUB ECX F0000000，更改完毕后保存为EXE文件即可。原 理：我们都知道1+1=2，我们也知道1-（-1）=2，上面就是利用了这个原理，其中ADD指令的就是加意思，而SUB则是减的意思。虽然被我们互换了一下，但是最终结果还是一样的，可是换完之后杀毒软件就不认识了。到这里，关于特征码的查找与修改就讲完了，但是除此之外呢？答案是还有许多！！下面我们就一起看看其他免杀 *** 。4.）其他免杀 *** 改文件头：这里所说的改文件头包括加头去头，文件加花。关于加头去头，我们还是用OllyDbg。用OllyDbg载入后，OllyDbg会自动停在入口点（如图36）。

我们将头三行机器码复制保存起来，然后找到空白区域，用汇编的 *** 一一将其写入（如图37）。然后在后面写入一条JMP指令，让其跳到初始入口点的第四行，相信一直仔细看本文的朋友一定明白其原理，如果忘了的话可以看上面修改特征码的第三种 *** ，原理与这差不多，修改完毕后如下所示：004A2A73 0000 add byte ptr ds:[eax],al004A2A75 0000 add byte ptr ds:[eax],al004A2A77 55 push ebp004A2A78 8BEC mov ebp,esp004A2A7A B9 04000000 mov ecx,4004A2A7F ^ E9 CCF3FFFF jmp Server.004A1E50004A2A84 0000 add byte ptr ds:[eax],al004A2A86 0000 add byte ptr ds:[eax],al004A2A88 0000 add byte ptr ds:[eax],al

上面的add byte ptr ds:[eax],al就是所谓的空白区域，我们看到改完后的头文件位于004A2A77，所以我们还要用PEditor改一下入口点，打开PEditor后载入文件，将入口点处的地址改为我们的新文件头地址004A2A77（如图38），保存后即可。

怎么破解收费软件。

破解需要的软件（点击下载）：

侦壳 language.exe

脱壳AspackDie.exe

反编译 W32Da *** 黄金中文版

16进制编辑器 UltraEdit.rar

在破解之前先复习一下基础知识：

一.破解的等级

初级,修改程序,用ultraedit修改exe文件,称暴力破解,简称爆破

中级,追出软件的注册码

高级,写出注册机

二.用w32da *** 破解的一般步骤:

1.看软件的说明书,软件注册与不注册在功能上有什么区别,如何注册

2.运行此软件,试着输入你的姓名和任意注册码去注册,有什麽错误提示信息,将错误提示信息记下来

3.侦测有无加壳(之一课).若加壳,脱壳(第二课)

4.pw32da *** gold反汇编

5.串式参考中找到错误提示信息或可能是正确的提示信息双击鼠标左键

6.pw32da *** gold主窗口中分析相应汇编,找出关键跳转和关键call

7.绿色光条停在关键跳转,在pw32da *** gold主窗口底部找到关键跳转的偏移地址(实际修改地址)

8.用ultraedit找到偏移地址(实际修改地址)修改机器码,保存

壳的概念：版权信息需要保护起来,不想让别人随便改动,exe可执行文件压缩，最常见的加壳软件ASPACK ,UPX,PEcompact

脱壳：拿到一个软件，侦测它的壳,然后我们要把它的壳脱去,还原它的本来面目.若它没有加壳,就省事不用脱壳了.脱壳软件unaspack,caspr,upx,unpecompact,procdump

实际修改地址(偏移地址)和行地址(虚拟地址)pw32da *** gold反汇编出来的代码由三列组成

之一列 行地址(虚拟地址)

第二列 机器码(最终修改时用ultraedit修改)

第三列 汇编指令

两种不同情况的不同修改 ***

1.修改为jmp

je(jne,jz,jnz) =jmp相应的机器码EB （出错信息向上找到的之一个跳转）jmp的作用是绝对跳，无条件跳，从而跳过下面的出错信息

2.修改为nop

je(jne,jz,jnz) =nop相应的机器码90 （正确信息向上找到的之一个跳转） nop的作用是抹掉这个跳转，使这个跳转无效，失去作用，从而使程序顺利来到紧跟其后的正确信息处。

好了，下面开始我们的破解之旅。。。。。。。。。。

1，侦壳：先打开侦壳 language.exe，选择打开----找到要破解的 *** 填表终结者：FormGhost.exe，点确定，如图1。language.exe便显示出软件的壳是：Aspack，如图2。

2，脱壳：双击脱壳AspackDie.exe，出现一个对话框，选择 *** 填表终结者：FormGhost.exe，打开。如图3。出现图4框，点确定脱壳完成。在 *** 填表终结者：FormGhost.exe同目录下生成一个unpacked.exe文件，这就是脱壳后的FormGhost.exe。

3，运行脱壳后的unpacked.exe，点帮助----注册，图9。注册名称，注册码随便添。图10。点注册，提示：“注册码错误”图11，好了记住这5个字。关了它。

4，开始反汇编：打开 反编译 W32Da *** 黄金中文版，选择反汇编----打开脱壳后的unpacked.exe，变开始加载。如图5。图6。

返汇编之后如图7。点击上面的参考----串式参考如图8，

5，开始修改软件：打开16进制编辑器 UltraEdit.rar，（有点慢）图17。打开脱壳后的unpacked.exe，直接按ctrl+g，出现对话框，输入0xacb4b(即偏移地址，不要前面的000）图18。点确定，

前面说过正确注册信息在错误信息之上，所以这里将of85改为of84。图20。（如果正确注册信息在错误信息之下，这里改为eb）。将光标移到5上直接输入数字4即可，其他地方不要动。好了，改好只后左上角的文件---另存为unpacked222.exe

6,关闭所以软件，运行另存的unpacked222.exe，点帮助---注册，注册名称，注册码随便添，点确定，提示注册完成。图21。回到软件界面看看，帮助，注册一项已经变为灰色了，图22

7，破解全部完成

wireshark之文件还原

0x01：实验目的：使用wireshark进行被动数据包捕获后的文件还原

0x02：实用工具-wireshark/winhex

wireshark可以监听 *** 流量信息并且将其记录

winhex是一款16进制的编辑器，用来检修各种文件，恢复删除文件以及硬盘损坏造成的数据丢失

0x03：实验目标：1)黑客A通过ARP欺骗，使用wireshark得到整个局域网内的 *** 流量信息。无意中，他发现有人在网站上上传了一份文件。但是他不知道怎样通过wireshark区还原这份文件，没办法，他将间听到的数据包保存为一份wireshark的监听记录，将通过以下三个任务完成那份文件的还原。

1.对抓到的包进行显示过滤，找到关键信息

2.对信息进行跟踪，确定上传文件的TCP流，并保存为二进制原始文件。

3.对文件中上传文件的信息进行处理，去掉多余的包头和包尾，得到原始文件。

任务描述：使用wireshark导入监听数据包，对数据进行显示过滤，提取出来关键信息。

1.打开catchme.pcapng，双击即可，会看到数据记录有148条。如果单存的从开始到结束一条条审计，很累，实际情况下可能会更多，我们就要过滤了

2.使用强大的过滤显示功能，在filter中可以自定义显示数据包类型。此处上传时访问的是网站，以你使用查看所有http包

3.在filter中输入http 回车（变成32个了，少了很多）

4.细看，我们在记录inf中看到upload，那就是上传的数据了，如果你有网站编写的经验，你就知道上传文件提交可以使用POST一个表单的形式。所以，你同样可以使用包过滤显示，选出所有使用post *** 提交的数据包，我们输入：http.request.method=="post"(精确点)

实验开始

输入http 或输入http.request.method==”POST”找到upload

打开文件查看发现文件挺大的，分成了5段上传

使用weinhex去掉头和尾，使用照片查看器打开png格式文件

如何修复还原精灵密码?

*** 一：临时解决办法

如果在忘记还原精灵密码后，你安装了一个新程序，该软件提示要求重启计算机，此时不要点击“确定”按钮，选择“以后重启”。然后在“开始→关闭系统”中选择“重新启动计算机”，注意此时一定要按住Shift按键不放，这样计算机将直接重新加载系统程序，从而绕过还原精灵的保护。

*** 二：长期解决办法

如果想长期保存自己的文件，就必须卸掉还原精灵或者取得还原精灵的管理员密码，要卸掉还原精灵其实不难，网上有专门清除还原精灵的程序“还原精灵清除器”，运行以后直接清除还原精灵的密码。不过需要注意，由于还原精灵是在硬盘最重要的主引导记录MBR里面做的文章，所以使用这个还原精灵清除器有一定的危险。

*** 三：利用初始密码

还原卡都有默认的初始化密码，如果你压根儿就没有修改过它的默认密码的话，就简单多了，因为还原精灵的默认密码是12345678！

*** 四：写信索取密码

在安装还原精灵时会带有一个还原精灵辅助工具，即厂商提供的密码读取工具readpwd.exe，运行它也可以得到还原精灵的加密密码，格式类似这样：[DB][B8][5E][79][3E][3B][5E][C5][BD][B2]，把该加密密码发送到这个信箱：info@yuanzhi.com.cn，只需一两天就可以得到软件开发商发来的密码。

这样，无需任何软件，简单的几下就可以得到还原精灵的密码！反过来讲任何人用这个 *** 都可以得到还原精灵的密码，包括受限制的用户！所以大家要保存好密码读取工具readpwd.exe，将它改名隐藏或干脆删除。

*** 五：重写主引导扇区

还原精灵会截取系统的底层功能调用，在硬盘的主引导区留下自己的痕迹。硬盘的主引导区存放的是系统的主引导信息、分区信息，一般说来病毒对它非常感兴趣。如果我们能先于还原精灵占有硬盘的主引导扇区(MBR)，那么我们就可以对硬盘拥有更大的管理权限，换句话说，还原精灵已经被我们“干掉”了。

依据上面如上原理，用fidisk/mbr命令重写主引导扇区，然后重新启动计算机，这样还原精灵就没有了。

*** 六：利用16进制文件编辑器

WinHex的内存搜索编辑功能可以帮我们找回丢失的还原精灵密码。具体 *** 是：右击任务栏右下角的还原精灵图标，在弹出菜单中选择“参数设置→更改密码”，在对话框中输入旧密码，胡乱填写几个数字如123456；在新密码框中输入新密码，这里也胡乱填了个371042，最后点“确定”按钮。

由于我们是胡乱输入的密码，所以旧密码是不会正确的，此时会弹出对话框，提示密码不正确，注意千万不要点击“确定”按钮，赶紧运行16进制文件编辑器WinHex，点“工具”菜单中的“RAM编辑器”，在打开的窗口中找到Hddgmon下的“主要内存”，这里的Hddgmon是还原精灵的进程。

最后，在WinHex中点击“搜寻→寻找文字”菜单选项，在打开的窗口中添入你随便填入的假密码371042。点“确定”之后，真正的密码就会出现在我们面前了！

原理：输入密码后，该软件会用其内部事先定义好的 *** 来计算真正的密码，与输入的密码进行比较，这个比较的过程是在内存中进行的。由于WinHex具有优秀的内存编辑功能，因此通过在内存中搜索输入的字符串，来找到它们。而一般情况下，真假密码的比较离得会很近，这样我们就可以轻松发现它们。

*** 七：利用还原精灵密码读取软件

通过 *** 六我们不难得出结论：还原精灵存在内存中存放明文密码的漏洞，还原精灵密码读取软件，使用该软件可以轻松地得到还原精灵的密码。该软件使用 *** 很简单，只要打开还原精灵的“更改密码”的窗口或“检查管理员密码”的窗口，然后无需输入任何密码，只要点击该软件的“读取”按钮，就会自动从还原精灵的内存中读取密码。

*** 一：利用初始密码

还原精灵都有默认的初始化密码，如果你压根儿就没有改过它的默认密码的话，就简单多了，因为原精灵的默认密码是12345678，简单吧！

*** 二：给还原精灵的开发公司发信索取密码

在安装还原精灵时会带有一个还原精灵辅助工具，即厂商提供的密码读取工具readpwd.exe，运行它也可以得到还原精灵的加密密码，格式类似这样：[DR][W8][6N][D0][2L][IW][AH][KH][3G][9E],把该加密密码发送到这个信箱：info@yuanzhi.com.cn，只需一两天就可以得到软件开发商发来的密码。这样，无需任何软件，简单的几下就可以得到还原精灵的密码！反过来讲，任何人可以用这个 *** 都可以得到还原精灵的密码，包括受限制的用户！所以大家要保存好密码读取工具readpwd.exe，将它改名隐藏或干脆删除，这样就安全多了！

*** 三：重写主引导扇区

前面我们说过，还原精灵是软保护卡，它会截取系统的底层功能调用，会在硬盘的主引导区留下自己的痕迹。硬盘的主引导区存放的是系统的主引导信息、分区信息，一般说来病毒对它非常感兴趣。如果我们能先于还原精灵占有硬盘的主引导扇区(MBR)，那么我们就可以对硬盘拥有更大的管理权限。换句话说，还原精灵已经被我们“干掉”了。

依据上面的原理，用fidsk/mbr命令重写主引导扇区("/mbr"是fidsk程序的一个隐藏参数，这个参数可以重新写主引导扇区而不改变分区表结构)，然后重新启动计算机，这样还原精灵就没有了。

*** 四：利用16进制文件编辑器WinHex

WinHex是一款出色的16进制文件编辑器，它的内存搜索编辑功能可以帮我们找回丢失的还原精灵密码。具体 *** 是：在还原精灵中选择“参数设置→修改密码”，然后随便填一个原来的密码，更好是这常用的不规则密码，并且一定要记住这个密码，另外不要点“确定”按钮，运行16进制编辑器WinHex，点“工具”菜单中的“RAM编辑器”，在打开的窗口中找个Hddgmon下的“主内存”，Hddgmon是还原精灵的进程，然后在WinHex中点击“搜寻→寻找文字”菜单选项，在打开的窗口中填入刚才你修改密码所填的假密码。点“确定”之后，真正的密码就会出现在其附近。

原理：我们在输入还原精灵的密码后，该软件会用其内部事先定义好的 *** 来计算真正的密码，与你输入的密码进行比较，这个比较的过程是在内存中进行的。由于WinHex具有优秀的内存编辑功能，因此，通过在内存中搜索输入的字符串来找到它们。而一般情况下，真假密码的比较离得会很近，这样我们就可以发现它们。

*** 五：利用还原精灵密码读取软件

*** 四我们不难得出结论：还原精灵存在这内存中放明文密码的漏洞。利用该漏洞，广外女生 *** 小组开发了还原精灵密码读取软件，使用该软件可以轻松地得到还原精灵的密码。该软件使用 *** 很简单，只要打开还原精灵的“更改密码”的窗口或“检查管理员密码”的窗口，然后无需要输入任何数据，只要点击该软件的“读取”按钮，就会自动从还原精灵的内存中读取到密码。

另外，大多数黑客网站上都有提供此类软件工具，很容易找到或是下载。一大堆!

*** 六：下载安装还原精灵

更简单的 *** ，你只要先下载不同版本的还原精灵，然后在机器上覆盖安装该软件就行啦！系统重新安装后的密码是12345678。当然，要求要比原来的版本更高。

此外，如果你懂得汇编语言，还可以用Debug来调试冲破还原精灵的防线。

c系统盘下面有一个JMSOFT文件夹，请问高手这是干什么的？

好好看看 你可能成为了 人家的肉鸡 就是你的电脑被人家控制了 你要是不知道怎么做的话 就把系统从新装一下

禁鸡！检查隐藏的“肉鸡”——4招查出隐藏在电脑中的木马

天涯 (2007年5月14日 第19期)

木马在互联网上肆虐，我们一不小心就会成为黑客手中的肉鸡。到时自己的电脑成为被黑客控制的傀儡，而且自己的个人隐私也完全暴露。拒绝黑客控制，我的电脑我做主。在五一节后这一黑客大肆捕获肉鸡的时段开始了，我们针对木马特点，用4招自检避免成为黑客肉鸡。

小知识：肉鸡实际上就是中了黑客的木马，或者被安装了后门程序的电脑。黑客可以像计算机管理员一样对肉鸡进行所有操作。现在许多人把有WEBSHELL权限的远程主机也叫做肉鸡。

之一招：系统进程辨真伪

当前流行的木马，为了更好地对自身加以隐藏，使用了很多 *** 进行自身隐蔽，其中最常见的就是进程隐藏。这种 *** 不仅让人很难通过常见的检查手法查找到，如果用户操作不当的话还可能将系统进程删除，造成系统不稳定甚至崩溃。常见的这类木马程序包括灰鸽子、守望者、上兴木马等。

自检 ***

黑客为了对木马进行更好的伪装，常常将木马名称设置得和系统进程名称十分相似。通常系统进程都是有System用户加载的，如果我们发现某个“系统进程”是由当前用户加载的，那么这个“系统进程”一定有问题。

另外我们也可以从系统进程的路径来进行分辨，比如正常的系统进程svchost.exe应该在“c:\Windows\system32”目录下，如果用户发现它的路径在其他目录下就表明该进程有问题。

除此以外，现在的木马很注意对自身服务端程序的保护，我们通过“任务管理器”很可能查看不到木马的服务端进程，因为木马程序通过线程插入等技术对服务端程序进行了隐藏。

在这里树树建议大家使用IceSword（下载地址：）对进程进行管理。它除了可以查看各种隐藏的木马后门进程，还可以非常方便地终止采用多线程保护技术的木马进程。

进入IceSword点击“文件→设置”命令，去掉对话框中的“不显示状态为Deleting的进程”选项。点击程序主界面工具栏中的“进程”按钮，在右边进程列表中就可以查看到当前系统中所有的进程，隐藏的进程会以红色醒目地标记出（图1）。

图1

另外，如果发现多个IE进程、Explore进程或者Lsass进程，那么我们就要留意了。因为很多木马都会伪装成这几个进程访问 *** 。

应对 ***

在IceSword的进程列表中选择隐藏的木马程序，点击鼠标右键中的“强行结束”命令即可结束这个进程。然后点击IceSword的“文件”按钮，通过程序模拟的资源管理器命令，找到并删除木马程序的文件即可。]

第二招：启动项中细分析

一些木马程序通过系统的相关启动项目，使得相关木马文件也可以随机启动，这类木马程序包括TinyRAT、Evilotus、守望者等。

检 ***

运行安全工具SysCheck（下载地址：），点击“服务管理”按钮后即可显示出当前系统中的服务信息，如果被标注为红色的就是增加的非系统服务。通过“仅显示非微软”选项就可以屏蔽系统自带的服务，这样恶意程序添加的服务项就可以立刻现形。

点击“修改时间”或“创建时间”选项，就可以让用户马上查看到新建的系统服务（图2）。从图中我们可以看到一个被标注为红色、名称为Windows Media Player的系统服务，该服务所指向的是一个不明程序路径。因此可以确定该服务就是木马程序的启动服务。

图2

通过安全工具SysCheck的“活动文件”项目，可以显示出包括启动项等信息在内的、容易被恶意程序改写的系统注册表键值。比如现在某些恶意程序，通过修改系统的“load”项进行启动，或者修改系统的BITS服务进行启动。由于SysCheck程序只是关注改写了的键值，所以在不同的系统上显示的内容并不一样。

应对 ***

进入SysCheck点击鼠标右键中的“中止服务”选项，中止该木马程序的启动服务，接着点击“删除服务”命令删除指定的服务键值。然后点击“文件浏览”按钮，由于SysCheck采用了反HOOK手段，所以内置的资源管理器可以看到隐藏的文件或文件夹，这样就方便了我们进行隐藏文件的删除工作。按照木马服务所指的文件路径，找到文件后点击鼠标右键中的“删除”按钮即可。

第三招：系统钩子有善恶

木马程序之所以能成功地获取用户账号信息，就是通过钩子函数对键盘以及鼠标的所有操作进行监控，在辨别程序类型后盗取相应的账号信息。也就是说，只要拥有键盘记录功能的木马程序，就肯定会有系统钩子存在。

自检 ***

通过游戏木马检测大师（下载地址：）的“钩子列表”功能，可以显示系统已经安装的各种钩子，这样可以显示出当前 *** 中流行的主流木马。

点击“钩子列表”标签进行钩子信息的查看，并且不时点击鼠标右键中的“刷新”命令对系统钩子进行刷新。因为木马程序只有在键盘记录的时候才会启用钩子，如果大家中了木马，那么很快就会在列表中有所发现了。在本例中一个名为WH_JOURNALRECORD可疑的钩子被程序以显著颜色标记出来（图3）。

图3

这个钩子是用来监视和记录输入事件的，黑客可以使用这个钩子记录连续的鼠标和键盘事件。在此时，我们就应该引起重视，不要再使用 *** 等需要输入密码的程序。

应对 ***

清除 *** 比较简单，只要记录下动用系统钩子的进程PID，通过PID值找到该木马程序的进程后结束该进程，再输入“Regedit”打开注册表编辑器，并点击“编辑”菜单中的“查找”命令，在此窗口搜索该木马程序进程的相关消息，将找到的所有信息全部删除。

重新启动计算机，只要在安全模式下删除系统目录中的木马文件信息即可。当然也可以通过前面几种方式进行相互检测，这样可以更加有效地清除系统中的木马程序。

第四招：数据包里藏乾坤

现在，越来越多的木马程序利用了Rootkit技术。Rootkit是一种 *** 了系统间谍程序、病毒以及木马等特性的一种恶意程序，它利用操作系统的模块化技术，作为系统内核的一部分进行运行，有些Rootkits可以通过替换DLL文件或更改系统来攻击Windows平台。

自检 ***

同样我们还是使用游戏木马检测大师这款程序，利用它的“发信检测”功能来判断自己的系统中是否被安装了木马程序。在使用该功能以前，首先需要判断系统的网卡是否工作正常。

我们关闭其他一切会扰乱 *** 数据捕捉的程序，然后去除“只捕获 *** tp发信端口（25）和Web发信端口（80）”选项，点击“开始”按钮就可以进行数据包的捕捉。如果这时捕捉到有数据包发出，就证明自己的系统中存在木马程序。

根据木马程序连接方式的不同，捕捉到的数据信息也不尽相同，但是捕捉到客户端程序的IP地址还是没有问题的（图4）。用过嗅探器的朋友都知道，我们可以通过设置过滤病毒特征数据包来发现蠕虫病毒，当然这种 *** 需要一定的相关知识，这里就不再叙述了。

图4

应对 ***

对于这种利用Rootkit技术的木马程序，可以直接通过一些Rootkit检测工具进行查看。比如检测工具Rootkit Detector（下载地址：），它通过程序内置的MD5数据库，来比较所检测到的Windows 2000/XP/2003 系统全部服务和进程的MD5校验值，这样就可以检测出系统下的Rootkit程序。

在命令提示符窗口运行命令：rd.exe，程序会自动对当前系统进行检测。程序首先会统计出系统中服务的数目、当前的进程，以及被隐藏的进程，并且将系统当前的进程用列表显示出来，然后进入安全模式进行删除即可。

常见木马以及病毒专杀工具

在这里，我们向大家提供能速杀流行木马以及病毒的专杀工具。我们可以根据需要，搭配使用这些专杀工具，让自己的电脑更加安全。

灰鸽子专杀工具

瑞星：

熊猫烧香专杀工具

金山：

麦英病毒专杀工具

江民：

威金病毒专杀工具

江民：

-------------------------------------------------------------------------------------------------------------------

当心PC变成“肉鸡”——巧用WinRAR来抓鸡

湖南 王强 (2007年9月10日 第36期)

所属主题：抓鸡系列

杀伤力值：★★

操作难度：较低

适合读者：普通读者

WinRAR已经成为用户电脑中必装的软件，可你想过黑客会利用它来抓鸡吗？这是真的，只需一个小小的WinRAR漏洞利用程序，就可以把.rar格式的文件变成抓鸡工具。一旦运行了文件就会变成黑客的肉鸡。这是目前抓鸡比较有效的 *** 之一，我们应该如何防范呢？下面我们就来揭开谜底。

小知识：抓鸡是黑客常用术语，意思是指主动通过某些程序（如木马程序或远程控制程序的客户端）或技术手段控制用户的PC机，被控制的PC机称之为肉鸡。

为什么要用WinRAR漏洞抓鸡

*** 上流传有很多可执行文件捆绑工具，这些工具虽然可以方便的将两个或多个可执行文件捆绑为一个程序，并且可以进行简单的伪装，但是其原理却决定了其不可能成为完美的捆绑工具，目前主流的杀毒软件都可以轻易地将它清除掉。

而用WinRAR漏洞捆绑木马来抓鸡就很有优势，因为普通捆绑检测都是用16进制编辑工具查看程序PE头进行判定的（大部分捆绑程序检测工具用的就是这个原理），但是这条不适合这个漏洞。

小提示：该漏洞的原理是由于WinRAR在处理LHA格式文件时存在边界条件错误，而若将一个经处理后文件改为长文件名并附加成LHA文件，再调用相应参数生成新的压缩包后，被WinRAR打开的时候就会导致本地缓冲溢出。

当用户点击压缩包时会出现错误提示（图1），这时木马程序就已经悄悄运行了，肉鸡就到手了。所以如果我们用这个漏洞来抓鸡，成功率是十分高的，比原始的3389端口抓鸡的成功率高多了。

图1

如何用WinRAR漏洞抓鸡

Step1：将WinRAR的利用程序放到任意目录中，例如C盘根目录。

Step2：单击菜单中“开始→运行”命令，输入“cmd”运行“命令提示符”。将光标切换到“c：”，输入“rar.exe”查看利用程序的使用 *** 。其使用 *** 为：“rar [选项] ”。

其中“选项”可以指定生成的文件名以及选择溢出的操作系统等操作。我们使用默认的配置，可以不输入，有需要的话可以添加相应的“选项”。

Step3：将配置好的木马服务端程序也放到C盘根目录，并命名为123.exe。在“命令提示符”中输入命令：“rar 123.exe”，如果回显中出现“All Done! Have fun!”字样即表示捆绑有木马的WinRAR文件生成了（图2）。

图2

Step4：最后我们要做的就是将这个捆绑有木马程序的WinRAR文件发送给别人，当对方运行这个WinRAR文件时，将会出现错误，但是木马已经悄悄地在对方系统后台运行了。对方的电脑也就成了我们的肉鸡（图3）。

图3

不过要充分利用这个漏洞，光靠触发漏洞是不够的，木马的配置也很重要，例如要设置运行后删除自身，安装服务端时不出现提示等，这样当用户运行恶意WinRAR文件时只会出现WinRAR的错误提示，是丝毫感觉不到木马运行的。接着我们还要给木马加上免杀，例如加壳处理和修改特征码等，否则被杀毒软件检测出来岂不前功尽弃。

小提示：运行漏洞利用工具时请先关闭杀毒软件，因为杀毒软件会把它当作黑客工具给清除掉。

防范技巧

1.不要运行陌生人发过来的文件。这是老生常谈的问题了，只不过以前只针对可执行文件，现在连WinRAR也不能轻易运行了。

2.识别恶意的WinRAR文件。在运行WinRAR文件之前，我们可以先对其进行检查，确定无危害后再运行，检查的 *** 为：右键单击WinRAR文件，在菜单中如果没有“用WinRAR打开 ”这一项，则说明压缩包有异常，不要轻易打开！

3.升级WinRAR到3.7以上的版本，新版本打开虽仍会提示出错，但木马程序不会运行。

攻防博弈

攻 黑客：虽然很多人都有给系统打补丁的习惯，但会给应用软件升级的人少之又少，所以将捆绑有木马的WinRAR文件上传到软件下载网站或一些资源论坛中，将大大增加抓到的肉鸡数量。抓鸡的 *** 多种多样，我们还可以用135端口来抓安全意识不强的鸡。

防 编辑：系统软件的漏洞可以通过自动更新来解决，而工具软件的漏洞只能通过经常关注一些专业媒体的提醒，定期升级程序来解决。同时养成良好安全习惯，不接收不下载来路不明的压缩文件才是更好的防范 *** ！至于135端口抓鸡，只要我们关闭了端口，调高了防火墙的安全等级就不用惧怕。

-----------------------------------------------------------------------------------------------------------------------

小心端口招蜂引蝶——防范用135端口抓鸡的黑手

万立夫 (2007年9月17日 第37期)

新学期到了，许多学生都要配机，新电脑的安全防卫做好了吗？能不能拒绝成为黑客的肉鸡？令人遗憾的是，很多新手都不知道或者忽视了对敏感端口的屏蔽。例如135端口，一旦黑客利用135端口进入你的电脑，就能成功地控制你的机子。我们应该如何防范通过135端口入侵呢？下面我们就为大家来揭开谜底。

小知识：每台互联网中的计算机系统，都会同时打开多个 *** 端口，端口就像出入房间的门一样。因为房间的门用于方便人们的进出，而端口则为不同的网路服务提供数据交换。正如房间的门可以放进小偷一样， *** 端口也可以招来很多不速之客。

一、为什么135端口会被利用来抓鸡

如今，大多数黑客都使用网页木马来捕捉肉鸡，为什么还有一些黑客老惦记着135端口呢？主要原因有两个：

一个原因是135端口是WMI服务默认打开的端口。由于WMI服务是Windows系统提供的服务，因此利用它入侵不但不会引起用户注意还很方便，只需要一个脚本代码就可以对远程系统进行管理。WMI服务默认打开的是135端口，因此WMI入侵也被称之为135端口入侵。

另外一个原因是135端口开放的机子实在不少，这种现象可能是由于每年新增加的电脑用户的安全意识不强或者不知道怎么关闭造成的。令人担忧的是，连3389这样危险的端口也可以在 *** 上搜出不少。

小知识：WMI服务是“Microsoft Windows 管理规范”服务的简称，可以方便用户对计算机进行远程管理，在很多方面和系统服务远程桌面十分相似。只不过远程桌面是图形化操作，而WMI服务是利用命令行操作而已。

WMI服务需要“Windows Management Instrumentation”服务提供支持。而这个服务是默认启动的，而且是系统重要服务，这样就为入侵提供了便利。正是由于它可以进行远程控制操作，因此系统的安全性也就随之下降，因此被称之为永远敝开的后门程序。

二、黑客是怎么利用135端口抓鸡的

Step1：黑客入侵的之一步就是扫描 *** 中开启了135端口的远程系统。扫描使用的工具有很多，这里使用的工具是常见的《S扫描器》（下载地址：），因为它的扫描速度非常快。单击开始菜单中的“运行”命令，输入“cmd”打开命令提示符窗口，然后输入下面一段命令：S tcp 192.168.1.1 192.168. 1.255 135 100 /save（图1）。

图1

前面和后面的IP地址表示扫描的开始和结束地址，后面的135表示扫描的端口，100表示扫描的线程数，数值越大表示速度越快。需要特别说明的是，很多Windows系统默认限制线程为10，我们需要利用修改工具改调这个限制才行。

小提示：例如我们打开《比特精灵》的安装目录，运行其中的BetterSP2.exe，在弹出窗口的“更改限制为”选项中设置为256，最后点击“应用”按钮并且重新启动系统即可。

Step2：从已经打开135端口的电脑中筛选可以入侵的目标。首先打开S扫描器目录中的IP地址文件Result.txt，对文本文件中多于的信息进行删除，只保留和IP地址相关的内容。接着运行破解工具NTScan（下载地址：），它可以对远程系统进行破解（图2）。

图2

在NTScan窗口中的“主机文件”中设置IP地址文件，选中WMI扫描类型，然后在“扫描端口”中设置为135。最后点击“开始”按钮就可以进行破解操作，破解成功的主机地址都保存在NTScan.txt中。

Step3：现在利用Recton这款工具来上传我们的木马程序（下载地址：）。点击窗口中的“种植”标签，在NTScan.txt中寻找一个地址，接着将它添加到“远程主机设置”选项中。然后选择“Http下载”选项，并在“文件目录”设置木马程序的网页链接地址，最后点击“开始执行”按钮即可（图3）。

图3

这样木马程序就利用135端口上传到远程主机，并且在系统后台已经悄悄地运行了。这种方式不需要远程用户参予，因此它的隐蔽性和成功率都非常高，并且适何肉鸡的批量捕捉，但是上传的木马程序一定要经过免杀处理才行。

小提示：运行黑客工具的时候需要先关闭杀毒软件，因为杀毒软件会把它们当作病毒给清除掉。

三、防范技巧

1.利用 *** 防火墙屏蔽系统中的135端口，这样就让黑客入侵从之一步开始就失败。除此以外，像139、445、3389这些端口也是我们要屏蔽的端品。

2.增强当前系统中管理员的账号密码的强度，比如密码至少设置6位以上，并且其中包括数字、大小写字母等。这样黑客工具就不能轻易地破解我们的账号密码，这样即使是扫描到我们的135端口也无济于事。

3.安装最新版本的杀毒软件，并且将病毒库更新到最新，这个已经是老生常谈的问题。如果有可能的话，用户更好使用带有主动防御功能的杀毒软件。

攻防博弈

攻 黑客：利用135端口的确可以捕捉到大量肉鸡，不过要花费比较多的时间。随着操作系统的不断更新，以及人们对135端口进行防范的加强，这种 *** 已经逐渐菜鸟化，真正的高手不屑一顾。黑客抓鸡的 *** 有很多，比如我们还可以利用迅雷进行捆绑木马的传播，这是个较流行的抓鸡 *** 。

防编辑：既然黑客利用135端口入侵，我们只要将相关功能进行禁止，或加以限制就可以了。另外，对于黑客使用迅雷进行捆绑木马的传播，除了在下载的过程中利用迅雷的安全功能进行检测以外，还可以利用《网页木马拦截器》这款工具。无论是网页木马还是捆绑木马，只要运行就会被拦截并且提示用户注意。

----------------------------------------------------------------------------------------------------------------

Ps：以上内容引自电脑报

（不必恐慌，积极应对解决才是上策）