正在加载...
分页: 3/4 第一页 上页 1 2 3 4 下页 最后页 [ 显示模式: 摘要 | 列表 ]
自行查毒,后果自负

1、解禁彩虹(解决腾讯提示非法外挂) 绿色版
软件大小: 213KB
软件语言: 简体中文
软件详细信息:

       最近显IP外挂遭到腾讯封杀具体表现为 QQ医生提示 警告:发现非法QQ外挂不少朋友反馈,网上也出了解决办法,亮亮捣鼓了一个补丁,希望能帮到大家轻松解决软件特点 1:一键安装,操作简洁,人人会用 2:补丁后不会显示QQ医生损坏,不会提示非法外挂 3:软件绿色软件,无病虫害,无不良反应 4:软件winrar自解压格式,绝对绿色 ...

[sfile]
下载文件 (已下载 21 次)
[/sfile]

2、QQVisible(屏蔽QQ外挂提示/迷你首页/宠物自动登入) v2.1.0 绿色版
软件大小: 9KB
软件语言: 简体中文
软件详细信息:

      * 屏蔽QQ外挂提示框(用彩虹QQ的朋友烦恼那该死的提示框吧)* 屏蔽QQ那个该死的迷你首页(非要会员才能禁止那个功能,讨厌)* 屏蔽QQ宠物自动登入(这个功能QQ设置里面也有,不过好多朋友不会)...

[sfile]
下载文件 (已下载 2 次)
[/sfile]

3、解决QQ非法外挂提示 V1.0 绿色版
软件大小: 48KB
软件语言: 简体中文
软件详细信息:

      腾讯最近开始大范围的屏蔽外挂了,虽然我也在用外挂,但是腾讯的提示做法实在是令我不爽。今天早上和Jeffio闲聊时,说起了这个,我也看到论坛中在讨论去除提示,但看到的方法过程有点复杂复杂。Jeffio提供了2个简单的方法,看着有点意思,还是忍不住动手了。  其实方法也不难,第一种是利用DOS命令设置NTFS分区下的Safebase目录访问权限来实现的,由于NSIS的设置不足,所以依旧利用DOS命令实现;第二种方法是由于在FAT32下无法设置目录访问权限而采用的目录限制方法来实现。  2种方法实现起来并不难,主要是测试起来比较麻烦。新补丁的界面上午基本完成,一直在测试实际功能,从目前来看,应该没问题了,最后又加入了恢复功能。  说明:该补丁可以帮助使用外挂的QQ用户,去除QQ的非法外挂的提示。补丁后,不影响使用外挂的效果。第一种方法......

[sfile][/sfile]
Tags: , ,

微软免费同步工具SyncToy

[ 2008/10/18 21:02 | by selboo ]
      现在对于计算机用户们,随着硬盘容量的日益增加需要管理的文件及文件夹也越来越多了,拥有第二台电脑也很常见了,那么如何交换文件和同步问题也浮出水面。

      现在,微软给我们展示了一款软件SyncToy,用于Windows XP的一个免费的、易于使用的工具。高度的自定义功能可以帮助用户从繁重的拷贝、移动及同步不同目录的工作中解脱出来,仅仅单击几次鼠标就能搞定更多的操作,也会有额外的自定义功能而不会增加复杂度。微软推出的免费的同步工具,不用犹豫吧?

      SyncToy可以同时管理多个目录系列,合并两个目录里文件为一个目录,酷似重命名并在另一个文件夹中删除。与其他程序不同,SyncToy很清楚重命名过程,并且会对同步文件夹进行确认一致。

下载地址
Tags: ,
攻入Linux系统后,很多入侵者往往就开始得意忘形了.这其中还有一个原因,就是技术性也要求更高了.下面,我们来看看一些常用的经典工具.

1、从这里延伸:后门和连接工具

(1)Httptunnel

      Tunnel的意思是隧道,通常HTTPTunnel被称之为HTTP暗道,它的原理就是将数据伪装成HTTP的数据形式来穿过防火墙,实际上,它是在HTTP请求中创建了一个双向的虚拟数据连接来穿透防火墙.说得简单点,就是说在防火墙两边都设立一个转换程序,将原来需要发送或接受的数据包封装成 HTTP请求的格式骗过防火墙,所以它不需要别的代理服务器而直接穿透防火墙.

      HTTPTunnel包括两个程序:htc和hts,其中htc是客户端,而hts是服务器端,我们现在来看看我是如何用它们的.比如开了FTP的机器的IP是192.168.10.231,本地机器IP是192.168.10.226,因为防火墙的原因,本地机器无法连接到FTP上.怎么办?现在就可以考虑使用HTTPTunnel了.过程如下:

第一步:在本地机器上启动HTTPTunnel客户端.用Netstat看一下本机现在开放的端口,会发现8888端口已在侦听.
第二步:在对方机器上启动HTTPTunnel的服务器端,并执行命令“hts -f localhost:21 80”,这个命令的意思是说,把本机的21端口发出去的数据全部通过80端口中转一下,并且开放80端口作为侦听端口,再用Neststat看一下他的机器,就会发现80端口现在也在侦听状态.
第三步:在本地机器上用FTP连接本机的8888端口,会发现已经连上对方的机器了.那么,为什么人家看到的是127.0.0.1,而不是 192.168.10.231呢?因为我们现在是连接本机的8888端口,防火墙肯定不会有反应,如果没往外发包,局域网的防火墙肯定就不知道了.现在连接上本机的8888端口以后,FTP的数据包不管是控制信息还是数据信息,都被htc伪装成HTTP数据包然后发过去,在防火墙看来,这都是正常数据,相当于欺骗了防火墙.

      需要说明的是,这一招的使用需要其他机器的配合,就是说要在他的机器上启动一个hts,把他所提供的服务,如FTP等重定向到防火墙所允许的80端口上,这样才可以成功绕过防火墙!肯定有人会问,如果对方的机器上本身就有WWW服务,也就是说他的80端口在侦听,这么做会不会冲突?HTTPTunnel的优点就在于,即使他的机器以前80端口开着,现在也不会出现什么问题,重定向的隧道服务将畅通无阻!

(2)Tcp_wrapper

      Tcp_wrapper是Wietse Venema开发的一个免费软件. Tcp_wrapper的诞生有个小小的故事,大约1990年,作者所在大学的服务器屡屡受到一个外来黑客侵入,因为受害主机的硬盘数据屡次被rm -rf/命令整个抹掉,所以找寻线索极为困难,直到有一天晚上作者在工作的过程中无意中发现这个黑客在不断的finger 受害主机、偷窥受害者的工作.于是,一个想法诞生了:设计一个软件,使它可以截获发起finger请求的IP,用户名等资料.Venema很快投入了工作,而Tcp_wrapper也由此诞生!此后,Tcp_wrapper随着广泛的应用逐渐成为一种标准的安全工具.通过它,管理员实现了对inetd提供的各种服务进行监控和过滤.

      Tcp_wrapper编译安装成功后,会生成一个tcpd程序,它可以在inetd.conf这个控制文件中取代in.telnetd的位置,这样,每当有telnet的连接请求时,tcpd即会截获请求,先读取管理员所设置的访问控制文件,合乎要求,则会把这次连接原封不动的转给真正的 in.telnetd程序,由in.telnetd完成后续工作.如果这次连接发起的ip不符合访问控制文件中的设置,则会中断连接请求,拒绝提供 telnet服务.Tcp_wrapper访问控制的实现是依靠两个文件:hosts.allow,hosts.deny来实现的.如果我们编辑/etc /syslog.conf文件时,加入了日志纪录功能,即:

#tcp wrapper loglocal3.info /var/log/tcplog

      编辑结束后,保存文件,在/var/log下会生成tcplog文件,注意这个文件的读写属性, 应该只对root有读写权限.然后ps -ef   grep syslogd,找出syslogd的进程号,kill -HUP 重启syslogd进程使改动生效.在这里,我们可以预先看一看以后生成的tcplog文件内容,如下:

Jul 31 22:00:52 www.test.org in.telnetd[4365]: connect from 10.68.32.1Jul 31 22:02:10 www.test.org in.telnetd[4389]: connect from 10.68.32.5Jul 31 22:04:58 www.test.org in.ftpd[4429]: connect from 10.68.32.3Aug 2 02:11:07 www.test.org in.rshd[13660]: connect from 10.68.32.5Aug 2 02:11:07 www.test.org in.rlogind[13659]: connect from 10.68.32.1

      从上面我们可以看到,在安装了Tcp_wrapper的主机上,系统的每一次连接,Tcp_wrapper都做了纪录,它的内容包括时间、服务、状态、ip等,对攻击这有很大的参考价值,不过,一定要记得清除日志了.

(3)rootkit工具:LRK

      Rootkit出现于二十世纪90年代初,它是攻击者用来隐藏自己的踪迹和保留root访问权限的工具.通常,攻击者通过远程攻击或者密码猜测获得系统的访问权限.接着,攻击者会在侵入的主机中安装rootkit,然后他会通过rootkit的后门检查系统,看是否有其他的用户登录,如果只有自己,攻击者就开始着手清理日志中的有关信息.通过rootkit的嗅探器获得其它系统的用户和密码之后,攻击者就会利用这些信息侵入其它的系统.

      如果攻击者能够正确地安装rootkit并合理地清理了日志文件,系统管理员就会很难察觉系统已经被侵入,直到某一天其它系统的管理员和他联系或者嗅探器的日志把磁盘全部填满,他才会察觉已经大祸临头了.不过,在系统恢复和清理过程中,大多数常用的命令例如ps、df和ls已经不可信了.许多rootkit中有一个叫做 FIX的程序,在安装rootkit之前,攻击者可以首先使用这个程序做一个系统二进制代码的快照,然后再安装替代程序.FIX能够根据原来的程序伪造替代程序的三个时间戳(atime、ctime、mtime)、date、permission、所属用户和所属用户组.如果攻击者能够准确地使用这些优秀的应用程序,并且在安装rootkit时行为谨慎,就会让系统管理员很难发现.

      下面我们介绍一个非常典型的针对Linux系统的LRK版本6.Linux Rootkit 6是一个开放源码的rootkit,经过多年的发展,Linux Rootkit的功能越来越完善,具有的特征也越来越多.下面我们简单地介绍一下Linux Rootkit包含的各种工具.

      首先是隐藏入侵者行踪的程序.为了隐藏入侵者的行踪,Linux Rootkit IV的作者可谓煞费心机,编写了许多系统命令的替代程序,使用这些程序代替原由的系统命令,来隐藏入侵者的行踪.这些程序包括:

      ls、find、du 这些程序会阻止显示入侵者的文件以及计算入侵者文件占用的空间.在编译之前,入侵者可以通过ROOTKIT_FILES_FILE设置自己的文件所处的位置,默认是/dev/ptyr.注意如果在编译时使用了SHOWFLAG选项,就可以使用ls -/命令列出所有的文件.这几个程序还能够自动隐藏所有名字为:ptyr、hack.dir和W4r3z的文件.
ps、top、pidof 这几个程序用来隐藏所有和入侵者相关的进程.

netstat 隐藏出/入指定IP地址或者端口的网络数据流量程.

killall 不会杀死被入侵者隐藏的进程.

ifconfig 如果入侵者启动了嗅探器,这个程序就阻止PROMISC标记的显示,使系统管理员难以发现网络接口已经处于混杂模式下.

crontab 隐藏有关攻击者的crontab条目.

tcpd 阻止向日志中记录某些连接.

syslogd 过滤掉日志中的某些连接信息.

      其次是后门程序.木马程序可以为本地用户提供后门;木马网络监控程序则可以为远程用户提供inetd、rsh、ssh等后门服务,具体因版本而异.随着版本的升级,Linux Rootkit IV的功能也越来越强大,特征也越来越丰富.一般包括如下网络服务程序:

chfn 提升本地普通用户权限的程序.运行chfn,在它提示输入新的用户名时,如果用户输入rookit密码,他的权限就被提升为root.

chsh 提升本地用户权限的程序.运行chsh,在它提示输入新的shell时,如果用户输入rootkit密码,他的权限就被提升为root.

passwd 和上面两个程序的作用相同.在提示你输入新密码时,如果输入rookit密码,权限就可以变成root.
login 允许使用任何帐户通过rootkit密码登录.如果使用root帐户登录被拒绝,可以尝试一下rewt.当使用后门时,这个程序还能够禁止记录命令的历史记录.

inetd 特洛伊inetd程序,为攻击者提供远程访问服务.

rshd 为攻击者提供远程shell服务.攻击者使用rsh -l rootkitpassword host command命令就可以启动一个远程root shell.
sshd 为攻击者提供ssh服务的后门程序.

再就是工具程序.所有不属于以上类型的程序都可以归如这个类型,它们实现一些诸如:日志清理、报文嗅探以及远程shell的端口绑定等功能,包括:

fix 文件属性伪造程序.

linsniffer 报文嗅探器程序.

sniffchk 一个简单的bash shell脚本,检查系统中是否正有一个嗅探器在运行.

login 允许使用任何帐户通过rootkit密码登录.如果使用root帐户登录被拒绝,可以尝试一下rewt.当使用后门时,这个程序还能够禁止记录命令的历史记录.

z2 utmp/wtmp/lastlog日志清理工具.可以删除utmp/wtmp/lastlog日志文件中有关某个用户名的所有条目.不过,如果用于Linux系统需要手工修改其源代码,设置日志文件的位置.

bindshell 在某个端口上绑定shell服务,默认端口是12497.为远程攻击者提供shell服务.

(4)netcat

这是一个简单而有用的工具,能够通过使用TCP或UDP协议的网络连接去读写数据.它被设计成一个稳定的后门工具,能够直接由其它程序和脚本轻松驱动.同时,它也是一个功能强大的网络调试和探测工具,能够建立你需要的几乎所有类型的网络连接,还有几个很有意思的内置功能.

2、查找Linux下的蛛丝马迹:日志工具

       对于高明的攻击者来说,进入系统后,还应了解自己的“蛛丝马迹”并清除这些痕迹,自然就要了解一些日志工具了.

(1)logcheck

       logchek 可以自动地检查日志文件,定期检查日志文件以发现违反安全规则以及异常的活动.它先把正常的日志信息剔除掉,把一些有问题的日志保留下来,然后把这些信息 email 给系统管理员.logcheck 用 logtail 程序记住上次已经读过的日志文件的位置,然后从这个位置开始处理新的日志信息.logcheck 主要由下面几个主要的文件:

logcheck.sh 可执行的脚本文件,记录logcheck检查那些日志文件等,我们可以把它加入crontab中定时运行.
logcheck.hacking 是logcheck 检查的模式文件.和下面的文件一起,按从上到下的顺序执行.这个文件表明了入侵活动的模式.
logcheck.violations 这个文件表示有问题,违背常理的活动的模式.优先级小于上面的那个模式文件.
logcheck.violations.ignore 这个文件和上面的logcheck.violations的优先是相对的,是我们所不关心的问题的模式文件.
logcheck.ignore 这是检查的最后一个模式文件.如果没有和前三个模式文件匹配,也没有匹配这个模式文件的话,则输出到报告中.
Logtail 记录日志文件信息.

Logcheck首次运行时读入相关的日志文件的所有内容,Logtail会在日志文件的目录下为每个关心的日志文件建立一个 logfile.offset 的偏移量文件,以便于下次检查时从这个偏移量开始检查.Logcheck执行时,将未被忽略的内容通过邮件的形式发送给 logcheck.sh 中 系统管理员指定的用户.

(2)logrotate

       一般Linux 发行版中都自带这个工具.它可以自动使日志循环,删除保存最久的日志,它的配置文件是 /etc/logrotate.conf,我们可以在这个文件中设置日志的循环周期、日志的备份数目以及如何备份日志等等.在/etc /logrotate.d目录下,包括一些工具的日志循环设置文件,如syslog等,在这些文件中指定了如何根据/etc /logrotate.conf做日志循环,也可以在这里面添加其他的文件以循环其他服务的日志.

(3)swatch

       swatch 是一个实时的日志监控工具,我们可以设置感兴趣的事件.Swatch 有两种运行方式:一种可以在检查日志完毕退出,另一种可以连续监视日志中的新信息.Swatch提供了许多通知方式,包括email、振铃、终端输出、多种颜色等等.安装前,必须确保系统支持perl.swatch 软件的重点是配置文件swatchmessage,这个文本文件告诉 swatch 需要监视什么日志,需要寻找什么触发器,和当触发时所要执行的动作.当swatch发现与swatchmessage中定义的触发器正则表达式相符时,它将执行在 swatchrc中定义的通知程序.

       当然,上面所介绍的软件只是Linux大海中的几只美丽的贝壳,随着越来越多的用户加入到Linux大军中,我们相信,优秀的Hack也将越来越多,这反过来也将促进Linux操作系统逐步走向成熟,我们拭目以待.

Tags: , ,

(MS08-014)和利用工具

[ 2008/03/28 17:26 | by selboo ]
Tags: ,
如何在网络中发现一个Sniffer,简单的一个回答是你发现不了。因为他们根本就没有留下任何痕迹,sniffer是如此嚣张又安静,如何知道有没有sniffer存在,这也是一个很难说明的问题。

    查找网络存在sniffer
    一、网络通讯掉包率反常的高
    通过一些网络软件,可以看到信息包传送情况,向ping这样的命令会告诉你掉了百分几的包。如果网络中有人在Listen,那么信息包传送将无法每次都顺畅的流到目的地。(这是由于sniffer拦截每个包导致的) 。

    二、网络带宽出现反常
    通过某些带宽控制器(通常是防火墙所带),可以实时看到目前网络带宽的分布情况,如果某台机器长时间的占用了较大的带宽,这台机器就有可能在监听。在非高速信道上,如56Kddn等,如果网络中存在sniffer,你应该也可以察觉出网络通讯速度的变化。  

    三、查看计算机上当前正在运行的所有程序。
    但这通常并不可靠,但可以控制计算机中程序运行。在Unix系统下使用下面的命令: ps -aux  或: ps -augx。 这个命令列出当前的所有进程,启动这些进程的用户,它们占用CPU的时间,占用内存的多少等等。  

    Windows系统下,按下Ctrl+Alt+Del,看一下任务列表。不过,编程技巧高的Sniffer即使正在运行,也不会出现在这里的。  

    系统中搜索,查找可疑的文件。但入侵者可能使用自己编写的程序,所以都会给发现sniffer造成相当大的困难。  

    还有许多工具,能用来看看你的系统会不会在杂收模式。从而发现是否有一个Sniffer正在运行。  

    防止sniffer 驻入
    对于嗅探器如此强大的‘灵敏度’,你最关心的可能是传输一些比较敏感的数据,如用户ID或口令等等。有些数据是没有经过处理的,一旦被sniffer,就能获得这些信息,解决这些问题的办法是加密。

    介绍一下SSH,全名Secure Shell,是一个在应用程序中提供安全通信的协议,建立在客户机/服务器模型上的。SSH服务器的分配的端口是22,连接是通过使用一种来自RSA的算法建立的,在授权完成后,接下来的通信数据是用IDEA技术来加密的。这通常是较强的,适合与任何非秘密和非经典的通讯。

    SSH后来发展成为F-SSH,提供了高层次的,军方级别的对通信过程的加密。它为通过TCP/IP网络通信提供了通用的最强的加密。如果某个站点使用F-SSH,用户名和口令成为不是很重要的一点。目前,还没有人突破过这种加密方法。即使是sniffer,收集到的信息将不再有价值,当然最关键的是怎样使用它。

    另类安全之法  
    另一个比较容易接受的是使用安全拓扑结构。这听上去很简单,但实现起来花销是很大的。这样的拓扑结构需要有这样的规则:一个网络段必须有足够的理由才能信任另一网络段。网络段应该考虑你的数据之间的信任关系上来设计,而不是硬件需要。开始处理网络拓扑则要做到以下几点:

    第一点:一个网络段是仅由能互相信任的计算机组成的。通常它们在同一个房间里,或在同一个办公室里。比如你的财务信息,应该固定在某一节点,就象你的财务部门被安排在办公区域的的一个不常变动的地方。  

    第二点:注意每台机器是通过硬连接线接到Hub的。Hub再接到交换机上。由于网络分段了,数据包只能在这个网段上被sniffer。其余的网段将不可能被sniffer。  

    第三点:所有的问题都归结到信任上面。计算机为了和其他计算机进行通信,它就必须信任那台计算机。作为系统管理员,你的工作是决定一个方法,使得计算机之间的信任关系很小。这样,就建立了一种框架,可以告诉你什么时候放置了一个sniffer,它放在那里了,是谁放的等等。  

    第四点:如果你的局域网要和INTERNET相连,仅仅使用防火墙是不够的。入侵者已经能从一个防火墙后面扫描,并探测正在运行的服务。你要关心的是一旦入侵者进入系统,他能得到些什么。你必须考虑一条这样的路径,即信任关系有多长。举个例子,假设你的WEB服务器对某一计算机A是信任的。那么有多少计算机是A信任的呢。又有多少计算机是受这些计算机信任的呢?在信任关系中,这台计算机之前的任何一台计算机都可能对你的计算机进行攻击,并成功。你的任务就是保证一旦出现的Sniffer,它只对最小范围有效。  

    编者按:Sniffer往往是攻击者在侵入系统后使用的,用来收集有用的信息。因此,防止系统被突破是关键。系统安全管理员要定期的对所管理的网络进行安全测试,防止安全隐患。同时要控制拥有相当权限的用户的数量。请记住,许多攻击往往来自网络内部。
Tags: ,
分页: 3/4 第一页 上页 1 2 3 4 下页 最后页 [ 显示模式: 摘要 | 列表 ]