如今網(wǎng)上黑客橫行,稍不留神就可能被黑客光顧,避如前段時(shí)間我們空間商的服務(wù)器就被入侵了,數(shù)據(jù)都被刪光了,所以要想在網(wǎng)上生存,做好安全措施是必不可少的。一般我們都只重視對(duì)機(jī)器進(jìn)行安全設(shè)置,而往往忽略了被入侵后的信息收集問題,今天我就介紹三種讓黑客留下痕跡的方法,希望能對(duì)大家有所幫助。
一、利用“木馬”進(jìn)行記錄
1.木馬簡(jiǎn)介
這里要用到的是一個(gè)很特殊的dll木馬,它可以把通過終端登陸的用戶名、密碼,以及域信息記錄到指定文件中。不要以為這些信息沒什么用哦!有時(shí)候就得*這些零散的信息來找入侵的人。
在下載的壓縮包內(nèi),有三個(gè)文件:
SysGina32.dll--這個(gè)就是可以記錄用戶名和密碼的東東了。
Gina.exe--這是安裝DLL木馬用的程序,有了它后安裝起來就很方便了。
使用方法.txt--這個(gè)很熟悉吧!中文幫助文件哦!有什么不懂的可以查查。
2.安裝木馬
先把SysGina32.dll和Gina.exe放在同一目錄下,并將Gina.exe改名為svchost.exe(你也可以改成其它名字,為的是不讓黑客注意到),然后打開CMD,切換到保存這兩個(gè)文件的文件夾,輸入命令:svchost.exe -install,當(dāng)出現(xiàn)“All Done,Gina setup success”信息時(shí),安裝就成功了。
注意:
a.該木馬已被殺毒軟件查殺,所以安裝時(shí)請(qǐng)關(guān)閉殺毒軟件(不是關(guān)閉防火墻哦!),而且以后重啟時(shí)殺毒軟件不能一起啟動(dòng),以后殺一次毒重新裝一次該木馬。不過如果你能讓該木馬不被殺毒軟件的話,那就沒這么麻煩了。
b.為了不讓黑客發(fā)現(xiàn)我們?cè)O(shè)的陷阱,最好將Gina.exe文件改名,而且要改的藝術(shù)一點(diǎn),比如上面我把它改成了“svchost.exe”,這樣就很難發(fā)現(xiàn)了,如果你改成了其它名字,安裝時(shí)命令就要換成“文件名.exe -install”。
c.SysGina32.dll和Gina.exe這兩個(gè)文件不一定要復(fù)制到系統(tǒng)安裝目錄的system32下,不過最好不要太引人注意,如果被黑客發(fā)現(xiàn),那就可能適得其反了(木馬也會(huì)記下你的密碼的)。
d.如果出現(xiàn)的信息是“Found Exist Gina”,這說明你機(jī)器已經(jīng)裝過該木馬了,此時(shí)鍵入“Y”覆蓋即可。
3.查看“蹤跡”
經(jīng)過以上設(shè)置后,如果有人通過終端服務(wù)登錄你的機(jī)器,那么他的用戶名和密碼就會(huì)被記錄到“C:\WINNT\system32\GinaPwd.txt”這個(gè)文件中,打開這文件就可以看到入侵者的蹤跡了。由于該木馬也會(huì)記錄你的密碼,所以每次進(jìn)入機(jī)器時(shí),請(qǐng)先打開GinaPwd.txt這文件,把你的用戶名和密碼刪掉,順便查一下有沒有其它人登錄過。
4.刪除木馬
如果你的機(jī)器不幸被人中了該木馬,那么請(qǐng)按如下方法刪除:
先下載該木馬,在CMD下輸入命令:gina.exe -remove,當(dāng)出現(xiàn)“ Gina Dll was removed success”時(shí),就表示刪除成功了,接著重啟機(jī)器即可。
注意:如果你把gina.exe改名了,命令也要做相應(yīng)改變:文件名.exe -
二、寫個(gè)批處理記錄黑客行蹤
1.認(rèn)識(shí)批處理
對(duì)于批處理文件,你可以把它理解成批量完成你指定命令的文件,它的擴(kuò)展名為 .bat 或 .cmd,只要在文本文件中寫入一些命令,并把它保存為.bat 或 .cmd格式,然后雙擊該文件,系統(tǒng)就會(huì)按文本文件中的命令逐條執(zhí)行,這樣可以節(jié)省你許多的時(shí)間。
2.編寫批處理文件
打開記事本,然后輸入如下命令:
|
然后把文件保存為d:\3389.bat,這里我解釋一下命令的意思,date和time是用于獲取系統(tǒng)時(shí)間的,這樣可以讓你知道黑客在某天的某個(gè)時(shí)刻入侵。“attrib +s +h d:\3389.bat”和“attrib +s +h d:\3389.txt”這兩個(gè)命令是用來隱藏3389.bat和3389.txt這兩個(gè)文件的,因?yàn)樵诘卿洉r(shí),由于會(huì)啟動(dòng)d:\3389.bat這個(gè)文件,所以會(huì)有一個(gè)CMD窗口一閃而過,有經(jīng)驗(yàn)的黑客應(yīng)該能判斷出這窗口是記錄用的,所以他可能會(huì)到處找這個(gè)記錄文件,用了以上兩個(gè)命令后,即使他用系統(tǒng)自帶的搜索功能以3389為關(guān)鍵字進(jìn)行搜索,也找不到上面3389.bat和3389.txt這兩個(gè)文件,哈哈!很棒吧!至于“netstat -an |find "ESTABLISHED" |find ":3389" >>d:\3389.txt”這個(gè)命令則是記錄通過終端的連結(jié)狀況的,明白了吧!
接下來我們要讓系統(tǒng)啟動(dòng)時(shí)自動(dòng)運(yùn)行d:\3389.bat這文件,我用的方法是修改注冊(cè)表,依次展開:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon,找到“Userinit”這個(gè)鍵值,這個(gè)鍵值默認(rèn)為c:\WINNT\system32\userinit.exe,不知你注意到?jīng)]有,在最后有一個(gè)逗號(hào),我們要利用的就是這逗號(hào),比如我上面寫的3389.bat文件路徑為d:\3389.bat,那么我只要在逗號(hào)后面加上“d:\3389.bat”即可,這樣啟動(dòng)時(shí)3389.bat這文件就會(huì)運(yùn)行,選這個(gè)鍵值的原因是因?yàn)樗[蔽,如果是加在Run鍵值下的話是很容易被發(fā)現(xiàn)的。最后提醒一點(diǎn),鍵值末尾的逗號(hào)別忘了加上去哦!
4.查看記錄
前面我們用了attrib命令把3389.bat和3389.txt這兩個(gè)文件隱藏起來,下面我們來讓它們重新顯示。
打開CMD,切換到保存這兩個(gè)文件的路徑,這里是切換到“d:\”目錄,輸入命令:attrib -s -h d:\3389.bat和attrib -s -h d:\3389.txt,這時(shí)再到d盤看看,是不是出現(xiàn)了?打開文件即可查看登錄情況,從中我們可以看出,10.51.5.36這IP連結(jié)到了我的3389端口(我的IP是10.51.5.35)。
三、記錄黑客動(dòng)作
有了以上兩道防線,我們就能知道黑客的用戶名、密碼、以及入侵時(shí)的IP了,不過這樣好像還不夠,要是能知道黑客都干了些什么就更好了,下面我們?cè)僭O(shè)置一個(gè)陷阱,這里要用到的工具是“計(jì)算機(jī)系統(tǒng)日志”。
該軟件的特色就是可以在后臺(tái)記錄所有運(yùn)行過的程序和窗口名稱,并且有具體的時(shí)期,以及登錄的用戶名,很恐怖哦!下面咱們來設(shè)陷阱吧!
1.記錄日志
雙擊壓縮包內(nèi)的主程序,點(diǎn)擊“軟件試用”進(jìn)入主界面,在“日志文件保存路徑”處點(diǎn)擊“瀏覽”選擇保存路徑并進(jìn)行命名,這里保存在c:\winnt\log.txt。然后鉤選“日志記錄隨計(jì)算機(jī)自動(dòng)啟動(dòng)”。
注意:
a.為了防止黑客找到記錄日志的文件,你可以用上面提到的命令:attrib +s +h c:\winnt\log.txt進(jìn)行隱藏。
b.最好不要將這個(gè)記錄文件和上面的3389.txt放一個(gè)目錄下,這樣萬一被發(fā)現(xiàn)其中一個(gè),不至于使另一個(gè)也一同被發(fā)現(xiàn)。
c.軟件在“任務(wù)管理器”的進(jìn)程中顯示名稱為“syslog”,而且未注冊(cè)版本會(huì)在20分鐘后自動(dòng)停止記錄,所以只能用來對(duì)付菜鳥黑客啦!而且還得先花點(diǎn)“銀子”,哈哈!
接下來在“程序密碼保護(hù)”處輸入一個(gè)復(fù)雜點(diǎn)的密碼,點(diǎn)擊“開始日志”。這時(shí)軟件會(huì)提醒你隱藏后的熱鍵為“Ctrl+Q”,請(qǐng)記住這個(gè)熱鍵,以后要喚出軟件時(shí)就得*它了。
2.查看動(dòng)作
想知道這樣設(shè)置后記錄下來的東西是什么樣嗎?那就快來看看吧。怎么樣?對(duì)這種記錄結(jié)果你還滿意嗎?
以上就是我比較推薦的三種方法了,都非常的實(shí)用,你不妨也試試哦!
