色狼||宝马

最基本的系统进程（也就是说，这些进程是系统运行的基本条件，有了这些进程，系统就能正常运行）:
smss.exe Session Manager
csrss.exe 子系统服务器进程
winlogon.exe 管理用户登录
services.exe 包含很多系统服务
lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务)
产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务)
svchost.exe 包含很多系统服务
svchost.exe
SPOOLSV.EXE 将文件加载到内存中以便迟后打印。(系统服务)
explorer.exe 资源管理器
internat.exe 托盘区的拼音图标
附加的系统进程（这些进程不是必要的，你可以根据需要通过服务管理器来增加或减少）:
mstask.exe 允许程序在指定时间运行。(系统服务)
regsvc.exe 允许远程注册表操作。(系统服务)
winmgmt.exe 提供系统管理信息(系统服务)。
inetinfo.exe 通过 Internet 信息服务的管理单元提供 FTP 连接和管理。(系统服务)
tlntsvr.exe 允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务)
允许通过 Internet 信息服务的管理单元管理 Web 和 FTP 服务。(系统服务)
tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。远程安装服务的一部分。(系统服务)
termsrv.exe 提供多会话环境允许客户端设备访问虚拟的 Windows 2000 Professional 桌面会话以及运行在服务器上的基
于 Windows 的程序。(系统服务)
dns.exe 应答对域名系统(DNS)名称的查询和更新请求。(系统服务)
以下服务很少会用到，上面的服务都对安全有害，如果不是必要的应该关掉
tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力。(系统服务)
支持以下 TCP/IP 服务：Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。(系统服务)
ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。(系统服务)
ups.exe 管理连接到计算机的不间断电源(UPS)。(系统服务)
wins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。(系统服务)
llssrv.exe License Logging Service(system service)
ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。(系统服务)
RsSub.exe 控制用来远程储存数据的媒体。(系统服务)
locator.exe 管理 RPC 名称服务数据库。(系统服务)
lserver.exe 注册客户端许可证。(系统服务)
dfssvc.exe 管理分布于局域网或广域网的逻辑卷。(系统服务)
clipsrv.exe 支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页面。(系统服务)
msdtc.exe 并列事务，是分布于两个以上的数据库，消息队列，文件系统，或其它事务保护资源管理器。(系统服务)
faxsvc.exe 帮助您发送和接收传真。(系统服务)
cisvc.exe Indexing Service(system service)
dmadmin.exe 磁盘管理请求的系统管理服务。(系统服务)
mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。(系统服务)
netdde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。(系统服务)
smlogsvc.exe 配置性能日志和警报。(系统服务)
rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。(系统服务)
RsEng.exe 协调用来储存不常用数据的服务和管理工具。(系统服务)
RsFsa.exe 管理远程储存的文件的操作。(系统服务)
grovel.exe 扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向一个数据存储点，以节省磁盘空间。(系统服务)
SCardSvr.exe 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统服务)
snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系统服务)
snmptrap.exe 接收由本地或远程 SNMP 代理程序产生的陷阱消息，然后将消息传递到运行在这台计算机上 SNMP 管理程序
。(系统服务)
UtilMan.exe 从一个窗口中启动和配置辅助工具。(系统服务)
msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。(系统服务)

色狼||宝马

详细说明：


win2k运行进程
Svchost.exe
Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位
在系统的%systemroot%\\system32文件夹下。在启动的时候，Svchost.exe检查注册表中的位置来构建需要
加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务，
以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。
Svchost.exe 组是用下面的注册表值来识别。

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Svchost
每个在这个键下的值代表一个独立的Svchost组，并且当你正在看活动的进程时，它显示作为一个单独的
例子。每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务。每个Svchost组都包含一个
或多个从注册表值中选取的服务名，这个服务的参数值包含了一个ServiceDLL值。
HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\Service

更多的信息
为了能看到正在运行在Svchost列表中的服务。
开始－运行－敲入cmd
然后在敲入 tlist -s （tlist 应该是win2k工具箱里的冬冬）
Tlist 显示一个活动进程的列表。开关 -s 显示在每个进程中的活动服务列表。如果想知道更多的关于
进程的信息，可以敲 tlist pid。

Tlist 显示Svchost.exe运行的两个例子。
0 System Process
8 System
132 smss.exe
160 csrss.exe Title:
180 winlogon.exe Title: NetDDE Agent
208services.exe
Svcs: AppMgmt,Browser,Dhcp,dmserver,Dnscache,Eventlog,lanmanserver,LanmanWorkstation,LmHosts,Messenger,PlugPlay,
ProtectedStorage,seclogon,TrkWks,W32Time,Wmi
220 lsass.exe Svcs: Netlogon,PolicyAgent,SamSs
404 svchost.exe Svcs: RpcSs
452 spoolsv.exe Svcs: Spooler
544 cisvc.exe Svcs: cisvc
556 svchost.exe Svcs: EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv
580 regsvc.exe Svcs: RemoteRegistry
596 mstask.exe Svcs: Schedule
660 snmp.exe Svcs: SNMP
728 winmgmt.exe Svcs: WinMgmt
852 cidaemon.exe Title: OleMainThreadWndName
812 explorer.exe Title: Program Manager
1032 OSA.EXE Title: Reminder
1300 cmd.exe Title: D:\\WINNT5\\System32\\cmd.exe - tlist -s
1080 MAPISP32.EXE Title: WMS Idle
1264 rundll32.exe Title:
1000 mmc.exe Title: Device Manager
1144 tlist.exe
在这个例子中注册表设置了两个组。
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Svchost:
netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto Rasman Remoteaccess SENS Sharedaccess
Tapisrv Ntmssvc
rpcss :Reg_Multi_SZ: RpcSs

smss.exe

csrss.exe

这个是用户模式Win32子系统的一部分。csrss代表客户/服务器运行子系统而且是一个基本的子系统
必须一直运行。csrss 负责控制windows，创建或者删除线程和一些16位的虚拟MS-DOS环境。

explorer.exe
这是一个用户的shell（我实在是不知道怎么翻译shell），在我们看起来就像任务条，桌面等等。这个
进程并不是像你想象的那样是作为一个重要的进程运行在windows中，你可以从任务管理器中停掉它，或者重新启动。
通常不会对系统产生什么负面影响。

internat.exe

这个进程是可以从任务管理器中关掉的。
internat.exe在启动的时候开始运行。它加载由用户指定的不同的输入点。输入点是从注册表的这个位置
HKEY_USERS\\.DEFAULT\\Keyboard Layout\\Preload 加载内容的。
internat.exe 加载“EN”图标进入系统的图标区，允许使用者可以很容易的转换不同的输入点。
当进程停掉的时候，图标就会消失，但是输入点仍然可以通过控制面板来改变。

lsass.exe
这个进程是不可以从任务管理器中关掉的。
这是一个本地的安全授权服务，并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是
通过使用授权的包，例如默认的msgina.dll来执行的。如果授权是成功的，lsass就会产生用户的进入
令牌，令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。

mstask.exe
这个进程是不可以从任务管理器中关掉的。
这是一个任务调度服务，负责用户事先决定在某一时间运行的任务的运行。

smss.exe
这个进程是不可以从任务管理器中关掉的。
这是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，
包括已经正在运行的Winlogon，Win32（Csrss.exe）线程和设定的系统变量作出反映。在它启动这些
进程后，它等待Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么
不可预料的事情，smss.exe就会让系统停止响应（就是挂起）。

spoolsv.exe
这个进程是不可以从任务管理器中关掉的。
缓冲（spooler）服务是管理缓冲池中的打印和传真作业。

service.exe
这个进程是不可以从任务管理器中关掉的。
大多数的系统核心模式进程是作为系统进程在运行。

System Idle Process
这个进程是不可以从任务管理器中关掉的。
这个进程是作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分派处理器的时间。


winlogon.exe
这个进程是管理用户登录和推出的。而且winlogon在用户按下CTRL+ALT+DEL时就激活了，显示安全对话框。

winmgmt.exe
winmgmt是win2000客户端管理的核心组件。当客户端应用程序连接或当管理程序需要他本身的服务时这个进程初始化

taskmagr.exe
这个进程当然就是任务管理器了.不要忘哟.

色狼||宝马

第二十一：TCP/IP协议介绍
TCP/IP的通讯协议
这部分简要介绍一下TCP/IP的内部结构，为讨论与互联网有关的安全问题打下基础。TCP/IP协议组之所以流行，部分原因是因为它可以用在各种各样的信道和底层协议（例如T1和X.25、以太网以及RS-232串行接口）之上。确切地说，TCP/IP协议是一组包括TCP协议和IP协议，UDP（User Datagram Protocol）协议、ICMP（Internet Control Message Protocol）协议和其他一些协议的协议组。

TCP/IP整体构架概述

TCP/IP协议并不完全符合OSI的七层参考模型。传统的开放式系统互连参考模型，是一种通信协议的7层抽象的参考模型,其中每一层执行某一特定任务。该模型的目的是使各种硬件在相同的层次上相互通信。这7层是:物理层、数据链路层、网路层、传输层、话路层、表示层和应用层。而TCP/IP通讯协议采用了4层的层级结构，每一层都呼叫它的下一层所提供的网络来完成自己的需求。这4层分别为：

应用层：应用程序间沟通的层，如简单电子邮件传输（SMTP）、文件传输协议（FTP）、网络远程访问协议（Telnet）等。

传输层：在此层中，它提供了节点间的数据传送服务，如传输控制协议（TCP）、用户数据报协议（UDP）等，TCP和UDP给数据包加入传输数据并把它传输到下一层中，这一层负责传送数据，并且确定数据已被送达并接收。

互连网络层：负责提供基本的数据封包传送功能，让每一块数据包都能够到达目的主机（但不检查是否被正确接收），如网际协议（IP）。

网络接口层：对实际的网络媒体的管理，定义如何使用实际网络（如Ethernet、Serial Line等）来传送数据。

TCP/IP中的协议

以下简单介绍TCP/IP中的协议都具备什么样的功能，都是如何工作的：

1． IP

网际协议IP是TCP/IP的心脏，也是网络层中最重要的协议。

IP层接收由更低层（网络接口层例如以太网设备驱动程序）发来的数据包，并把该数据包发送到更高层---TCP或UDP层；相反，IP层也把从TCP或UDP层接收来的数据包传送到更低层。IP数据包是不可靠的，因为IP并没有做任何事情来确认数据包是按顺序发送的或者没有被破坏。IP数据包中含有发送它的主机的地址（源地址）和接收它的主机的地址（目的地址）。

高层的TCP和UDP服务在接收数据包时，通常假设包中的源地址是有效的。也可以这样说，IP地址形成了许多服务的认证基础，这些服务相信数据包是从一个有效的主机发送来的。IP确认包含一个选项，叫作IP source routing，可以用来指定一条源地址和目的地址之间的直接路径。对于一些TCP和UDP的服务来说，使用了该选项的IP包好象是从路径上的最后一个系统传递过来的，而不是来自于它的真实地点。这个选项是为了测试而存在的，说明了它可以被用来欺骗系统来进行平常是被禁止的连接。那么，许多依靠IP源地址做确认的服务将产生问题并且会被非法入侵。

2. TCP

如果IP数据包中有已经封好的TCP数据包，那么IP将把它们向‘上’传送到TCP层。TCP将包排序并进行错误检查，同时实现虚电路间的连接。TCP数据包中包括序号和确认，所以未按照顺序收到的包可以被排序，而损坏的包可以被重传。

TCP将它的信息送到更高层的应用程序，例如Telnet的服务程序和客户程序。应用程序轮流将信息送回TCP层，TCP层便将它们向下传送到IP层，设备驱动程序和物理介质，最后到接收方。

面向连接的服务（例如Telnet、FTP、rlogin、X Windows和SMTP）需要高度的可靠性，所以它们使用了TCP。DNS在某些情况下使用TCP（发送和接收域名数据库），但使用UDP传送有关单个主机的信息。

3.UDP

UDP与TCP位于同一层，但对于数据包的顺序错误或重发。因此，UDP不被应用于那些使用虚电路的面向连接的服务，UDP主要用于那些面向查询---应答的服务，例如NFS。相对于FTP或Telnet，这些服务需要交换的信息量较小。使用UDP的服务包括NTP（网落时间协议）和DNS（DNS也使用TCP）。

欺骗UDP包比欺骗TCP包更容易，因为UDP没有建立初始化连接（也可以称为握手）（因为在两个系统间没有虚电路），也就是说，与UDP相关的服务面临着更大的危险。

4.ICMP

ICMP与IP位于同一层，它被用来传送IP的的控制信息。它主要是用来提供有关通向目的地址的路径信息。ICMP的‘Redirect’信息通知主机通向其他系统的更准确的路径，而‘Unreachable’信息则指出路径有问题。另外，如果路径不可用了，ICMP可以使TCP连接‘体面地’终止。PING是最常用的基于ICMP的服务。

5. TCP和UDP的端口结构

TCP和UDP服务通常有一个客户/服务器的关系，例如，一个Telnet服务进程开始在系统上处于空闲状态，等待着连接。用户使用Telnet客户程序与服务进程建立一个连接。客户程序向服务进程写入信息，服务进程读出信息并发出响应，客户程序读出响应并向用户报告。因而，这个连接是双工的，可以用来进行读写。

两个系统间的多重Telnet连接是如何相互确认并协调一致呢？TCP或UDP连接唯一地使用每个信息中的如下四项进行确认：

源IP地址---发送包的IP地址。

目的IP地址---接收包的IP地址。

源端口---源系统上的连接的端口。

目的端口---目的系统上的连接的端口。

端口是一个软件结构，被客户程序或服务进程用来发送和接收信息。一个端口对应一个16比特的数。服务进程通常使用一个固定的端口，例如，SMTP使用25、Xwindows使用6000。这些端口号是‘广为人知’的，因为在建立与特定的主机或服务的连接时，需要这些地址和目的地址进行通讯。

色狼||宝马

第二十二个：什么是Sniffer


现在人们谈到黑客攻击，一般所指的都是以主动方式进行的，例如利用漏洞或者猜测系统密码的方式对系统进行攻击。但是其实还有一类危害非常大的被动攻击方式往往为大家所忽视，那就是利用Sniffer进行嗅探攻击。
Sniffer，中文可以翻译为嗅探器，是一种威胁性极大的被动攻击工具。使用这种工具，可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式，便可以将网上传输的源源不断的信息截获。黑客们常常用它来截获用户的口令。据说某个骨干网络的路由器曾经被黑客攻人，并嗅探到大量的用户口令。本文将详细介绍Sniffer的原理和应用。

一、Sniffer 原理

1．网络技术与设备简介
在讲述Sni计er的概念之前，首先需要讲述局域网设备的一些基本概念。
数据在网络上是以很小的称为帧（Frame）的单位传输的，帧由几部分组成，不同的部分执行不同的功能。帧通过特定的称为网络驱动程序的软件进行成型，然后通过网卡发送到网线上，通过网线到达它们的目的机器，在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧，并告诉操作系统帧已到达，然后对其进行存储。就是在这个传输和接收的过程中，嗅探器会带来安全方面的问题。
每一个在局域网（LAN）上的工作站都有其硬件地址，这些地址惟一地表示了网络上的机器（这一点与Internet地址系统比较相似）。当用户发送一个数据包时，这些数据包就会发送到LAN上所有可用的机器。
在一般情况下，网络上所有的机器都可以“听”到通过的流量，但对不属于自己的数据包则不予响应（换句话说，工作站A不会捕获属于工作站B的数据，而是简单地忽略这些数据）。如果某个工作站的网络接口处于混杂模式（关于混杂模式的概念会在后面解释），那么它就可以捕获网络上所有的数据包和帧。

2．网络监听原理
Sniffer程序是一种利用以太网的特性把网络适配卡（NIC，一般为以太网卡）置为杂乱（promiscuous）模式状态的工具，一旦网卡设置为这种模式，它就能接收传输在网络上的每一个信息包。
普通的情况下，网卡只接收和自己的地址有关的信息包，即传输到本地主机的信息包。要使Sniffer能接收并处理这种方式的信息，系统需要支持BPF，Linux下需要支持SOCKET一PACKET。但一般情况下，网络硬件和TCP／IP堆栈不支持接收或者发送与本地计算机无关的数据包，所以，为了绕过标准的TCP／IP堆栈，网卡就必须设置为我们刚开始讲的混杂模式。一般情况下，要激活这种方式，内核必须支持这种伪设备Bpfilter，而且需要root权限来运行这种程序，所以sniffer需要root身份安装，如果只是以本地用户的身份进人了系统，那么不可能唤探到root的密码，因为不能运行Sniffer。
基于Sniffer这样的模式，可以分析各种信息包并描述出网络的结构和使用的机器，由于它接收任何一个在同一网段上传输的数据包，所以也就存在着捕获密码、各种信息、秘密文档等一些没有加密的信息的可能性。这成为黑客们常用的扩大战果的方法，用来夺取其他主机的控制权

3 Snifffer的分类
Sniffer分为软件和硬件两种，软件的Sniffer有 NetXray、Packetboy、Net monitor等，其优点是物美价廉，易于学习使用，同时也易于交流；缺点是无法抓取网络上所有的传输，某些情况下也就无法真正了解网络的故障和运行情况。硬件的Sniffer通常称为协议分析仪，一般都是商业性的，价格也比较贵。
实际上本文中所讲的Sniffer指的是软件。它把包抓取下来，然后打开并查看其中的内容，可以得到密码等。Sniffer只能抓取一个物理网段内的包，就是说，你和监听的目标中间不能有路由或其他屏蔽广播包的设备，这一点很重要。所以，对一般拨号上网的用户来说，是不可能利用Sniffer来窃听到其他人的通信内容的。

4．网络监听的目的

当一个黑客成功地攻陷了一台主机，并拿到了root权限，而且还想利用这台主机去攻击同一网段上的其他主机时，他就会在这台主机上安装Sniffer软件，对以太网设备上传送的数据包进行侦听，从而发现感兴趣的包。如果发现符合条件的包，就把它存到一个LOg文件中去。通常设置的这些条件是包含字“username”或“password”的包，这样的包里面通常有黑客感兴趣的密码之类的东西。一旦黑客截获得了某台主机的密码，他就会立刻进人这台主机。
如果Sniffer运行在路由器上或有路由功能的主机上，就能对大量的数据进行监控，因为所有进出网络的数据包都要经过路由器。
Sniffer属于第M层次的攻击。就是说，只有在攻击者已经进入了目标系统的情况下，才能使用Sniffer这种攻击手段，以便得到更多的信息。
Sniffer除了能得到口令或用户名外，还能得到更多的其他信息，比如一个重要的信息、在网上传送的金融信息等等。Sniffer几乎能得到任何在以太网上传送的数据包。
Sniffer是一种比较复杂的攻击手段，一般只有黑客老手才有能力使用它，而对于一个网络新手来说，即使在一台主机上成功地编译并运行了Sniffer，一般也不会得到什么有用的信息，因为通常网络上的信息流量是相当大的，如果不加选择地接收所有的包，然后从中找到所需要的信息非常困难；而且，如果长时间进行监听，还有可能把放置Sniffer的机器的硬盘撑爆。

5．一个简单的Sniffer程序

下面是一个非常简单的C程序，它可以完成一般的监听功能，／* *／中的内容是本文的注解。

/*下面是包含进行调用系统和网络函数的头文件*/

色狼||宝马

#include〈stdio.h〉
#include〈sys/socket.h〉
#include〈netinet/in.h〉
#include〈arpa/inet.h〉
/*下面是IP和TCP包头结构*/
struct IP{
unsigned int ip_length:4;
/*定义IP头的长度*/
unsigned int ip_version:4；
/*IP版本，Ipv4 */
unsigned char ip_tos；
/*服务类型*/
unsigned short
ip_total_length; /*IP数据包的总长度*/
unsigned short ip_id;
/*鉴定城*/
unsigned short ip_flags;
/*IP 标志 */
unsigned char ip_ttl;
/*IP 包的存活期*/
unsigned char ip_protocol;
/*IP 上层的协议*/
unsigned short ip_cksum;
/*IP头校验和*/
unsigned int ip_source ；
/*源IP地址*/
unsigned int ip_source;
/*目的IP地址*/
}；
struct tcp{
unsigned short tcp_source_port;
/*定义TCP源端口*
unsigned short tcp_dest_port;
/*TCP目的端口*/
unsigned short tcp_seqno；
/*TC P序列号*/
unsigned int tcp_ackno;
/*发送者期望的下一个序列号*/
unsigned int tcp_res1:4;
/*下面几个是TCP标志*/
tcp_hlen:4
tcp_fin:1,
tcp_syn:1,
tcp_rst:1,
tcp_psh:1,
tcp_ack:1,
tcp_urg:1,
tcp_res2:2;
unsignd short tcp_winsize; /*能接收的最大字节数*/
unsigned short tcp_cksum;
/* TCP校验和*/
unsigned short tcp_urgent;
/* 紧急事件标志*/
};
/*主函数*/
int main()
{
int sock,bytes_recieved,fromlen;
char buffer[65535];
struct sockaddr_in from;
/*定义socket结构*/
struct ip ip;
/*定义IP和TCP*/
struct tcp *tcp;
sock=socket(AF_INET,SOCK_RAW,IPPROTO_TCP);
/* 上面是建立socket连接，第一个参数是地址族类型，用INTERNET类型*/
/* 第二个参数是socket类型，这里用了SOCK_RAW，它可以绕过传输层*/
/* 直接访问IP层的包，为了调用SOCK_RAW,需要有root权限*/
/* 第三个参数是协议，选IPPROTO_TCP指定了接收TCP层的内容*/
while(1)
/*建立一个死循环，不停的接收网络信息*/
{
fromlen=sizeof from;
bytes_recieved=recvfrom(sock,buffer,sizeofbuffer,0,(struct sockaddr *)&from,&fromlen);
/*上面这个函数是从建立的socket连接中接收数据*/
/*因为recvfrom()需要一个sockaddr数据类型，所以我们用了一个强制类型转换*/
print(\"\\nBytes received ::: %5d\\n\",bytes_recieved);
/*显示出接收的数据字节数*/
printf(\"source address ::: %s\\n\",inet_ntoa(from.sin_addr));
/*显示出源地址*/
ip=(struct ip *)buffer;
/*把接收的数据转化为我们预先定义的结构，便于查看*/
printf(\"IP header length ::: %d\\n\",ip->ip_length);
/*显示IP头的长度*/
print(\"Protocol ::: %d\\n\",ip->ip_protocol);
/*显示协议类型，6是TCP，17是UDP*/
tcp=(struct tcp *)(buffer + (4*ip->ip_iplength));
/*上面这名需要详细解释一下，因为接收的包头数据中，IP头的大小是固定的4字节*/
/*所以我用IP长度乘以4,指向TCP头部分*/
printf(\"Source port ::: %d\\n\",ntohs(tcp->tcp_source_port); /*显示出端口*/
printf(\"Dest prot ::: %d\\n\",ntohs(tcp->tcp_dest_port));/*显示出目标端口*/

以上这个C程序是为了说明Sniffer的接收原理而列举的一个最简单的例子，它只是完成了Sniffer的接收功能，在运行它之前，我们还需要手工把同卡设为混杂模式，在root权限下用如下命令设置：

ifconfig eth0 promisc

假设etho是你的以太网设备接口，然后运行编译好的程序，就可以看到接收的数据包了。
这个程序虽然简单，但是它说明了Sniffer的基本原理，就是先把同卡设备设为混杂模式，然后直接接收IP层的数据。
当然这个程序的功能也太简单，只能显示源地址、目标地址和源端口、目标端口等极为简单的信息，这对于黑客来说是没有什么用处的，黑客要的是密码之类的信息，这可以使用一些免费的Sniffer程序来完成。

色狼||宝马

第二十三个：什么是PID值


针对5minglei 的提问,我真是不好回答,因为PID有很多解释,其中之一是: PID是比例（p）+积分（I）+微分（D）控制程序
但是你说的是PID值,我猜你是不是指进程里的PID项呢?
如果是这样的话,其实PID一列代表了各进程的进程ID,也就是说,PID就是各进程的身份标识.

呵~~本来我还想多说点,可是下班了,没时间了,不写了,这样吧,我拿出(部分)进程的编程源码大家参考一下吧

创建新进程：fork函数
#include
#include

pid_t fork(void);

‘fork()’函数用于从已存在进程中创建一个新进程。新进程称为子进程，而原进程称为
父进程。你可以通过检查‘fork()’函数的返回值知道哪个是父进程，哪个是子进程。父
进程得到的返回值是子进程的进程号，而子进程则返回0。以下这个范例程序说明它的基本
功能：

pid_t pid;

switch (pid = fork())
{
case -1:
/* 这里pid为-1，fork函数失败 */
/* 一些可能的原因是 */
/* 进程数或虚拟内存用尽 */
perror(\"The fork failed!\");
break;

case 0:
/* pid为0，子进程 */
/* 这里，我们是孩子，要做什么？ */
/* ... */
/* 但是做完后, 我们需要做类似下面： */
_exit(0);

default:
/* pid大于0，为父进程得到的子进程号 */
printf(\"Child\'s pid is %d\\n\",pid);
}

当然，有人可以用‘if() ... else ...’语句取代‘switch()’语句，但是上面的形式是
一个有用的惯用方法。
第二十四个：什么是主机、服务器、空间？他们的区别是什么？


街街的提问，由于我现在时间有限，我作一下简单的解答，希望你能理解~~

主机一般是指个人使用的电脑PC机。而在专业术语中，主机仅是电脑的一部分。而我们常说的主机却往往代表整个电脑，你目前理解为这个也行。。。

服务器一般是指用于专业用的电脑PC机，在实质上，服务器和主机没有什么意义上的区别。主机如果做为服务器也是可以的，服务器也可以当个人主机用。
然而我们平时要做为真正的服务器来使用时（一般是企业）。服务器的硬件要求要比普通的个人PC要求要高的多。比如WEB服务器，要24小时不能离线。所以在散热，耐热等方面就比普通PC要高很多。

至于空间，就是能通过网络访问到的计计算机磁盘空间，我们一般是指WEB服务器空间。如果你的主机有固定的IP地址。也能24在线，那么你的硬盘也是可以作为空间使用的，当然，还是需要进行一系列的服务器配置，别人才能访问的到的~~

互联网上缩略词简编
名 称 释 意
ANSI（American National Standards Institute） 美国国家标准学会。
APNA-CC（Asian Pacific Networking Group-Chinese Characters） 亚太地区网络-中文分组。
ARPANET（Advanced Research Projects Agency NETwork） （美国国防部）高级研究规划局网络。
ASCII（American Standard Code for InFORMation Interchange） 美国信息交换标准代码。
BBS（Bulletin Board System） 布告栏系统。
BITNET（Because IT\'s TimeNETwork） “因为正适时宜”网。
CANET（China Academic NETwork） 中国学术网。
CCITT（Consultative Committee on International Telephone and Telegraph） 国际电话电报咨询委员会。
CERN（European Naclear Research Center） 欧洲核研究中心。
CERNET（China Educational and Research NETwork） 中国教育与科研网。
CGI(Connon Gateway Interface）： 公共网关接口
CNTDR（Clearinghouse for Networked InFORMatoin Discovery and Retrieval） （美国）网络信息开发和检索交换中心。
DNS：（Domaim Name system） 域名服务系统
FAQ（Frequently Asked Questions） 常问问题。
FTP：（File Transfer Protocol） 文件传输协议
HTML（Hypertext Markup Language ) 超文本置标语言
HTTP：（Hypertext Transfer Protocol） 超文本传输协议
IRC（Internet Relay Chat） 网络中继聊天
IAB（Internet Architecture Borad） 国际互联网网络体系技术委员会。
InterNIC（Internet Network InFORMation Center） 国际互联网网络信息中心。
LAN（Local Area Network） 局域网。
MILNET（Military NETwork） 军用网、军事网。
NIC（Network InFORMation Center） 网络信息中心。
PCMCIA（Personal Computer Memory Card International） 国际个人计算机存储卡协会
PPP（Point to Point Protocol ) 点对点通信协议
SLIP（Serial Line internet Protocol） 串行线Internet协议
SMTP（Simple Mail Transfer Protocol） 简易电子邮件传送协议。
TCP（Transmission Control Protocol） 传输控制协议。
URL（UniFORM Resource Locator） 通用资源定位器。
VRML（Virtual Reality Modeling Language） 虚拟现实建模语言
WAIS（Wide Area InFORMation Server） 广域信息服务站
WAN（Wide Area Net ) 广域网
WWW（World Wide Web） 万维网

色狼||宝马

第二十五个：什么是 RPC ?


远程过程调用 (RPC) 是一种协议，程序可使用这种协议向网络中的另一台计算机上的程序请求服务。由于使用 RPC 的程序不必了解支持通信的网络协议的情况，因此 RPC 提高了程序的互操作性。在 RPC 中，发出请求的程序是客户程序，而提供服务的程序是服务器。
第二十六个：什么是域名



　　Internet是一个信息的海洋，但这些信息存放在什么地方呢？，实际上，这些信息是存放在世界各地称为“站点”的计算机上，各个站点由拥有该站点的单位维护，上面的信息即是由维护该站点的单位发布，这些信息也称为“网页”。

　　为了区别各个站点，必须为每个站点分配一个唯一的地址，这个地址即称为“IP地址”，IP地址也称为URL（Unique Resource Location，中文意义为“统一资源定位符”），IP地址由四个从0到255之间的数字组成，如202.116.0.54，但这些数字比较难记，所以有人发明了一种新方法来代替这种数字，即“域名”地址，域名由几个英文单词组成，如www.jnu.edu.cn 具有一定的意义，其中cn代表中国（China），edu代表教育网（education），jnu代表暨南大学（JiNan University），www代表全球网（或称万维网，World Wide Wed），整个域名合起来就代表中国教育网上的暨南大学站点。

　　域名地址和用数字表示的IP地址实际上是同一个东西，只是外表上不同而已，在访问一个站点的时候，您可以输入这个站点用数字表示的IP地址，也可以输入它的域名地址，这里就存在一个域名地址和对应的IP地址相转换的问题，这些信息实际上是存放在ISP中称为域名服务器（DNS）的计算机上，当您输入一个域名地址时，域名服务器就会搜索其对应的IP地址，然后访问到该地址所表示的站点。站点地址可以在有关计算机的杂志、报纸和书籍上找到，在Internet上有更多站点地址的信息。从现在开始您就可以搜集一些您感兴趣的站点域名地址了。

　　Internet的域名系统是为方便解释机器的IP地址而设立的。域名系统采用层次结构，按地理域或机构域进行分层。书写中采用圆点将各个层次隔开，分成层次字段。在机器的地址表示中，从右到左依次为最高域名段、次高域名段等，最左的一个字段为主机名。例如，在bbs.jnu.edu.cn中，最高域名为cn，次高域名edu为，最后一个域为jnu，主机名为bbs。

色狼||宝马

第二十七个：DMA是什么


当我们向计算机中加入了一块新的声卡或其它适配卡时，安装程序可能会提醒我们应该选择一个DMA通道。那DMA是什么呢?
DMA（Direct Memory Access） ，即直接存储器存取，是一种快速传送数据的机制。数据传递可以从适配卡到内存，从内存到适配卡或从一段内存到另一段内存。DMA技术的重要性在于，利用它进行数据传送时不需要CPU的参与。每台电脑主机板上都有DMA控制器，通常计算机对其编程，并用一个适配器上的ROM(如软盘驱动控制器上的ROM)来储存程序，这些程序控制DMA传送数据。一旦控制器初始化完成，数据开始传送，DMA就可以脱离CPU，独立完成数据传送。在DMA传送开始的短暂时间内，基本上有两个处理器为它工作，一个执行程序代码，一个传送数据。
利用DMA传送数据的另一个好处是，数据直接在源地址和目的地址之间传送，不需要中间媒介。如果通过CPU把一个字节从适配卡传送至内存，需要两步操作。首先，CPU把这个字节从适配卡读到内部寄存器中，然后再从寄存器传送到内存的适当地址。DMA控制器将这些操作简化为一步，它操作总线上的控制信号，使写字节一次完成。这样大大提高了计算机运行速度和工作效率。
计算机发展到今天，DMA已不再用于内存到内存的数据传送，因为CPU速度非常快，做这件事，比用DMA控制还要快，但要在适配卡和内存之间传送数据，仍然是非DMA莫属。要从适配卡到内存传送数据，DMA同时触发从适配卡读数据总线(即I/O读操作)和向内存写数据的总线。激活I/O读操作就是让适配卡把一个数据单位(通常是一个字节或一个字)放到PC数据总线上，因为此时内存写总线也被激活，数据就被同时从PC总线上拷贝到内存中。对于每一次写操作，DMA控制器都控制地址总线，通知应将数据写到哪段内存中去。
DMA控制数据从内存传送到适配卡的方法与上面类似。对每一个要传送的单位数据，DMA控制器激活读内存和I/O写操作的总线。内存地址被放到地址总线上，像从适配卡到内存传送数据一样，以数据总线为通道，数据从源地址直接传送到目的地址。
DMA从DMA请求线(DREQ)上接收DMA请求，正像中断控制器从中断请求线(IRQ)上接收中断请求一样。一个典型的从适配卡到内存的数据传送是这样进行的，首先，对DMA控制器编程，写入数据要到达的内存地址和要传送的字节数。适配器可以开始传送数据时，它将激活DREQ线，与DMA控制器连通。DMA控制器在与CPU取得总线控制权后，输出内存地址，发送控制信号，使得一个字节或一个字从适配器读出并写入相应内存中，然后更新内存地址，指向下一个字节(或字)要写入的地址，重复上面的操作，直至数据传送完毕。对控制器进行不同编程，就可以实现单字节传送(即每传送一个字节都要求一个DREQ信号)或块数据传送(即全部数据传送只需要一个DREQ信号)。
如果你要往计算机中插一块适配卡，而且适配卡使用DMA，通常安装程序会让你选择一个DMA通道，设定DIP开关或跳线，来为相应适配器设置DMA通道。尽管从理论上讲，只要不是同时使用DREQ线，不同的适配卡可以共享这条线的，但是按常规，我们最好为每个适配卡单独安排一个DMA通道，这样就可以保证不会发生DMA冲突。附表是DMA的缺省分配情况。
通道 功能 通道 功能
O 空闲 4 用于级联DMA控制器
1 空闲 5 空闲
2 软盘 6 空闲
3 空闲 7 空闲
从中可以看出，DMA通道2和4已被占用，在大多数微机上，通道1、3、5、6和7可由你任意分配。我们平时最好对自己的计算机上DMA通道的分配情况记录下来，以免我们向计算机增加新硬件时出现两个适配卡共用一个通道，导致冲突。

色狼||宝马

第二十八个：IRQ是什么


IRQ就是一个中断，通过中断，外设可以取得CPU的处理时间。下表表示了通常的NT系统中的IRQ设置。

中断级别 通常用途 说明
0 时钟 　
1 键盘 　
2 与IRQ 9级连 　
3 COM2或COM4 　
4 COM1或COM3 　
5 LPT2 因为许多用户没有第二个并行口，因此它常常空闲，声卡可以使用此中断
6 软盘控制器 　
7 LPT1 声卡可以使用此中断
8 实时时钟 　
9 与IRQ 2级连 直接与2相连，有时通知软件9时意味着2
10 未使用 通常用于网卡
11 未使用 由SCSI控制器使用
12 PS/2，总线鼠标 如果用户没有PS/2或总线鼠标，此中断空闲
13 协处理器 通知CPU协处理器错误
14 硬盘控制器 如果用户未使用IDE硬盘，可以将它用于其它设备
15 有些计算机将此中断分配为第二个IDE控制器 I如果用户未使用第二个IDE硬盘控制器，可以将它用于其它设备

色狼||宝马

二十九

什么是木马~！


特洛伊木马(以下简称木马)，英文叫做“Trojan house”，其名称取自希腊神话的特洛伊木马记。

它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。
所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，由于不能确定其具体位置，往往只能望“马”兴叹。
所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件，修改注册表，控制鼠标，键盘等等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。

从木马的发展来看，基本上可以分为两个阶段。
最初网络还处于以UNIX平台为主的时期，木马就产生了，当时的木马程序的功能相对简单，往往是将一段程序嵌入到系统文件中，用跳转指令来执行一些木马的功能，在这个时期木马的设计者和使用者大都是些技术人员，必须具备相当的网络和编程知识。
而后随着WINDOWS平台的日益普及，一些基于图形操作的木马程序出现了，用户界面的改善，使使用者不用懂太多的专业知识就可以熟练的操作木马，相对的木马入侵事件也频繁出现，而且由于这个时期木马的功能已日趋完善，因此对服务端的破坏也更大了。
所以所木马发展到今天，已经无所不用其极，一旦被木马控制，你的电脑将毫无秘密可言。

鉴于木马的巨大危害性，我们将分原理篇，防御与反击篇，资料篇三部分来详细介绍木马，希望大家对特洛伊木马这种攻击手段有一个透彻的了解。

原 理 篇

基础知识
　　在介绍木马的原理之前有一些木马构成的基础知识我们要事先加以说明,因为下面有很多地方会提到这些内容。
一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。
(1)硬件部分：建立木马连接所必须的硬件实体。 控制端：对服务端进行远程控制的一方。 服务端：被控制端远程控制的一方。 INTERNET：控制端对服务端进行远程控制，数据传输的网络载体。
(2)软件部分：实现远程控制所必须的软件程序。 控制端程序：控制端用以远程控制服务端的程序。 木马程序：潜入服务端内部，获取其操作权限的程序。 木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。
(3)具体连接部分：通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。 控制端IP，服务端IP：即控制端，服务端的网络地址，也是木马进行数据传输的目的地。 控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马 程序。

木马原理
　　用木马这种黑客工具进行网络入侵，从过程上看大致可分为六步(具体可见下图)，下面我们就按这六步来详细阐述木马的攻击原理。

一.配置木马
一般来说一个设计成熟的木马都有木马配置程序，从具体的配置内容看，主要是为了实现以下两方 面功能：
(1)木马伪装：木马配置程序为了在服务端尽可能的好的隐藏木马，会采用多种伪装手段，如修改图标 ，捆绑文件，定制端口，自我销毁等，我们将在“传播木马”这一节中详细介绍。
(2)信息反馈：木马配置程序将就信息反馈的方式或地址进行设置，如设置信息反馈的邮件地址，IRC号 ，ICO号等等，具体的我们将在“信息反馈”这一节中详细介绍。

二.传播木马
(1)传播方式:
　　木马的传播方式主要有两种:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出 去, 收信人只要打开附件系统就会感染木马;另一种是软件下载，一些非正规的网站以提供软件下载为 名义， 将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装。
(2)伪装方式:
　　鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这 是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目 的。
(一)修改图标
　　当你在E-MAIL的附件中看到这个图标时,是否会认为这是个文本文件呢?但是我不得不告 诉你,这也有可能是个木马程序,现在 已经有木马可以将木马服务端程序的图标改成HTML,TXT, ZIP等各种文件的图标,这有相当大的迷 惑性,但是目前提供这种功能的木马还不多见,并且这种 伪装也不是无懈可击的,所以不必整天提 心吊胆,疑神疑鬼的。
(二)捆绑文件
　　这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的 情况下 ,偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。
(三)出错显示
　　有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序, 木马的 设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当服务 端用户打开木 马程序时,会弹出一个如下图所示的错误提示框(这当然是假的),错误内容可自由 定义,大多会定制成 一些诸如“文件已破坏，无法打开的！”之类的信息，当服务端用户信以 为真时,木马却悄悄侵入了 系统。
(四)定制端口
　　很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的 端口就 知道感染了什么木马,所以现在很多新式的木马都加入了定制端口的功能,控制端用户可 以在1024---65535之间任选一个端口作为木马端口(一般不选1024以下的端口)，这样就给判断 所感染木马类型带 来了麻烦。
(五)自我销毁 　
　　这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后，木马 会将自己拷贝到WINDOWS的系统文件夹中(C:\\WINDOWS或C:\\WINDOWS\\SYSTEM目录下)，一般来说 原木马文件 和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外),那么中了木马 的朋友只要在近来 收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统 文件夹找相同大小的文件, 判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木 马后，原木马文件将自动销毁，这 样服务端用户就很难找到木马的来源，在没有查杀木马的工 具帮助下，就很难删除木马了。
(六)木马更名
　　安装到系统文件夹中的木马的文件名一般是固定的，那么只要根据一些查杀木马的文章,按 图索骥在系统文件夹查找特定的文件,就可以断定中了什么木马。所以现在有很多木马都允许控 制端用户自由定制安装后的木马文件名，这样很难判断所感染的木马类型了