本帖最后由 beta 于 2010-3-24 09:50 编辑
:) 近期，在网络上发现了一个名叫复仇者9.0的软件，下载下来研究一下，里面有很多黑客的功能，还有一些恶作剧软件大家可以下载下来研究一下。
两个文件，安全无毒，但是生成的病毒可是恐怖至极，千万不能打开啊！
大家也来学学黑客防御吧！
软件资料如下（包括下载地址）
【文章标题】:关于 复仇者
【文章作者】:lcc
【作者邮箱】:574910250@qq.com
【作者主页】:http://cc574910250.ys168.com
【作者QQ号】:574910250
【软件名称】:复仇者9.0
【软件大小】:4M
【下载地址】:http://cc574910250.ys168.com
【加壳方式】:VMP
【保护方式】:壳
【编写语言】:易语言
【使用工具】:VMP
【操作平台】:静态编译
【软件介绍】:惊世大作！
【作者声明】:版权所有
--------------------------------------------------------------------------------
【详细过程】
做了2个星期，终于做好了！
不过还是有不足的地方~
--------------------------------------------------------------------------------
【加盟】
由于本人能力有限，所有请有能力者加入复仇者
加入者所写的软件必须与复仇者内容有关
有意致574910250@qq.com
--------------------------------------------------------------------------------
【版权声明】:版权归作者所有
2010年3月21日14时

在缓冲区溢出的攻击中，本来已经调试好的漏洞利用程序，由于动态链接库的装入和卸载等原因，
windows进程的函数栈帧很可能产生“移位”，因此：利用成片数据简单地把返回地址覆盖成一个定值的做法往往不能让exploit奏效，
为了不至于10次中只有2次才能成功运行shellcode，我们通常使用“跳板”技术来完善这段shellcode，
常用“跳板”有：jmp eax;机器码为（16制）FF E0，jmp esp;机器码为（16制）FF E4，call esp;机器码为（16制）FF D4等等，
下面以USER32.DLL中的一个“jmp esp”为例，搜索内存中的跳板，实现代码如下：
#include <windows.h>
#include <stdio.h>
#define DLL_NAME "user32.dll"      //此处可改为内存中其它的动态链接库
main()
{
BYTE* ptr;
int position,address;
HINSTANCE handle;
BOOL done_flag = FALSE;
handle=LoadLibrary(DLL_NAME);
if(!handle)
{
printf(" load dll erro !");
exit(0);
}
ptr = (BYTE*)handle;
for(position = 0; !done_flag; position++)
{
try
{
if(ptr[position] == 0xFF && ptr[position+1] == 0xE4)
{
//0xFFE4是JMP ESP的机器码，可改为其它的跳板
int address = (int)ptr + position;
printf("OPCODE found at 0x%x\n",address);
}
}
catch(...)
{
int address = (int)ptr + position;
printf("END OF 0x%x\n", address);
done_flag = true;
}
}
}

本帖最后由 轩歌灬夜未央 于 2010-3-11 19:31 编辑
既然我们小吴同志大大方方滴给了我个新人勋章
那么我也发点小东西吧,据说是内部资料```
斑竹这版的人气实在不敢恭维呀`
虚小声点
zzZZZ......
就让我来做做好事吧 有什么需要的请顶帖后 短信PM我.

十分简单：
第一步：查壳
第二步：用OD载入。
第三步：按F8单步向下走，注意，当右边的ESP（堆栈指针寄存器），和EIP（指令指针寄存器）同时变红时，就停下。
第四步：记下ESP地址，并在左下角的Commanc中输入　dd　ESP所对应的地址。　　并回车。
第五步：在数值下面单击右键--断点----硬件访问---WORD。
第六步：按F9运行来到断点。
第七步：然后在按F8单步向下走，注意：一个大跳转就来到程序的OEP，也就是程序的入口。
第八步：单击右键---脱壳在当前调试的进程---复制修正为处的地址（也就是 程序的入口地址）
第九步：修复。

扫描检测 
X-Scan 流光5.0 X-way26 自动探测机 SSS nmap eEye扫描器 蓝色扫描器 Superscan MAC扫描器 NT-sanner Scanner
远程监控
灰鸽子 PcAnywhere Radmin 黑洞 PcShare 风雪 VNC 任我行 Penumbra Furax 网络神偷 彩虹桥
脚本注入 
NBSI Domain Casiv 阿D-SQL HDSI 网站猎手 Wis Wed 狂注幽灵 KEvinSIs PHP注入包 ACEESS注入 SQL注入集
嗅探监听 
ARPSniffer HTTP嗅探 Ultra Folder T-Sniffer WinPcap 局域网嗅探 影音嗅探 FileMon Ashampoo Adump嗅探 SpyNet
木马后门 
网页木马 Bmp2Exe CHM 木马集合 PHP木马 ASP木马 Rootkit Httpdoor 下载者 Toxic WinShell 服务级后门
字典代理 
CCProxy Snake 代理猎手 疯狂字典 易优 黑客字典 代理超人 代理之狐 花刺代理 代理公布器 Socks5 SockServer
密码破解 
MD5破解器 密码神探 万象破解 PubWin破解 Access密码 动画破解器 XP密码查看 密码精灵 全能密码 Serv-U爆破 ADSL终结者

美报称谷歌遭受攻击源自中国两学校 校方否认　　环球网2月19日消息 谷歌近期受到黑客攻击，美国媒体报道说，源头来自上海交通大学和山东一所职业学校。
美国《纽约时报》19日报道说，追踪到黑客攻击是来自上海交通大学和山东蓝翔高等技工学校内的电脑。
报道称，针对谷歌的黑客攻击可能早于2009年4月就已开始，较之前谷歌披露得更早。谷歌于今年1月12日披露，被黑客入侵盗取电脑资料，黑客来自中国。保安专家也表示，有超过30家公司遭黑客入侵。
上述两所学校发言人均表示，没有听说美国调查人员将谷歌受到的攻击跟踪到了他们的学校。上海交通大学党委宣传部长刘玉祥说，如果这是真的，将会提醒院系注意，并进行调查。蓝翔计算机系负责人也表示，他的学生不可能袭击谷歌或其他美国公司，因为他们仅仅是高中生，水平也不高。而且学校也采取了严格的管理措施，外人无法轻易进入学校。
报道还称，上海交通大学的电脑学系在中国表现出色，交大多名学生数周前参加由IBM举办的国际电脑程序设计比赛，美国斯坦福大学及多家著名学府的参赛者也不是对手。

各大黑客网站。这是我从别的论坛找来的 整理下 还有去网站找了些网站~希望对大家有所帮助~·
黑客基地 http://www.hackbase.com/
华夏网  http://www.77169.com/
黑客帝国  http://www.33as.com/
中国黑客联盟  http://www.chinahacker.com
黑客边缘  http://q.163.com/cnhacker/
暗组：http://forum.darkst.com/
火狐技术联盟  http://firefoxer.bokee.com/
华西安全联盟：www.hx99.org
维客网络  http://www.jiankework.cn/
网信安盟  http://www.nsglobal.net
贺州黑客联盟http://www.shockhack.net
中国网客  http://www.chinahack.cn/
中国红客联盟 http://www.cnhonker.com/
中国黑客同盟：www.cnhk99.cn
黑狐网络 http://www.heifox.com/
QQ黑客基地  http://www.qqhao123.com/
中国风云网 http://www.05112.org/
黑吧安全网  http://bbs.hack58.com/
中国X黑客小组  http://www.cnxhacker.com/
风讯：http://bbs.foosun.net/forumindex.aspx
校园黑客联盟 http://bbs.vip8.org/
黑软乐园 http://www.sq88.com/
UNIX系统讨论区: http://bbs.chinaunix.net/index.php?gid=57
红客联盟==:  http://www.7747.net/
岁月联盟： http://syue.com/index.html
冰风黑客联盟  http://www.cnhackvip.com.cn/
黑客边缘:  http://qdhonker.myrice.com/
绿色兵团:  http://www.isbase.net/
红色联盟： http://www.hackerabc.cn/forum/index.php
安全之眼： http://cn.itis.tw/
白菜乐园:  http://crackbest.5d6d.com/tag.php
中国黑客榜中榜  http://www.cn-hack.cn/
黑客动画吧  http://www.hack58.com/
315安全网来  http://www.315safe.com/
黑鹰基地  http://www.3800cc.com
20cn网络安全小组  http://www.20cn.net/
安全焦点  http://www.xfocus.net
中国IT认证实验室  http://www.chinaitlab.com
电脑爱好者  http://www.cfan.net.cn/
中国安全网络中心  http://www.aqwl.com
天极网  http://www.yesky.com/
蓝盾安全在线  http://www.bluedon.com
赛迪网： http://industry.ccidnet.com/art/1155/20050805/699675_1.html
驱动之家  http://drivers.mydrivers.com/
看雪学苑 http://www.pediy.com/
中国Linux论坛 www.linuxforum.net

今天小吴详解一下清除系统垃圾的批处理
@echo off   （ 关闭回显，意思是在屏幕不显示的东东）
echo 正在清除系统垃圾文件，请稍后。。。  （要在屏幕显示的东东）
del /s /f /q %systemdrive%\*.tmp >nul 2>nul
详解：（del删除/s删除其下子目录、/f强制删除只读属性/Q 安静模式）
          （>nul 2>nul  是将命令执行时的信息或者错误全部给屏蔽掉）
del /s /f /q %systemdrive%\*.gid >nul 2>nul
del /s /f /q %systemdrive%\*.chk >nul 2>nul
del /s /f /q %systemdrive%\*.old >nul 2>nul
del /s /f /q "%userprofile%\local settings\temp\*.*" >nul 2>nul
del /s /f /q "%userprofile%\recent\*.*" >nul 2>nul
del /s /f /q "%userprofile%\cookies\*.*" >nul 2>nul
del /s /f /q "%userprofile%\local settings\history\*.*" >nul 2>nul
del /s /f /q "%windir%\temp\*.*" >nul 2>nul
del /s /f /q "%windir%\prefetch\*.*" >nul 2>nul
echo 垃圾文件清理完毕!  显示的东东
echo. & pause                   暂停一下
注：这是一个用来清除系统垃圾文件的批处理程序。命令其实也是很简单的，主要是用到“del”命令和相关的参数来实现
有关“del”命令的参数大家可以参考“del /?”来得到详细的帮助。
另外还有“%systemdrive%、%userprofile%”。那么它们是什么呢，这些其实是系统变量，也就是系统目录的另一种
表示形式而已。我们可以通过输入“echo %userprofile%”来看看它代表的是系统中的那个目录那么，怎么来看变量目录呢
如下所示，各个目录的变量都出来了
+++++++++++++++++++++++++++++++++++++++++++
Microsoft Windows [版本 6.1.7600]
版权所有 (c) 2009 Microsoft Corporation。保留所有权利。
C:\Users\itnihao>set
ALLUSERSPROFILE=C:\ProgramData
APPDATA=C:\Users\itnihao\AppData\Roaming
CommonProgramFiles=C:\Program Files\Common Files
COMPUTERNAME=ITNIHAO-PC
ComSpec=C:\Windows\system32\cmd.exe
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Users\itnihao
LOCALAPPDATA=C:\Users\itnihao\AppData\Local
LOGONSERVER=\\ITNIHAO-PC
NUMBER_OF_PROCESSORS=2
OS=Windows_NT
Path=C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\
\WindowsPowerShell\v1.0\;C:\Program Files\Common Files\Thunder N
decs
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 15 Model 107 Stepping 2, Authent
PROCESSOR_LEVEL=15
PROCESSOR_REVISION=6b02
ProgramData=C:\ProgramData
ProgramFiles=C:\Program Files
PROMPT=$P$G
PSModulePath=C:\Windows\system32\WindowsPowerShell\v1.0\Modules\
PUBLIC=C:\Users\Public
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\Windows
TEMP=C:\Users\itnihao\AppData\Local\Temp
TMP=C:\Users\itnihao\AppData\Local\Temp
USERDOMAIN=itnihao-PC
USERNAME=itnihao
USERPROFILE=C:\Users\itnihao
windir=C:\Windows
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
。那么其它的也是一样
*.tmp的意思是，这个*号是一个通配符号，它表示的是所有以.tmp为扩展名的文件。大家都明白了吗？
>nul 2>nul的意思是将命令执行时的信息或者错误全部给屏蔽掉。
好了 ，教程做完了，各位也学会了！有什么不懂得，跟帖吧！！