你也太着急了，作为一个黑客，他的行动从前期的目标锁定到信息的搜集，再到之后的入侵，这任何一步都离不开黑客工具的支持。因此，可以这样认为：学会了黑客工具的编程你就成为了一名黑客。

别急，我先对一些著名且常用的黑客工具做简单的介绍。这些知名的黑客工具功能强大，设计精妙，方便使用的同时更是绝好的黑客工具编程的范本。而且这里介绍的黑客工具我以后都会教你如何编写，如端口扫描器、ARP欺骗工具、木马等。

嘿，不知道了吧，那就先来了解下。

1.端口扫描器

（1）简介

服务器上所开放的端口就是潜在的通信通道，也有可能成为一个入侵通道。对目标计算机进行端口扫描，能得到许多有用的信息，而进行端口扫描的方法也很多，可以手动进行，也可以利用端口扫描软件进行相关扫描。扫描器一般通过选用远程TCP/IP的不同的端口的服务，并记录给予的回答。通过这种方法，本机可搜集到关于目标主机的各种有用信息，如远程系统是否支持匿名登录、是否存在可写的FTP目录等。

（2）原理

端口扫描器有多种不同的实现方式，包括TCP Connect扫描、TCP SYN扫描和TCP FIN扫描，它们各有优劣，但都利用TCP机制并使用Windows Socket。例如，TCP Connect扫描是调用系统提供的connect()函数连接目标机器的端口得以实现的，其优点在于调用connect()函数不需要任何权限，实现起来相对简单，但也有容易被目标机器察觉的缺点。而TCP SYN扫描的隐蔽性较好，但实现方式较为复杂。通过端口扫描技术，再结合线程的互斥和同步技术，可实现一个简单的端口扫描器。

（3）常见的端口扫描器

1）X-Port

这是一个利用多线程方式扫描目标主机开放端口的著名端口扫描器（如图1.1所示）。扫描过程中，根据TCP/IP堆栈特征被动识别操作系统类型。它提供两种端口扫描方式：标准的TCP连接扫描和SYN方式扫描。其中，“SYN扫描”和“被动识别操作系统”功能均使用“Raw Socket”构造数据包，无须安装额外驱动，但必须运行于Windows 2000系统之上。

2）Port Scanner

Port Scanner是一个由StealthWasp编写的基于图形界面的端口扫描软件（如图1.2所示）。该扫描器简单易用，在Target IP栏填入目标IP，在Scan port栏填入扫描端口范围，单击“Scan”按钮开始扫描。

3）SuperScan

SuperScan是一个集“端口扫描”、“ping”和“主机名解析”于一体的扫描器（如图1.3所示）。其功能强大，主要有：检测主机是否在线、IP和主机名之间的相互转换、通过TCP连接试探目标主机运行的服务、扫描指定范围的主机端口、支持使用文件列表来指定扫描主机范围等。

4）Nmap

Nmap（即Network Mapper）是一款免费的、开源的、著名的端口扫描器（如图1.4所示），在电影《黑客帝国》中也曾出现过它的身影。

Nmap使用IP数据包来分析在网络中有哪些主机是可用的，这些主机正在提供什么服务，以及运行的操作系统是什么，使用了哪些类型的过滤器或防火墙等信息。它最初是在UNIX平台上的一个工具，后来被引入到其他操作系统中。

2.嗅探器

（1）简介

嗅探器是一种监视网络数据运行的软件设备，嗅探器不仅能用于合法网络管理，也能用于窃取网络信息，如监视网络流量、分析数据包、监视网络资源利用、执行网络安全操作规则、鉴定分析网络数据以及诊断并修复网络问题等。由于它具有可随意插入且不会在入侵过程中留下痕迹的优点，嗅探器一直是黑客们钟爱的“攻击利器”。

（2）原理

嗅探器作为一种网络通信程序，是通过对网卡的编程来实现网络通信的。而对网卡的编程是使用通常的套接字（Socket）方式来进行的。但是，通常的套接字程序只能响应与自己硬件地址相匹配的或是以广播形式发出的数据帧，而对于其他形式的数据帧，比如已到达网络接口却不是发给此地址的数据帧，应用程序将无法收取到达的数据包。但网络嗅探器的目的恰恰在于从网卡接收所有流经的数据包，这些数据包既可以是发给它的，也可以是发往别处的。显然，要达到此目的，就不能再让网卡按通常的正常模式工作，而必须将其设置为混杂模式。常见的嗅探器开发方法有两种：基于WinPcap（LibPcap）开发包的实现方式和基于原始套接字捕获的实现方式。

（3）常见的嗅探器

1）Sniffer Pro

Sniffer Pro是一款由NAI公司推出的功能强大的协议分析软件（如图1.5所示），可以用于发现漏洞、病毒等异常数据，也可以生成网络基准线，提供网络质量趋势分析数据，还可以用于故障快速定位。

2）Ethereal

Ethereal数据包监听器，是一套网管人员必备的超强嗅探工具（如图1.6所示），可用于网络故障排除、监听异常数据包等，甚至包含针对网络通信协议的教育训练。Ethereal可以从动态的网络撷取数据包，用户可同时浏览每一个数据包的撷取资料内容、检视概要及详细信息。Ethereal还有强大的过滤器语言显示、检视重建的TCP会话串流功能。

3）TcpDump

TcpDump的特点在于它可以将网络中传送的数据包的“头”完全截获下来，以提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。

TcpDump提供了源代码，公开了接口，因此具备很强的可扩展性，对于网络维护和入侵者都是非常有用的工具。TcpDump存在于基本的FreeBSD系统中，由于它需要将网络界面设置为混杂模式，普通用户不能正常执行，但具备root权限的用户可以直接执行它来获取网络上的信息。

3.ARP欺骗工具

（1）简介

在局域网中，通过ARP协议能完成IP地址转换为物理地址（即MAC地址）的功能。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。利用ARP欺骗工具，黑客可以使局域网内某一台PC将所有本该发送到网关的数据包转而发送到自己的网卡上，再结合Sniffer技术，便可轻而易举地从被欺骗的PC发送的数据包中获取大量信息。

（2）原理

ARP欺骗的运作原理可简单地叙述为由攻击者发送假的ARP数据包到网络上，尤其是送到网关上，其目的是让数据包被送至攻击者所取代的地址。然后，攻击者可将这些流量另行转送至真正的地址（被动式封包嗅探，Passive Sni-ffing），或是篡改后再转送（中间人攻击，Man-in-the-middle Attack），也可将ARP数据包发送到不存在的MAC地址以达到阻断服务攻击的效果，如Netcut软件。

（3）常见的ARP欺骗工具

1）Cain

Cain & Abel是由Oxid.it开发的一个针对Microsoft操作系统的免费口令恢复工具。它的功能十分强大，号称穷人使用的L0phtcrack。它可以进行网络嗅探、网络欺骗、破解加密口令、显示口令框、显示缓存口令和分析路由协议，甚至还可以监听内网中他人使用VoIP拨打的电话。Abel是后台服务程序，使用较少，一般用户使用的是Cain部分。其中，ARP欺骗和嗅探是Cain中最常用的功能。

2）AntiArp

凡事有反必有正，有攻击的ARP欺骗工具，自然也有防御的ARP防火墙（AntiArp）。ARP防火墙是一个ARP欺骗攻击扫描、检测、清除与防御的工具（如图1.7所示）。ARP防火墙采用内核层拦截技术和主动防御技术，可自动检测拦截由病毒引起的本机对外的ARP攻击，拦截到攻击后，可看到病毒攻击的时间与病毒进程名。同时，可设置“智能防御模式”抵御ARP欺骗的攻击。

4.注册表编辑器

（1）简介

Windows的注册表（Registry）实质上是一个庞大的数据库，它存储着关于软、硬件的有关配置和状态信息，计算机的整个系统的设置和各种信息。注册表编辑器是一个用来更改系统注册表设置的高级工具，它包含有关计算机的运行信息。除非绝对必要，否则不要编辑注册表。若注册表出错，则计算机可能无法工作。在黑客编程中，可利用注册表编辑器修改注册表以达到自启动、隐藏等效果。

（2）原理

Windows提供了一些API函数，方便编程人员对注册表进行操作，比如打开、新建、删除、枚举子键，读取、设置、删除、枚举键值等操作。只要合理地组织这些API，就可以实现注册表编辑器，以及利用注册表完成某些黑客攻击技术。

（3）常见的注册表编辑器

最为人所熟知的注册表编辑器莫过于Windows注册表编辑器了。注册表是Windows的灵魂。采用类似文件目录的树状层次结构（如图1.8所示），根键相当于根目录，系统预定义了6个根键，根键下面有子键，子键下面还有子键，每个子键又包含若干个键值项，这样能更好地管理注册表。

5.漏洞利用工具

（1）简介

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，它的存在使攻击者能够在未经允许的情况下访问或破坏对方系统。漏洞利用工具就是将系统或软件中的漏洞作为入侵的通道，以达到攻击目的的工具。

（2）原理

漏洞的利用是一个知识综合应用的过程，而且根据漏洞的类型的不同而各不相同。以最常见的远程缓冲区溢出漏洞为例，漏洞利用工具会首先扫描目标机是否存在该漏洞，如果存在，则远程进行淹没返回地址、劫持进程控制权、跳转执行ShellCode等一系列操作，最终获得目标机器的控制权。

（3）常见的漏洞利用工具

1）MSF

Metasploit Framework（MSF）是2003年以开放源代码方式发布的，可自由获取的开发框架（如图1.9所示）。这个开发框架为渗透测试、ShellCode编写和漏洞研究提供了一个可靠的平台。它集成了各平台上常见的溢出漏洞和流行的ShellCode，并且不断更新。最新版本的MSF包含了180多种当前流行的操作系统和应用软件的漏洞利用工具，以及100多个ShellCode。作为安全工具，它在安全检测中起到不容忽视的作用，并为漏洞自动化探测和及时检测系统漏洞提供有力的保障。

2）X-Scan

X-Scan是一款免费的、绿色的漏洞检测软件（如图1.10所示）。利用X-Scan可以对某个主机或者某一网段内的主机进行漏洞扫描。

6.病毒

（1）简介

病毒是利用计算机软件与硬件的缺陷，破坏计算机数据并影响计算机正常工作的一组指令集或程序代码。鉴于病毒这种无孔不入的特点，学习简单病毒的编写能帮助你防患于未然。

（2）原理

计算机病毒是指编制或者插入在程序中的用于破坏计算机功能及数据、影响计算机使用，且可以自我复制的一组计算机指令或代码。病毒具有传染性、破坏性等特点，从而使病毒种类繁多。常见的病毒有U盘传播型病毒、文件感染型病毒等。

（3）常见的病毒

1）CIH（1998年）

CIH病毒是迄今为止破坏性最强的病毒之一，也是世界上首例破坏硬件的病毒。它发作时，不仅破坏硬盘的引导区和分区表，还会破坏计算机系统BIOS，导致主板损坏。此病毒是由台湾大学生陈盈豪研制的，据说他研制此病毒的目的是纪念1986年的灾难或是让反病毒软件难堪。

2）Melissa（1999年）

Melissa是最早通过电子邮件传播的病毒之一。当用户打开一封电子邮件的附件，病毒会自动将邮件发送到用户地址簿中的前50个地址，因此这个病毒在数小时之内传遍全球。

3）“红色代码”（2001年）

被认为是史上最昂贵的计算机病毒之一。这个自我复制的恶意代码“红色代码”利用了微软IIS服务器中的一个漏洞。该蠕虫病毒具有一个更恶毒的版本，被称作红色代码II。这两个病毒都除了可以对网站进行修改外，被感染的系统性能还会严重下降。

4）“冲击波”（2003年）

冲击波病毒的英文名称是Blaster，还被叫做Lovsan或Lovesan，它利用了微软软件中的一个缺陷，对系统端口进行疯狂攻击，可以导致系统崩溃。

5）“熊猫烧香”（2007年）

熊猫烧香会使所有程序图标变成熊猫烧香，并使它们不能应用。病毒发展到熊猫烧香时，已经不仅仅是用于破坏，开始有明显的利益特征了。

7.后门

（1）简介

后门是一种在机器启动时自动运行并强制打开某一端口进行通信的黑客程序，它可以绕过系统的安全性控制而达到访问远程系统的目的。后门和木马程序较为相似，但是后门更注重于自身的隐蔽性，它可能并不具备很多远程控制的功能，但是一定要隐藏得无迹可循。

（2）原理

后门有很多实现方法，最常见的为DLL后门，其原理是把一个实现了后门功能的代码写成一个DLL文件，然后插入到一个EXE文件当中，使其可以执行。这样做不需要占用进程，也就是没有相对应的PID进程号，就可以在任务管理器中隐藏。后门具体的功能是在实现隐蔽性的前提下，通过Winsock完成客户端与服务端之间的通信。

（3）常见的后门

Byshell是国内一款非常出色的后门程序，其早期版本就达到了无端口、无文件、无进程隐藏效果，而新版本更是达到了驱动防护的目的，它采用国际领先的技术，悄无声息地穿越了卡巴斯基、诺顿、瑞星等主动防御的巨网，避免了杀毒软件的追杀，成为新一代安全研究者的良好工具。而它的高级版本，更是所有安全软件的杀手！

8.远程控制木马

（1）简介

远程控制木马是指通过本地计算机对远程机器进行管理和控制的软件。远程控制木马有远程信息查看、远程进程管理、远程CMD、键盘监控、文件管理以及远程桌面捕获等诸多强大功能。

（2）原理

木马可以利用系统漏洞等一系列手段进入目标机器并执行，利用Winsock编程技巧实现通过TCP/IP或UDP连接到控制者电脑，并且使控制者获得系统权限。这样控制者即可像使用自己的电脑一样使用被控制的电脑。

（3）常见的远程控制木马

1）Radmin

Radmin（Remote Administrator）是一款屡获殊荣的远程控制软件（如图1.11所示），它将远程控制、外包服务组件以及网络监控结合到一个系统里，提供目前为止最快速、强健而安全的工具包。

2）灰鸽子

灰鸽子是国内一款著名的远程控制木马（如图1.12所示）。灰鸽子变种木马运行后，会自我复制到Windows目录下，并自行将安装程序删除；修改注册表，将病毒文件注册为服务项实现开机自启。木马程序还会注入所有的进程中，隐藏自我，防止被杀毒软件查杀；自动开启IE浏览器，以便与外界进行通信，侦听黑客指令，在用户不知情的情况下连接黑客指定站点，盗取用户信息、下载其他特定程序等。

3）Gh0st

Gh0st是一款功能强大的远程控制软件（如图1.13所示）。其控制端与服务端都采用Winsock IOCP模型，数据传输采用zlib压缩方式，稳定快速，上线数量无上限，可同时控制上万台主机。控制端自动检测CPU使用率调整自己的工作线程，稳定高效。

9.SPI防火墙

（1）简介

SPI（Stateful Packet Inspection）全状态数据包检测型防火墙，是指通过对每个连接信息（包括套接字对，socket pairs：源地址、目的地址、源端口和目的端口；协议类型、TCP协议连接状态和超时时间等）进行检测，从而判断是否过滤数据包的防火墙。它除了能够完成简单的包过滤工作外，还能在自己的内存中维护一个跟踪连接状态的表，更具安全性。它在默认情况下拒绝所有来自外网的请求，并且对通过防火墙的发自内网请求的连接动态地维护所有通信的状态（连接），只有是对内网请求回复的连接并符合已建立的状态数据库的包才能通过防火墙进入内网。这种方案不仅可使网络用户访问Internet资源，同时又能防止Internet上的黑客访问内部网络资源。

（2）原理

SPI防火墙利用Winsock SPI技术来实现网络数据包的拦截以达到防火墙的目的。具体的实现原理是自定义一个服务提供者加载至服务链的最顶层，该服务提供者挂钩常利用Winsock API进行异常或正常分析，从而决定是否拦截，以达到系统安全防护的目的。

（3）常见的SPI防火墙

费尔个人防火墙专业版是费尔安全实验室最重要的产品之一（如图1.14所示），它不仅功能非常强大，而且简单易用，既能满足专业人士的需求，也可让一般用户很容易操控。它可以为你的计算机提供全方位的网络安全保护，而且免费、开源。值得一提的是，它的最初版本为SPI防火墙。

不要用这种眼神看着我，我背上没有山。

在之后的学习中，我将详细介绍它们的编写和作用，这里你知道就行了。 n3lbbfFW/FQA8IWrcitzq0IMSkGH8OvOsiTbwfhB/D4GYjDlzZURZsyqZ6dFOHzE