阳光天下==>筒豢膳�,设个陷阱逮住他

筒豢膳�,设个陷阱逮住他

作者：未知　　　时间：2004-07-14 1:08:23

如今网上黑客横行，稍不留神就可能被黑客光顾，避如前段时间我们空间商的服务器就被入侵了，数据都被删光了，所以要想在网上生存，做好安全措施是必不可少的。一般我们都只重视对机器进行安全设置，而往往忽略了被入侵后的信息收集问题，今天我就介绍三种让黑客留下痕迹的方法，希望能对大家有所帮助。

　　一、利用“木马”进行记录

　　1.木马简介

　　这里要用到的是一个很特殊的dll木马，它可以把通过终端登陆的用户名、密码，以及域信息记录到指定文件中。不要以为这些信息没什么用哦！有时候就得靠这些零散的信息来找入侵的人。

　　下载地址：http://www.chinesehack.org/down/show.asp?id=3770&down=1

　　在下载的压缩包内，有三个文件：

　　SysGina32.dll--这个就是可以记录用户名和密码的东东了。

　　Gina.exe--这是安装DLL木马用的程序，有了它后安装起来就很方便了。

　　使用方法.txt--这个很熟悉吧！中文帮助文件哦！有什么不懂的可以查查。

　　2.安装木马

先把SysGina32.dll和Gina.exe放在同一目录下，并将Gina.exe改名为svchost.exe（你也可以改成其它名字，为的是不让黑客注意到），然后打开CMD，切换到保存这两个文件的文件夹，输入命令：svchost.exe -install，当出现“All Done，Gina setup success”信息时，安装就成功了（如图1）。

注意：

　　a.该木马已被杀毒软件查杀，所以安装时请关闭杀毒软件（不是关闭防火墙哦！），而且以后重启时杀毒软件不能一起启动，以后杀一次毒重新装一次该木马。不过如果你能让该木马不被杀毒软件的话，那就没这么麻烦了。

　　b.为了不让黑客发现我们设的陷阱，最好将Gina.exe文件改名，而且要改的艺术一点，比如上面我把它改成了“svchost.exe”，这样就很难发现了，如果你改成了其它名字，安装时命令就要换成“文件名.exe -install”。

　　c.SysGina32.dll和Gina.exe这两个文件不一定要复制到系统安装目录的system32下，不过最好不要太引人注意，如果被黑客发现，那就可能适得其反了（木马也会记下你的密码的）。

　　d.如果出现的信息是“Found Exist Gina”，这说明你机器已经装过该木马了，此时键入“Y”覆盖即可。

　　3.查看“踪迹”

　　经过以上设置后，如果有人通过终端服务登录你的机器，那么他的用户名和密码就会被记录到“C:WINNTsystem32GinaPwd.txt”这个文件中，打开这文件就可以看到入侵者的踪迹了（如图2）。由于该木马也会记录你的密码，所以每次进入机器时，请先打开GinaPwd.txt这文件，把你的用户名和密码删掉，顺便查一下有没有其它人登录过。

　　4.删除木马

　　如果你的机器不幸被人中了该木马，那么请按如下方法删除：

　　先下载该木马，在CMD下输入命令：gina.exe -remove，当出现“ Gina Dll was removed success”时（如图3），就表示删除成功了，接着重启机器即可。

二、写个批处理记录黑客行踪

　　1.认识批处理

　　对于批处理文件，你可以把它理解成批量完成你指定命令的文件，它的扩展名为 .bat 或 .cmd，只要在文本文件中写入一些命令，并把它保存为.bat 或 .cmd格式，然后双击该文件，系统就会按文本文件中的命令逐条执行，这样可以节省你许多的时间。

　　2.编写批处理文件

　　打开记事本，然后输入如下命令（如图4）：
　　@echo off
　　date /t >>d:3389.txt
　　attrib +s +h d:3389.bat
　　attrib +s +h d:3389.txt
　　time /t >>d:3389.txt
　　netstat -an |find "ESTABLISHED" |find ":3389" >>d:3389.txt

　　
　　然后把文件保存为d:3389.bat，这里我解释一下命令的意思，date和time是用于获取系统时间的，这样可以让你知道黑客在某天的某个时刻入侵。“attrib +s +h d:3389.bat”和“attrib +s +h d:3389.txt”这两个命令是用来隐藏3389.bat和3389.txt这两个文件的，因为在登录时，由于会启动d:3389.bat这个文件，所以会有一个CMD窗口一闪而过，有经验的黑客应该能判断出这窗口是记录用的，所以他可能会到处找这个记录文件，用了以上两个命令后，即使他用系统自带的搜索功能以3389为关键字进行搜索，也找不到上面3389.bat和3389.txt这两个文件，哈哈！很棒吧！至于“netstat -an |find "ESTABLISHED" |find ":3389" >>d:3389.txt”这个命令则是记录通过终端的连结状况的，明白了吧！

　　接下来我们要让系统启动时自动运行d:3389.bat这文件，我用的方法是修改注册表，依次展开：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon，找到“Userinit”这个键值，这个键值默认为c:WINNTsystem32userinit.exe，不知你注意到没有，在最后有一个逗号，我们要利用的就是这逗号，比如我上面写的3389.bat文件路径为d:3389.bat，那么我只要在逗号后面加上“d:3389.bat”即可（如图5），这样启动时3389.bat这文件就会运行，选这个键值的原因是因为它隐蔽，如果是加在Run键值下的话是很容易被发现的。最后提醒一点，键值末尾的逗号别忘了加上去哦！

4.查看记录

　　前面我们用了attrib命令把3389.bat和3389.txt这两个文件隐藏起来，下面我们来让它们重新显示。

　　打开CMD，切换到保存这两个文件的路径，这里是切换到“d:”目录，输入命令：attrib -s -h d:3389.bat和attrib -s -h d:3389.txt，这时再到d盘看看，是不是出现了？打开文件即可查看登录情况（如图6），从图中我们可以看出，10.51.5.36这IP连结到了我的3389端口（我的IP是10.51.5.35）。

　　三、记录黑客动作

　　有了以上两道防线，我们就能知道黑客的用户名、密码、以及入侵时的IP了，不过这样好像还不够，要是能知道黑客都干了些什么就更好了，下面我们再设置一个陷阱，这里要用到的工具是“计算机系统日志”。

　　下载地址：http://www.skycn.com/soft/9820.html

　　该软件的特色就是可以在后台记录所有运行过的程序和窗口名称，并且有具体的时期，以及登录的用户名，很恐怖哦！下面咱们来设陷阱吧！

　　1.记录日志

　　双击压缩包内的主程序，点击“软件试用”进入主界面（如图7），在“日志文件保存路径”处点击“浏览”选择保存路径并进行命名，这里保存在c:winntlog.txt。然后钩选“日志记录随计算机自动启动”。

注意：

　　a.为了防止黑客找到记录日志的文件，你可以用上面提到的命令：attrib +s +h c:winntlog.txt进行隐藏。

　　b.最好不要将这个记录文件和上面的3389.txt放一个目录下，这样万一被发现其中一个，不至于使另一个也一同被发现。

　　c.软件在“任务管理器”的进程中显示名称为“syslog”，而且未注册版本会在20分钟后自动停止记录，所以只能用来对付菜鸟黑客啦！而且还得先花点“银子”，哈哈！

　　接下来在“程序密码保护”处输入一个复杂点的密码，点击“开始日志”。这时软件会提醒你隐藏后的热键为“Ctrl+Q”，请记住这个热键，以后要唤出软件时就得靠它了。

　　2.查看动作

　　想知道这样设置后记录下来的东西是什么样吗？那就快来看看吧（如图8）。怎么样？对这种记录结果你还满意吗？

　　以上就是我比较推荐的三种方法了，都非常的实用，你不妨也试试哦！

[ 责编:speedcat 点击： ]