如何盗取服务器账号密码吗

‘壹’ 知道帐户密码后怎么入侵服务器

说上几位说的不是废话吗?

楼主说拉.知道IP但是3389不通.哪等于现在还没一点入侵的眉目嘛...3389都不通你们还叫什么3389直接登陆..又是X-SCAN扫描.哪不是废话么?

3389不通哪就只能通过网页滂注...最好办法用小明滂注王...扫描ASP/SQ/AC等漏洞...找到可以注如的地方扫描后台登陆地址...然后自带的有帐号密码猜测字典..慢慢等吧..运气好的话可以抓个鸡.然后上传一个WEBSHELL就可以控制这台服务器.像玩自己电脑一样在WEB界面下操作.

‘贰’ 怎样破解服务器中的用户名和密码

猜测法
一般来说 admin user之类的试试
不然就用穷举法 用疯狂字典生成
如果网管的安全意识高 那就...
再或者 你试试利用木马!

‘叁’ 黑客是如何窃取服务器文件的

我的经验就是打补丁，装杀毒软件，防火墙。不过还是转一篇文章楼主看下吧，其实想找的话，这样的文章网络上一堆。

服务器安全配置精华技巧

Windows2000 含有很多的安全功能和选项，如果你合理的配置它们，那么windows 2000将会是一个很安全的操作系统。

初级安全篇

1.物理安全

服务器应该安放在安装了监视器的隔离房间内，并且监视器要保留15天以上的摄像记录。另外，机箱,键盘，电脑桌抽屉要上锁，以确保旁人即使进入房间也无法使用电脑，钥匙要放在另外的安全的地方。

2.停掉Guest 帐号

在计算机管理的用户里面把guest帐号停用掉，任何时候都不允许guest帐号登陆系统。为了保险起见，最好给guest 加一个复杂的密码，你可以打开记事本，在里面输入一串包含特殊字符,数字，字母的长字符串，然后把它作为guest帐号的密码拷进去。

3．限制不必要的用户数量

去掉所有的plicate user 帐户, 测试用帐户, 共享帐号，普通部门帐号等等。用户组策略设置相应权限，并且经常检查系统的帐户，删除已经不在使用的帐户。这些帐户很多时候都是黑客们入侵系统的突破口，系统的帐户越多，黑客们得到合法用户的权限可能性一般也就越大。国内的nt/2000主机，如果系统帐户超过10个，一般都能找出一两个弱口令帐户。我曾经发现一台主机197个帐户中竟然有180个帐号都是弱口令帐户。

4．创建2个管理员用帐号

虽然这点看上去和上面这点有些矛盾，但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些*常事物，另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作，以方便管理。

5．把系统administrator帐号改名

大家都知道，windows 2000 的administrator帐号是不能被停用的，这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。当然，请不要使用Admin之类的名字，改了等于没改，尽量把它伪装成普通用户，比如改成：guestone 。

6．创建一个陷阱帐号

什么是陷阱帐号? Look!>创建一个名为” Administrator”的本地帐户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些 Scripts s忙上一段时间了，并且可以借此发现它们的入侵企图。或者在它的login scripts上面做点手脚。嘿嘿，够损！

7.把共享文件的权限从”everyone”组改成“授权用户”

“everyone” 在win2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。包括打印共享，默认的属性就是”everyone”组的，一定不要忘了改。

8.使用安全密码

一个好的密码对于一个网络是非常重要的，但是它是最容易被忽略的。前面的所说的也许已经可以说明这一点了。一些公司的管理员创建帐号的时候往往用公司名，计算机名，或者一些别的一猜就到的东西做用户名，然后又把这些帐户的密码设置得N简单，比如 “welcome” “iloveyou” “letmein”或者和用户名相同等等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码，还要注意经常更改密码。前些天在IRC和人讨论这一问题的时候，我们给好密码下了个定义：安全期内无法破解出来的密码就是好密码，也就是说，如果人家得到了你的密码文档，必须花43天或者更长的时间才能破解出来，而你的密码策略是42天必须改密码。

9.设置屏幕保护密码

很简单也很有必要，设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序，浪费系统资源，让他黑屏就可以了。还有一点，所有系统用户所使用的机器也最好加上屏幕保护密码。

10． 使用NTFS格式分区

把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT,FAT32的文件系统安全得多。这点不必多说，想必大家得服务器都已经是NTFS的了。
11．运行防毒软件

我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的，其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些着名的病毒，还能查杀大量木马和后门程序。这样的话，“黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库

12．保障备份盘的安全

一旦系统资料被破坏，备份盘将是你恢复资料的唯一途径。备份完资料后，把备份盘防在安全的地方。千万别把资料备份在同一台服务器上，那样的话，还不如不要备份。

中级安全篇：

1．利用win2000的安全配置工具来配置策略

微软提供了一套的基于MMC(管理控制台)安全配置和分析工具，利用他们你可以很方便的配置你的服务器以满足你的要求。具体内容请参考微软主页：

http://www.microsoft.com/windows200...y/sctoolset.asp

2．关闭不必要的服务

windows 2000 的 Terminal Services（终端服务），IIS ,和RAS都可能给你的系统带来安全漏洞。为了能够在远程方便的管理服务器，很多机器的终端服务都是开着的，如果你的也开了，要确认你已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。要留意服务器上面开启的所有服务，中期性(每天)的检查他们。下面是C2级别安装的默认服务：

Computer Browser service TCP/IP NetBIOS Helper

Microsoft DNS server Spooler

NTLM SSP Server

RPC Locator WINS

RPC service Workstation

Netlogon Event log

3．关闭不必要的端口

关闭端口意味着减少功能，在安全和功能上面需要你作一点决策。如果服务器安装在_blank">防火墙的后面，冒的险就会少些，但是，永远不要认为你可以高枕无忧了。用端口扫描器扫描系统所开放的端口，确定开放了哪些服务是黑客入侵你的系统的第一步。\system32\drivers\etc\services 文件中有知名端口和服务的对照表可供参考。具体方法为：

网上邻居>属性>本地连接>属性>internet 协议(tcp/ip)>属性>高级>选项>tcp/ip筛选>属性 打开tcp/ip筛选，添加需要的tcp,udp,协议即可。

4．打开审核策略

开启安全审核是win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些方式（如尝试用户密码,改变帐户策略，未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道，直到系统遭到破坏。下面的这些审核是必须开启的，其他的可以根据需要增加：

策略 设置

审核系统登陆事件 成功，失败

审核帐户管理 成功，失败

审核登陆事件 成功，失败

审核对象访问 成功

审核策略更改 成功，失败

审核特权使用 成功，失败

审核系统事件 成功，失败

5.开启密码密码策略

策略 设置

密码复杂性要求 启用

密码长度最小值 6位

强制密码历史 5 次

强制密码历史 42 天
6．开启帐户策略

策略 设置

复位帐户锁定计数器 20分钟

帐户锁定时间 20分钟

帐户锁定阈值 3次

7．设定安全记录的访问权限

安全记录在默认情况下是没有保护的，把他设置成只有Administrator和系统帐户才有权访问。

8．把敏感文件存放在另外的文件服务器中

虽然现在服务器的硬盘容量都很大，但是你还是应该考虑是否有必要把一些重要的用户数据(文件，数据表，项目文件等)存放在另外一个安全的服务器中，并且经常备份它们。

9.不让系统显示上次登陆的用户名

默认情况下，终端服务接入服务器时，登陆对话框中会显示上次登陆的帐户明，本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名，进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名，具体是：

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUserName

把 REG_SZ 的键值改成 1 .

10．禁止建立空连接

默认情况下，任何用户通过通过空连接连上服务器，进而枚举出帐号，猜测密码。我们可以通过修改注册表来禁止建立空连接：

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。

10.到微软网站下载最新的补丁程序

很多网络管理员没有访问安全站点的习惯，以至于一些漏洞都出了很久了，还放着服务器的漏洞不补给人家当靶子用。谁也不敢保证数百万行以上代码的2000不出一点安全漏洞，经常访问微软和一些安全站点，下载最新的service pack和漏洞补丁，是保障服务器长久安全的唯一方法。

高级篇：

1. 关闭 DirectDraw

这是C2级安全标准对视频卡和内存的要求。关闭DirectDraw可能对一些需要用到DirectX的程序有影响（比如游戏，在服务器上玩星际争霸？我晕..$%$^%^&??），但是对于绝大多数的商业站点都应该是没有影响的。 修改注册表 HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI 的Timeout(REG_DWORD)为 0 即可。

2.关闭默认共享

win2000安装好以后，系统会创建一些隐藏的共享，你可以在cmd下打 net share 查看他们。网上有很多关于IPC入侵的文章，相信大家一定对它不陌生。要禁止这些共享 ，打开 管理工具>计算机管理>共享文件夹>共享 在相应的共享文件夹上按右键，点停止共享即可，不过机器重新启动后，这些共享又会重新开启的。

默认共享目录 路径和功能

C$ D$ E$ 每个分区的根目录。Win2000 Pro版中，只有Administrator

和Backup Operators组成员才可连接，Win2000 Server版本Server Operatros组也可以连接到这些共享目录ADMIN$ %SYSTEMROOT% 远程管理用的共享目录。它的路径永远都指向Win2000的安装路径，比如 c:\winntFAX$ 在Win2000 Server中，FAX$在fax客户端发传真的时候会到。IPC$ 空连接。IPC$共享提供了登录到系统的能力。

NetLogon 这个共享在Windows 2000 服务器的Net Login 服务在处理登陆域请求时用到

PRINT$ %SYSTEMROOT%\SYSTEM32\SPOOL\DRIVERS 用户远程管理打印机

解决办法：

打开注册表编辑器。REGEDIT

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

在右边建立一个名为AutoShareServer的DWORD键。值为0

3.禁止mp file的产生

mp文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料(不然我就照字面意思翻译成垃圾文件了)。然而，它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。要禁止它，打开 控制面板>系统属性>高级>启动和故障恢复 把 写入调试信息 改成无。要用的时候，可以再重新打开它。
4.使用文件加密系统EFS

Windows2000 强大的加密系统能够给磁盘，文件夹，文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。记住要给文件夹也使用EFS,而不仅仅是单个的文件。 有关EFS的具体信息可以查看

http://www.microsoft.com/windows200...ity/encrypt.asp

5.加密temp文件夹

一些应用程序在安装和升级的时候，会把一些东西拷贝到temp文件夹，但是当程序升级完毕或关闭的时候，它们并不会自己清除temp文件夹的内容。所以，给temp文件夹加密可以给你的文件多一层保护。

6.锁住注册表

在windows2000中，只有administrators和Backup Operators才有从网络上访问注册表的权限。如果你觉得还不够的话，可以进一步设定注册表访问权限，详细信息请参考：

http://support.microsoft.com/suppor...s/Q153/1/83.asp

7.关机时清除掉页面文件

页面文件也就是调度文件，是win2000用来存储没有装入内存的程序和数据文件部分的隐藏文件。一些第三方的程序可以把一些没有的加密的密码存在内存中，页面文件中也可能含有另外一些敏感的资料。 要在关机的时候清楚页面文件，可以编辑注册表

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management

把ClearPageFileAtShutdown的值设置成1。

8.禁止从软盘和CD Rom启动系统

一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高，可以考虑使用可移动软盘和光驱。把机箱锁起来扔不失为一个好方法。

9.考虑使用智能卡来代替密码

对于密码，总是使安全管理员进退两难，容易受到 10phtcrack 等工具的攻击，如果密码太复杂，用户把为了记住密码，会把密码到处乱写。如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。

10.考虑使用IPSec

正如其名字的含义，IPSec 提供 IP 数据包的安全性。IPSec 提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据，而接收方计算机在收到数据之后解密数据。利用IPSec可以使得系统的安全性能大大增强。

SF的必须开放端口，极其解决端口安全的方法

传奇服务器开放端口+花生壳+一些必须端口

可以将这些端口使用TCP/IP筛选，只开放这些端口增加安全性,(开设其他服务，端口自己再加入)

TCP/IP筛选端口-> TCP断口

端口7220 .... RunGate 1 端口

端口7210 .... RunGate 2 端口 同时开启3个RunGate

端口7200 .... RunGate 3 端口

端口7100

端口7012

端口6000

端口5600

端口5500

端口5100

端口5000

端口4900

端口3389

端口3372

端口3100

端口3000

端口1027

端口1025

端口0135

\system32\drivers\etc\services 文件中有知名端口和服务的对照表可供参考。具体方法为：

网上邻居>属性>本地连接>属性>internet 协议(tcp/ip)>属性>高级>选项>tcp/ip筛选>属性 打开tcp/ip筛选，添加需要的tcp,协议即可。

我开了3个RunGate端口，解决多个玩家同时登陆访问时会出现7200错误而使服务器突然狂卡，开3个效果比较好。是*(ggggg7原创)

开3个RunGate端口的方法：

RunGate文件夹再复制2份 分别为RunGate1,RunGate2,RunGate3 将里面的Mirgate.ini分别改为GatePort=7200,GatePort=7210,GatePort=7220

DBSrv200文件夹下的!serverinfo.txt改为127.0.0.1 127.0.0.1 7200 127.0.0.1 7210 127.0.0.1 7220

Mir200文件夹下的!servertable.txt改为

1 127.0.0.1 7200

2 127.0.0.1 7210

3 127.0.0.1 7220

然后运行RunGate1,RunGate2,RunGate3 下的3个RunGate.exe

M2Server会提示:

Gate 0 opened

Gate 1 opened

Gate 2 opened

适当的加点防火墙会更好

‘肆’ 请问木马是如何盗取密码的

是通过键盘记录．

不过一般的病毒是会破坏文件，感染程序的．
你说的应该是木马吧～
木马的原理：
马入侵的工作原理
在介绍木马的工作原理之前有一些木马构成的基础知识我们要事先加以说明，因为下面有很多地方会提到这些内容。一个完整的木马系统由硬件部分，软件部分和具体连接部分组成…………

木马侵的工作原理

木马入侵的工作原理

在介绍木马的工作原理之前有一些木马构成的基础知识我们要事先加以说明，因为下面有很多地方会提到这些内容。一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。

(1)硬件部分：建立木马连接所必须的硬件实体。控制端：对服务端进行远程控制的一方。服务端：被控制端远程控制的一方。INTERNET：控制端对服务端进行远程控制，数据传输的网络载体。

(2)软件部分：实现远程控制所必须的软件程序。控制端程序：控制端用以远程控制服务端的程序。木马程序：潜入服务端内部，获取其操作权限的程序。木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。

(3)具体连接部分：通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。控制端IP，服务端IP：即控制端，服务端的网络地址，也是木马进行数据传输的目的地。控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马程序。

用木马这种黑客工具进行网络入侵，从过程上看大致可分为六步，下面我们就按这六步来详细阐述木马的攻击原理。

（一）配置木马

一般来说一个设计成熟的木马都有木马配置程序，从具体的配置内容看，主要是为了实现以下两方面功能：

(1)木马伪装：木马配置程序为了在服务端尽可能的隐藏木马，会采用多种伪装手段，如修改图标，捆绑文件，定制端口，自我销毁等。

(2)信息反馈：木马配置程序将就信息反馈的方式或地址进行设置，如设置信息反馈的邮件地址，IRC号，ICO号等等。

（二）传播木马

1、传播方式：木马的传播方式主要有两种：一种是通过E-MAIL，控制端将木马程序以附件的形式夹在邮件中发送出去，收信人只要打开附件系统就会感染木马；另一种是软件下载，一些非正规的网站以提供软件下载为名义，将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装。

2、伪装方式：鉴于木马的危害性,很多人对木马知识还是有一定了解的，这对木马的传播起了一定的抑制作用，这是木马设计者所不愿见到的，因此他们开发了多种功能来伪装木马，以达到降低用户警觉，欺骗用户的目的。主要有以下6个方面：

（1）修改图标：当你在E-MAIL的附件中看到这个图标时，是否会认为这是个文本文件呢？但是我不得不告诉你，这也有可能是个木马程序，现在已经有木马可以将木马服务端程序的图标改成HTML，TXT， ZIP等各种文件的图标，这有相当大的迷惑性，但是目前提供这种功能的木马还不多见，并且这种伪装也不是无懈可击的，所以不必整天提心吊胆，疑神疑鬼的。

（2）捆绑文件：这种伪装手段是将木马捆绑到一个安装程序上，当安装程序运行时，木马在用户毫无察觉的情况下，偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(即EXE，COM一类的文件)。

（3）出错显示：有一定木马知识的人都知道，如果打开一个文件，没有任何反应，这很可能就是个木马程序，木马的设计者也意识到了这个缺陷，所以已经有木马提供了一个叫做出错显示的功能。当服务端用户打开木马程序时，会弹出一个错误提示框(这当然是假的)，错误内容可自由定义，大多会定制成一些诸如“文件已破坏，无法打开！”之类的信息，当服务端用户信以为真时，木马却悄悄侵入了系统。

（4）定制端口：很多老式的木马端口都是固定的，这给判断是否感染了木马带来了方便，只要查一下特定的端口就知道感染了什么木马，所以现在很多新式的木马都加入了定制端口的功能，控制端用户可以在1024---65535之间任选一个端口作为木马端口(一般不选1024以下的端口)，这样就给判断所感染木马类型带来了麻烦。

（5）自我销毁： 这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后，木马会将自己拷贝到WINDOWS的系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下)，一般来说原木马文件和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外)，那么中了木马的朋友只要在近来收到的信件和下载的软件中找到原木马文件，然后根据原木马的大小去系统文件夹找相同大小的文件，判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木马后，原木马文件将自动销毁，这样服务端用户就很难找到木马的来源，在没有查杀木马的工具帮助下，就很难删除木马了。

（6）木马更名：安装到系统文件夹中的木马的文件名一般是固定的，那么只要根据一些查杀木马的文章，在系统文件夹查找特定的文件。就可以断定中了什么木马。所以现在有很多木马都允许控制端用户自由定制安装后的木马文件名，这样很难判断所感染的木马类型了。

（三）运行木马： 服务端用户运行木马或捆绑木马的程序后，木马就会自动进行安装。首先将自身拷贝到WINDOWS的系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下)，然后在注册表，启动组，非启动组中设置好木马的触发条件，这样木马的安装就完成了。安装后就可以启动木马了。

(1)由触发条件激活木马。触发条件是指启动木马的条件,大致出现在下面八个地方：

第一、注册表：打开HKEY_LOCAL_下的五个以Run和RunServices主键，在其中寻找可能是启动木马的键值。

第二、WIN.INI:C:WINDOWS目录下有一个配置文件win.ini，用文本方式打开，在[windows]字段中有启动命令load=和run=，在一般情况下是空白的，如果有启动程序，可能是木马。

第三、SYSTEM.INI:C:WINDOWS目录下有个配置文件system.ini，用文本方式打开，在[386Enh]，[mic]，[drivers32]中有命令行，在其中寻找木马的启动命令。

第四、Autoexec.bat和Config.sys：在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行。

第五*.INI：即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。

第六、注册表：打开HKEY_CLASSES_ROOT文件类型shellopencommand主键，查看其键值。举个例子，国产木马“冰河”就是修改HKEY_CLASSES_ROOTtxtfileshellopencommand下的键值，将“C :WINDOWS NOTEPAD.EXE %1”改为“C:WINDOWSSYSTEMSYSEXPLR.EXE %1”，这时你双击一个TXT文件后，原本应用NOTEPAD打开文件的，现在却变成启动木马程序了。还要说明的是不光是TXT文件，通过修改HTML，EXE，ZIP等文件的启动命令的键值都可以启动木马，不同之处只在于“文件类型”这个主键的差别，TXT是txtfile，ZIP是WINZIP，大家可以试着去找一下。

第七、捆绑文件：实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。

第八、启动菜单：在“开始---程序---启动”选项下也可能有木马的触发条件。

(2)木马运行过程。木马被激活后，进入内存，并开启事先定义的木马端口，准备与控制端建立连接。这时服务端用户可以在MS-DOS方式下，键入NETSTAT -AN查看端口状态，一般个人电脑在脱机状态下是不会有端口开放的，如果有端口开放，你就要注意是否感染木马了。

在上网过程中要下载软件，发送信件，网上聊天等必然打开一些端口，下面是一些常用的端口：

①1---1024之间的端口：这些端口叫保留端口，是专给一些对外通讯的程序用的，如FTP使用21，SMTP使用25，POP3使用110等。只有很少木马会用保留端口作为木马端口的。

②1025以上的连续端口：在上网浏览网站时，浏览器会打开多个连续的端口下载文字，图片到本地硬盘上，这些端口都是1025以上的连续端口。

③4000端口：这是OICQ的通讯端口。

④6667端口：这是IRC的通讯端口。 除上述的端口基本可以排除在外，如发现还有其它端口打开，尤其是数值比较大的端口，那就要怀疑是否感染了木马，当然如果木马有定制端口的功能，那任何端口都有可能是木马端口。

（四）信息泄露：一般来说，设计成熟的木马都有一个信息反馈机制。所谓信息反馈机制是指木马成功安装后会收集一些服务端的软硬件信息，并通过E-MAIL，IRC或ICO的方式告知控制端用户。

（五）建立连接： 一个木马连接的建立首先必须满足两个条件：一是服务端已安装了木马程序；二是控制端，服务端都要在线 。在此基础上控制端可以通过木马端口与服务端建立连接。

假设A机为控制端，B机为服务端，对于A机来说要与B机建立连接必须知道B机的木马端口和IP地址，由于木马端口是A机事先设定的，为已知项，所以最重要的是如何获得B机的IP地址。获得B机的IP 地址的方法主要有两种：信息反馈和IP扫描。我们重点来介绍IP扫描，因为B机装有木马程序，所以它的木马端口7626是处于开放状态的，所以现在A机只要扫描IP地址段中7626端口开放的主机就行了，假设B机的IP地址是202.102.47.56，当A机扫描到这个IP时发现它的7626端口是开放的，那么这个IP就会被添加到列表中，这时A机就可以通过木马的控制端程序向B机发出连接信号，B机中的木马程序收到信号后立即作出响应，当A机收到响应的信号后，开启一个随即端口1031与B机的木马端口7626建立连接，到这时一个木马连接才算真正建立。值得一提的要扫描整个IP地址段显然费时费力，一般来说控制端都是先通过信息反馈获得服务端的IP地址，由于拨号上网的IP是动态的，即用户每次上网的IP都是不同的，但是这个IP是在一定范围内变动的，B机的IP是202.102.47.56，那么B机上网IP的变动范围是在202.102.000.000---202.102.255.255，所以每次控制端只要搜索这个IP地址段就可以找到B机了。

（六）远程控制：木马连接建立后，控制端端口和木马端口之间将会出现一条通道。控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系，并通过木马程序对服务端进行远程控制。下面我们就介绍一下控制端具体能享有哪些控制权限，这远比你想象的要大。

(1)窃取密码：一切以明文的形式，*形式或缓存在CACHE中的密码都能被木马侦测到，此外很多木马还提供有击键记录功能，它将会记录服务端每次敲击键盘的动作，所以一旦有木马入侵， 密码将很容易被窃取。

(2)文件操作：控制端可借由远程控制对服务端上的文件进行删除，新建，修改，上传，下载，运行，更改属性等一系列操作，基本涵盖了WINDOWS平台上所有的文件操作功能。

(3)修改注册表：控制端可任意修改服务端注册表，包括删除，新建或修改主键，子键，键值。有了这项功能控制端就可以禁止服务端软驱，光驱的使用，锁住服务端的注册表，将服务端上木马的触发条件设置得更隐蔽一系列高级操作。

(4)系统操作：这项内容包括重启或关闭服务端操作系统，断开服务端网络连接，控制服务端的鼠标，键盘，监视服务端桌面操作，查看服务端进程等，控制端甚至可以随时给服务端发送信息，想象一下，当服务端的桌面上突然跳出一段话，这是多么吓人的事。

tt

四、黑客是如何骗取你执行木马的

如今大多数上网的朋友警惕性都很高，想骗取他们执行木马是件很困难的事，因为木马出现这么久，木马两个字听得人们耳朵都长出了老茧，可说是谈“马”色变，即使不是电脑高手都知道，一见到是exe 文件便不会轻易“招惹”它，因而中标的机会也就相对减少了。对于此，黑客们是不会甘于寂寞的，在黑客的世界里挑战与刺激才是他们趋之若婺的。

1、冒充为图像文件

首先，黑客最常使用骗别人执行木马的方法，就是将特洛伊木马说成为图像文件，比如说是照片等，应该说这是一个最不合逻辑的方法，但却是最多人中招的方法，有效而又实用 。

只要入侵者扮成美眉及更改服务器程序的文件名(例如 sam.exe )为“类似”图像文件的名称，再假装传送照片给受害者，受害者就会立刻执行它。为什么说这是一个不合逻辑的方法呢？图像文件的扩展名根本就不可能是.exe，而木马程序的扩展名基本上又必定是.exe ，明眼人一看就会知道有问题，多数人在接收时一看见是exe文件，便不会接收了，那有什么方法呢? 其实方法很简单，他只要把文件名改变，例如把“sam.exe” 更改为“sam.jpg” ，那么在传送时，对方只会看见sam.jpg 了，而到达对方电脑时，因为windows 默认值是不显示扩展名的，所以很多人都不会注意到扩展名这个问题，而恰好你的计算机又是设定为隐藏扩展名的话，那么你看到的只是sam.jpg 了，受骗也就在所难免了。

还有一个问题就是，木马本身是没有图标的，而在电脑中它会显示一个windows 预设的图标，别人一看便会知道了！但入侵者还是有办法的，这就是给文件换个“马甲”，即修改文件图标。修改文件图标的方法如下：

1）比如到http://www.download.com 下载一个名为IconForge 的软件，再进行安装。

2）执行程序，按下File > Open

3） 在File Type 选择exe 类

4）在File > Open 中载入预先制作好的图标( 可以用绘图软件或专门制作icon 的软件制作，也可以在网上找找) 。

5）然后按下File > Save 便可以了。

如此这般最后得出的，便是看似jpg 或其他图片格式的木马了，很多人就会不经意间执行了它。

2、合并程序欺骗

通常有经验的用户，是不会将图像文件和可执行文件混淆的，所以很多入侵者一不做二不休，干脆将木马程序说成是应用程序：反正都是以 exe 作为扩展名的。然后再变着花样欺骗受害者，例如说成是新出炉的游戏，无所不能的黑客程序等等，目地是让受害者立刻执行它。而木马程序执行后一般是没有任何反应的，于是在悄无声息中，很多受害者便以为是传送时文件损坏了而不再理会它。

如果有更小心的用户，上面的方法有可能会使他们的产生坏疑，所以就衍生了一些合拼程序。合拼程序是可以将两个或以上的可执行文件(exe文件) 结合为一个文件，以后只需执行这个合拼文件，两个可执行文件就会同时执行。如果入侵者将一个正常的可执行文件(一些小游戏如 wrap.exe) 和一个木马程序合拼，由于执行合拼文件时 wrap.exe会正常执行，受害者在不知情中，背地里木马程序也同时执行了。而这其中最常用到的软件就是joiner，由于它具有更大的欺骗性，使得安装特洛伊木马的一举一动了无痕迹，是一件相当危险的黑客工具。让我们来看一下它是如何运作的：

以往有不少可以把两个程序合拼的软件为黑客所使用，但其中大多都已被各大防毒软件列作病毒了，而且它们有两个突出的问题存在，这问题就是：

（1）合拼后的文件体积过大

（2）只能合拼两个执行文件

正因为如此，黑客们纷纷弃之转而使用一个更简单而功能更强的软件，那就是Joiner 了。此软件不但把软件合拼后的体积减少，而且可以待使用者执行后立马就能收到一个icq 的信息，告诉你对方已中招及对方的IP ，更重要的是这个软件可以把图像文件、音频文件与可执行文件合拼，用起来相当方便。

首先把Joiner 解压，然后执行Joiner ，在程序的画面里，有“First executable : ”及“ Second File : ”两项，这两行的右方都有一个文件夹图标，分别各自选择想合拼的文件。

下面还有一个Enable ICQ notification 的空格，如果选取后，当对方执行了文件时，便会收到对方的一个ICQ Web Messgaer ，里面会有对方的ip ，当然要在下面的ICQ number 填上欲收取信息的icq 号码。但开启这个功能后，合拼后的文件会比较大。

最后便按下“Join” ，在Joiner 的文件夹里，便会出现一个Result.exe 的文件，文件可更改名称，因而这种“混合体”的隐蔽性是不言而喻的。

3、以Z-file 伪装加密程序

Z-file 伪装加密软件是台湾华顺科技的产品，其经过将文件压缩加密之后，再以 bmp图像文件格式显示出来(扩展名是 bmp，执行后是一幅普通的图像)。当初设计这个软件的本意只是用来加密数据，用以就算计算机被入侵或被非法使使用时，也不容易泄漏你的机密数据所在。不过如果到了黑客手中，却可以变成一个入侵他人的帮凶。 使用者会将木马程序和小游戏合拼，再用 Z-file 加密及将 此“混合体”发给受害者，由于看上去是图像文件，受害者往往都不以为然，打开后又只是一般的图片，最可怕的地方还在于就连杀毒软件也检测不出它内藏特洛伊木马，甚至病毒！当打消了受害者警惕性后，再让他用WinZip 解压缩及执行 “伪装体 (比方说还有一份小礼物要送给他)，这样就可以成功地安装了木马程序。 如果入侵者有机会能使用受害者的电脑(比如上门维修电脑)，只要事先已经发出了“混合体，则可以直接用 Winzip 对其进行解压及安装。由于上门维修是赤着手使用其电脑，受害者根本不会怀疑有什么植入他的计算机中，而且时间并不长，30秒时间已经足够。就算是“明晃晃”地在受害者面前操作，他也不见得会看出这一双黑手正在干什么。特别值得一提的是，由于 “混合体” 可以躲过反病毒程序的检测，如果其中内含的是一触即发的病毒，那么一经结开压缩，后果将是不堪设想。

4、伪装成应用程序扩展组件

此类属于最难识别的特洛伊木马。黑客们通常将木马程序写成为任何类型的文件 (例如 dll、ocx等) 然后挂在一个十分出名的软件中，例如 OICQ 。由于OICQ本身已有一定的知名度，没有人会怀疑它的安全性，更不会有人检查它的文件是否多了。而当受害者打开OICQ时，这个有问题的文件即会同时执行。 此种方式相比起用合拼程序有一个更大的好处，那就是不用更改被入侵者的登录文件，以后每当其打开OICQ时木马程序就会同步运行 ，相较一般特洛伊木马可说是“踏雪无痕”。更要命的是，此类入侵者大多也是特洛伊木马编写者，只要稍加改动，就会派生出一支新木马来，所以即使杀是毒软件也拿它没有丝毫办法。

‘伍’ 病毒可以盗取帐号密码吗

病毒又分很多种

其中木马是专门偷密码的

木马病毒源自古希腊特洛伊战争中着名的“木马计”而得名，顾名思义就是一种伪装潜伏的网络病毒，等待时机成熟就出来害人。

传染方式:通过电子邮件附件发出，捆绑在其他的程序中。

病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。

木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序，一旦发作，就可设置后门，定时地发送该用户的隐私到木马程序指定的地址，一般同时内置可进入该用户电脑的端口，并可任意控制此计算机，进行文件删除、拷贝、改密码等非法操作。

防范措施:用户提高警惕，不下载和运行来历不明的程序，对于不明来历的邮件附件也不要随意打开。

“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。“木马”与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。

一个完整的“木马”程序包含了两部分：“服务器”和“控制器”。植入被种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障了！

如果您还有什么不满意的,请发消息给我,并附上问题的连接,谢谢

‘陆’ 怎么用CMD来破解服务器用户名与密码

骚年，别异想天开，以为入侵服务器都那么简单。CMD里只能输入一些DOS命令。通过DOS来做的只能有一件。ping这个命令，ping别人的IP，如果数量和密集度达到一定程度时，效果就出来了，那就是DDOS网络攻击了，让别人的电脑或服务器不能使用网络或崩溃。
至于入侵服务器，那太复杂了，然后那么简单，岂不是人人都是黑客了？入侵服务器，一般都是靠挂木马病毒的。

‘柒’ 怎么能盗取cs1.6服务器OP密码

NND,但是有在网吧如果有人在网吧玩OP可以查看他用过的CS里面有记录密码！那个文件是个cfg格式的，要用笔记本打开来就看见记录的密码！

‘捌’ 一个比较干的事情。。。我知道了数据库的账户密码，如何能通过数据库拿到服务器的账户密码

2000的版本以前有个功能，可以通过sql server的密码创建windows的密码，但是现在的版本我记得好像不行了吧。

‘玖’ 真的有知道你账号就可以盗号吗 的木马吗 密码 密保 都不知道的

盗号就是通过一定手段，盗取他人帐号和密码。

盗号的手段包括很多，广义上可以分为技术性的和非技术性的。非技术性手段指未通过计算机技术盗盗号网络关系图号的手段。技术性手段是指通过计算机技术盗号的手段。

非技术性手段：1.（未通过网络）诱骗他人帐号密码。2.偷窥他人帐号密码。

技术性手段：1.网站钓鱼.利用帐号所有者占小便宜的心理，通过虚假中奖信息，诱骗其进入盗号者仿冒的“官方网站”领取奖励，这种网站与官方网站做得几乎一样，使上网者极易受骗。网站上会要求帐号所有者输入帐号密码。从而轻而易举地获得受害人的帐号和密码。2.部分网吧所有者或者网吧管理人员利用键盘输入监控程序窃取上网者的键盘输入信息，经过分析获得上网者在键盘上输入的帐号密码。3.提供网络服务的公司内部人员监守自盗，将客户信息出售给直接盗号者。4.入侵帐号官方的主机数据库，直接获得帐号所有者的帐号密码信息。由于官方的安全保护一般比较强，这种盗号很少见。5.通过病毒以及木马（一种程序）入侵他人计算机，再通过类似监控程序盗取他人帐号和密码信息。

总结：账号是目标，盗的是密码，黑客知道目标有可能被盗号。最重要的是黑客知道被盗号同学的信息越多越有可能盗号~！

‘拾’ 怎样盗取胜利之日DOD服务器OP密码

``先修改系统参数``在文件里找到Mssv12.asi这个文件改换文本模式最下面一排`改他网络参数该为DOSME—op`
然后进入游戏``OP只要踢你里以后``OP码就会出现在网络参数下面`