钩子问题.

以前做过编程，但现在都忘个差不多了，给你查了一点，看能不能有帮助

HOOK编程与消息处理一2009-06-14 16:02阅读本文需要一定的C++基础和windows编程基础，另外对动态链接库原理和机制也要有一定了解。我尽量讲解得简单明了一些。

因为考试系统项目中要对系统中的键盘消息进行处理，而WEB页面中对系统热键、功能键不能进行有效处理，如（ALT+F4 ALT+TABLE等等），因此需要编写一个WIN32下的客户端程序，内嵌一个WebBrownser实现页面显示(或用CHtmlView对象实现，其实道理都是一样的），这样我可以在客户端程序框架中对键盘消息进行处理。

本文介绍的内容主要是利用动态链接库安装全局进程钩子，实现应用程序的主导控制，因此本文的范畴还是在COM相关领域中。#此前在首页部分显示#

关于Hook编程，以前我总是认为很神秘，因为黑客技术中经常用到HOOK，比如最常见的盗取密码。下面我们来一窥门径。

首先我们来简单了解一下窗口句柄和WINDOWS消息处理机制；

窗口是Windows应用程序中一个非常重要的元素，一个Windows应用程序至少要有一个窗口，称为主窗口。窗口是屏幕上的一块矩形区域，是Windows应用程序与用户进行交互的接口。在windows应用程序中，窗口是通过窗口句柄（HWND）来标识的。我们要对某个窗口进行操作，首先要得到这个窗口的句柄。句柄（HANDLE）是Windows程序中一个重要的概念，使用很频繁。在windows程序中有各种各样的资源（窗口、图标、光标等），系统在创那家这些资源时会为它们分配内存，并返回标识这些资源的标识号，即句柄（图标句柄HICON、光标句柄HCURSOR、画刷句柄HBRUSH）。

Windows程序设计是一种完全不同于DOS方式的程序设计 *** 。它是一种事件驱动方式的程序设计模式，主要是基于消息的。例如当用户在窗口中画图的时候，按下鼠标左键，操作系统会感知这一事件，并将这一事件包装成一个消息，投递到应用程序消息队列中，然后应用程序通过调用GetMessage函数从消息队列中取出消息，然后调用DispatchMessage函数将这条消息调度给操作系统，操作系统会调用在设计窗口类时指定的应用程序窗口过程（WindowProc）对这一消息进行处理。

在实际应用中，可能要对某个特殊消息进行屏蔽，如在我的考试项目中要对键盘消息进行屏蔽，而鼠标消息不与处理。我们可以给我们的程序安装一个HOOK过程（钩子过程）来实现这一功能。在程序中，我们可以过SetWindowsHookEx函数来安装一个钩子过程。该函数声明如下：

HHOOK SetWindowsHookEx(

int idHook, // type of hook to install

HOOKPROC lpfn, // address of hook procedure

HINSTANCE hMod, // handle to application instance

DWORD dwThreadId // identity of thread to install hook for

);

SetWindowsHookEx函数的作用是安装一个应用程序定义的钩子过程，并将其放到钩子链中。应用程序可以安装多个钩子过程，对我们感兴趣的多个消息进行检查。这样多个钩子过程就形成了钩子链，最后安装的钩子过程总是排在该链的前面。如果调用成功，SetWindowsHookEx函数返回值就是所安装的钩子过程的句柄，否则返回NULL。

各参数的含义各位读者可以看下MSDN，MSDN中的英文也是很好读懂的，各位不要害怕。

之一个参数idHook MSDN中给出的含义是Specifies the type of hook procedure to be installed. 中文意思就是指定将要安装的钩子过程的类型。在我的项目中因为要处理键盘消息，因此本文中我会将其设为WH_KEYBOARD。如果要处理鼠标消息可将其设为WH_MOUSE。

第二个参数lpfn 指向相应钩子过程。如果参数dwThreadId 为0，或者指定了一个其他进程创那家的线程的标识符，那么参数lpfn 必须指向一个位于某动态接库中的钩子过程。否则，参数lpfn 可以指向当前进程相关代码中定义的一个钩子过程。

第三个参数hMod 指定lpfn 指向的钩子过程所在DLL的句柄。如果参数dwThreadId 指定的线程由当前进程创建，并且相应的钩子过程定义于当前进程相关的代码中，那么必须将此参数设为NULL。

第四个参数dwThreadId 指定也钩子过程相关的线程标识。如果其值为0，那么安装的钩子过程将与桌面上运行的所有线程都相关。

关于进程内的钩子比较简单，大家参看MSDN中的MouseProc、CallNextHookEx以及上面的SetWindowsHookEx等函数的说明就可以实现。在这里我们要写一个应用全局钩子的应用程序，主要是我想在程序运行时对桌面运行的所有进程的键盘消息都进行屏蔽。好，我们现在建一个空的DLL工程名为HookTest,再建一个C++源文件HookTest.cpp，在源文件中写一个函数SetHook用以安装钩子过程，再写一个函数UnHook用以卸载钩子过程。代码如下：

LRESULT CALLBACK KeyboardProc(

int code, // hook code

WPARAM wParam, // virtual-key code

LPARAM lParam // keystroke-message information)

{

if(VK_F2==wParam)

{

SendMessage(hWnd,WM_CLOSE,0,0);

UnhookWindowsHookEx(hKeyboardHook);

}

return 1;

}

void SetHook(HWND hwnd)

{

hWnd=hwnd;

hKeyboardHook=SetWindowsHookEx(WH_KEYBOARD,KeyboardProc,GetModuleHandle("Hook"),0);

}

void UnHook()

{

if(hKeyboardHook)

{

SendMessage(hWnd,WM_CLOSE,0,0);

UnhookWindowsHookEx(hKeyboardHook);

}

}

http://hi.baidu.com/mjnpc/blog/item/edbc9d1a6a74f9f3af5133a4.html

什么是电脑病毒，什么是木马？它们有益吗？

什么是木马?

特洛伊木马(以下简称木马)，英文叫做“Trojan house”，其名称取自希腊神话的特洛伊木马记。

它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。

所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，由于不能确定其具 *** 置，往往只能望“马”兴叹。

所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件，修改注册表，控制鼠标，键盘等等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。

从木马的发展来看，基本上可以分为两个阶段。

最初 *** 还处于以UNIX平台为主的时期，木马就产生了，当时的木马程序的功能相对简单，往往是将一段程序嵌入到系统文件中，用跳转指令来执行一些木马的功能，在这个时期木马的设计者和使用者大都是些技术人员，必须具备相当的 *** 和编程知识。

而后随着WINDOWS平台的日益普及，一些基于图形操作的木马程序出现了，用户界面的改善，使使用者不用懂太多的专业知识就可以熟练的操作木马，相对的木马入侵事件也频繁出现，而且由于这个时期木马的功能已日趋完善，因此对服务端的破坏也更大了。

所以所木马发展到今天，已经无所不用其极，一旦被木马控制，你的电脑将毫无秘密可言。

参考资料：http://bbs.51ww.com/365000/ShowPost.aspx

回答者：完颜康康 - 探花 十一级 9-18 12:40

--------------------------------------------------------------------------------

DLL 木马揭秘

相信经常玩木马的朋友们都会知道一些木马的特性，也会有自己最喜爱的木马，不过，很多朋友依然不知道近年兴起的“DLL木马”为何物。什么是“DLL木马”呢？它与一般的木马有什么不同？

一、从DLL技术说起

要了解DLL木马，就必须知道这个“DLL”是什么意思，所以，让我们追溯到几年前，DOS系统大行其道的日子里。在那时候，写程序是一件繁琐的事情，因为每个程序的代码都是独立的，有时候为了实现一个功能，就要为此写很多代码，后来随着编程技术发展，程序员们把很多常用的代码 *** （通用代码）放进一个独立的文件里，并把这个文件称为“库”（Library），在写程序的时候，把这个库文件加入编译器，就能使用这个库包含的所有功能而不必自己再去写一大堆代码，这个技术被称为“静态链接”（Static Link）。静态链接技术让劳累的程序员松了口气，一切似乎都很美好。可是事实证明，美好的事物不会存在太久，因为静态链接就像一个粗鲁的推销员，不管你想不想要宣传单，他都全部塞到你的手上来。写一个程序只想用到一个库文件包含的某个图形效果，就因为这个，你不得不把这个库文件携带的所有的图形效果都加入程序，留着它们当花瓶摆设，这倒没什么重要，可是这些花瓶却把道路都阻塞了——静态链接技术让最终的程序成了大块头，因为编译器把整个库文件也算进去了。

时代在发展，静态链接技术由于天生的弊端，不能满足程序员的愿望，人们开始寻找一种更好的 *** 来解决代码重复的难题。后来，Windows系统出现了，时代的分水岭终于出现。Windows系统使用一种新的链接技术，这种被称为“动态链接”（Dynamic Link）的新技术同样也是使用库文件，微软称它们为“动态链接库”——Dynamic Link Library，DLL的名字就是这样来的。动态链接本身和静态链接没什么区别，也是把通用代码写进一些独立文件里，但是在编译方面，微软绕了个圈子，并没有采取把库文件加进程序的 *** ，而是把库文件做成已经编译好的程序文件，给它们开个交换数据的接口，程序员写程序的时候，一旦要使用某个库文件的一个功能函数，系统就把这个库文件调入内存，连接上这个程序占有的任务进程，然后执行程序要用的功能函数，并把结果返回给程序显示出来，在我们看来，就像是程序自己带有的功能一样。完成需要的功能后，这个DLL停止运行，整个调用过程结束。微软让这些库文件能被多个程序调用，实现了比较完美的共享，程序员无论要写什么程序，只要在代码里加入对相关DLL的调用声明就能使用它的全部功能。最重要的是，DLL绝对不会让你多拿一个花瓶，你要什么它就给你什么，你不要的东西它才不会给你。这样，写出来的程序就不能再携带一大堆垃圾了——绝对不会让你把吃剩的东西带回家，否则罚款，这是自助餐。

DLL技术的诞生，使编写程序变成一件简单的事情，Windows为我们提供了几千个函数接口，足以满足大多数程序员的需要。而且，Windows系统自身就是由几千个DLL文件组成，这些DLL相互扶持，组成了强大的Windows系统。如果Windows使用静态链接技术，它的体积会有多大？我不敢想。

二、应用程序接口API

上面我们对DLL技术做了个大概分析，在里面我提到了“接口”，这又是什么呢？因为DLL不能像静态库文件那样塞进程序里，所以，如何让程序知道实现功能的代码和文件成了问题，微软就为DLL技术做了标准规范，让一个DLL文件像奶酪一样开了许多小洞，每个洞口都注明里面存放的功能的名字，程序只要根据标准规范找到相关洞口就可以取得它要的美味了，这个洞口就是“应用程序接口”（Application Programming Interface），每个DLL带的接口都不相同，尽更大可能的减少了代码的重复。用Steven的一句话：API就是一个工具箱，你根据需要取出螺丝刀、扳手，用完后再把它们放回原处。在Windows里，最基本的3个DLL文件是kernel32.dll、user32.dll、gdi32.dll。它们共同构成了基本的系统框架。

三、DLL与木马

DLL是编译好的代码，与一般程序没什么大差别，只是它不能独立运行，需要程序调用。那么，DLL与木马能扯上什么关系呢？如果你学过编程并且写过DLL，就会发现，其实DLL的代码和其他程序几乎没什么两样，仅仅是接口和启动模式不同，只要改动一下代码入口，DLL就变成一个独立的程序了。当然，DLL文件是没有程序逻辑的，这里并不是说DLL=EXE，不过，依然可以把DLL看做缺少了main入口的EXE，DLL带的各个功能函数可以看作一个程序的几个函数模块。DLL木马就是把一个实现了木马功能的代码，加上一些特殊代码写成DLL文件，导出相关的API，在别人看来，这只是一个普通的DLL，但是这个DLL却携带了完整的木马功能，这就是DLL木马的概念。也许有人会问，既然同样的代码就可以实现木马功能，那么直接做程序就可以，为什么还要多此一举写成DLL呢？这是为了隐藏，因为DLL运行时是直接挂在调用它的程序的进程里的，并不会另外产生进程，所以相对于传统EXE木马来说，它很难被查到。

四、DLL的运行

虽然DLL不能自己运行，可是Windows在加载DLL的时候，需要一个入口函数，就如同EXE的main一样，否则系统无法引用DLL。所以根据编写规范，Windows必须查找并执行DLL里的一个函数DllMain作为加载DLL的依据，这个函数不作为API导出，而是内部函数。DllMain函数使DLL得以保留在内存里，有的DLL里面没有DllMain函数，可是依然能使用，这是因为Windows在找不到DllMain的时候，会从其它运行库中找一个不做任何操作的缺省DllMain函数启动这个DLL使它能被载入，并不是说DLL可以放弃DllMain函数。

五、DLL木马技术分析

到了这里，您也许会想，既然DLL木马有那么多好处，以后写木马都采用DLL方式不就好了吗？话虽然是这么说没错，但是DLL木马并不是一些人想象的那么容易写的。要写一个能用的DLL木马，你需要了解更多知识。

1.木马的主体

千万别把木马模块写得真的像个API库一样，这不是开发WINAPI。DLL木马可以导出几个辅助函数，但是必须有一个过程负责主要执行代码，否则这个DLL只能是一堆零碎API函数，别提工作了。

如果涉及一些通用代码，可以在DLL里写一些内部函数，供自己的代码使用，而不是把所有代码都开放成接口，这样它自己本身都难调用了，更不可能发挥作用。

DLL木马的标准执行入口为DllMain，所以必须在DllMain里写好DLL木马运行的代码，或者指向DLL木马的执行模块。

2.动态嵌入技术

Windows中，每个进程都有自己的私有内存空间，别的进程是不允许对这个私人领地进行操作的，但是，实际上我们仍然可以利用种种 *** 进入并操作进程的私有内存，这就是动态嵌入，它是将自己的代码嵌入正在运行的进程中的技术。动态嵌入有很多种，最常见的是钩子、API以及远程线程技术，现在的大多数DLL木马都采用远程线程技术把自己挂在一个正常系统进程中。其实动态嵌入并不少见，罗技的MouseWare驱动就挂着每一个系统进程-_-

远程线程技术就是通过在另一个进程中创建远程线程（RemoteThread）的 *** 进入那个进程的内存地址空间。在DLL木马的范畴里，这个技术也叫做“注入”，当载体在那个被注入的进程里创建了远程线程并命令它加载DLL时，木马就挂上去执行了，没有新进程产生，要想让木马停止惟有让挂接这个木马DLL的进程退出运行。但是，很多时候我们只能束手无策——它和Explorer.exe挂在一起了，你确定要关闭Windows吗？

3.木马的启动

有人也许会迫不及待的说，直接把这个DLL加入系统启动项目不就可以了。答案是NO，前面说过，DLL不能独立运行，所以无法在启动项目里直接启动它。要想让木马跑起来，就需要一个EXE使用动态嵌入技术让DLL搭上其他正常进程的车，让被嵌入的进程调用这个DLL的DllMain函数，激发木马运行，最后启动木马的EXE结束运行，木马启动完毕。

启动DLL木马的EXE是个重要角色，它被称为Loader，如果没有Loader，DLL木马就是破烂一堆，因此，一个算得上成熟的DLL木马会想办法保护它的Loader不会那么容易被毁灭。记得狼狈为奸的故事吗？DLL木马就是爬在狼Loader上的狈。

Loader可以是多种多样的，Windows的rundll32.exe也被一些DLL木马用来做了Loader，这种木马一般不带动态嵌入技术，它直接挂着rundll32进程运行，用rundll32的 *** （rundll32.exe [DLL名],[函数] [参数]）像调用API一样去引用这个DLL的启动函数激发木马模块开始执行，即使你杀了rundll32，木马本体还是在的，一个最常见的例子就是3721中文实名，虽然它不是木马。

注册表的AppInit_DLLs键也被一些木马用来启动自己，如求职信病毒。利用注册表启动，就是让系统执行DllMain来达到启动木马的目的。因为它是kernel调入的，对这个DLL的稳定性有很大要求，稍有错误就会导致系统崩溃，所以很少看到这种木马。

有一些更复杂点的DLL木马通过svchost.exe启动，这种DLL木马必须写成NT-Service，入口函数是ServiceMain，一般很少见，但是这种木马的隐蔽性也不错，而且Loader有保障。

4.其它

到这里大家也应该对DLL木马有个了解了，是不是很想写一个？别急，不知道大家想过没有，既然DLL木马这么好，为什么到现在能找到的DLL木马寥寥无几？现在让我来泼冷水，最重要的原因只有一个：由于DLL木马挂着系统进程运行，如果它本身写得不好，例如没有防止运行错误的代码或者没有严格规范用户的输入，DLL就会出错崩溃。别紧张，一般的EXE也是这样完蛋的，但是DLL崩溃会导致它挂着的程序跟着遭殃，别忘记它挂接的是系统进程哦，结局就是……惨不忍睹。所以写一个能公布的DLL木马，在排错检查方面做的工作要比一般的EXE木马多，写得多了自己都烦躁……

六、DLL木马的发现和查杀

经常看看启动项有没有多出莫名其妙的项目，这是Loader的所在，只要杀了狼，狈就不能再狂了。而DLL木马本体比较难发现，需要你有一定编程知识和分析能力，在Loader里查找DLL名称，或者从进程里看多挂接了什么陌生的DLL，可是对新手来说……总之就是比较难啊比较难，所以，最简单的 *** ：杀毒软件和防火墙（不是万能药，切忌长期服用）。

http://zhidao.baidu.com/q?word=%B5%E7%C4%D4%B2%A1%B6%BE%CA%C7%CA%B2%C3%B4ct=17pn=0tn=ikaslistrn=10

安装消息钩子是什么意思

安装一个钩子函数，用于在消息发送到目标窗口过程前将其截取。 该类型可以是一个系统级别的钩子或者线程级别的钩子。也就是通过安装“消息钩子”,可以窃取 *** 游戏玩家的账号密码，发送到黑客指定的远程服务器或邮箱，导致用户无法正常运行游戏

黑客与逆向工程师的python编程之道 怎么样

Python是一款非常流行的脚本编程语言。特别是在黑客圈子里，你不会Python就几乎无法与国外的那些大牛们沟通。这一点我在2008年的XCon，以及2009年的idefense高级逆向工程师培训中感触颇深。前一次是因为我落伍，几乎还不怎么会Python，而后一次……记得当时我、海平和Michael Ligh（他最近出版的Malware Analyst's Cookbook and DVD: Tools and Techniques for Fighting Malicious Code）一书在Amazon上得了7颗五星！）讨论一些恶意软件分析技术时经常会用到Python，从Immunity Debugger的PyCommand、IDA的IDAPython到纯用Python编写的Volatility工具（这是一款内存分析工具，用于发现rootkit之类的恶意软件）。Python几乎无处不在！我也尝试过对Volatility进行了一些改进，在电子工业出版社举办的“在线安全”Open Party上海站活动中，我以《利用内存分析的 *** 快速分析恶意软件》为题进行了演讲。

遗憾的是，之前市面上还没有一本关于如何利用黑客工具中提供的Python（由于必须使用许多黑客工具中提供的库函数，所以这时你更像在用一种Python的方言编程）的书籍。故而，在进行相关编程时，我们总是要穿行于各种文档、资料之中，个中甘苦只自知。

本书的出版满足了这方面的需求，它会是我手头常备的一本书，啊不！是两本，一本备用，另一本因为经常翻看用不了多久就肯定会破烂不堪。

说到这本书的好处也许还不仅于此，它不仅是一本Python黑客编程方面的极佳参考书，同时也是一本软件调试和漏洞发掘方面很好的入门教材。这本书的作者从调试器的底层工作原理讲起，一路带你领略了Python在调试器、钩子、代码注入、fuzzing、反汇编器和模拟器中的应用，涵盖了软件调试和漏洞发掘中的各个方面，使你在循序渐进中了解这一研究领域目前最新研究成果的大略。

本书译者的翻译也很到位。不客气地说，不少好书是被糟糕的翻译耽误掉的。比如我在读大学时的一本中文版的参考书，我看了三遍没明白是怎么回事，后来想起老师推荐时用的是英文版，于是试着去图书馆借了本英文版，结果看一遍就明白了。不过这本书显然不属于此例。译者丁赟卿本来就是从事这一领域研究的，对原文意思的理解非常到位，中文用词也十分贴切。特别是这本书的英文版中原本是存在一些错误的（包括一些代码），译者在中文版中竟然已经一一予以纠正了，从这一点上也可以看出译者在翻译过程中的认真细致。

我已经啰啰嗦嗦地讲了不少了，你还在等什么？还不快去账台付钱？

成了肉鸡该怎么办.?

禁鸡！检查隐藏的“肉鸡”——4招查出隐藏在电脑中的木马

天涯 (2007年5月14日 第19期)

木马在互联网上肆虐，我们一不小心就会成为黑客手中的肉鸡。到时自己的电脑成为被黑客控制的傀儡，而且自己的个人隐私也完全暴露。拒绝黑客控制，我的电脑我做主。在五一节后这一黑客大肆捕获肉鸡的时段开始了，我们针对木马特点，用4招自检避免成为黑客肉鸡。

小知识：肉鸡实际上就是中了黑客的木马，或者被安装了后门程序的电脑。黑客可以像计算机管理员一样对肉鸡进行所有操作。现在许多人把有WEBSHELL权限的远程主机也叫做肉鸡。

之一招：系统进程辨真伪

当前流行的木马，为了更好地对自身加以隐藏，使用了很多 *** 进行自身隐蔽，其中最常见的就是进程隐藏。这种 *** 不仅让人很难通过常见的检查手法查找到，如果用户操作不当的话还可能将系统进程删除，造成系统不稳定甚至崩溃。常见的这类木马程序包括灰鸽子、守望者、上兴木马等。

自检 ***

黑客为了对木马进行更好的伪装，常常将木马名称设置得和系统进程名称十分相似。通常系统进程都是有System用户加载的，如果我们发现某个“系统进程”是由当前用户加载的，那么这个“系统进程”一定有问题。

另外我们也可以从系统进程的路径来进行分辨，比如正常的系统进程svchost.exe应该在“c:\Windows\system32”目录下，如果用户发现它的路径在其他目录下就表明该进程有问题。

除此以外，现在的木马很注意对自身服务端程序的保护，我们通过“任务管理器”很可能查看不到木马的服务端进程，因为木马程序通过线程插入等技术对服务端程序进行了隐藏。

在这里树树建议大家使用IceSword（下载地址：http://download.cpcw.com）对进程进行管理。它除了可以查看各种隐藏的木马后门进程，还可以非常方便地终止采用多线程保护技术的木马进程。

进入IceSword点击“文件→设置”命令，去掉对话框中的“不显示状态为Deleting的进程”选项。点击程序主界面工具栏中的“进程”按钮，在右边进程列表中就可以查看到当前系统中所有的进程，隐藏的进程会以红色醒目地标记出（图1）。

图1

另外，如果发现多个IE进程、Explore进程或者Lsass进程，那么我们就要留意了。因为很多木马都会伪装成这几个进程访问 *** 。

应对 ***

在IceSword的进程列表中选择隐藏的木马程序，点击鼠标右键中的“强行结束”命令即可结束这个进程。然后点击IceSword的“文件”按钮，通过程序模拟的资源管理器命令，找到并删除木马程序的文件即可。]

第二招：启动项中细分析

一些木马程序通过系统的相关启动项目，使得相关木马文件也可以随机启动，这类木马程序包括TinyRAT、Evilotus、守望者等。

检 ***

运行安全工具SysCheck（下载地址：http://download.cpcw.com），点击“服务管理”按钮后即可显示出当前系统中的服务信息，如果被标注为红色的就是增加的非系统服务。通过“仅显示非微软”选项就可以屏蔽系统自带的服务，这样恶意程序添加的服务项就可以立刻现形。

点击“修改时间”或“创建时间”选项，就可以让用户马上查看到新建的系统服务（图2）。从图中我们可以看到一个被标注为红色、名称为Windows Media Player的系统服务，该服务所指向的是一个不明程序路径。因此可以确定该服务就是木马程序的启动服务。

图2

通过安全工具SysCheck的“活动文件”项目，可以显示出包括启动项等信息在内的、容易被恶意程序改写的系统注册表键值。比如现在某些恶意程序，通过修改系统的“load”项进行启动，或者修改系统的BITS服务进行启动。由于SysCheck程序只是关注改写了的键值，所以在不同的系统上显示的内容并不一样。

应对 ***

进入SysCheck点击鼠标右键中的“中止服务”选项，中止该木马程序的启动服务，接着点击“删除服务”命令删除指定的服务键值。然后点击“文件浏览”按钮，由于SysCheck采用了反HOOK手段，所以内置的资源管理器可以看到隐藏的文件或文件夹，这样就方便了我们进行隐藏文件的删除工作。按照木马服务所指的文件路径，找到文件后点击鼠标右键中的“删除”按钮即可。

第三招：系统钩子有善恶

木马程序之所以能成功地获取用户账号信息，就是通过钩子函数对键盘以及鼠标的所有操作进行监控，在辨别程序类型后盗取相应的账号信息。也就是说，只要拥有键盘记录功能的木马程序，就肯定会有系统钩子存在。

自检 ***

通过游戏木马检测大师（下载地址：http://download.cpcw.com）的“钩子列表”功能，可以显示系统已经安装的各种钩子，这样可以显示出当前 *** 中流行的主流木马。

点击“钩子列表”标签进行钩子信息的查看，并且不时点击鼠标右键中的“刷新”命令对系统钩子进行刷新。因为木马程序只有在键盘记录的时候才会启用钩子，如果大家中了木马，那么很快就会在列表中有所发现了。在本例中一个名为WH_JOURNALRECORD可疑的钩子被程序以显著颜色标记出来（图3）。

图3

这个钩子是用来监视和记录输入事件的，黑客可以使用这个钩子记录连续的鼠标和键盘事件。在此时，我们就应该引起重视，不要再使用 *** 等需要输入密码的程序。

应对 ***

清除 *** 比较简单，只要记录下动用系统钩子的进程PID，通过PID值找到该木马程序的进程后结束该进程，再输入“Regedit”打开注册表编辑器，并点击“编辑”菜单中的“查找”命令，在此窗口搜索该木马程序进程的相关消息，将找到的所有信息全部删除。

重新启动计算机，只要在安全模式下删除系统目录中的木马文件信息即可。当然也可以通过前面几种方式进行相互检测，这样可以更加有效地清除系统中的木马程序。

第四招：数据包里藏乾坤

现在，越来越多的木马程序利用了Rootkit技术。Rootkit是一种 *** 了系统间谍程序、病毒以及木马等特性的一种恶意程序，它利用操作系统的模块化技术，作为系统内核的一部分进行运行，有些Rootkits可以通过替换DLL文件或更改系统来攻击Windows平台。

自检 ***

同样我们还是使用游戏木马检测大师这款程序，利用它的“发信检测”功能来判断自己的系统中是否被安装了木马程序。在使用该功能以前，首先需要判断系统的网卡是否工作正常。

我们关闭其他一切会扰乱 *** 数据捕捉的程序，然后去除“只捕获 *** tp发信端口（25）和Web发信端口（80）”选项，点击“开始”按钮就可以进行数据包的捕捉。如果这时捕捉到有数据包发出，就证明自己的系统中存在木马程序。

根据木马程序连接方式的不同，捕捉到的数据信息也不尽相同，但是捕捉到客户端程序的IP地址还是没有问题的（图4）。用过嗅探器的朋友都知道，我们可以通过设置过滤病毒特征数据包来发现蠕虫病毒，当然这种 *** 需要一定的相关知识，这里就不再叙述了。

图4

应对 ***

对于这种利用Rootkit技术的木马程序，可以直接通过一些Rootkit检测工具进行查看。比如检测工具Rootkit Detector（下载地址：http://download.cpcw.com），它通过程序内置的MD5数据库，来比较所检测到的Windows 2000/XP/2003 系统全部服务和进程的MD5校验值，这样就可以检测出系统下的Rootkit程序。

在命令提示符窗口运行命令：rd.exe，程序会自动对当前系统进行检测。程序首先会统计出系统中服务的数目、当前的进程，以及被隐藏的进程，并且将系统当前的进程用列表显示出来，然后进入安全模式进行删除即可。

常见木马以及病毒专杀工具

在这里，我们向大家提供能速杀流行木马以及病毒的专杀工具。我们可以根据需要，搭配使用这些专杀工具，让自己的电脑更加安全。

灰鸽子专杀工具

瑞星：http://download.rising.com.cn/zsgj/GPDetect.exe

熊猫烧香专杀工具

金山：http://down.www.kingsoft.com/db/download/othertools/DuBaTool_WhBoy.BAT

麦英病毒专杀工具

江民：http://download.jiangmin.info/jmsoft/ANIWormKiller.exe

威金病毒专杀工具

江民：http://download.jiangmin.info/jmsoft/VikingKiller.exe

-------------------------------------------------------------------------------------------------------------------

当心PC变成“肉鸡”——巧用WinRAR来抓鸡

湖南 王强 (2007年9月10日 第36期)

所属主题：抓鸡系列

杀伤力值：★★

操作难度：较低

适合读者：普通读者

WinRAR已经成为用户电脑中必装的软件，可你想过黑客会利用它来抓鸡吗？这是真的，只需一个小小的WinRAR漏洞利用程序，就可以把.rar格式的文件变成抓鸡工具。一旦运行了文件就会变成黑客的肉鸡。这是目前抓鸡比较有效的 *** 之一，我们应该如何防范呢？下面我们就来揭开谜底。

小知识：抓鸡是黑客常用术语，意思是指主动通过某些程序（如木马程序或远程控制程序的客户端）或技术手段控制用户的PC机，被控制的PC机称之为肉鸡。

为什么要用WinRAR漏洞抓鸡

*** 上流传有很多可执行文件捆绑工具，这些工具虽然可以方便的将两个或多个可执行文件捆绑为一个程序，并且可以进行简单的伪装，但是其原理却决定了其不可能成为完美的捆绑工具，目前主流的杀毒软件都可以轻易地将它清除掉。

而用WinRAR漏洞捆绑木马来抓鸡就很有优势，因为普通捆绑检测都是用16进制编辑工具查看程序PE头进行判定的（大部分捆绑程序检测工具用的就是这个原理），但是这条不适合这个漏洞。

小提示：该漏洞的原理是由于WinRAR在处理LHA格式文件时存在边界条件错误，而若将一个经处理后文件改为长文件名并附加成LHA文件，再调用相应参数生成新的压缩包后，被WinRAR打开的时候就会导致本地缓冲溢出。

当用户点击压缩包时会出现错误提示（图1），这时木马程序就已经悄悄运行了，肉鸡就到手了。所以如果我们用这个漏洞来抓鸡，成功率是十分高的，比原始的3389端口抓鸡的成功率高多了。

图1

如何用WinRAR漏洞抓鸡

Step1：将WinRAR的利用程序放到任意目录中，例如C盘根目录。

Step2：单击菜单中“开始→运行”命令，输入“cmd”运行“命令提示符”。将光标切换到“c：”，输入“rar.exe”查看利用程序的使用 *** 。其使用 *** 为：“rar [选项] ”。

其中“选项”可以指定生成的文件名以及选择溢出的操作系统等操作。我们使用默认的配置，可以不输入，有需要的话可以添加相应的“选项”。

Step3：将配置好的木马服务端程序也放到C盘根目录，并命名为123.exe。在“命令提示符”中输入命令：“rar 123.exe”，如果回显中出现“All Done! Have fun!”字样即表示捆绑有木马的WinRAR文件生成了（图2）。

图2

Step4：最后我们要做的就是将这个捆绑有木马程序的WinRAR文件发送给别人，当对方运行这个WinRAR文件时，将会出现错误，但是木马已经悄悄地在对方系统后台运行了。对方的电脑也就成了我们的肉鸡（图3）。

图3

不过要充分利用这个漏洞，光靠触发漏洞是不够的，木马的配置也很重要，例如要设置运行后删除自身，安装服务端时不出现提示等，这样当用户运行恶意WinRAR文件时只会出现WinRAR的错误提示，是丝毫感觉不到木马运行的。接着我们还要给木马加上免杀，例如加壳处理和修改特征码等，否则被杀毒软件检测出来岂不前功尽弃。

小提示：运行漏洞利用工具时请先关闭杀毒软件，因为杀毒软件会把它当作黑客工具给清除掉。

防范技巧

1.不要运行陌生人发过来的文件。这是老生常谈的问题了，只不过以前只针对可执行文件，现在连WinRAR也不能轻易运行了。

2.识别恶意的WinRAR文件。在运行WinRAR文件之前，我们可以先对其进行检查，确定无危害后再运行，检查的 *** 为：右键单击WinRAR文件，在菜单中如果没有“用WinRAR打开 ”这一项，则说明压缩包有异常，不要轻易打开！

3.升级WinRAR到3.7以上的版本，新版本打开虽仍会提示出错，但木马程序不会运行。

攻防博弈

攻 黑客：虽然很多人都有给系统打补丁的习惯，但会给应用软件升级的人少之又少，所以将捆绑有木马的WinRAR文件上传到软件下载网站或一些资源论坛中，将大大增加抓到的肉鸡数量。抓鸡的 *** 多种多样，我们还可以用135端口来抓安全意识不强的鸡。

防 编辑：系统软件的漏洞可以通过自动更新来解决，而工具软件的漏洞只能通过经常关注一些专业媒体的提醒，定期升级程序来解决。同时养成良好安全习惯，不接收不下载来路不明的压缩文件才是更好的防范 *** ！至于135端口抓鸡，只要我们关闭了端口，调高了防火墙的安全等级就不用惧怕。

-----------------------------------------------------------------------------------------------------------------------

小心端口招蜂引蝶——防范用135端口抓鸡的黑手

万立夫 (2007年9月17日 第37期)

新学期到了，许多学生都要配机，新电脑的安全防卫做好了吗？能不能拒绝成为黑客的肉鸡？令人遗憾的是，很多新手都不知道或者忽视了对敏感端口的屏蔽。例如135端口，一旦黑客利用135端口进入你的电脑，就能成功地控制你的机子。我们应该如何防范通过135端口入侵呢？下面我们就为大家来揭开谜底。

小知识：每台互联网中的计算机系统，都会同时打开多个 *** 端口，端口就像出入房间的门一样。因为房间的门用于方便人们的进出，而端口则为不同的网路服务提供数据交换。正如房间的门可以放进小偷一样， *** 端口也可以招来很多不速之客。

一、为什么135端口会被利用来抓鸡

如今，大多数黑客都使用网页木马来捕捉肉鸡，为什么还有一些黑客老惦记着135端口呢？主要原因有两个：

一个原因是135端口是WMI服务默认打开的端口。由于WMI服务是Windows系统提供的服务，因此利用它入侵不但不会引起用户注意还很方便，只需要一个脚本代码就可以对远程系统进行管理。WMI服务默认打开的是135端口，因此WMI入侵也被称之为135端口入侵。

另外一个原因是135端口开放的机子实在不少，这种现象可能是由于每年新增加的电脑用户的安全意识不强或者不知道怎么关闭造成的。令人担忧的是，连3389这样危险的端口也可以在 *** 上搜出不少。

小知识：WMI服务是“Microsoft Windows 管理规范”服务的简称，可以方便用户对计算机进行远程管理，在很多方面和系统服务远程桌面十分相似。只不过远程桌面是图形化操作，而WMI服务是利用命令行操作而已。

WMI服务需要“Windows Management Instrumentation”服务提供支持。而这个服务是默认启动的，而且是系统重要服务，这样就为入侵提供了便利。正是由于它可以进行远程控制操作，因此系统的安全性也就随之下降，因此被称之为永远敝开的后门程序。

二、黑客是怎么利用135端口抓鸡的

Step1：黑客入侵的之一步就是扫描 *** 中开启了135端口的远程系统。扫描使用的工具有很多，这里使用的工具是常见的《S扫描器》（下载地址：http://www.cpcw.com/bzsoft/），因为它的扫描速度非常快。单击开始菜单中的“运行”命令，输入“cmd”打开命令提示符窗口，然后输入下面一段命令：S tcp 192.168.1.1 192.168. 1.255 135 100 /save（图1）。

图1

前面和后面的IP地址表示扫描的开始和结束地址，后面的135表示扫描的端口，100表示扫描的线程数，数值越大表示速度越快。需要特别说明的是，很多Windows系统默认限制线程为10，我们需要利用修改工具改调这个限制才行。

小提示：例如我们打开《比特精灵》的安装目录，运行其中的BetterSP2.exe，在弹出窗口的“更改限制为”选项中设置为256，最后点击“应用”按钮并且重新启动系统即可。

Step2：从已经打开135端口的电脑中筛选可以入侵的目标。首先打开S扫描器目录中的IP地址文件Result.txt，对文本文件中多于的信息进行删除，只保留和IP地址相关的内容。接着运行破解工具NTScan（下载地址：http://www.cpcw.com/bzsoft/），它可以对远程系统进行破解（图2）。

图2

在NTScan窗口中的“主机文件”中设置IP地址文件，选中WMI扫描类型，然后在“扫描端口”中设置为135。最后点击“开始”按钮就可以进行破解操作，破解成功的主机地址都保存在NTScan.txt中。

Step3：现在利用Recton这款工具来上传我们的木马程序（下载地址：http://www.cpcw.com/bzsoft/）。点击窗口中的“种植”标签，在NTScan.txt中寻找一个地址，接着将它添加到“远程主机设置”选项中。然后选择“Http下载”选项，并在“文件目录”设置木马程序的网页链接地址，最后点击“开始执行”按钮即可（图3）。

图3

这样木马程序就利用135端口上传到远程主机，并且在系统后台已经悄悄地运行了。这种方式不需要远程用户参予，因此它的隐蔽性和成功率都非常高，并且适何肉鸡的批量捕捉，但是上传的木马程序一定要经过免杀处理才行。

小提示：运行黑客工具的时候需要先关闭杀毒软件，因为杀毒软件会把它们当作病毒给清除掉。

三、防范技巧

1.利用 *** 防火墙屏蔽系统中的135端口，这样就让黑客入侵从之一步开始就失败。除此以外，像139、445、3389这些端口也是我们要屏蔽的端品。

2.增强当前系统中管理员的账号密码的强度，比如密码至少设置6位以上，并且其中包括数字、大小写字母等。这样黑客工具就不能轻易地破解我们的账号密码，这样即使是扫描到我们的135端口也无济于事。

3.安装最新版本的杀毒软件，并且将病毒库更新到最新，这个已经是老生常谈的问题。如果有可能的话，用户更好使用带有主动防御功能的杀毒软件。

攻防博弈

攻 黑客：利用135端口的确可以捕捉到大量肉鸡，不过要花费比较多的时间。随着操作系统的不断更新，以及人们对135端口进行防范的加强，这种 *** 已经逐渐菜鸟化，真正的高手不屑一顾。黑客抓鸡的 *** 有很多，比如我们还可以利用迅雷进行捆绑木马的传播，这是个较流行的抓鸡 *** 。

防编辑：既然黑客利用135端口入侵，我们只要将相关功能进行禁止，或加以限制就可以了。另外，对于黑客使用迅雷进行捆绑木马的传播，除了在下载的过程中利用迅雷的安全功能进行检测以外，还可以利用《网页木马拦截器》这款工具。无论是网页木马还是捆绑木马，只要运行就会被拦截并且提示用户注意。

----------------------------------------------------------------------------------------------------------------

Ps：以上内容引自电脑报

（不必恐慌，积极应对解决才是上策）

黑客3号钓鲫鱼好用吗?

看鲫鱼大小决定使用什么钩子。大多数的竞技钓者使用的是“袖钩”和“伊豆”；此类钩子的特点如下：袖钩：钩条超细、钩柄长、钩门窄、钩尖直、重量轻，具备灵敏度高、刺鱼快的特点，是钓小鲫鱼的首选。一般选用0-2号即可。伊豆：钩门窄、钩尖外撇、钩柄长、钩条细，适合钓中小型鲫鱼等。选用号数一般在2-5号。我个人用丸士的3-5号，钓鲫鱼也不错，你也可以去看看。具体哪个品牌适合就不好评价了，建议你去 *** 上看看，找大一点的供应商购买，另外，进口鱼钩大多数质量都是不错的，例如伽马，土肥富和欧娜等，但是价格较高。

怎样设置win7的本地安全策略来防止黑客攻击

1、点击“开始”，在搜索框中输入“本地安全策略”，点击“本地安全策略”，就可以打开了。如图1所示

2、打开“本地安全策略”界面，点击“本地策略”——“安全选项”，找到“ *** 访问：可远程访问的注册表路径”和“ *** 访问：可远程访问的注册表路径和子路径”这两个选项。如图2所示

3、双击打开“ *** 访问：可远程访问的注册表路径”，删除“注册表路径”，点击“确定”。如图3所示

4、双击打开“ *** 访问：可远程访问的注册表路径和子路径”，删除“注册表路径”，点击“确定”。如图4所示

什么是钩子程序？c/c++如何实现？

钩子程序解释截获键盘和鼠标事件的程序。比如你要输入qq密码的时候，钩子程序就会记录你按键盘的哪个键，鼠标按了哪个键。。。然后，就获得了你的密码