黑客肉鸡下载,黑客 肉鸡

黑客中的肉鸡是什么

肉鸡就是具有最高管理权限的远程电脑。简单的说就是受你控制的远程电脑。肉鸡可以是win、Unix/Linux……等各种系统；肉鸡可以是一家公司的服务器，一家网站的服务器，甚至是美国白宫或军方的电脑，只要你有这本事入侵并控制他，呵呵。莱鸟所说用的肉鸡一般是开了3389端口的Win2K系统的服务器。

要登陆肉鸡，必须知道3个参数：远程电脑的IP、用户名、密码

肉鸡的用途就不赘述了……

黑客说的肉鸡具体是什么,学黑的最基础要学什么好~我是新手什么都不懂

1.肉鸡：所谓“肉鸡”是一种很形象的比喻，比喻那些可以随意被我们控制的电脑，对方可以是WINDOWS系统，也可以是UNIX/LINUX系统，可以是普通的个人电脑，也可以是大型的服务器，我们可以象操作自己的电脑那样来操作它们，而不被对方所发觉。

2.木马：就是那些表面上伪装成了正常的程序，但是当这些被程序运行时，就会获取系统的整个控制权限。有很多黑客就是 热中与使用木马程序来控制别人的电脑，比如灰鸽子，黑洞，PcShare等等。

3.网页木马：表面上伪装成普通的网页文件或是将而已的代码直接插入到正常的网页文件中，当有人访问时，网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马的服务端下载到访问者的电脑上来自动执行。

4.挂马：就是在别人的网站文件里面放入网页木马或者是将代码潜入到对方正常的网页文件里，以使浏览者中马。

5.后门：这是一种形象的比喻，入侵者在利用某些方法成功的控制了目标主机后，可以在对方的系统中植入特定的程序，或者是修改某些设置。这些改动表面上是很难被察觉的，但是入侵者却可以使用相应的程序或者方法来轻易的与这台电脑建立连接，重新控制这台电脑，就好象是入侵者偷偷的配了一把主人房间的要是，可以随时进出而不被主人发现一样。

通常大多数的特洛伊木马(Trojan Horse)程序都可以被入侵者用语制作后门(BackDoor)

6.rootkit：rootkit是攻击者用来隐藏自己的行踪和保留root(根权限，可以理解成WINDOWS下的system或者管理员权限)访问权限的工具。通常，攻击者通过远程攻击的方式获得root访问权限，或者是先使用密码猜解(破解)的方式获得对系统的普通访问权限，进入系统后，再通过，对方系统内存在的安全漏洞获得系统的root权限。然后，攻击者就会在对方的系统中安装rootkit，以达到自己长久控制对方的目的，rootkit与我们前边提到的木马和后门很类似，但远比它们要隐蔽，黑客守卫者就是很典型的rootkit，还有国内的ntroorkit等都是不错的rootkit工具。

7.IPC$：是共享“命名管道”的资源，它是为了让进程间通信而开放的饿命名管道，可以通过验证用户名和密码获得相应的权限，在远程管理计算机和查看计算机的共享资源时使用。

8.弱口令：指那些强度不够，容易被猜解的，类似123，abc这样的口令(密码)

9.默认共享：默认共享是WINDOWS2000/XP/2003系统开启共享服务时自动开启所有硬盘的共享，因为加了"$"符号，所以看不到共享的托手图表，也成为隐藏共享。

10.shell：指的是一种命令指行环境，比如我们按下键盘上的“开始键+R”时出现“运行”对话框，在里面输入“cmd”会出现一个用于执行命令的黑窗口，这个就是WINDOWS的Shell执行环境。通常我们使用远程溢出程序成功溢出远程电脑后得到的那个用于执行系统命令的环境就是对方的shell

11.WebShell：WebShell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称做是一种网页后门。黑客在入侵了一个网站后，通常会将这些asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起，好后就可以使用浏览器来访问这些asp 或者php后门，得到一个命令执行环境，以达到控制网站服务器的目的。可以上传下载文件，查看数据库，执行任意程序命令等。国内常用的WebShell有海阳ASP木马，Phpspy，c99shell等

12.溢出：确切的讲，应该是“缓冲区溢出”。简单的解释就是程序对接受的输入数据没有执行有效的检测而导致错误，后果可能是造成程序崩溃或者是执行攻击者的命令。大致可以分为两类：(1)堆溢出;(2)栈溢出。

13.注入：随着B/S模式应用开发的发展，使用这种模式编写程序的程序员越来越来越多，但是由于程序员的水平参差不齐相当大一部分应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想要知的数据，这个就是所谓的SQLinjection，即：SQL注意入。

14.注入点：是可以实行注入的地方，通常是一个访问数据库的连接。根据注入点数据库的运行帐号的权限的不同，你所得到的权限也不同。

15.内网：通俗的讲就是局域网，比如网吧，校园网，公司内部网等都属于此类。查看IP地址如果是在以下三个范围之内的话，就说明我们是处于内网之中的：10.0.0.0—10.255.255.255，172.16.0.0—172.31.255.255，192.168.0.0—192.168.255.255

16.外网：直接连入INTERNET(互连网)，可以与互连网上的任意一台电脑互相访问，IP地址不是保留IP(内网)IP地址。

17.端口：(Port)相当于一种数据的传输通道。用于接受某些数据，然后传输给相应的服务，而电脑将这些数据处理后，再将相应的恢复通过开启的端口传给对方。一般每一个端口的开放的偶对应了相应的服务，要关闭这些端口只需要将对应的服务关闭就可以了。

18.3389、4899肉鸡：3389是Windows终端服务(Terminal Services)所默认使用的端口号，该服务是微软为了方便网络管理员远程管理及维护服务器而推出的，网络管理员可以使用远程桌面连接到网络上任意一台开启了终端服务的计算机上，成功登陆后就会象操作自己的电脑一样来操作主机了。这和远程控制软件甚至是木马程序实现的功能很相似，终端服务的连接非常稳定，而且任何杀毒软件都不会查杀，所以也深受黑客喜爱。黑客在入侵了一台主机后，通常都会想办法先添加一个属于自己的后门帐号，然后再开启对方的终端服务，这样，自己就随时可以使用终端服务来控制对方了，这样的主机，通常就会被叫做3389肉鸡。Radmin是一款非常优秀的远程控制软件，4899就是Radmin默认使以也经常被黑客当作木马来使用(正是这个原因，目前的杀毒软件也对Radmin查杀了)。有的人在使用的服务端口号。因为Radmin的控制功能非常强大，传输速度也比大多数木马快，而且又不被杀毒软件所查杀，所用Radmin管理远程电脑时使用的是空口令或者是弱口令，黑客就可以使用一些软件扫描网络上存在Radmin空口令或者弱口令的主机，然后就可以登陆上去远程控制对恶劣，这样被控制的主机通常就被成做4899肉鸡。

19.免杀：就是通过加壳、加密、修改特征码、加花指令等等技术来修改程序，使其逃过杀毒软件的查杀。

20.加壳：就是利用特殊的酸法，将EXE可执行程序或者DLL动态连接库文件的编码进行改变(比如实现压缩、加密)，以达到缩小文件体积或者加密程序编码，甚至是躲过杀毒软件查杀的目的。目前较常用的壳有UPX，ASPack、PePack、PECompact、UPack、免疫007、木马彩衣等等。

21.花指令：就是几句汇编指令，让汇编语句进行一些跳转，使得杀毒软件不能正常的判断病毒文件的构造。说通俗点就是”杀毒软件是从头到脚按顺序来查找病毒。如果我们把病毒的头和脚颠倒位置，杀毒软件就找不到病毒了“。

疯狂的“肉鸡”的txt全集下载地址

疯狂的“肉鸡” txt全集小说附件已上传到百度网盘，点击免费下载：

内容预览：

2009年3.15晚会上“保护个人信息”成为大家关注的焦点，在晚会上听到新的名词——“肉鸡”，“肉鸡”指的是网上一些黑客通过技术手段盗取并且贩卖我们的个人信息。这些黑客究竟有多神秘？他们隐藏在哪里？我们应该如何保护我们的信息，不再成为任他们宰割的“肉鸡”呢？CCTV2《今日观察》主持人王小丫和评论员何帆、张鸿共同评论。 疯狂的“肉鸡” 盗取个人信息，非法牟利，虚拟世界，黑手伸向互联网络，新名词“肉鸡”引发社会热议，围绕个人信息安全，折射出哪些新问题？何帆：“抓鸡”形成细分的产业链条（《今日观察》评论员） 现在的网络“黑客”危害太大，当你成为“肉鸡”的时候，等于已经大门打开，“黑客”可以任意到你房间偷东西，甚至可以直接“偷”钱，比如盗用网上银行帐户，可以盗取虚拟的钱，如很多人玩网上游戏用的网币；如果被盗的是某个公司的帐号，那么被盗者的客户信息、财务信息都会被“抓鸡人”全部能拿到。有人可能会疑惑这些黑客拿信息有什……

黑客们常说肉鸡什么的是什么意思？ 有什么作用？

什么是电脑“ 肉鸡”

所谓电脑肉鸡，就是拥有管理权限的远程电脑。也就是受别人控制的远程电脑。肉鸡可以是各种系统,如win,linux,unix等；更可以是一家公司\企业\学校甚至是政府军队的服务器，一般所说的肉鸡是一台开了3389端口的Win2K系统的服务器,所以3389端口没必要开时关上最好。

肉鸡一般被黑客以0.08、0.1元到30元不等价格出售。

要登陆肉鸡，必须知道3个参数：远程电脑的IP、用户名、密码。

说到肉鸡，就要讲到远程控制。远程控制软件例如灰鸽子、上兴等。

肉鸡不是吃的那种，是中了木马，或者留了后门，可以被远程操控的机器，现在许多人把有WEBSHELL 权限的机器也叫肉鸡。

谁都不希望自己的电脑被他人控制，但是很多人的电脑是几乎不设防的，很容易被远程攻击者完全控制。你的电脑就因此成为别人砧板上的肉，别人想怎么吃就怎么吃，肉鸡(机)一名由此而来。

[编辑本段]如何检测自己是否成为肉鸡

注意以下几种基本的情况：

1：QQ、MSN的异常登录提醒 （系统提示上一次的登录IP不符）

2：网络游戏登录时发现装备丢失或与上次下线时的位置不符，甚至用正确的密码无法登录。

3：有时会突然发现你的鼠标不听使唤，在你不动鼠标的时候，鼠标也会移动，并且还会点击有关按钮进行操作。

4：正常上网时，突然感觉很慢，硬盘灯在闪烁，就象你平时在COPY文件。

5：当你准备使用摄像头时，系统提示，该设备正在使用中。

6：在你没有使用网络资源时，你发现网卡灯在不停闪烁。如果你设定为连接后显示状态，你还会发现屏幕右下角的网卡图标在闪。

7：服务列队中出可疑程服务。

8：宽带连接的用户在硬件打开后未连接时收到不正常数据包。（可能有程序后台连接）

9：防火墙失去对一些端口的控制。

10：上网过程中计算机重启。

11：有些程序如杀毒软件防火墙卸载时出现闪屏（卸载界面一闪而过，然后报告完成。）

12：一些用户信任并经常使用的程序（QQ`杀毒）卸载后。目录文仍然存在，删除后自动生成。

13：电脑运行过程中或者开机的时候弹出莫名其妙的对话框

以上现象，基本是主观感觉，并不十分准确，但需要提醒您注意。

14：还可以通过CMD下输入 NETSTAT -AN 查看是否有可疑端口等

接下来，我们可以借助一些软件来观察网络活动情况，以检查系统是否被入侵。

1.注意检查防火墙软件的工作状态

比如金山网镖。在网络状态页，会显示当前正在活动的网络连接，仔细查看相关连接。如果发现自己根本没有使用的软件在连接到远程计算机，就要小心了。

2.推荐使用tcpview，可以非常清晰的查看当前网络的活动状态。

一般的木马连接，是可以通过这个工具查看到结果的。

这里说一般的木马连接，是区别于某些精心构造的rootkit木马采用更高明的隐藏技术，不易被发现的情况。

3.使用金山清理专家进行在线诊断，特别注意全面诊断的进程项

清理专家会对每一项进行安全评估，当遇到未知项时，需要特别小心。

4.清理专家百宝箱的进程管理器

可以查找可疑文件，帮你简单的检查危险程序所在

[编辑本段]如何避免自己的电脑成为“肉鸡”

1.关闭高危端口：

第一步，点击“开始”菜单/设置/控制面板/管理工具，双击打开“本地安全策略”，选中“IP 安全策略，在本地计算机”，在右边窗格的空白位置右击鼠标，弹出快捷菜单，选择“创建 IP 安全策略”，于是弹出一个向导。在向导中点击“下一步”按钮，为新的安全策略命名；再按“下一步”，则显示“安全通信请求”画面，在画面上把“激活默认相应规则”左边的钩去掉，点击“完成”按钮就创建了一个新的IP 安全策略。

第二步，右击该IP安全策略，在“属性”对话框中，把“使用添加向导”左边的钩去掉，然后单击“添加”按钮添加新的规则，随后弹出“新规则属性”对话框，在画面上点击“添加”按钮，弹出IP筛选器列表窗口；在列表中，首先把“使用添加向导”左边的钩去掉，然后再点击右边的“添加”按钮添加新的筛选器。

第三步，进入“筛选器属性”对话框，首先看到的是寻址，源地址选“任何 IP 地址”，目标地址选“我的 IP 地址”；点击“协议”选项卡，在“选择协议类型”的下拉列表中选择“TCP”，然后在“到此端口”下的文本框中输入“135”，点击“确定”按钮（如左图），这样就添加了一个屏蔽 TCP 135（RPC）端口的筛选器，它可以防止外界通过135端口连上你的电脑。

点击“确定”后回到筛选器列表的对话框，可以看到已经添加了一条策略，重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口，为它们建立相应的筛选器。

重复以上步骤添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略，建立好上述端口的筛选器，最后点击“确定”按钮。

第四步，在“新规则属性”对话框中，选择“新 IP 筛选器列表”，然后点击其左边的圆圈上加一个点，表示已经激活，最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中，把“使用添加向导”左边的钩去掉，点击“添加”按钮，添加“阻止”操作（右图）：在“新筛选器操作属性”的“安全措施”选项卡中，选择“阻止”，然后点击“确定”按钮。

第五步,进入“新规则属性”对话框，点击“新筛选器操作”，

其左边的圆圈会加了一个点，表示已经激活，点击“关闭”按钮，关闭对话框；最后回到“新IP安全策略属性”对话框，在“新的IP筛选器列表”左边打钩，按“确定”按钮关闭对话框。在“本地安全策略”窗口，用鼠标右击新添加的 IP 安全策略，然后选择“指派”。

重新启动后，电脑中上述网络端口就被关闭了，病毒和黑客再也不能连上这些端口，从而保护了你的电脑。

2.及时打补丁 即升级杀毒软件

肉鸡捕猎者一般都是用“灰鸽子”病毒操控你的电脑，建议用灰鸽子专杀软件杀除病毒。

3.经常检查系统

经常检查自己计算机上的杀毒软件，防火墙的目录，服务，注册表等相关项。

黑客经常利用用户对它们的信任将木马隐藏或植入这些程序。

警惕出现在这些目录里的系统属性的DLL。（可能被用来DLL劫持）

警惕出现在磁盘根的pagefile.sys.(该文件本是虚拟页面交换文件。也可被用来隐藏文件。要检查系统的页面文件的盘符是否和它们对应)

4.盗版Windows XP存在巨大风险

如果你的操作系统是其它技术人员安装，或者有可能是盗版XP，比如电脑装机商的**版本，蕃茄花园XP，雨木林风XP，龙卷风XP等。这样的系统，很多是无人值守安装的。安装步骤非常简单，你把光盘放进电脑，出去喝茶，回来就可能发现系统已经安装完毕。

这样的系统，最大的缺陷在哪儿呢？再明白不过，这种系统的管理员口令是空的，并且自动登录。也就是说，任何人都可以尝试用空口令登录你的系统，距离对于互联网来说，根本不是障碍。

5.小心使用移动存储设备

在互联网发展起来之前，病毒的传播是依赖于软磁盘的，其后让位于网络。现在，公众越来越频繁的使用移动存储设备（移动硬盘、U盘、数码存储卡）传递文件， 这些移动存储设备成为木马传播的重要通道。计算机用户通常把这样的病毒称为[1][2][3]U盘病毒或AUTO病毒。意思是插入U盘这个动作，就能让病毒从一个U盘传播到 另一台电脑。

6.安全上网

成为肉鸡很重要的原因之一是浏览不安全的网站，区分什么网站安全，什么网站不安全，这对普通用户来说，是很困难的。并且还存在原来正常的网站被入侵植入木马的可能性，也有被ARP攻击之后，访问任何网页都下载木马的风险。

上网下载木马的机会总是有的，谁都无法避免，只能减轻这种风险。

浏览器的安全性需要得到特别关注，浏览器和浏览器插件的漏洞是黑客们的最爱，flash player漏洞就是插件漏洞，这种漏洞是跨浏览器平台的，任何使用flash player的场合都可能存在这种风险。

[编辑本段]成为肉鸡后的自救方法

一、正在上网的用户，发现异常应首先马上断开连接

如果你发现IE经常询问是你是否运行某些ActiveX控件，或是生成莫名其妙的文件、询问调试脚本什么的，一定要警惕了，你可能已经中招了。典型的上网被入侵有两种情况：

一是浏览某些带恶意代码的网页时候被修改了浏览器的默认主页或是标题，这算是轻的；还有就是遇到可以格式化硬盘或是令你的Windows不断打开窗口，直到耗尽资源死机——这种情况恶劣得多，你未保存和已经放在硬盘上的数据都可能会受到部分或全部的损失。

二是潜在的木马发作，或是蠕虫类病毒发作，让你的机器不断地向外界发送你的隐私，或是利用你的名义和邮件地址发送垃圾，进一步传播病毒；还有就是黑客的手工入侵，窥探你的隐私或是删除破坏你的文件。

自救措施：马上断开连接，这样在自己的损失降低的同时，也避免了病毒向更多的在线电脑传播。请先不要马上重新启动系统或是关机，进一步的处理措施请参看后文。

二、中毒后，应马上备份、转移文档和邮件等

中毒后运行杀毒软件杀毒是理所当然的了，但为了防止杀毒软件误杀或是删掉你还未处理完的文档和重要的邮件，你应该首先将它们备份到其他储存媒体上。有些长文件名的文件和未处理的邮件要求在Windows下备份，所以上文笔者建议你先不要退出Windows，因为病毒一旦发作，可能就不能进入Windows了。

不管这些文件是否带毒，你都应该备份，用标签纸标记为“待查”即可。因为有些病毒是专门针对某个杀毒软件设计的，一运行就会破坏其他文件，所以先备份是防患于未然的措施。等你清除完硬盘内的病毒后，再来慢慢分析处理这些额外备份的文件较为妥善。

三、需要在Windows下先运行一下杀CIH的软件（即使是带毒环境）

如果是发现了CIH病毒，要注意不能完全按平时报刊和手册建议的措施，即先关机、冷启动后用系统盘来引导再杀毒，而应在带毒的环境下也运行一次专杀CIH的软件。这样做，杀毒软件可能会报告某些文件受读写保护无法清理，但带毒运行的实际目的不在于完全清除病毒，而是在于把CIH下次开机时候的破坏减到最低，以防它在再次开机时破坏主板的BIOS硬件，导致黑屏，让你下一步的杀毒工作无法进行。

四、需要干净的DOS启动盘和DOS下面的杀毒软件

到现在，就应该按很多杀毒软件的标准手册去按部就班地做。即关机后冷启动，用一张干净的DOS启动盘引导；另外由于中毒后可能Windows已经被破坏了部分关键文件，会频繁地报告非法操作，所以Windows下的杀毒软件可能会无法运行。所以请你也准备一个DOS下面的杀毒软件以防万一。

即使能在Windows下运行杀毒软件，也请用两种以上工具交叉清理。在多数情况下Windows可能要重装，因为病毒会破坏掉一部分文件让系统变慢或出现频繁的非法操作。比如即使杀了CIH，微软的Outlook邮件程序也是反应较慢的。建议不要对某种杀毒软件带偏见，由于开发时候侧重点不同、使用的杀毒引擎不同，各种杀毒软件都是有自己的长处和短处的，交叉使用效果较理想。

五、如果有Ghost和分区表、引导区的备份，用之来恢复一次最保险

如果你在平时用Ghost备份做了Windows的，用之来镜像一次，得到的操作系统是最保险的。这样连潜在的未杀光的木马程序也顺便清理了。当然，这要求你的Ghost备份是绝对可靠的。要是作Ghost的时候把木马也“备份”了就后患无穷了。

六、再次恢复系统后，更改你的网络相关密码

包括登录网络的用户名、密码，邮箱的密码和QQ的密码等，防止黑客用上次入侵过程中得到的密码进入你的系统。另外因为很多蠕虫病毒发作会向外随机发送你的信息，所以及时地更改是必要的。

[编辑本段]电脑肉鸡的商业价值

1.盗窃“肉鸡”电脑的虚拟财产

虚拟财产有：网络游戏ID帐号装备、QQ号里的Q币、联众的虚拟荣誉值等等。虚拟财产，是可以兑现为真实货币的，多少不限，积累起来就是财富。

2.盗窃“肉鸡”电脑里的真实财产

真实财产包括：网上银行，大众版可以进行小额支付，一旦你的网银帐号被盗，最多见的就是要为别人的消费买单了。此外，还有网上炒股，证券大盗之类的木马不少，攻击者可以轻易获得网上炒股的帐号，和银行交易不同的是，攻击者不能利用偷来的炒股帐号直接获益，这是由股票交易的特殊性决定的。不然，网上炒股一定会成为股民的噩梦。

相当多的普通电脑用户不敢使用网上银行，原因就是不了解该怎样保护网上银行的帐号安全。事实上，网上银行的安全性比网上炒股强很多。正确使用网上银行，安全性和便利性都是有保障的。

3.盗窃他人的隐私数据

陈冠希事件，相信大家都知道，如果普通人的隐密照片、文档被发布在互联网上，后果将会十分严重。利用偷来的受害人隐私信息进行诈骗、勒索的案例不少。

还有攻击者热衷于远程控制别人的摄像头，满足偷窥他人隐私的邪恶目的。

如果偷到受害人电脑上的商业信息，比如财务报表、人事档案，攻击者都可以谋取非法利益。

4.可利用受害人的人脉关系获取非法利益

你或许认为你的QQ号无足轻重，也没QQ秀，也没Q币。实际上并非如此，你的QQ好友，你的Email联系人，手机联系人，都是攻击者的目标，攻击者可以伪装成你的身份进行各种不法活动，每个人的人脉关系都是有商业价值的。

最常见的例子就是12590利用偷来的QQ号群发垃圾消息骗钱，还有MSN病毒，自动给你的联系人发消息骗取非法利益。

5.在肉鸡电脑上种植流氓软件，自动点击广告获利

这种情况下，会影响你的上网体验，相信所有人都很讨厌电脑自动弹出的广告。攻击者在控制大量肉鸡之后，可以通过强行弹出广告，从广告主那里收获广告费，流氓软件泛滥的原因之一，就是很多企业购买流氓软件开发者的广告。

还有的攻击者，通过肉鸡电脑在后台偷偷点击广告获利，当然，受损的就是肉鸡电脑了。

6.以肉鸡电脑为跳板（代理服务器）对其它电脑发起攻击

黑客的任何攻击行为都可能留下痕迹，为了更好的隐藏自己，必然要经过多次代理的跳转，肉鸡电脑充当了中介和替罪羊。攻击者为传播更多的木马，也许会把你的电脑当做木马下载站。网速快，机器性能好的电脑被用作代理服务器的可能性更大。

7.“肉鸡”电脑是发起DDoS攻击的马前卒

DDoS，你可以理解为网络黑帮或网络战争，战争的发起者是可以获取收益的，有人会收购这些网络打手。这些网络黑帮成员，也可以直接对目标主机进行攻击，然后敲诈勒索。“肉鸡”电脑，就是这些网络黑帮手里的一个棋子，DDoS攻击行为已经是网络毒瘤。

总之，“肉鸡”电脑是攻击者致富的源泉，在攻击者的圈子里，”肉鸡“电脑就象白菜一样被卖来卖去。在黑色产业链的高端，这些庞大”肉鸡“电脑群的控制者构筑了一个同样庞大又黑暗的木马帝国。

黑客说的肉鸡是什么

★★★您好，我是【零度工作室】的烧卖，很高兴能帮助您解决问题★★★ 被黑客控制的电脑叫肉鸡 可以偷肉鸡资料、密码、 设置成跳板以便入侵别人。 入侵别人后清理脚印。 网警就查不到 主使人的IP了。 ★★★【零度工作室版权所有，严禁非本工作室者抄袭复制】★★★

成了肉鸡该怎么办.?

禁鸡！检查隐藏的“肉鸡”——4招查出隐藏在电脑中的木马

天涯 (2007年5月14日 第19期)

木马在互联网上肆虐，我们一不小心就会成为黑客手中的肉鸡。到时自己的电脑成为被黑客控制的傀儡，而且自己的个人隐私也完全暴露。拒绝黑客控制，我的电脑我做主。在五一节后这一黑客大肆捕获肉鸡的时段开始了，我们针对木马特点，用4招自检避免成为黑客肉鸡。

小知识：肉鸡实际上就是中了黑客的木马，或者被安装了后门程序的电脑。黑客可以像计算机管理员一样对肉鸡进行所有操作。现在许多人把有WEBSHELL权限的远程主机也叫做肉鸡。

第一招：系统进程辨真伪

当前流行的木马，为了更好地对自身加以隐藏，使用了很多方法进行自身隐蔽，其中最常见的就是进程隐藏。这种方法不仅让人很难通过常见的检查手法查找到，如果用户操作不当的话还可能将系统进程删除，造成系统不稳定甚至崩溃。常见的这类木马程序包括灰鸽子、守望者、上兴木马等。

自检方法

黑客为了对木马进行更好的伪装，常常将木马名称设置得和系统进程名称十分相似。通常系统进程都是有System用户加载的，如果我们发现某个“系统进程”是由当前用户加载的，那么这个“系统进程”一定有问题。

另外我们也可以从系统进程的路径来进行分辨，比如正常的系统进程svchost.exe应该在“c:\Windows\system32”目录下，如果用户发现它的路径在其他目录下就表明该进程有问题。

除此以外，现在的木马很注意对自身服务端程序的保护，我们通过“任务管理器”很可能查看不到木马的服务端进程，因为木马程序通过线程插入等技术对服务端程序进行了隐藏。

在这里树树建议大家使用IceSword（下载地址：）对进程进行管理。它除了可以查看各种隐藏的木马后门进程，还可以非常方便地终止采用多线程保护技术的木马进程。

进入IceSword点击“文件→设置”命令，去掉对话框中的“不显示状态为Deleting的进程”选项。点击程序主界面工具栏中的“进程”按钮，在右边进程列表中就可以查看到当前系统中所有的进程，隐藏的进程会以红色醒目地标记出（图1）。

图1

另外，如果发现多个IE进程、Explore进程或者Lsass进程，那么我们就要留意了。因为很多木马都会伪装成这几个进程访问网络。

应对方法

在IceSword的进程列表中选择隐藏的木马程序，点击鼠标右键中的“强行结束”命令即可结束这个进程。然后点击IceSword的“文件”按钮，通过程序模拟的资源管理器命令，找到并删除木马程序的文件即可。]

第二招：启动项中细分析

一些木马程序通过系统的相关启动项目，使得相关木马文件也可以随机启动，这类木马程序包括TinyRAT、Evilotus、守望者等。

检方法

运行安全工具SysCheck（下载地址：），点击“服务管理”按钮后即可显示出当前系统中的服务信息，如果被标注为红色的就是增加的非系统服务。通过“仅显示非微软”选项就可以屏蔽系统自带的服务，这样恶意程序添加的服务项就可以立刻现形。

点击“修改时间”或“创建时间”选项，就可以让用户马上查看到新建的系统服务（图2）。从图中我们可以看到一个被标注为红色、名称为Windows Media Player的系统服务，该服务所指向的是一个不明程序路径。因此可以确定该服务就是木马程序的启动服务。

图2

通过安全工具SysCheck的“活动文件”项目，可以显示出包括启动项等信息在内的、容易被恶意程序改写的系统注册表键值。比如现在某些恶意程序，通过修改系统的“load”项进行启动，或者修改系统的BITS服务进行启动。由于SysCheck程序只是关注改写了的键值，所以在不同的系统上显示的内容并不一样。

应对方法

进入SysCheck点击鼠标右键中的“中止服务”选项，中止该木马程序的启动服务，接着点击“删除服务”命令删除指定的服务键值。然后点击“文件浏览”按钮，由于SysCheck采用了反HOOK手段，所以内置的资源管理器可以看到隐藏的文件或文件夹，这样就方便了我们进行隐藏文件的删除工作。按照木马服务所指的文件路径，找到文件后点击鼠标右键中的“删除”按钮即可。

第三招：系统钩子有善恶

木马程序之所以能成功地获取用户账号信息，就是通过钩子函数对键盘以及鼠标的所有操作进行监控，在辨别程序类型后盗取相应的账号信息。也就是说，只要拥有键盘记录功能的木马程序，就肯定会有系统钩子存在。

自检方法

通过游戏木马检测大师（下载地址：）的“钩子列表”功能，可以显示系统已经安装的各种钩子，这样可以显示出当前网络中流行的主流木马。

点击“钩子列表”标签进行钩子信息的查看，并且不时点击鼠标右键中的“刷新”命令对系统钩子进行刷新。因为木马程序只有在键盘记录的时候才会启用钩子，如果大家中了木马，那么很快就会在列表中有所发现了。在本例中一个名为WH_JOURNALRECORD可疑的钩子被程序以显著颜色标记出来（图3）。

图3

这个钩子是用来监视和记录输入事件的，黑客可以使用这个钩子记录连续的鼠标和键盘事件。在此时，我们就应该引起重视，不要再使用QQ等需要输入密码的程序。

应对方法

清除方法比较简单，只要记录下动用系统钩子的进程PID，通过PID值找到该木马程序的进程后结束该进程，再输入“Regedit”打开注册表编辑器，并点击“编辑”菜单中的“查找”命令，在此窗口搜索该木马程序进程的相关消息，将找到的所有信息全部删除。

重新启动计算机，只要在安全模式下删除系统目录中的木马文件信息即可。当然也可以通过前面几种方式进行相互检测，这样可以更加有效地清除系统中的木马程序。

第四招：数据包里藏乾坤

现在，越来越多的木马程序利用了Rootkit技术。Rootkit是一种集合了系统间谍程序、病毒以及木马等特性的一种恶意程序，它利用操作系统的模块化技术，作为系统内核的一部分进行运行，有些Rootkits可以通过替换DLL文件或更改系统来攻击Windows平台。

自检方法

同样我们还是使用游戏木马检测大师这款程序，利用它的“发信检测”功能来判断自己的系统中是否被安装了木马程序。在使用该功能以前，首先需要判断系统的网卡是否工作正常。

我们关闭其他一切会扰乱网络数据捕捉的程序，然后去除“只捕获smtp发信端口（25）和Web发信端口（80）”选项，点击“开始”按钮就可以进行数据包的捕捉。如果这时捕捉到有数据包发出，就证明自己的系统中存在木马程序。

根据木马程序连接方式的不同，捕捉到的数据信息也不尽相同，但是捕捉到客户端程序的IP地址还是没有问题的（图4）。用过嗅探器的朋友都知道，我们可以通过设置过滤病毒特征数据包来发现蠕虫病毒，当然这种方法需要一定的相关知识，这里就不再叙述了。

图4

应对方法

对于这种利用Rootkit技术的木马程序，可以直接通过一些Rootkit检测工具进行查看。比如检测工具Rootkit Detector（下载地址：），它通过程序内置的MD5数据库，来比较所检测到的Windows 2000/XP/2003 系统全部服务和进程的MD5校验值，这样就可以检测出系统下的Rootkit程序。

在命令提示符窗口运行命令：rd.exe，程序会自动对当前系统进行检测。程序首先会统计出系统中服务的数目、当前的进程，以及被隐藏的进程，并且将系统当前的进程用列表显示出来，然后进入安全模式进行删除即可。

常见木马以及病毒专杀工具

在这里，我们向大家提供能速杀流行木马以及病毒的专杀工具。我们可以根据需要，搭配使用这些专杀工具，让自己的电脑更加安全。

灰鸽子专杀工具

瑞星：

熊猫烧香专杀工具

金山：

麦英病毒专杀工具

江民：

威金病毒专杀工具

江民：

-------------------------------------------------------------------------------------------------------------------

当心PC变成“肉鸡”——巧用WinRAR来抓鸡

湖南 王强 (2007年9月10日 第36期)

所属主题：抓鸡系列

杀伤力值：★★

操作难度：较低

适合读者：普通读者

WinRAR已经成为用户电脑中必装的软件，可你想过黑客会利用它来抓鸡吗？这是真的，只需一个小小的WinRAR漏洞利用程序，就可以把.rar格式的文件变成抓鸡工具。一旦运行了文件就会变成黑客的肉鸡。这是目前抓鸡比较有效的方法之一，我们应该如何防范呢？下面我们就来揭开谜底。

小知识：抓鸡是黑客常用术语，意思是指主动通过某些程序（如木马程序或远程控制程序的客户端）或技术手段控制用户的PC机，被控制的PC机称之为肉鸡。

为什么要用WinRAR漏洞抓鸡

网络上流传有很多可执行文件捆绑工具，这些工具虽然可以方便的将两个或多个可执行文件捆绑为一个程序，并且可以进行简单的伪装，但是其原理却决定了其不可能成为完美的捆绑工具，目前主流的杀毒软件都可以轻易地将它清除掉。

而用WinRAR漏洞捆绑木马来抓鸡就很有优势，因为普通捆绑检测都是用16进制编辑工具查看程序PE头进行判定的（大部分捆绑程序检测工具用的就是这个原理），但是这条不适合这个漏洞。

小提示：该漏洞的原理是由于WinRAR在处理LHA格式文件时存在边界条件错误，而若将一个经处理后文件改为长文件名并附加成LHA文件，再调用相应参数生成新的压缩包后，被WinRAR打开的时候就会导致本地缓冲溢出。

当用户点击压缩包时会出现错误提示（图1），这时木马程序就已经悄悄运行了，肉鸡就到手了。所以如果我们用这个漏洞来抓鸡，成功率是十分高的，比原始的3389端口抓鸡的成功率高多了。

图1

如何用WinRAR漏洞抓鸡

Step1：将WinRAR的利用程序放到任意目录中，例如C盘根目录。

Step2：单击菜单中“开始→运行”命令，输入“cmd”运行“命令提示符”。将光标切换到“c：”，输入“rar.exe”查看利用程序的使用方法。其使用方法为：“rar [选项] ”。

其中“选项”可以指定生成的文件名以及选择溢出的操作系统等操作。我们使用默认的配置，可以不输入，有需要的话可以添加相应的“选项”。

Step3：将配置好的木马服务端程序也放到C盘根目录，并命名为123.exe。在“命令提示符”中输入命令：“rar 123.exe”，如果回显中出现“All Done! Have fun!”字样即表示捆绑有木马的WinRAR文件生成了（图2）。

图2

Step4：最后我们要做的就是将这个捆绑有木马程序的WinRAR文件发送给别人，当对方运行这个WinRAR文件时，将会出现错误，但是木马已经悄悄地在对方系统后台运行了。对方的电脑也就成了我们的肉鸡（图3）。

图3

不过要充分利用这个漏洞，光靠触发漏洞是不够的，木马的配置也很重要，例如要设置运行后删除自身，安装服务端时不出现提示等，这样当用户运行恶意WinRAR文件时只会出现WinRAR的错误提示，是丝毫感觉不到木马运行的。接着我们还要给木马加上免杀，例如加壳处理和修改特征码等，否则被杀毒软件检测出来岂不前功尽弃。

小提示：运行漏洞利用工具时请先关闭杀毒软件，因为杀毒软件会把它当作黑客工具给清除掉。

防范技巧

1.不要运行陌生人发过来的文件。这是老生常谈的问题了，只不过以前只针对可执行文件，现在连WinRAR也不能轻易运行了。

2.识别恶意的WinRAR文件。在运行WinRAR文件之前，我们可以先对其进行检查，确定无危害后再运行，检查的方法为：右键单击WinRAR文件，在菜单中如果没有“用WinRAR打开 ”这一项，则说明压缩包有异常，不要轻易打开！

3.升级WinRAR到3.7以上的版本，新版本打开虽仍会提示出错，但木马程序不会运行。

攻防博弈

攻 黑客：虽然很多人都有给系统打补丁的习惯，但会给应用软件升级的人少之又少，所以将捆绑有木马的WinRAR文件上传到软件下载网站或一些资源论坛中，将大大增加抓到的肉鸡数量。抓鸡的方法多种多样，我们还可以用135端口来抓安全意识不强的鸡。

防 编辑：系统软件的漏洞可以通过自动更新来解决，而工具软件的漏洞只能通过经常关注一些专业媒体的提醒，定期升级程序来解决。同时养成良好安全习惯，不接收不下载来路不明的压缩文件才是最好的防范方法！至于135端口抓鸡，只要我们关闭了端口，调高了防火墙的安全等级就不用惧怕。

-----------------------------------------------------------------------------------------------------------------------

小心端口招蜂引蝶——防范用135端口抓鸡的黑手

万立夫 (2007年9月17日 第37期)

新学期到了，许多学生都要配机，新电脑的安全防卫做好了吗？能不能拒绝成为黑客的肉鸡？令人遗憾的是，很多新手都不知道或者忽视了对敏感端口的屏蔽。例如135端口，一旦黑客利用135端口进入你的电脑，就能成功地控制你的机子。我们应该如何防范通过135端口入侵呢？下面我们就为大家来揭开谜底。

小知识：每台互联网中的计算机系统，都会同时打开多个网络端口，端口就像出入房间的门一样。因为房间的门用于方便人们的进出，而端口则为不同的网路服务提供数据交换。正如房间的门可以放进小偷一样，网络端口也可以招来很多不速之客。

一、为什么135端口会被利用来抓鸡

如今，大多数黑客都使用网页木马来捕捉肉鸡，为什么还有一些黑客老惦记着135端口呢？主要原因有两个：

一个原因是135端口是WMI服务默认打开的端口。由于WMI服务是Windows系统提供的服务，因此利用它入侵不但不会引起用户注意还很方便，只需要一个脚本代码就可以对远程系统进行管理。WMI服务默认打开的是135端口，因此WMI入侵也被称之为135端口入侵。

另外一个原因是135端口开放的机子实在不少，这种现象可能是由于每年新增加的电脑用户的安全意识不强或者不知道怎么关闭造成的。令人担忧的是，连3389这样危险的端口也可以在网络上搜出不少。

小知识：WMI服务是“Microsoft Windows 管理规范”服务的简称，可以方便用户对计算机进行远程管理，在很多方面和系统服务远程桌面十分相似。只不过远程桌面是图形化操作，而WMI服务是利用命令行操作而已。

WMI服务需要“Windows Management Instrumentation”服务提供支持。而这个服务是默认启动的，而且是系统重要服务，这样就为入侵提供了便利。正是由于它可以进行远程控制操作，因此系统的安全性也就随之下降，因此被称之为永远敝开的后门程序。

二、黑客是怎么利用135端口抓鸡的

Step1：黑客入侵的第一步就是扫描网络中开启了135端口的远程系统。扫描使用的工具有很多，这里使用的工具是常见的《S扫描器》（下载地址：），因为它的扫描速度非常快。单击开始菜单中的“运行”命令，输入“cmd”打开命令提示符窗口，然后输入下面一段命令：S tcp 192.168.1.1 192.168. 1.255 135 100 /save（图1）。

图1

前面和后面的IP地址表示扫描的开始和结束地址，后面的135表示扫描的端口，100表示扫描的线程数，数值越大表示速度越快。需要特别说明的是，很多Windows系统默认限制线程为10，我们需要利用修改工具改调这个限制才行。

小提示：例如我们打开《比特精灵》的安装目录，运行其中的BetterSP2.exe，在弹出窗口的“更改限制为”选项中设置为256，最后点击“应用”按钮并且重新启动系统即可。

Step2：从已经打开135端口的电脑中筛选可以入侵的目标。首先打开S扫描器目录中的IP地址文件Result.txt，对文本文件中多于的信息进行删除，只保留和IP地址相关的内容。接着运行破解工具NTScan（下载地址：），它可以对远程系统进行破解（图2）。

图2

在NTScan窗口中的“主机文件”中设置IP地址文件，选中WMI扫描类型，然后在“扫描端口”中设置为135。最后点击“开始”按钮就可以进行破解操作，破解成功的主机地址都保存在NTScan.txt中。

Step3：现在利用Recton这款工具来上传我们的木马程序（下载地址：）。点击窗口中的“种植”标签，在NTScan.txt中寻找一个地址，接着将它添加到“远程主机设置”选项中。然后选择“Http下载”选项，并在“文件目录”设置木马程序的网页链接地址，最后点击“开始执行”按钮即可（图3）。

图3

这样木马程序就利用135端口上传到远程主机，并且在系统后台已经悄悄地运行了。这种方式不需要远程用户参予，因此它的隐蔽性和成功率都非常高，并且适何肉鸡的批量捕捉，但是上传的木马程序一定要经过免杀处理才行。

小提示：运行黑客工具的时候需要先关闭杀毒软件，因为杀毒软件会把它们当作病毒给清除掉。

三、防范技巧

1.利用网络防火墙屏蔽系统中的135端口，这样就让黑客入侵从第一步开始就失败。除此以外，像139、445、3389这些端口也是我们要屏蔽的端品。

2.增强当前系统中管理员的账号密码的强度，比如密码至少设置6位以上，并且其中包括数字、大小写字母等。这样黑客工具就不能轻易地破解我们的账号密码，这样即使是扫描到我们的135端口也无济于事。

3.安装最新版本的杀毒软件，并且将病毒库更新到最新，这个已经是老生常谈的问题。如果有可能的话，用户最好使用带有主动防御功能的杀毒软件。

攻防博弈

攻 黑客：利用135端口的确可以捕捉到大量肉鸡，不过要花费比较多的时间。随着操作系统的不断更新，以及人们对135端口进行防范的加强，这种方法已经逐渐菜鸟化，真正的高手不屑一顾。黑客抓鸡的方法有很多，比如我们还可以利用迅雷进行捆绑木马的传播，这是个较流行的抓鸡方法。

防编辑：既然黑客利用135端口入侵，我们只要将相关功能进行禁止，或加以限制就可以了。另外，对于黑客使用迅雷进行捆绑木马的传播，除了在下载的过程中利用迅雷的安全功能进行检测以外，还可以利用《网页木马拦截器》这款工具。无论是网页木马还是捆绑木马，只要运行就会被拦截并且提示用户注意。

----------------------------------------------------------------------------------------------------------------

Ps：以上内容引自电脑报

（不必恐慌，积极应对解决才是上策）