用gina抓住黑客

发布时间：2011-03-06 15:06:32作者：知识屋

如今网上黑客横行，稍不留神就可能被黑客光顾，避如前段时间我们空间商的服务器就被入侵了，数据都被删光了，所以要想在网上生存，做好安全措施是必不可少的。一般我们都只重视对机器进行安全设置，而往往忽略了被入侵后的信息收集问题，今天我就介绍三种让黑客留下痕迹的方法，希望能对大家有所帮助。
一、利用“木马”进行记录
1.木马简介
这里要用到的是一个很特殊的dll木马，它可以把通过终端登陆的用户名、密码，以及域信息记录到指定文件中。不要以为这些信息没什么用哦！有时候就得*这些零散的信息来找入侵的人。
在下载的压缩包内，有三个文件：
SysGina32.dll--这个就是可以记录用户名和密码的东东了。
Gina.exe--这是安装DLL木马用的程序，有了它后安装起来就很方便了。
使用方法.txt--这个很熟悉吧！中文帮助文件哦！有什么不懂的可以查查。
2.安装木马
先把SysGina32.dll和Gina.exe放在同一目录下，并将Gina.exe改名为svchost.exe(你也可以改成其它名字，为的是不让黑客注意到)，然后打开CMD，切换到保存这两个文件的文件夹，输入命令：svchost.exe -install，当出现“All Done，Gina setup success”信息时，安装就成功了。
注意：
a.该木马已被杀毒软件查杀，所以安装时请关闭杀毒软件(不是关闭防火墙哦！)，而且以后重启时杀毒软件不能一起启动，以后杀一次毒重新装一次该木马。不过如果你能让该木马不被杀毒软件的话，那就没这么麻烦了。
b.为了不让黑客发现我们设的陷阱，最好将Gina.exe文件改名，而且要改的艺术一点，比如上面我把它改成了“svchost.exe”，这样就很难发现了，如果你改成了其它名字，安装时命令就要换成“文件名.exe -install”。
c.SysGina32.dll和Gina.exe这两个文件不一定要复制到系统安装目录的system32下，不过最好不要太引人注意，如果被黑客发现，那就可能适得其反了(木马也会记下你的密码的)。
d.如果出现的信息是“Found Exist Gina”，这说明你机器已经装过该木马了，此时键入“Y”覆盖即可。
3.查看“踪迹”
经过以上设置后，如果有人通过终端服务登录你的机器，那么他的用户名和密码就会被记录到“C:＼WINNT＼system32＼GinaPwd.txt”这个文件中，打开这文件就可以看到入侵者的踪迹了。由于该木马也会记录你的密码，所以每次进入机器时，请先打开GinaPwd.txt这文件，把你的用户名和密码删掉，顺便查一下有没有其它人登录过。
4.删除木马
如果你的机器不幸被人中了该木马，那么请按如下方法删除：
先下载该木马，在CMD下输入命令：gina.exe -remove，当出现“ Gina Dll was removed success”时，就表示删除成功了，接着重启机器即可。
注意：如果你把gina.exe改名了，命令也要做相应改变：文件名.exe -
二、写个批处理记录黑客行踪
1.认识批处理
对于批处理文件，你可以把它理解成批量完成你指定命令的文件，它的扩展名为 .bat 或 .cmd，只要在文本文件中写入一些命令，并把它保存为.bat 或 .cmd格式，然后双击该文件，系统就会按文本文件中的命令逐条执行，这样可以节省你许多的时间。
2.编写批处理文件
打开记事本，然后输入如下命令：
@echo off
date /t >>d:＼3389.txt
attrib +s +h d:＼3389.bat
attrib +s +h d:＼3389.txt
time /t >>d:＼3389.txt
netstat -an |find "ESTA
BLISHED" |find ":3389" >>d:＼3389.txt
然后把文件保存为d:＼3389.bat，这里我解释一下命令的意思，date和time是用于获取系统时间的，这样可以让你知道黑客在某天的某个时刻入侵。“attrib +s +h d:＼3389.bat”和“attrib +s +h d:＼3389.txt”这两个命令是用来隐藏3389.bat和3389.txt这两个文件的，因为在登录时，由于会启动d:＼3389.bat这个文件，所以会有一个CMD窗口一闪而过，有经验的黑客应该能判断出这窗口是记录用的，所以他可能会到处找这个记录文件，用了以上两个命令后，即使他用系统自带的搜索功能以3389为关键字进行搜索，也找不到上面3389.bat和3389.txt这两个文件，哈哈！很棒吧！至于“netstat -an |find "ESTABLISHED" |find ":3389" >>d:＼3389.txt”这个命令则是记录通过终端的连结状况的，明白了吧！