本节将以一个典型的实例来介绍一次完整的入侵过程。其中的思路及所使用的工具对于黑客技术的入门有很大的帮助，希望读者能够重点掌握。

实例：一次完整的入侵。

è 入侵工具：X-Scan、DameWare

è 工具介绍

X-Scan是一款优秀的综合扫描器，它采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测，支持插件功能。扫描内容包括：远程服务类型、操作系统类型及版本，各种弱口令漏洞、后门、应用服务漏洞、网络设备漏洞、拒绝服务漏洞等二十几个大类。对于多数已知漏洞给出了相应的漏洞描述、解决方案及详细描述链接，其他漏洞资料正在进一步整理完善中，可以通过http://www.xfocus.net的“安全文摘”和“安全漏洞”栏目查阅相关说明。3.0及后续版本提供了简单的插件开发包，支持第三方编写的X-Scan插件。关于X-Scan的详细介绍，请参见后续章节。

DameWare是一款超级网管工具，它的设计初衷是为了让网管们更加方便地同时管理多台计算机，免得跑来跑去地一台台调试配置。DameWare把众多管理工具集成在一起，只要拥有远程主机管理员权限的账号，任何人都可以通过图形界面来控制该远程主机。然而，只要对这款网管工具进行巧妙的配置，入侵者便可在网管毫无察觉的情况下使用远程主机服务，甚至远程控制及屏幕窃取。

DameWare可以从“http://www.dameware.com/downloads/”处下载，下载后按提示安装。

è 入侵思路：获取管理员权限、在DameWare中添加主机、实时屏幕监视和控制、远程执行命令、系统设置修改与系统控制、文件上传与下载、留后门、清除脚印。

  扫描远程主机是否存在NT弱口令（获取管理员权限）

打开X-Scan，在“设置”下拉菜单中选择“扫描参数”选项，打开扫描参数设置窗口。在指定IP范围的输入框中输入希望扫描的IP地址段。本例中将对局域网进行扫描，输入的IP段为192.168.0.2~192.168.0.253，如图1-22所示。

图1-22

打开全局设置菜单，在扫描模块中选择NT-Server弱口令，如图1-23所示。

图1-23

单击“确定”按钮后，回到主界面，单击  图标开始进行扫描。扫描结果如图1-24和图1-25所示，IP地址为192.168.0.128的主机存在NT-Server弱口令。

图1-24

图1-25

  在DameWare中添加远程主机

在“开始”→“程序”→“Dame Ware NT Utilities”中选择“Dame Ware NT Utilities”，打开DameWare主界面，如图1-26所示。

图1-26

然后单击主界面左上角的“”图标，接着在弹出的“Add Domain or Machine（添加域或主机）”对话框中选择“Non-Browsable Machine”，并添入目标主机的IP地址192.168.0.128，如图1-27所示。

单击“OK”按钮后，添加主机成功，如图1-28所示。

下面介绍入侵者通过DameWare能够对192.168.0.128做哪些操作。如图1-29所示，在左侧窗口的列表中依次为“磁盘操作”、“事件日志”、“组管理”、“查看已打开文件”、“打印机”、“进程管理”、“系统属性”、“RAS”、“注册表”、“远程命令执行”、“远程控制（有屏幕监视功能）”、“应用程序管理”、“计划任务管理”、“查找”、“发送信息”、“服务管理”、“会话管理”、“共享管理”、“远程关机”、“软件管理”、“系统工具”、“TCP工具”、“用户管理”和“远程唤醒”。

   

图1-28                                          图1-29

除此之外，还可以通过DameWare来打开Windows自带的管理工具，如图1-30所示。

图1-30

  实时屏幕监视和控制

在如图1-29所示的DameWare主界面中，单击左侧图标 ，在打开菜单中双击 ，然后在弹出界面的“User”栏中填入获得的用户名“administrator”，由于密码为空，所以“Password”栏不用填，并且其他的设置不用改变，填好后如图1-31所示。

图1-31

此时单击“Connect”按钮即可进行连接，如果是首次连接远程主机，那么DameWare会要求为远程主机安装DameWare被控端，如图1-32所示。

图1-32

单击“OK”按钮进行安装，在默认的情况下，远程主机会被通知建立连接，这样会使入侵者暴露入侵痕迹，在远程主机上的截图如图1-33所示。

图1-33

入侵者为了不让DameWare通知远程主机，在单击“Connect”按钮之前需要进行设置来将该“网管工具”彻底变成“入侵者工具”。在图1-31所示的窗口中单击“Settings…”按钮，弹出如图1-34所示的窗口。

选择“Install Options”选项卡，如图1-35所示，图中的设置项已进行了修改。

              

图1-34                                           图1-35

图1-35中选项含义如下。

è  Stop Service On Disconnect：断开连接后停止服务。

è  Remove Service On Disconnect：断开连接后卸载服务。

è  Set Service Startup type to “Manual” default is：设置服务启动为“手动”。

è  Copy Configuration File DWRCS：拷贝安装设置到目标主机，通过选择这一项才能使修改的安装设置在远程主机端生效。

按图1-35所示设置完毕后，单击“Edit”按钮进行属性设定，打开设定对话框后，找到“Additional Settings”选项卡，并去除“Enable Sys Tray Icon”前面的“勾”，表示去除目标主机端的连接显示“”，设置完毕后如图1-36所示。

接下来打开“Notify Dialog”选项卡，去除“Notify on Connection”前面的“勾”，表示去除连接时在目标主机端显示的如图1-37所示的提示。

全部设置好后如图1-38所示。

                  

图1-37                                         图1-38

通过前面几项的设置，入侵者在连接远程主机的时候就不会被察觉，最后单击“确定”按钮或“OK”按钮回到图1-31所示的窗口。单击“Connect”按键，为远程主机安装被控制端，如图1-39所示。

图1-39

服务安装、启动完毕后，便会在本地机上得到远程主机当前的屏幕，如图1-40所示。

图1-40

此外，入侵者可以通过该屏幕对远程主机进行控制，就像操纵本地计算机一样。如图1-41所示，勾选“View Only”选项表示通过“只监视（View Only）”模式显示远程主机的桌面，不能对远程主机进行控制；不勾选“View Only”选项表示通过“控制”模式连接远程主机，除了可以看见远程主机的桌面，还可以对远程主机进行控制。

通过图1-42可见，入侵者还可以在远程主机上进行键盘控制操作，甚至锁定远程主机上的键盘和鼠标。

通过图1-43选项可以手动卸载远程主机的DameWare被控制端服务。

                  

图1-41                          图1-42                           图1-43

  远程执行命令

使用DameWare可以实现远程执行命令。DameWare是通过DameWare自带的工具“RCmd View”及“RCmd Console”来实现这一功能的。在DameWare主界面中，单击列表中“Remote Command”前面的“”来找到“RCmd View”和“RCmd Console”，如图1-44所示。

其中，“RCmd View”或“RCmd Console”都可以用来远程执行命令，这里只介绍RCmd View的使用方法。双击“RCmd View”，如果是首次使用，DameWare在控制端提示将在远程主机上安装DameWare NT Utilities Service，如图1-45所示。

              

图1-44                                        图1-45

这个安装不需要任何设置，直接单击按钮“是（Y）”同意安装即可。安装好后，得到如图1-46所示的界面。

图1-46

通过这个工具，入侵者便可以在远程主机上执行命令。例如，键入“ipconfig/all”命令查看远程计算机的网络参数，如图1-47所示。

图1-47

从返回的结果可以看到，该远程主机的IP地址为“192.168.0.128”，网关的IP地址为“192.168.0.2”，MAC地址是“00-0C-29-86-57-34”。

这里说明的一点是远程执行命令在远程主机中并不会直观显示，但在进程表中会有相应的显示。

  修改系统参数并远程控制系统

① 进程控制。

在DameWare主界面上选择“”图标，打开后的界面如图1-48所示。

图1-48

图1-48中右侧窗口显示的就是“192.168.0.128”上的进程及CPU的利用率。而且通过“”按钮（选中进程的右键菜单中）即可杀死选中的进程，如图1-49所示。入侵可以通过这种方法来杀死任何妨碍他们入侵的进程。

图1-49

② 修改注册表。

单击“”图标打开“192.168.0.128”上的注册表，如图1-50所示。在该注册表编辑器中便可以修改远程主机的注册表。

图1-50

③ 建立计划任务。

单击“”图标后得到树状菜单，如图1-51所示。

图1-51

Task Schedule代表计划任务，双击打开后如图1-52所示。

图1-52

在主界面的“Schedule”下拉菜单中选择“Add Schedule…”即可实现建立计划任务，如图1-53所示。

④ 服务管理。

展开“”得到如图1-54所示树状菜单。

                          

图1-53                                          图1-54

通过Services View可以查看192.168.0.128上安装了哪些服务，如图1-55所示。

图1-55

这同使用“计算机管理”看到的服务列表是一样的。而且，入侵者还可以通过这里非常容易地给远程主机安装／卸载服务或程序。双击“Install Service”，随后每步的设置如图1-56至图1-62所示。

                  

图1-56                                           图1-57

单击“下一步”按钮，如图1-58所示。

单击“Browse”按钮，在本地机上选定木马安装文件的路径，单击“下一步”按钮后，如图1-59所示。

             

图1-58                                            图1-59

在图1-59中选中服务类型，然后单击“下一步”按钮后，如图1-60所示。

在图1-60中选择执行该服务的许可账号，设置完毕后，单击“下一步”按钮后，如图1-61所示。

             

图1-60                                            图1-61

在图1-61中选择服务的启动方式，这里选择Automatic（自动），目的是令远程主机在每次启动后都自动执行该木马程序，然后单击“下一步”按钮得到安装参数报告，如图1-62所示。

最后单击“完成”按钮完成安装。安装进度如图1-63所示。

             

图1-62                                           图1-63

安装成功后来查看一下目标主机的服务列表，如图1-64所示。

图1-64

可以看到，入侵者可以通过这种方式使用DameWare在远程主机上安装上木马程序。

⑤ 远程关机。

单击“”图标，得到如图1-65所示窗口。

图1-65

图1-65中右侧窗口下方的图标，分别为：

：重新启动

：注销账号

：关闭电源

  文件上传与下载

在入侵过程中，文件上传与下载是常用的操作，DameWare也能实现。单击主界面中的“”图标来打开远程主机上的共享文件夹（包括隐藏的），如图1-66所示。

图1-66

随后的操作如同操作本地机一样，可以进行文件的复制、剪切、删除、隐藏、权限设置、粘贴等操作，如图1-67所示。

图1-67

  建立后门账号

入侵者在入侵成功后，往往会留下后门以便下一次再进入该计算机。这里只介绍一个简单的留后门方法，即建立后门账号。单击“”图标，打开“用户管理”，在图1-68中的右侧窗口中，入侵者可以建立、禁用、降级、删除用户。

图1-68

例如，要新建一个账号，单击图1-68中右侧窗口左下角的“”按钮，打开的用户属性窗口如图1-69所示。

然后在“Group”选项卡中赋予该用户管理员权限，如图1-70所示。通过以上步骤，后门账号制作成功。

            

图1-69                                             图1-70

  清除脚印

在入侵者离开“192.168.0 .128”之前，往往需要清除脚印来防止管理员发现他们留下的痕迹，这可以通过删除事件日志实现。单击图标，打开后如图1-71所示，清除右侧窗口中的“Application”、“Security”和“System”日志。

图1-71

在图1-71的右侧窗口中，用鼠标右键单击任意一项记录，打开如图1-72所示的菜单，然后选择“Clear All Events”来清空“Application”日志。然后按照同样方法删除“Security”和“System”日志。

图1-72