史萊姆論壇 - 查看單個文章

psac · 2006-03-10, 05:09 PM

看你是為誰在養「木馬」

黑基論壇:天晴無名氏

當你發現自己的愛機中了木馬時一定很氣憤，很想知道是誰把馬放在你的愛機裡。這裡先簡單解釋一下原理，怎麼去找出馬的主人吧！

　　現在很多木馬都有發IP郵件的功能，「冰河」就是其中的佼佼者，也是國內用得最多的木馬。它能把你上地的動態IP，電腦裡的隱藏密碼和個人訊息等在受害密碼和個人訊息等在受害者不知道的情況下記錄下來並發到指定的E－mail信箱。我們就利用它發的IP信是明文訊息的特點（現在好像還沒有哪個木馬發的IP信有進行過加密的），用sniffer類軟體把它記錄下來。這樣我們就能知道對你用過木馬那人的E－mail了。所以我們不要立即把愛機裡的木馬清除掉（不入虎穴焉得虎子），因為我們還要靠它找出它的主人呢！

　　首先去下載必要的工具，http://www.xfocus.org/htm1/data/tools/winsniff.zip(在DOS下執行）或HTTP://www.guanqian.com/starkun/tool...��有所長。

一、DOS下winsniff的用法

　　在c碟新增一個winsniff目錄，把包解壓，解壓縮後它裡面有七個文件。

　　開啟一個MS-DOS視窗(「點擊開始--程序--MS-DOS方式」)進入winsniff目錄(在MSDOS方式下輸入cd\winsniff,跟著按車鍵)。接著輸入winsniff/1，按Enter鍵，檢查撥號橋接器的編號(這裡檢查結果為0)。

　　輸入winsniff/a 0 /a mail.txt,按Enter鍵，這時顯示，其中的「0」是表示你的撥號橋接器即modem的編號，當你還裝有其它網路設備(如：區域網路網路卡)時它就不一定是0了，那時就要因應不同的需要而改變，「mail.txt」是表示記錄文件的名字，可以任意取名字。

　　接著就是撥號上網或與網路連接(區域網路的用戶)，等著winsniff幫你截獲訊息吧。

　　當你看到顯示，出現「[mail]」時請按「ctrl+c」鍵結束程序，這時你就可以用筆記型開啟「mail.txt」文件看看裡面的訊息了，是不是很驚奇呢，你的密碼什麼的都給記錄下來了!記錄文件中的「TO：」後面顯示的E-mail位址就是木馬主人的E-mail位址了，跟闃想怎麼利用這E-mail位址對付那可惡的人就你自已喜歡了，哈哈。但不要玩過火了!這軟體的優點是比較穩定不容易出現錯誤；缺點就是操作煩瑣，適合具備一點DOS操作經驗的人用，但我個人比較喜歡用它，因為穩定!

二、Windows下masnif的使用

　　在c碟新增一個mpsnif目錄，把它解壓，解壓縮後有四個文件。通過雙按MPSnif文件執行軟體，它的工作界面如圖4所顯示。

　　首先要對它進行一下設定，點擊一下設定，點擊一下「setup」按鈕就會出現所顯示對話視窗，「Dicectory（目錄）」後原來填的是「c:\」，把它改為「C：\mpsnif\」，而「DNS」可以忽略，點擊「OK」按鈕後它會再出現一個對話視窗，忽略它點擊「確定」即可。然後把軟體關掉再重新啟動，這時剛才的設定就生效了。

　　選項要監視的設備，一般是選「撥號橋接器」（如果你還裝了其它網路設備，並且要對它進行監視才選你要監視的設備）。還要選項要監視的傳輸協定，按下「TCP ports」選「Smtp(25)」，使它的前面有個鉤。

　　這時可以點擊「Start」按鈕使軟體開始工作，按著要做的就是撥號上網或與網路連接(區域網路的用戶)，等著MPsnif幫你截獲訊息。我們也可以去幹別的事，這時MPSnif會顯示很多資料記錄。

　　等下到網後再到「C：mpsnif」目錄中尋找並開啟檔案名為XXX_XXX_XXX_XXX$XXX-XXX_XXX_XXX_XXX$25_XXXXXXX的文件(其中$XXXX為你在發信出去時在本地機開啟的承受機連接阜，而它前面的XXX_XXX_XXX_XXX是你該次上網的IP位址；$25為郵件伺服器開啟的S M T P 連接阜，它前面的XXXXXX為該郵件的大小)，在文件裡「TO：」後面的E-mail位址就是木馬主人的E-mail位址了。這軟體的優點是操作較為簡單方便，容易使用，功能比上面那個強(還有很多別的監視功能，有興趣的可以自己研究。)；缺點是不夠穩定，常提示你程式出錯(可能是它還是測試版的原因吧，或是我的系統出了問題)，但不會影響到它的攔截資料的功能，它適合那些對電腦瞭解不深的人套用。

三、使用注意事項

1.執行這兩個軟體時都必須要在撥號上網或與網路連接前就執行，因為這樣才能肯定攔截到木馬所發出的IP信；

2.在執行這兩個軟體時不要作任何收發郵件的工作，因為這樣會影響到攔截資料的準確性，給你造成「誤報」的可能性；

3.這兩個軟體者不是百分之百的不會出問題，有時可能會攔截不到，請多試一兩次提高準確率；

4.我們知道木馬主人的E-mail後，記得把愛機裡的木馬給清除了，這樣才能徹底的杜絕其他人對你愛機進行的木馬侵擾；

5.在給木馬主人的懲罰時請適可而止，不要過火了，到時候造成別的人嚴重損失時理虧就會變成你了；

6.這兩個軟體都會牽涉到一些別的安全問題，請不要用來做違法的事

2006-03-10, 05:09 PM	#2 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	看你是為誰在養「木馬」黑基論壇:天晴無名氏當你發現自己的愛機中了木馬時一定很氣憤，很想知道是誰把馬放在你的愛機裡。這裡先簡單解釋一下原理，怎麼去找出馬的主人吧！　　現在很多木馬都有發IP郵件的功能，「冰河」就是其中的佼佼者，也是國內用得最多的木馬。它能把你上地的動態IP，電腦裡的隱藏密碼和個人訊息等在受害密碼和個人訊息等在受害者不知道的情況下記錄下來並發到指定的E－mail信箱。我們就利用它發的IP信是明文訊息的特點（現在好像還沒有哪個木馬發的IP信有進行過加密的），用sniffer類軟體把它記錄下來。這樣我們就能知道對你用過木馬那人的E－mail了。所以我們不要立即把愛機裡的木馬清除掉（不入虎穴焉得虎子），因為我們還要靠它找出它的主人呢！　　首先去下載必要的工具，http://www.xfocus.org/htm1/data/tools/winsniff.zip(在DOS下執行）或HTTP://www.guanqian.com/starkun/tool...��有所長。一、DOS下winsniff的用法　　在c碟新增一個winsniff目錄，把包解壓，解壓縮後它裡面有七個文件。　　開啟一個MS-DOS視窗(「點擊開始--程序--MS-DOS方式」)進入winsniff目錄(在MSDOS方式下輸入cd\winsniff,跟著按車鍵)。接著輸入winsniff/1，按Enter鍵，檢查撥號橋接器的編號(這裡檢查結果為0)。　　輸入winsniff/a 0 /a mail.txt,按Enter鍵，這時顯示，其中的「0」是表示你的撥號橋接器即modem的編號，當你還裝有其它網路設備(如：區域網路網路卡)時它就不一定是0了，那時就要因應不同的需要而改變，「mail.txt」是表示記錄文件的名字，可以任意取名字。　　接著就是撥號上網或與網路連接(區域網路的用戶)，等著winsniff幫你截獲訊息吧。　　當你看到顯示，出現「[mail]」時請按「ctrl+c」鍵結束程序，這時你就可以用筆記型開啟「mail.txt」文件看看裡面的訊息了，是不是很驚奇呢，你的密碼什麼的都給記錄下來了!記錄文件中的「TO：」後面顯示的E-mail位址就是木馬主人的E-mail位址了，跟闃想怎麼利用這E-mail位址對付那可惡的人就你自已喜歡了，哈哈。但不要玩過火了!這軟體的優點是比較穩定不容易出現錯誤；缺點就是操作煩瑣，適合具備一點DOS操作經驗的人用，但我個人比較喜歡用它，因為穩定! 二、Windows下masnif的使用　　在c碟新增一個mpsnif目錄，把它解壓，解壓縮後有四個文件。通過雙按MPSnif文件執行軟體，它的工作界面如圖4所顯示。　　首先要對它進行一下設定，點擊一下設定，點擊一下「setup」按鈕就會出現所顯示對話視窗，「Dicectory（目錄）」後原來填的是「c:\」，把它改為「C：\mpsnif\」，而「DNS」可以忽略，點擊「OK」按鈕後它會再出現一個對話視窗，忽略它點擊「確定」即可。然後把軟體關掉再重新啟動，這時剛才的設定就生效了。　　選項要監視的設備，一般是選「撥號橋接器」（如果你還裝了其它網路設備，並且要對它進行監視才選你要監視的設備）。還要選項要監視的傳輸協定，按下「TCP ports」選「Smtp(25)」，使它的前面有個鉤。　　這時可以點擊「Start」按鈕使軟體開始工作，按著要做的就是撥號上網或與網路連接(區域網路的用戶)，等著MPsnif幫你截獲訊息。我們也可以去幹別的事，這時MPSnif會顯示很多資料記錄。　　等下到網後再到「C：mpsnif」目錄中尋找並開啟檔案名為XXX_XXX_XXX_XXX$XXX-XXX_XXX_XXX_XXX$25_XXXXXXX的文件(其中$XXXX為你在發信出去時在本地機開啟的承受機連接阜，而它前面的XXX_XXX_XXX_XXX是你該次上網的IP位址；$25為郵件伺服器開啟的S M T P 連接阜，它前面的XXXXXX為該郵件的大小)，在文件裡「TO：」後面的E-mail位址就是木馬主人的E-mail位址了。這軟體的優點是操作較為簡單方便，容易使用，功能比上面那個強(還有很多別的監視功能，有興趣的可以自己研究。)；缺點是不夠穩定，常提示你程式出錯(可能是它還是測試版的原因吧，或是我的系統出了問題)，但不會影響到它的攔截資料的功能，它適合那些對電腦瞭解不深的人套用。三、使用注意事項 1.執行這兩個軟體時都必須要在撥號上網或與網路連接前就執行，因為這樣才能肯定攔截到木馬所發出的IP信； 2.在執行這兩個軟體時不要作任何收發郵件的工作，因為這樣會影響到攔截資料的準確性，給你造成「誤報」的可能性； 3.這兩個軟體者不是百分之百的不會出問題，有時可能會攔截不到，請多試一兩次提高準確率； 4.我們知道木馬主人的E-mail後，記得把愛機裡的木馬給清除了，這樣才能徹底的杜絕其他人對你愛機進行的木馬侵擾； 5.在給木馬主人的懲罰時請適可而止，不要過火了，到時候造成別的人嚴重損失時理虧就會變成你了； 6.這兩個軟體都會牽涉到一些別的安全問題，請不要用來做違法的事
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次