“如果你能把不利的形势转化成有利的形势，那么你正走在通往成功的路上。”——拿破仑希尔

　　——网络世界，这个表面看起来风平浪静的生态，背后无时不在发生着弱肉强食的事件，就像森林里生物链一样默默发生着变化，而外边望去却一片平静。

　　商业正在改变着这个领域的生态。这个领域的生态也在改写着现实世界的商业秩序——利益的驱动，使黑客一词的含义正在悄悄地酝酿着嬗变：这些黑客们不仅创富于虚拟世界，同时也被现实的商战所利用。

　　一线调查

　　黑客自揭“黑色产业”链条

　　关闭你电脑所有的程序(包括应用程序和

　　操作系统内部程序)，然后再联上网络，有没有发现ADSL猫的几只“绿眼睛”在不停地眨眼，电脑网线接口处的信号灯也在配合着不停地闪烁。

　　如果是，你的电脑已经染上病毒，正在为别人工作——这样的电脑被黑客称之为“肉鸡”(即被黑客控制的电脑)。

　　黑客控制着你的电脑并发出小小的数据包，内容可能包含着电脑中的机密，也可能指令你的电脑向其他电脑继续传播病毒。

　　在中国，有上百万的网民如你一般，毫无察觉地为网络黑色产业链无偿地“贡献着力量”。

　　2007年3月，被认为互联网病毒业“标志性建筑”的“灰鸽子”工作室表示，将停止研发“灰鸽子”病毒。但是由于“灰鸽子”源代码已经在网络上广为流传，“灰鸽子”的余威依旧将在互联网上肆虐。在“灰鸽子”和“熊猫烧香”之后，互联网黑色资金链条并没有发生改变。

　　创富链条

　　“熊猫烧香”的覆灭并没有危及黑色利益链的运转。

　　“做病毒一定要低调。”

　　黑客肖嘲笑着“熊猫烧香”的英雄主义，“圈内都知道，设计病毒忌讳带图标，像‘熊猫烧香’那样，形成了品牌，最终只能惹火烧身。”

　　黑客肖今年30岁，在程序设计领域已经堪称“大师”级的人物，被称为“造枪人”，他可以为买家们制造出各种各样病毒——偷盗账户的、捕获“肉鸡”的、发送垃圾邮件的、发送广告的……

　　在接受记者采访的前几天，黑客肖的QQ号被一位崇拜者在网上对外公布了，于是每天有几十个想购买病毒程序的下家主动来“敲门”。

　　黑客肖非常谨慎，他尽量只把一个写好的程序卖给一个下家，“把枪卖得太多，传播的就越多越快，我可不能像‘熊猫烧香’那样引起民愤。”

　　黑客肖有两台电脑——台式机和笔记本，在他房间的任何角落都能够上网，在接受记者采访时，他毫无表情地倚靠在沙发上，只有在打开电脑的瞬间，狡黠的表情才回到了他的脸上。

　　“我们的圈子用QQ群和地下留言板进行联系，一切都是网上交易。我从来不和‘买枪’的人见面。这样只能增加风险。”“买枪人”是黑客肖的下家，也就是购买病毒的人，通常“买枪人”会在QQ群上“招标”——“想买一匹马用来做XX”，这句黑话的解释是，“想找人设计一个木马程序。”于是有能力造枪的人便去“竞标”。

　　“‘买枪人’基本买两种枪。一种是他们需要的病毒，另一种是购买某个网站的漏洞，供他们入侵。”黑客肖透露，“设计简单的病毒，一般的程序员都会做，但是收入不多。原先普通的木马病毒只卖3000元，但是买家可以拿它赚取几十万元的利润——现在有了新的合作模式，即与卖家进行分账。”

　　黑客肖所说的分账，有点类似出版业的版税模式，即“买枪人”的每一笔收益都给“造枪人”提成。据了解，熊猫烧香的程序设计者，每天入账收入近1万元。

　　“这还不是最赚钱的，真正赚钱的是卖网站漏洞。这可不是一般程序员能做的，只有掌握了高超技艺的人才能在大企业的网站中找到漏洞。”黑客肖有些得意，“由于找漏洞多数是企业之间利用这些设计漏洞进行攻击，所以一个漏洞可以卖到几万到几十万元不等。”

　　不仅如此，黑客还会被要求设计病毒的升级程序以及反杀毒程序。

产业链已具团伙性质

　　“现在每台‘肉鸡’一周的租金只要7美分。”

　　“不，中国只要9分，而且是人民币。”

　　在一个内部会议中，公安部网监司的一位处长正与一家网络机房工程师对话。面对时价，该处长哑口无言。1万台“肉鸡”可以发送450万个数据包，占用4.5G的带宽，能够让绝大多数网站处于瘫痪的状态。这些“肉鸡”组成了一个中等的僵尸网络。

　　据中国互联网安全的最高机构——国家计算机网络应急技术处理协调中心(以下简称CNCERT/CC)的监测数据显示，目前，中国的互联网世界中，有5个僵尸网络操控的“肉鸡”规模超过10万台，个别僵尸网络能达到30万台的规模。这些僵尸网络可以被租借、买卖，黑客们每年可以有上百万元的收入。

　　2006年末至2007年初，类似僵尸网络这样的互联网安全事件，呈现出爆发式的增长。CNCERT/CC接到的报警数量超过日常的两倍。

　　在网络病毒被制造者卖出之后，病毒的旅行才刚刚开始。

　　“以一个盗窃虚拟财产的病毒为例，买枪的人拿到程序后，通常会雇佣一个僵尸网络来传播病毒。传播出去的病毒可以偷窃用户的网络游戏的游戏币，以及可以偷盗游戏中的武器，把偷盗的序列号发回到指定的信箱中。”黑客肖说。

　　“僵尸网络是传播病毒的核心，但是也有比较简单的传播病毒的方法。”黑客肖笑了笑，“你早上起床，来到一个网吧，把网吧中的30台机器都染上病毒，然后你就可以回家等着收钱了。因为，来网吧的人基本都是聊天和打游戏的，无论是盗取Q币还是游戏币都可以获益。”

　　这时，每台中毒的计算机、程序设计者或者是僵尸网络的持有者，都可以拿到五分到五角之间不等的收益。

　　黑色产业链发展到这一阶段，已经出现了明显的分工，“一个团伙通常有十几个人，有人负责传播病毒，有人负责卖偷盗来的虚拟货币，有人负责洗钱。”

　　“对虚拟货币的洗钱方式，通常是团伙内的人，在一个网络游戏上开设许多账号，比如偷来网络游戏中的一件武器，在这些账号上被多次转移后，再卖出。游戏公司也没有办法，因为不知道哪些账号是真的游戏玩家，哪些是买卖的人。”黑客肖说。

　　其他偷盗来的虚拟货币则会以批发价向下一级代理出售。

　　此外，黑客们设计的其他木马程序还会被刻成光盘，批量生产，进行销售。根据“独家性”和“功能性”，价格可能几十元，也可能上千元。

　　还有一些黑客组织可以提供恶意广告插件的服务，使用户的电脑弹出特定的窗口。据透露，弹出窗口每千次的售价是12元，而国内目前至少有50家恶意广告代理商，据CNCERT/CC保守估计，年产值能够达到1.08亿元。

　　2006年2月，公安部门抓获黑客组织“玫瑰骑士”，他们既攻击网站又代理广告，抓获时，其流动资金已达上千万元。

　　在2006年的最后一天，公安部还抓获了一家专门进行网络敲诈的传媒公司，公司内部的几个人专门从事“拒绝服务攻击”，让用户无法登录相关网站，并向网站勒索钱财。他们最先只是花2000元购买了一个攻击傀儡僵尸的软件，随后向十多家网站发起攻击，其中3家网站在很短时间内便上交了3000元的保护费。

    1.玉树临风麦咖啡：McAfee VirusScan 10.0.27简体版

    系统支持：[url=]Win2003/Winvista/WinXP/Win[/url]

    软件大小：10.22MB

    软件语言：简体中文

    软件授权：免费

    软件简介：McAfee防毒软件，除了操作介面更新外，也将该公司的WebScanX功能合在一起，增加了许多新功能！除了帮你侦测和清除病毒，它还有VShield自动监视系统，会常驻在System Tray，当你从磁盘、网络上、E-mail夹文件中开启文件时便会自动侦测文件的安全性，若文件内含病毒，便会立即警告，并作适当的处理，而且支持鼠标右键的快速选单功能，并可使用密码将个人的设定锁住让别人无法乱改你的设定。

    使用方法：安装之后使用电子邮箱注册，可以使用1年。安装之后有注册提示，按照提示一步一步进行就可以了。

    下载地址：http://download.zol.com.cn/link/11/104760.shtml

    2.神秘杀手AVAST！：avast！ Home Edition 4.7.936简体中文版

    软件大小：12642KB

    软件语言：简体中文

    软件类别：国外软件/免费版/杀毒软件

    运行环境：Win9x/Me/NT/2000/XP/2003

    软件简介：avast！ Home Edition是一款免费的防毒软件，但功能上可是一点也不逊色，它拥有着一个近几100%的完全防护功能，不论是文件、电子邮件，甚至是P2P以及IM软件，均在它的防护之下，它的网络防护功能，就如同一个轻量级的防火墙，让我们不论是计算机系统安全或是网络安全，都受到它严密的保护。和专业版相比，少了两个可有可无的功能，无所谓。来自捷克，在欧洲很响亮的杀毒软件，号称唯一可以和NOD32抗衡的软件。

    使用方法：安装之后是两个月试用版，按照提示使用电子邮箱注册一下，可以使用14个月。升级之后版本变成4.7.942.

    下载地址：http://www.newhua.com/soft/48465.htm

    3.能力超强小红伞：Avira AntiVir PersonalEdition Classic7.0

    软件大小：13M

    软件语言：英语

    软件类别：国外软件/免费版/杀毒软件

    运行环境：Windows NT / 2000 / XP

    软件简介：来自德国的小红伞，这个是免费的C版，对于小红伞，我不想多说什么，各大论坛都有很好的口碑，我的评价只有一个字——强！这个东西只有英文版，由于内核保护问题，不能汉化，建议有一定英语基础的朋友使用。

    使用方法：安装就可以用，注意设置，需要开启启发扫描功能。

    下载地址：http://www.free-av.com/down/windows/antivir_workstation_win7u_en_h.exe

    http://www.free-av.com/

    4.免费先锋：ClamWin Free Antivirus v0.90

    软件大小：5.56M

    软件语言：英语

    软件类别：国外软件/免费版/杀毒软件

    运行环境：Win9x/Me/NT/2000/XP/2003

    软件简介：ClamWin是一套功能非常优秀的免费防毒软件。它的体积非常娇小，不会占用太多计算机资源，不像其它防毒软件安装之后会拖累整台计算机的速度。而且除了强大的文件与电子邮件防护能力之外，它还拥有排程扫描、在线更新病毒码、及时侦测等功能，和市面上知名防毒软件比起来一点也不逊色！

    使用方法：安装就可以用了。建议英语好的朋友使用。

    官方网站：http://www.clamwin.com/

    下载页面：http://www.clamwin.com/content/view/18/46/

    5.性能强大AVG：AVG Anti-Virus 7.5 Build 447a967

    软件大小：未知

    软件语言：英语

    软件类别：国外软件/免费版/杀毒软件

    运行环境：Win9x/Me/NT/2000/XP/2003

    软件简介：AVG Anti-Virus System功能上相当完整，可即时对任何存取文件侦测，防止电脑病毒感染；可对电子邮件和附加文件进行扫瞄，防止电脑病毒透过电子邮件和附加文件传播；“病毒资料库”里面则记录了一些电脑病毒的特性和发作曰期等相关资讯；“开机保护”可在电脑开机时侦测开机型病毒，防止开机型病毒感染。在扫毒方面，可扫瞄磁碟片、硬盘、光盘机外，也可对网络磁碟进行扫瞄。在扫瞄时也可只对磁碟片、硬盘、光盘机上的某个目录进行扫瞄。可扫瞄文件型病毒、巨集病毒、压缩文件（支持ZIP，ARJ，RAR等压缩文件即时解压缩扫描）。在扫瞄时如发现文件感染病毒时会将感染病毒的文件隔离至AVG Virus VauIt，待扫瞄完成后在一并解毒。

    使用方法：安装之前先去http://www.grisoft.com/html/webreg.cfm填个表，从回信中得到一个序列号。

    下载地址：http://www.grisoft.com/

    下载AVG Anti-Virus 7.5 Build 447a967

    http://download.grisoft.cz/softw/70/filedir/inst/avg75f_447a967.exe

    下载AVG Anti-Virus with Firewall 7.5 Build 447a967

    http://download.grisoft.cz/softw/70/filedir/inst/avg75afwt_447a967.exe

    6.精简版本卡巴斯基：Active Virus Shield 6.0.308

    软件大小：13900 K

    软件语言：简体中文

    软件类别：国外软件/免费版/杀毒软件

    运行环境：Win9x/Me/NT/2000/XP/2003

    软件简介：美国在线AOL周一推出了一款免费的杀毒软件，更令人激动的是，这款软件实际上是由俄罗斯安全软件专家卡巴斯基为其编写的。软件包含了实时监控，邮件扫描，每小时自动更新等功能。除了基本的扫描防护和自动更新外，软件还有许多新的特性，如可在系统繁忙时让出资源，避免减慢系统速度等。该安全软件还为迅驰笔记本电脑及超线程技术做了优化，支持64位Windows操作系统。

    使用方法：到这里申请一个序列号就可以使用1年。精简了部分功能的卡巴斯基

    http://www.activevirusshield.com/antivirus/freeav/get_started.adp

    下载地址：http://dl.pconline.com.cn/html_2/1/66/id=39050&pn=0.html

    汉化补丁：http://www.hanzify.org//没办法，原地址不能正确显示，进去找吧。

    7.老牌杀毒诺顿：Symantec Antivirus V10.1.4.4000简体中文企业版

    软件大小：28.05MB

    软件语言：简体中文

    软件类别：国外软件/病毒防治

    应用平台：Win2003/WinXP/Win2000/Win9X

    软件简介：Symantec AntiVirus Corporate （诺顿杀毒软件企业版本）是世界上最优秀的杀毒软件之一，这个是企业版本，和专业版本、标准版本相比能为你带来更低的系统资源占用，更可靠的性能！希望大家喜欢！为企业范围内的工作站和网路服务器提供全面的病毒防护-全球唯一病毒码更新的速度远快于病毒散播的速度的病毒防护方案（台湾地区简称-赛门铁克企业防毒组合B-包含工作站及伺服主机的多层次防毒便利授权与中央控管的机制）随着传播性、破坏性强的病毒出现得越来越多，企业范围内的病毒防护需求已经变为一项重要核心业务需求。仅仅在防火墙和电子邮件闸道具有安全性还不能够实现病毒全面防护。工作站以及网路服务器层级的全面病毒防护是确保系统正常运行和用户生产率的重要需求。本来还有更新的10.1.5.500简体版，考虑没有安全下载链接，省去。

    下载地址：http://www.duote.com/soft/3063.html

    8.貌似国产熊猫卫士：Panda Internet Security 2007 v11.00.02（熊猫卫士互联网安全套装2007）

    软件大小：28.79 MB

    软件语言：不明

    软件类别：国外软件/病毒防治

    应用平台：Win2003/WinXP/Win2000/Win9X

    软件简介：熊猫卫士是Panda软件公司在中国推出的反病毒产品。Panda软件公司是欧洲第一位的计算机安全产品公司，也是唯一最大的杀病毒软件公司内拥有100%自有技术，且足以同美国相抗衡的公司，同时Panda也是世界上在该领域成长最快的公司。如今Panda Software公司的业务领域已经拓展到美国、中国、丹麦、德国、法国、阿根廷、巴西、保加利亚、塞普路斯、立陶宛、拉脱维亚、新加坡、南非、曰本、加拿大、及印度等32个国家和地区。迄今，Panda Software进军的每一个国家都取得了业务的成功，在所有进入的市场均取得了成功，在欧洲及世界范围内享有卓越的声誉。

    Panda软件公司拥有欧洲最强大的技术开发力量，在欧洲的开发中心有150位开发人员曰夜不停地开发最先进的反病毒技术，同时Panda公司在全球与业界的知名公司机构如Microsoft、ICSA的合作使Panda公司的产品在底层与主流平台紧密结合，同时Panda公司是世界上率先提出365天24小时客户技术支持的反病毒公司，现在该项服务业已成为业界的潮流，而Panda公司的24小时紧急新病毒查杀服务在1998年度全球达到98%的成功率，Panda公司拥有庞大的病毒特征库，多达50，000种。

    熊猫卫士获得的奖项及证书Panda软件公司的产品在世界各地有超过2，000，000用户，其中典型的用户包括：百事、3M、奔驰、爱立信、NEC、松下、西门子、柯达、DHL、波音公司等。Panda公司的产品是世界上唯一同时被世界最权威的杀病毒检测机构ICSA及Checkmark认证的基于Win95/98、Win3.1X、Win NT工作站、Dos、OS/2、NovelNetware、Win NT、MS Exchange服务器及客户机的多平台反病毒产品，Panda软件多次获得最权威的PC Magazine杂志评选的最佳编辑选择奖，并在PC Magazin杂志199x多年度在被评测的杀病毒软件中名列第一。

    使用方法：本来是收费的杀软，但是在美国有免费的送号活动，我们可以借来用用，是送1年的序列号。以下是免费注册地址，注册后即可收到激活码，上网激活后可免费用一年，与正版一摸一样。

    http://www.pandasecurity.com/promotions/itathome/register.aspx

    至于他显示必须美国用户才能注册，因为是美国的一家科技公司赞助的，没别的意思。

    去以下代理即可

    http://server.cemsg.com/

    国内很多邮箱不能注册，我用雅虎的和谷歌的都可以，有人说搜狐也行，我试验没有成功。电话号码一定要填美国的，格式如下：626-258-6523后面的有XXXXX的自己随便填。

    下载地址：http://www.crsky.com/soft/8710.html

    http://down1.tech.sina.com.cn/do…5-09-20/12576.shtml

    9.强横霸道卡巴斯基：卡巴斯基杀毒软件单机版6.0

    这个软件不用我多说了，地球人都知道的东西，杀毒能力世界第一，基本上所有的杀毒软件吹嘘自己的杀毒能力的时候都喜欢拿卡巴作为参照物，是所有杀毒软件准备超越的目标和梦想。本来是要花钱的，安装一个360安全卫士可以得到半年正版注册码，稍微动动手脚可以得到两个，能用一年。使用方法当然是下载360安全卫士豪华版，安装的时候把卡巴斯基一起安装，然后就可以得到激活码，就这么简单。华军软件园、太平洋、天空下载和360官方网站都可以下载，不知道网址就百度一下。

    10.潇洒凌厉NOD32：NOD32杀毒软件

    NOD32在全球共获得超过100多个奖项，包括Virus Bulletin， PC Magazine， ICSA认证， Checkmark认证等，更加是全球唯一通过42次VB100%测试的防毒软件，高据众产品之榜首！

    注意：请于安装后立刻更新您的病毒库以保障您的电脑获得最好的保护！

    注意：若您的电脑装有NOD32试用版，您必须在安装商业版之前将试用版卸装并重新启动电脑！

    没有正版ID的。用升级服务器http://u3.safeexpert.net/

    注意：得到ID之后先进行注册，得到用户名和密码，安装的时候用，切记，不然可能出问题。

    软件下载：NOD32简体版2.51 http://www.nod32cn.com/download/download.php#sc

    NOD32简体版2.70 http://download2.eset.com/download/win/v2st/ndntchst.exe

    如今，还在持续更新的QQ盗号软件已经所剩无几，其中最为著名，流传最广的则非“啊拉QQ大盗”莫属，目前绝大多数的QQ号被盗事件都是由这个软件引起的。软件的使用条件很简单，只要你有一个支持smtp发信的邮箱或者一个支持asp脚本的网页空间即可。而且该木马可以将盗取的QQ号自动分为靓号和非靓号两种，并将它们分别发送到不同的信箱中，这也是“啊拉QQ大盗”如此流行的原因之一。接下来，便让我们先来了解一下其工作原理，以便从中找到反击的良方。

    1、选择盗号模式

    下载“啊拉QQ大盗”，解压后有两个文件：alaqq.exe、爱永恒，爱保姆qq.asp.其中alaqq.exe是“啊拉QQ大盗”的配置程序，爱永恒，爱保姆qq.asp是使用“网站收信”模式时需使用的文件。正式使用之前，还需要设置其参数。

    “邮箱收信”配置：运行alaqq.exe，出现程序的配置界面。在“发信模式选择”选项中选中“邮箱收信”，在“邮箱收信”填写电子邮箱地址（建议使用程序默认的163.com网易的邮箱）。这里以邮箱n12345@163.com（密码n_12345）为例来介绍“邮箱收信”模式时的配置，并进行下文中的测试。此外，在“收信箱（靓）”和“收信箱（普）”中可以填入不同的邮箱地址用来接受QQ靓号和普通QQ号。然后在“发信服务器”下拉框中选择自己邮箱相应的smtp服务器，这里是smtp.163.com.最后填入发信箱的帐号、密码、全称即可。

    设置完毕后，我们可以来测试一下填写的内容是否正确，点击下方“测试邮箱”按钮，程序将会出现邮箱测试状态。如果测试的项目都显示成功，即可完成邮箱信息配置。

    “网站收信”配置：除了选择“邮箱收信”模式之外，我们还可以选择“网站收信”模式，让盗取的QQ号码自动上传到指定的网站空间。当然，在使用之前，也需要做一些准备工作。

    用FTP软件将爱永恒，爱保姆qq.asp上传支持ASP脚本的空间，运行alaqq.exe，在“Asp接口地址”中输入爱永恒，爱保姆qq.asp所在的URL地址，那么，当木马截获QQ号码信息后，就会将其保存于爱永恒，爱保姆qq.asp同目录下的qq.txt文件中。

    2、设置木马附加参数

    接下来我们进行高级设置。如果勾选“运行后关闭QQ”，对方一旦运行“啊拉QQ大盗”生成的木马，QQ将会在60秒后自动关闭，当对方再次登录QQ后，其QQ号码和密码会被木马所截获，并发送到盗号者的邮箱或网站空间中。此外，如果希望该木马被用于网吧环境，那就需要勾选“还原精灵自动转存”，以便系统重起后仍能运行木马。除这两项外，其他保持默认即可。

    3、盗取QQ号码信息

    配置完“啊拉QQ大盗”，点击程序界面中的“生成木马”，即可生成一个能盗取QQ号码的木马程序。我们可以将该程序伪装成图片、小游戏，或者和其他软件捆绑后进行传播。当有人运行相应的文件后，木马会隐藏到系统中，当系统中有QQ登录时，木马便会开始工作，将相关的号码及密码截取，并按照此前的设置，将这些信息发送到邮箱或者网站空间。

    二、练就慧眼，让木马在系统中无处可逃

    现在，我们已经了解了“啊拉QQ大盗”的一般流程，那么如何才能从系统中发现“啊拉QQ大盗”呢？一般来说，如果碰到了以下几种情况，那就应该小心了。

    ·QQ自动关闭。
    ·运行某一程序后其自身消失不见。
    ·运行某一程序后杀毒软件自动关闭。
    ·访问杀毒软件网站时浏览器被自动关闭。
    ·如果杀毒软件有邮件监控功能的，出现程序发送邮件的警告框。
    ·安装有网络防火墙（例如天网防火墙），出现NTdhcp.exe访问网络的警告。

    出现上述情况的一种或多种，系统就有可能已经感染了“啊拉QQ大盗”。当然，感染了木马并不可怕，我们同样可以将其从系统中清除出去。

    1、手工查杀木马。发现系统感染了“啊拉QQ大盗”后我们可以手工将其清除。“啊拉QQ大盗”运行后会在系统目录中的system32文件夹下生成一个名为NTdhcp.exe的文件，并在注册表的启动项中加入木马的键值，以便每次系统启动都能运行木马。我们首先要做的就是运行“任务管理器”，结束其中的木马进程“NTdhcp.exe”。然后打开资源管理器中的“文件夹选项”，选择其中的“查看”标签，将其中“隐藏受保护的操作系统文件”选项前面的勾去掉。接着进入系统目录中的system32文件夹，将NTdhcp.exe文件删除。最后进入注册表删除NTdhcp.exe键值，该键值位于HKEY_LOCAL_MACHINE\Software \Microsoft \Windows \Currentversion \Run.

    2、卸载木马。卸载“啊拉QQ大盗”很简单，只要下载“啊拉QQ大盗”的配置程序，运行后点击其中的“卸载程序”按钮即可将木马完全清除出系统。

    三、以退为进，给盗号者以致命一击

    忙乎了半天，终于把系统中的“啊拉QQ大盗”彻底清除，那么，面对可恶的盗号者，我们是不是应该给他一个教训呢？

    1、利用漏洞，由守转攻

    这里所谓的“攻”，并不是直接入侵盗号者的电脑，相信这种“技术活”并不适合大家。这里只是从盗号软件几乎都存在的漏洞入手，从而给盗号者一个教训。

    那么这个漏洞是什么呢？

    从此前对“啊拉QQ大盗”的分析中可以看到，配置部分填写了收取QQ号码信息邮件的邮箱帐号和密码，而邮箱的帐号和密码都是明文保存在木马程序中的。因此，我们可以从生成的木马程序中找到盗号者的邮箱帐号和密码。进而轻松控制盗号者的邮箱，让盗号者偷鸡不成反蚀把米。

    提示：以上漏洞仅存在于将QQ号码信息以邮件发送方式的木马，如果在配置“啊拉QQ大盗”的过程中选择使用网站接收的方式则不存在该漏洞。

    2、网络嗅探，反夺盗号者邮箱

    当木马截取到QQ号码和密码后，会将这些信息以电子邮件的形式发送到盗号者的邮箱，我们可以从这里入手，在木马发送邮件的过程中将网络数据包截取下来，这个被截获的数据包中就含有盗号者邮箱的帐号和密码。截取数据包时我们可以使用一些网络嗅探软件，这些嗅探软件可以很轻松得截取数据包并自动过滤出密码信息。

    ·x-sniff

    x-sniff是一款命令行下的嗅探工具，嗅探能力十分强大，尤其适合嗅探数据包中的密码信息。

    将下载下来的x-sniff解压到某个目录中，例如“c：\”，然后运行“命令提示符”，在“命令提示符”中进入x-sniff所在的目录，然后输入命令“xsiff.exe -pass -hide -logpass.log”即可（命令含义：在后台运行x-sniff，从数据包中过滤出密码信息，并将嗅探到的密码信息保存到同目录下的pass.log文件中）。

    嗅探软件设置完毕，我们就可以正常登录QQ.此时，木马也开始运行起来，但由于我们已经运行x-sniff，木马发出的信息都将被截取。稍等片刻后，进入x-sniff所在的文件夹，打开pass.log，便可以发现x-sniff已经成功嗅探到邮箱的帐户和密码。

    ·sinffer

    可能很多朋友对命令行下的东西都有一种恐惧感，所以我们可以使用图形化的嗅探工具来进行嗅探。例如适合新手使用的sinffer.

    运行sinffer之前，我们需要安装WinPcap驱动，否则sinffer将不能正常运行。

    运行sinffer.首先我们需要为sinffer.exe指定一块网卡，点击工具栏上的网卡图标，在弹出的窗口中选择自己使用的网卡，点“OK”后即可完成配置。确定以上配置后，点击sinffer工具栏中的“开始”按钮，软件即开始了嗅探工作。

    接下来，我们正常登陆QQ，如果嗅探成功，就会在sinffer的界面中出现捕获的数据包，其中邮箱帐号密码信息被很清晰得罗列了出来。

    得到盗号者的邮箱帐号和密码以后，我们可以将其中的QQ号码信息邮件全部删除，或者修改他的邮箱密码，给盗号者一个教训，让我们菜鸟也正义一把！

1典型配置命令

The ip helper-address configuration command allows the router to forward local DHCP requests to one or more centralized DHCP servers:

Router1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#interface Ethernet0
Router1(config-if)#ip helper-address 172.25.1.1 /*指定dhcp服务器的地址，表示通过Ethernet0向该服务器发送DHCP请求包*/
Router1(config-if)#ip helper-address 172.25.10.7 /*作用同上*/
Router1(config-if)#end
Router1#

关于以上配置的讨论
1 在客户端设备和DHCP服务器不再同一广播域内的时候，中间设备即路有器（路有功能的设备）必须要能够转发这种广播包，具体到cisco的设备上，则启用ip helper-address命令，来实现这种中继。
2 DHCP服务器要给终端设备分配地址则需要掌握两个重要的信息，第一，该客户端设备所在网络的子网掩码，DHCP服务器依据子网掩码的信息来判断，服务器该分配哪个IP地址，以使得该ip地址在那个子网内，第二，DHCP服务器必须知道客户端的MAC地址，以维护DHCP服务器的ip 地址和MAC之间的映射关系，由此保证同样一台客户机，每次启动后能获得和前一次相同的ip地址。
3 配置了ip helper-address命令之后的路由器在中继DHCP请求时的工作过程如下

a,DHCP客户端发送请求，由于没有ip地址，所以自己的源IP地址为0.0.0.0，而且也不知道目的DHCP服务器的地址，所以为广播255.255.255.255。该数据报中当然还包含其他信息，比如二层的信息，源mac地址，和目的mac地址FFFFFFFFFFFF。

b，当路由器接收到该数据报的时候，他就用自己的接口地址（接收到数据报的接口）来取代源地址0.0.0.0，并且用ip help-address 命令中指定的地址（上例中为172.25.1.1以及172.25.10.7）来取代目的地址255.255.255.255

The router must replace the source address with its own IP address, for the interface that received the request. And it replaces the destination address with the address specified in the ip helper-address command. The client device's MAC address is included in the payload of the original DHCP request packet, so the router doesn't need to do anything to ensure that the server receives this information.

c 当DHCP服务器接收到路有器转发过来的DHCP请求包时，他有了足够的信息，（由源IP地址中的地址，确定客户机所在的子网掩马，由此分配相应地址池中的空闲地址，并且知道了客户记得MAC地址，把它写入自己的数据库，建立IP地址和MAC的映射关系）然后DHCP服务器做出响应，并且由路有器把数据报转发会客户端。（整个过程应该在客户机和服务器之间还有一次会话，由于这不是路由器DHCP配置的讨论重点，这里不谈）

4 例子中配置了两个DHCP服务器，我们必须分别用ip helper-address 命令指明，路有器会转发DHCP请求包到所有的DHCP服务器上。很多企业的做法都是至少有两台DHCP服务器，有提高冗余和可靠性的作用。此时，如果客户端受到几个来自不同DHCP服务器的应答，则只选择最先接收到的应答数据报。

5 必须要注意的是；ip helper-address 命令不仅仅是只转发DHCP请求包，事实上，在默认情况下，他还转发其他的UDP报（比如DNS请求）到ip helper-address命令所指定的服务器上，所以这种额外的数据流量可能会增加DHCP服务器链路的负担以及服务器CPU负担，可能会引起问题，关于解决办法，将在后面讨论。

最后 用show ip interface 显示相关的ip help-address配置信息:

Router1#show ip interface Ethernet0
Ethernet0 is up, line protocol is up
Internet address is 192.168.30.1/24
Broadcast address is 255.255.255.255
Address determined by setup command
MTU is 1500 bytes
Helper addresses are 172.25.1.3
172.25.1.1
Directed broadcast forwarding is disabled

Router1#

问题的提出:

正如前面章节说描述的那样，路由器上配置IP helper addresses命令后，默认情况下路由器不仅转发dhcp请求，同时也转发其他的udp报，这样很可能会增加DHCP 服务器所在链路的负担，同时也增加了DHCP 服务器的CPU利用率，这可能会引起很严重的网络通信问题。
所以cisco 的ios 提供了限制ip helpe-address 命令所带来的负面影响的方法。

解决实例；
CISCO路由器允许用no ip forward-protocol udp 命令来禁止对所无意义的UDP`数据报的转发

Router1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#no ip forward-protocol udp tftp
//禁止转发tftp请求数据报文
Router1(config)#no ip forward-protocol udp nameserver
//禁止转发nameserver请求数据报文
Router1(config)#no ip forward-protocol udp domain
//禁止转发domain请求数据报文
Router1(config)#no ip forward-protocol udp time
//禁止转发time请求数据报文
Router1(config)#no ip forward-protocol udp netbios-ns
//禁止转发netbios-ns请求数据报文
Router1(config)#no ip forward-protocol udp netbios-dgm
//禁止转发netbios-dgm请求数据报文
Router1(config)#no ip forward-protocol udp tacacs
//禁止转发tacacs请求数据报文
Router1(config)#end
Router1#

关于配置的相关讨论；
1 配置了DHCP中继的路由器，默认情况下也转发下列udp 广播报文.

2 尤其是在windows的网络环境中，在没有配置no ip forward-protocol udp 的情况下，DHCP 服务器会接受到来自各个不同网段的大量的NetBIOS 请求报文，这通常是引起网络拥挤，阻塞的一个很大的原因，所以作为一个基本的配置准则，我们推荐你使用no ip forward-protocol udp netbios-ns 和 no ip forward-protocol udp netbios-dgm 这两条配置命令来限制路由器向DHCP服务器转发NetBIOS请求报文。

3 上面的实例中禁止了所有不必要的协议的转发，在实际的应用中，很多大公司通常只禁止NetBIOS 请求报文的转发，这主要是因为NetBIOS 报文是引起网络问题的关键原因所在。

4 必须认识到，配置了udp中继（ip hlpe-address x.x.x.x.）的路由器并没有实现针对不同协议，转发到不同的（或者说指定的服务器上）的功能。她会傻傻的，一古脑儿的把所有的协议(上表中所列的协议)，义无反顾的发往所有的服务器。
例如，有server1 为dhcp 服务器（1.1.1.1 ） server2 为dns服务器（2.2.2.2）

在路由器上 配置如下后
Router1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#interface Ethernet0
Router1(config-if)#ip helper-address 1.1.1.1
Router1(config-if)#ip helper-address 2.2.2.2
Router1(config-if)#end
Router1#

实际效果是，不管是server1还是server2都将接收到包括dhcp请求，dns请求，以及其他udp的请求报文。

问题的提出:
把路由器配置为dhcp的服务器端，以对路由器下所连接的客户工作站进行ip地址的分配。
（这可真是一个了不起的改进！路由器从此腰身一变，看上去更加多姿多彩了）

解决实例；
下面的配置命令，可以配置路由器为DHCP服务器，用以给DHCP客户端动态分配ip地址。

Router1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#service dhcp //开启 DHCP 服务
Router1(config)#ip dhcp pool 172.25.1.0/24 //定义DHCP地址池
Router1(dhcp-config)#network 172.25.1.0 255.255.255.0 // 用network 命令来定义网络地址的范围
Router1(dhcp-config)#default-router 172.25.1.1 //定义要分配的网关地址
Router1(dhcp-config)#exit
Router1(config)#ip dhcp excluded-address 172.25.1.1 172.25.1.50 //该范围内的ip地址不能分配给客户端
Router1(config)#ip dhcp excluded-address 172.25.1.200 172.25.1.255 //该范围内的ip地址不能分配给客户端
Router1(config)#end
Router1#

关于配置的相关讨论；

1 CISCO路由器的dhcp服务器功能也是在ios 12.0(1)T.以后才出现的，这一功能的出现，使我们没有必要在专门网络的中心（或者说企业本部）另外配置一台DHCP server，从而降低了网络构建成本。

2 在路由器上直接配置dhcp服务器相比于传统的在专门服务器上实现dhcp有其独到的优点。
比如

A 由于传统的构建方法是，在企业的总部设立DHCP服务器，各分支机构通过路有器去获取ip地址，所以当dhcp服务器出现问题的时候，整个企业的网络都会受到影响，而如果把dhcp 服务器功能设在各个分支机构的路由器上实现，则某个分支机构的路由器DHCP出现问题，就只能影响该分支机构的网络本身，而其他分支机构则不受任何影响。从而可见，实现了问题的局部化。

B 在各分支机构的路由器上实现DHCP服务器功能后，大量的DHCP UDP请求报文将不会通过wan link 转发到 中心机构上去，由此，相比于传统的方式，它有减少广域网负荷的优点。

C 同样的道理，在各分支机构的路由器上实现DHCP服务器功能后，如果某条广域网连路坏了，本地的局域网依然能够正常运行

D基于路由器的DHCP 具有很高的可管理性，它通过ios的命令界面是比较容易配置的。

3 上边的配置例子，我们用ip dhcp exclude-address 命令来指定不能用来被分配的ip地址,这种配置往往是很需要的（甚至说是必需的，几乎所有的；路有其DHCP 服务器配置中都会有），因为往往有一些地址我们会用来作为其他的用途，比如，我们至少应该保留路有器本身的地址不被分配给dhcp客户端，还有一些比如说网络服务器，打印机等等，我们也往往会给他指定静态的地址，所以这一部分地址。我们不允许路有其分配出去，上例中的172.25.1.1 到172.25.1.50 之间，172.25.1.200 到172.25.1.255的地址就做了保留。

4 当路由器给客户端动态分配地址后，就会绑定（binding）分配的ip地址以及客户端设备的mac地址信息，保存在路由器的配置中，以便下一次相同的mac地址请求dhcp服务也能够获得同样的ip地址。下面给出的例子是，用show ip dhcp binding 命令显示的 ip binding的信息。其中Lease expiration 表示该ip 地址，客户端还能占有的时间，（当然客户端可以在期满之前再次发送dhcp请求报，事实上dhcp的规范也是有这样的规定的，即在租期还有一半时间的时候就会发出dhcp请求，如果租期更新失败，那么再过省下时间的一半的时候，他还会发出dhcp的请求，依此类推。）

Router1#show ip dhcp binding
IP address Hardware address Lease expiration Type
172.25.1.51 0100.0103.85e9.87 Apr 10 2003 08:55 PM Automatic
172.25.1.52 0100.50da.2a5e.a2 Apr 10 2003 09:00 PM Automatic
172.25.1.53 0100.0103.ea1b.ed Apr 10 2003 08:58 PM Automatic
Router1#

问题的提出:
DHCP的租期（DHCP Lease Periods）是DHCP相关知识中，一个比较重要的该概念，这里单独列出来进行说明。

基本的配置如下；

Router1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#ip dhcp pool 172.25.2.0/24
Router1(dhcp-config)#lease 2 12 30
Router1(dhcp-config)#end
Router1#

关于配置的讨论；
1 lease 命令的基本格式是 lease [days] [hours] [minutes]
上面的例子，表示设定DHCP租约为2天12小时30分。 你可以配置最大值为365天23小时59秒，也可以设置最小值1秒。默认的DHCP租约是1天。

2 一般的规则是，对于那种dhcp客户端数量比较大，并且客户端联入网络，断开网络比较频繁的场合，一般把租约的时间配置的比较短，这样子使得ip地址很快被收回，可以供另外的dhcp请求客户使用。比较经典的场合时比如飞机场的无线网络。但是越短的租约，也使得dhcp请求包过多，增加了网络的负担。

3 相反的，在一个相对稳定的网络环境中，比如小型的办公室网络，由于客户端的数量往往变化不大，所以可以考虑适当的增加dhcp的租约。这样做的主要好处是，可以减少dhcp服务器的负担。

4 记住，客户端在自己的租约还有一半的时候，就会向服务器发出更新租约的请求，如果成功，则租约从新恢复为完整的租期，如果失败，则又过剩下的一半租约后，再发出更新请求，如此规律，直到成功更新为止。

5 在很多场合，默认的一天的租约是比较合理的，一般很少作修改。

5 一种比较极端的配置是，你可以规定租约为永久，即一旦客户端获得了ip地址后，只要他不物理断网，以后就再也不会向服务器发送dhcp租约更新请求了。这种配置在现实中就更加少见了。
配置命令如下；

Router1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#ip dhcp pool COOKBOOK
Router1(dhcp-config)#lease infinite //规定租约为无限制
Router1(dhcp-config)#end
Router1#

6 你可以用show ip dhcp binding 命令察看dhcp租约。
Router1#show ip dhcp binding
IP address Hardware address Lease expiration Type
172.25.1.33 0100.0103.85e9.87 Infinite Manual
172.25.1.53 0100.0103.ea1b.ed Apr 11 2003 08:58 PM Automatic
172.25.1.57 0100.6047.6c41.a4 Apr 11 2003 09:17 PM Automatic
Router1#