1.MTS播放器软件介绍
2.用编程的安静安静方法禁用某一硬件设备.求代码
3.protoize命令如何在C源代码中插入函数原型声明？
4.sniffer状态
5.Snort主要指令
6.尝试开源的安全通讯软件 Threema 的 7 个理由 | Linux 中国

MTS播放器软件介绍

       MTS播放器软件是一款特别设计用于播放mts视频格式的专业工具。它以纯绿色软件著称，源码不包含任何令人困扰的安静安静流氓插件或间谍软件，且源代码开放，源码让用户可以放心使用。安静安静该播放器特别注重用户的源码新番动漫源码体验，智能拦截在播放视频文件时可能弹出的安静安静网页广告，为用户打造一个安静、源码专注的安静安静观看环境。

       MTS格式是源码索尼高清DV录制视频所采用的一种新兴高清视频格式，它的安静安静出现是为了满足下一代多媒体播放设备的需求。使用这款播放器，源码你可以轻松享受高清**的安静安静视觉盛宴，无论是源码专业摄像机录制的录像，还是安静安静高清电视节目，都能流畅播放。它兼容的视频格式非常广泛，包括vi、mkv、mov、m2ts、mts、m2t、mp4、mpg以及ts等，几乎涵盖了大部分常见的视频格式，确保了用户在不同场景下的观看需求都能得到满足。

用编程的方法禁用某一硬件设备.求代码

       首先，应该解决如何实现“开始”---“运行”的正常使用。你可以试试这个方法是否可以让你进入到注册表中：

       找一个程序的快捷方式,右键点击"属性"

       "目标"中写"regedit"这样可以打开注册表.

       然后打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies \Explorer，在右边空白处单击鼠标右键，选择"新建"的"DWORD"，然后输入名字为"NoRun"，再双击它，修改NoRun 为1 表示禁用"运行"，0 则相反。

       如果真的可以进入注册表了，运行也可以正常使用了，那么“设备管理器”的重新使用就显得十分简单了。

       试试看下面的方法吧，不知道是否可行：

       1. 重新从Windows CD中解压devmgmt.msc和devmgmt.dll，命令如下：

       expand cdrom:\i\devmgmt.ms_ %systemroot%\system\devmgmt.msc

       expand cdrom:\i\devmgr.dl_ %systemroot%\system\devmgr.dll

       2.重新注册一下msxml parser，命令如下：

       regsvr C:\Windows\system\msxml3.dll

       3.如果2还不行，去

       下载Microsoft XML Parser 3.0, 可能带SP一类的，然后安装那个msxml3xxx.msi文件。

       一般这个问题还伴随Windows Update不灵的问题，你也可以检查一下。

       先试试第2种方法，不行后再试试1和3,毕竟2比较简单一些。

       最后，

       这是来自微软的信息，希望对你有用。

       DevCon 命令行实用工具可替代设备管理器

       察看本文应用于的产品

       文章编号 :

       最后修改 : 年月日

       修订 : 4.2

       本文的发布号曾为 CHS

       本页

       概要

       更多信息

       使用 DevCon

       DevCon 命令示例

       注意

       这篇文章中的信息适用于:

       概要

       DevCon 实用工具是一种命令行实用工具，可以替代设备管理器。使用 DevCon，您可以启用、禁用、重新启动、更新、删除和查询单个设备或一组设备。DevCon 还提供与驱动程序开发人员有关、但无法在设备管理器中看到的信息。

       可以将 DevCon 用于 Microsoft Windows 、Windows XP 和 Windows Server ，但不能将其用于 Windows 、Windows 或 Windows Millennium Edition。

       回到顶端

       更多信息

       DevCon 不可再分发。提供它是为了用作调试和开发工具。您可以随意修改 DevCon 以供个人专用。此示例演示了如何有效地同时使用 SetupAPI 和 CfgMgr 函数来枚举设备和执行设备操作。 可以从 Microsoft 下载中心下载以下文件：

       立即下载 DevCon 软件包。 () 发布日期： 年 1 月 日

       有关如何下载 Microsoft 支持文件的更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：

        () 如何从联机服务获取 Microsoft 支持文件

       Microsoft 已对此文件进行了病毒扫描。Microsoft 使用的是该文件发布时可以获得的最新病毒检测软件。该文件存储在安全性得到增强的服务器上，以防止在未经授权的情况下对其进行更改。

       DevCon.exe 文件包含以下文件：

       文件 说明

       I\DevCon.exe 位 DevCon 工具的二进制文件。此文件在 位 Windows 上不能充分发挥作用。webpack 调试源码

       Ia\DevCon.exe 位 DevCon 工具的二进制文件。

       注意：DevCon 的源代码也可以从 Windows DDK（位于 ()）中得到，路径是 DDK root\Src\Setup\Devcon，此位置还提供了文档。

       回到顶端

       使用 DevCon

       DevCon 是一个带有内置文档的命令行实用工具。如果您运行 devcon help 命令，将会出现以下命令列表和描述信息。devcon help 命令可提供关于任何命令的详细帮助。使用其中的某些命令，您可以指定远程目标计算机。如果您在 WOW 上使用 位版的 DevCon，则以下命令有效。设备控制台帮助：

       devcon.exe [-r] [-m:\\<machine>] <command> [<arg>...]

       -r 如果指定它，在命令完成后若需要则重新启动计算机。

       <machine> 是目标计算机的名称。

       <command> 是将要执行的命令（如下所示）。

       <arg>... 是命令需要的一个或多个参数。

       要获取关于某一特定命令的帮助，请键入：devcon.exe help <command>

       classfilter 允许修改类别筛选程序。

       classes 列出所有设备安装类别。

       disable 禁用与指定的硬件或实例 ID 匹配的设备。

       driverfiles 列出针对设备安装的驱动程序文件。

       drivernodes 列出设备的所有驱动程序节点。

       enable 启用与指定的硬件或实例 ID 匹配的设备。

       find 查找与指定的硬件或实例 ID 匹配的设备。

       findall 查找设备，包括那些未显示的设备。

       help 显示此信息。

       hwids 列出设备的硬件 ID。

       install 手动安装设备。

       listclass 列出某一安装类别的所有设备。

       reboot 重新启动本地计算机。

       remove 删除与特定的硬件或实例 ID 匹配的设备。

       rescan 扫描以发现新的硬件。

       resources 列出设备的硬件资源。

       restart 重新启动与特定的硬件或实例 ID 匹配的设备。

       stack 列出预期的设备驱动程序堆栈。

       status 列出设备的运行状态。

       update 手动更新设备。

       UpdateNI 手动更新设备，无用户提示

       SetHwID 添加、删除和更改根枚举设备的硬件 ID 的顺序。

       DevCon 命令示例

       devcon -m:\\test find pci\*

       列出计算机 test 上的所有已知 PCI 设备。（通过使用 -m，您可以指定一个目标计算机。您必须使用“进程间通信”(IPC) 访问此计算机。）

       devcon -r install %WINDIR%\Inf\Netloop.inf *MSLOOP

       安装一个新的 Microsoft 环回适配器实例。这将创建一个新的根枚举设备节点，使用此节点您可以安装“虚拟设备”，如环回适配器。如果需要重新启动计算机，此命令还将以安静模式重新启动计算机。

       devcon classes

       列出所有已知的安装类别。输出结果包含短的未本地化的名称（例如，“USB”）和描述性名称（例如，“通用串行总线控制器”）。

       devcon classfilter upper !filter1 !filter2

       删除这两个指定的筛选程序。

       devcon classfilter lower !badfilter +goodfilter

       用“goodfilter”替换“badfilter”。

       devcon driverfiles =ports

       列出与 ports 安装类别中的每一个设备关联的文件。

       devcon disable *MSLOOP

       禁用硬件 ID 以“MSLOOP”结尾（包括“*MSLOOP”）的所有设备。

       devcon drivernodes @ROOT\PCI_HAL\PNP0A

       列出设备“ROOT\PCI_HAL\PNP0A”的所有兼容驱动程序。这可以用来确定为什么选择原配的设备信息 (.inf) 文件而不选第三方 .inf 文件。

       devcon enable '*MSLOOP

       启用硬件 ID 为“*MSLOOP”的所有设备。单引号指示必须严格按字面解释硬件 ID（换句话说，星号 [“*”] 真的是 一个星号，而不是通配符）。

       devcon find *

       列出本地计算机上存在的所有设备的设备实例。

       devcon find pci\*

       列出本地计算机上所有已知的“外围组件互连”(PCI) 设备（如果一个设备的硬件 ID 以“PCI\”为前缀，此命令就认为该设备是 PCI 设备）。

       devcon find =ports *pnp*

       列出存在的作为 ports 安装类别的成员而且硬件 ID 中包含“PNP”的设备。

       devcon find =ports @root\*

       列出存在的作为 ports 安装类别的成员而且在枚举树的“root”分支中的设备（实例 ID 以“root\”为前缀）。请注意，有关实例 ID 的格式化方式，不应作任何编程假定。要确定根设备，可以检查设备状态位。此功能包括在 DevCon 中是为了帮助进行调试。

       devcon findall =ports

       列出 ports 类别的中奖记录源码“不存在”的设备和存在的设备。这包括已经被删除的设备、从一个插槽移到另一个插槽的设备，以及在某些情况下由于 BIOS 改变而被不同地枚举的设备。

       devcon listclass usb

       列出命令中所列的每个类别（本例中是 USB 和 ）的所有存在的设备。

       devcon remove @usb\*

       删除所有 USB 设备。被删除的设备列出时将显示其删除状态。

       devcon rescan

       重新扫描以发现新的“即插即用”设备。

       devcon resources =ports

       列出由 ports 安装类别中的所有设备使用的资源。

       devcon restart =net @'ROOT\*MSLOOP\

       重新启动环回适配器“ROOT\*MSLOOP\”。命令中的单引号指示必须按字面解释实例 ID。

       devcon hwids=mouse

       列出系统中鼠标类设备的所有硬件 ID。

       devcon sethwid @ROOT\LEGACY_BEEP\ := beep

       将硬件 ID beep 赋予旧式蜂鸣设备。

       devcon stack =ports

       列出设备预期的驱动程序堆栈。包括设备和类别高层/低层筛选程序，以及控制服务。

       devcon status @pci\*

       列出实例 ID 以“pci\”开头的每一个存在设备的状态。

       devcon status @ACPI\PNP\1

       列出特定设备实例的状态，在本例中是一个高级配置和电源界面 (ACPI) - 枚举的串行端口。

       devcon status @root\rdp_mou\

       列出 Microsoft 终端服务器或终端服务鼠标驱动程序的状态。

       devcon status *PNP*

       列出所有 COM 端口的状态。

       devcon update mydev.inf *pnp

       更新与硬件 ID *pnp 严格匹配的所有设备，让它们使用 Mydev.inf 中与硬件 ID *pnp 关联的最好的驱动程序。

       注意：即使系统上已经存在更好的匹配项，这一更新也将强制所有设备使用 Mydev.inf 中的驱动程序。如果在获得签名之前，您想要在开发过程中安装驱动程序的新版本，则这是很有用的。此更新仅影响与指定的硬件 ID 匹配的设备，不会影响到其子设备。如果指定的 .inf 文件未经签名，则 Windows 可能会显示一个对话框，提示您确认是否应安装此驱动程序。如果需要重新启动计算机，将报告这一情况并且 DevCon 返回一个级别 1 错误。如果指定 -r，在需要重新启动计算机时就会自动重启。

       注意

DevCon 将返回一个在脚本中使用的错误级别：

       “0”指示成功。

       “1”指示需要重新启动。

       “2”指示失败。

       “3”指示语法错误。

如果您指定 -r 并且需要重新启动，则在处理完所有设备后，将在无任何警告信息的情况下重新启动。

如果您指定 -m:\\computer 并且命令对远程计算机不起作用，将报告一个错误。

为便于交互，DevCon 允许在实例 ID 中使用通配符。不要根据一台计算机或一种操作系统版本去推测有关另一台计算机或另一种操作系统版本的实例 ID 格式的任何信息。

       回到顶端

       --------------------------------------------------------------------------------

       这篇文章中的信息适用于:

Microsoft Windows Driver Development Kit (DDK)

Microsoft Windows XP 驱动程序开发工具包

Microsoft Windows Server Driver Development Kit

protoize命令如何在C源代码中插入函数原型声明？

       protoize，这个gcc工具包中的命令，其核心功能在于为C源代码文件引入函数原型，将遵循GNU-C标准的代码转化为兼容ANSI-C的格式。它通过gcc命令解析源代码，识别并记录所使用的函数及其参数信息。使用protoize，你可以选择在源文件的开头插入全局函数原型，以便在调用函数前就可使用，或者在调用未声明函数的代码块中插入局部原型，确保代码的可读性和一致性。

       命令的语法结构如下：

protoize [参数] [文件]

       常见的参数选项包括：

       - `-B 目录`：在指定目录查找文件，而非默认的/usr/local/lib。

       - `-C`：重命名文件为.C，而不是.c。

       - `-c`：在生成.X文件时，使用COMPILATION-OPTIONS作为编译选项。

       - `-d 目录`：设置需要转换的代码目录。

       - `-G`：增加全局声明的可见性。

       - `-i 字符串`：使用指定的字符串进行缩进，适用于旧式参数声明。

       - `-k`：保留生成的.X文件。

       - `-l`：添加显示的本地声明。

       - `-N`：不生成.save文件。

       - `-n`：不进行实际修改，仅模拟转换。

       - `-q`：安静模式，自动添加函数原型。

       - `-x 文件`：转换代码时排除指定的文件。

       - `-v`：显示版本信息。c 链表源码

       举例说明：

       - 添加函数原型到test.c文件：`[root@linuxcool ~]# protoize test.c`

       - 设置转换目录：`[root@linuxcool ~]# protoize -d /root test.c`

       - 以安静模式自动添加原型：`[root@linuxcool ~]# protoize -q test.c`

sniffer状态

       sniffer是窃听的意思

       应该就是窃听状态

       sniffers(嗅探器)几乎和internet有一样久的历史了.Sniffer是一种常用的收集有用数据方法，这些数据可以是用户的帐号和密码，可以是一些商用机密数据等等。随着Internet及电子商务的日益普及,Internet的安全也越来越受到重视。在Internet安全隐患中扮演重要角色之一的Sniffer以受到越来越大的关注，所以今天我要向大家介绍一下介绍Sniffer以及如何阻止sniffer。

       大多数的黑客仅仅为了探测内部网上的主机并取得控制权，只有那些"雄心勃勃"的黑客，为了控制整个网络才会安装特洛伊木马和后门程序，并清除记录。他们经常使用的手法是安装sniffer。

        在内部网上，黑客要想迅速获得大量的账号（包括用户名和密码），最为有效的手段是使用 "sniffer" 程序。这种方法要求运行Sniffer 程序的主机和被监听的主机必须在同一个以太网段上，故而在外部主机上运行sniffer是没有效果的。再者，必须以root的身份使用sniffer 程序，才能够监听到以太网段上的数据流。谈到以太网sniffer，就必须谈到以太网sniffing。

       那么什么是以太网sniffer呢?

       以太网sniffing是指对以太网设备上传送的数据包进行侦听，发现感兴趣的包。如果发现符合条件的包，就把它存到一个log文件中

       去。通常设置的这些条件是包含字"username"或"password"的包。它的目的是将网络层放到promiscuous模式，从而能干些事情。

       Promiscuous模式是指网络上的所有设备都对总线上传送的数据进行侦听，并不仅仅是它们自己的数据。根据第二章中有关对以太网的工作原理的基本介绍，可以知道：一个设备要向某一目标发送数据时,它是对以太网进行广播的。一个连到以太网总线上的设备在任何时间里都在接受数据。不过只是将属于自己的数据传给该计算机上的应用程序。

        利用这一点，可以将一台计算机的网络连接设置为接受所有以太

       网总线上的数据，从而实现sniffer。

        sniffer通常运行在路由器，或有路由器功能的主机上。这样就能对大量的数据进行监控。sniffer属第二层次的攻击。通常是攻击者已经进入了目标系统，然后使用sniffer这种攻击手段，以便得到更多的信息。

        sniffer除了能得到口令或用户名外，还能得到更多的其他信息，比如一个其他重要的信息，在网上传送的金融信息等等。sniffer几乎能得到任何以太网上的传送的数据包。黑客会使用各种方法，获得系统的控制权并留下再次侵入的后门，以保证sniffer能够执行。在Solaris 2.x平台上，sniffer 程序通常被安装在/usr/bin 或/dev目录下。黑客还会巧妙的修改时间，使得sniffer程序看上去是和其它系统程序同时安装的。

       大多数以太网sniffer程序在后台运行，将结果输出到某个记录文件中。黑客常常会修改ps程序，使得系统管理员很难发现运行的sniffer程序。

        以太网sniffer程序将系统的网络接口设定为混合模式。这样，它就可以监听到所有流经同一以太网网段的数据包，不管它的接受者或发送者是不是运行sniffer的主机。 程序将用户名、密码和其它黑客感兴趣的数据存入log文件。黑客会等待一段时间 ----- 比如一周后，再回到这里下载记录文件。

       讲了这么多，那么到底我们可以用什么通俗的话来介绍sniffer呢？

       计算机网络与电话电路不同，计算机网络是共享通讯通道的。共享意味着计算机能够接收到发送给其它计算机的信息。捕获在网络中传输的数据信息就称为sniffing（窃听）。

        以太网是现在应用最广泛的计算机连网方式。以太网协议是在同一回路向所有主机发送数据包信息。数据包头包含有目标主机的正确地址。一般情况下只有具有该地址的主机会接受这个数据包。如果一台主机能够接收所有数据包，浪子麻将源码而不理会数据包头内容，这种方式通常称为"混杂" 模式。

        由于在一个普通的网络环境中，帐号和口令信息以明文方式在以太网中传输， 一旦入侵者获得其中一台主机的root权限，并将其置于混杂模式以窃听网络数据，从而有可能入侵网络中的所有计算机。

       一句话，sniffer就是一个用来窃听的黑客手段和工具。

       二、sniffer的工作原理

        通常在同一个网段的所有网络接口都有访问在物理媒体上传输的所有数据的能力，而每个网络接口都还应该有一个硬件地址，该硬件地址不同于网络中存在的其他网络接口的硬件地址，同时，每个网络至少还要一个广播地址。（代表所有的接口地址），在正常情况下，一个合法的网络接口应该只响应这样的两种数据帧：

        1、帧的目标区域具有和本地网络接口相匹配的硬件地址。

        2、帧的目标区域具有"广播地址"。

        在接受到上面两种情况的数据包时，nc通过cpu产生一个硬件中断，该中断能引起操作系统注意，然后将帧中所包含的数据传送给系统进一步处理。

        而sniffer就是一种能将本地nc状态设成（promiscuous）状态的软件，当nc处于这种"混杂"方式时，该nc具备"广播地址"，它对所有遭遇到的每一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。（绝大多数的nc具备置成 promiscuous方式的能力）

        可见，sniffer工作在网络环境中的底层，它会拦截所有的正在网络上传送的数据，并且通过相应的软件处理，可以实时分析这些数据的内容，进而分析所处的网络状态和整体布局。值得注意的是：sniffer是极其安静的，它是一种消极的安全攻击。

        通常sniffer所要关心的内容可以分成这样几类：

        1、口令

        我想这是绝大多数非法使用sniffer的理由，sniffer可以记录到明文传送的userid和passwd.就算你在网络传送过程中使用了加密的数据，sniffer记录的数据一样有可能使入侵者在家里边吃肉串边想办法算出你的算法。

        2、金融帐号

        许多用户很放心在网上使用自己的信用卡或现金帐号，然而sniffer可以很轻松截获在网上传送的用户姓名、口令、信用卡号码、截止日期、帐号和pin.

        3、偷窥机密或敏感的信息数据

        通过拦截数据包，入侵者可以很方便记录别人之间敏感的信息传送，或者干脆拦截整个的email会话过程。

        4、窥探低级的协议信息。

        这是很可怕的事，我认为，通过对底层的信息协议记录，比如记录两台主机之间的网络接口地址、远程网络接口ip地址、ip路由信息和tcp连接的字节顺序号码等。这些信息由非法入侵的人掌握后将对网络安全构成极大的危害，通常有人用sniffer收集这些信息只有一个原因：他正在进行一次欺诈，（通常的ip地址欺诈就要求你准确插入tcp连接的字节顺序号,这将在以后整理的文章中指出）如果某人很关心这个问题，那么sniffer对他来说只是前奏，今后的问题要大得多。（对于高级的hacker而言，我想这是使用sniffer的唯一理由吧）

       二.sniffer的工作环境

       snifffer就是能够捕获网络报文的设备。嗅探器的正当用处在于分析网络的流量,以便找出所关心的网络中潜在的问题。例如,假设网络的某一段运行得不是很好,报文的发送比较慢,而我们又不知道问题出在什么地方,此时就可以用嗅探器来作出精确的问题判断。

       嗅探器在功能和设计方面有很多不同。有些只能分析一种协议，而另一些可能能够分析几百种协议。一般情况下，大多数的嗅探器至少能够分析下面的协议：

       1.标准以太网

       2.TCP/IP

       3.IPX

       4.DECNet

       嗅探器通常是软硬件的结合。专用的嗅探器价格非常昂贵。另一方面，免费的嗅探器虽然不需要花什么钱，但得不到什么支持。

       嗅探器与一般的键盘捕获程序不同。键盘捕获程序捕获在终端上输入的键值，而嗅探器则捕获真实的网络报文。嗅探器通过将其置身于网络接口来达到这个目的——例如将以太网卡设置成杂收模式。（为了理解杂收模式是怎么回事，先解释局域网是怎么工作的）。

       数据在网络上是以很小的称为帧(Ftame)的单位传输的帧由好几部分组成，不同的部分执行不同的功能。（例如，以太网的前个字节存放的是源和目的的地址，这些位告诉网络：数据的来源和去处。以太网帧的其他部分存放实际的用户数据、TCP/IP的报文头或IPX报文头等等）。

       帧通过特定的称为网络驱动程序的软件进行成型，然后通过网卡发送到网线上。通过网线到达它们的目的机器，在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧，并告诉操作系统帧的到达，然后对其进行存储。就是在这个传输和接收的过程中，嗅探器会造成安全方面的问题。

       每一个在LAN上的工作站都有其硬件地址。这些地址唯一地表示着网络上的机器（这一点于Internet地址系统比较相似）。当用户发送一个报文时，这些报文就会发送到LAN上所有可用的机器。

       在一般情况下，网络上所有的机器都可以“听”到通过的流量，但对不属于自己的报文则不予响应（换句话说，工作站A不会捕获属于工作站B的数据，而是简单的忽略这些数据）。

       如果某在工作站的网络接口处于杂收模式，那么它就可以捕获网络上所有的报文和帧，如果一个工作站被配置成这样的方式，它（包括其软件）就是一个嗅探器。

       嗅探器可能造成的危害：

       1.嗅探器能够捕获口令

       2.能够捕获专用的或者机密的信息

       3.可以用来危害网络邻居的安全，或者用来获取更高级别的访问权限

       事实上，如果你在网络上存在非授权的嗅探器就以为着你的系统已经暴露在别人面前了。（大家可以试试天行2的嗅探功能）

       一般我们只嗅探每个报文的前到个字节。用户名和口令都包含在这一部分中，这是我们关心的真正部分。工人，也可以嗅探给定接口上的所有报文，如果有足够的空间进行存储，有足够的那里进行处理的话，将会发现另一些非常有趣的东西……

       简单的放置一个嗅探器宾将其放到随便什么地方将不会起到什么作用。将嗅探器放置于被攻击机器或网络附近，这样将捕获到很多口令，还有一个比较好的方法就是放在网关上。如果这样的话就能捕获网络和其他网络进行身份鉴别的过程。这样的方式将成倍地增加我们能够攻击的范围。

       三.谁会使用sniffers

       可能谁都回知道谁会使用sniffer，但是并不是每个使用它的人都是网络高手，因为现在有很多的sniffer都成了傻瓜似的了，前段时间用的最多的不外乎oicq sniffer。我想那些喜欢查好友ip的朋友都应该记得它吧。呵呵，我都使用过它，现在当然不用了啊！

       当然系统管理员使用sniffer来分析网络信息交通并且找出网络上何处发生问题。一个安全管理员可以同时用多种sniffer, 将它们放置在网络的各处,形成一个入侵警报系统。对于系统管理员来说sniffer是一个非常好的工具,但是它同样是一个经常被黑客使用的工具.骇客安装sniffer以获得用户名和账号,信用卡号码,个人信息,和其他的信息可以导致对你或是你的公司的极大危害如果向坏的方面发展。当它们得到这些信息后,骇客将使用密码来进攻其他的internet 站点甚至倒卖信用卡号码。

       三.sniffer是如何在网络上实施的

       谈这个问题之前还应该先说一下Ethernet的通讯。通常在同一个网段的所有网络接口都有访问在媒体上传输的所有数据的能力，而每个网络接口都还应该有一个硬件地址，该硬件地址不同于网络中存在的其它网络接口的硬件地址，同时，每个网络至少还要一个广播地址。在正常情况下，一个合法的网络接口应该只响应这样的两种数据帧：

        1�帧的目标区域具有和本地网络接口相匹配的硬件地址。

        2�帧的目标区域具有“广播地址”。

        在接受到上面两种情况的数据包时，网卡通过cpu产生一个硬件中断。该中断能引起操作系统注意，然后将帧中所包含的数据传送给系统进一步处理。而sniffer就是一种能将本地网卡状态设成杂乱模式（promiscuous Mode）的软件。当网卡处于杂乱模式时，该网卡具备“广播地址”，它对所有遇到的每一个帧都产生一个硬件中断以提醒操作系统处理每一个报文包。（绝大多数的网卡具备设置成杂乱模式的能力。

        可见，sniffer工作在网络环境中的底层，它会拦截所有的正在网络上传送的数据。通过相应的软件处理，可以实时分析这些数据的内容，进而分析所处的网络状态和整体布局。值得注意的是：sniffer是极其安静的，它是一种消极的安全攻击。

       四.哪里可以得到sniffer

       我们讲的sniffer，主要是在unix系统下运用的，至于那些oicq sniffer就不在我们讨论的范围。

       Sniffer是黑客们最常用的入侵手段之一。你可以在经过允许的网络中运行sniffer，了解它是如何有效地危及本地机器安全。

        Sniffer可以是硬件，也可以是软件。现在品种最多,应用最广的是软件Sniffer,绝大多数黑客们用的也是软件Sniffer。

        以下是一些也被广泛用于调试网络故障的sniffer工具：

        （一）.商用sniffer：

        1. Network General.

        Network General开发了多种产品。最重要的是Expert Sniffer，它不仅仅可以sniff，还能够通过高性能的专门系统发送/接收数据包，帮助诊断故障。还有一个增强产品"Distrbuted Sniffer System"可以将UNIX工作站作为sniffer控制台，而将sniffer agents（代理）分布到远程主机上。

        2. Microsoft's Net Monitor

        对于某些商业站点，可能同时需要运行多种协议--NetBEUI、IPX/SPX、TCP/IP、.3和SNA等。这时很难找到一种sniffer帮助解决网络问题，因为许多sniffer往往将某些正确的协议数据包当成了错误数据包。Microsoft的Net Monitor（以前叫Bloodhound）可以解决这个难题。它能够正确区分诸如Netware控制数据包、NT NetBios名字服务广播等独特的数据包。（etherfind只会将这些数据包标识为类型的广播数据包。）这个工具运行在MS Windows 平台上。它甚至能够按MAC地址（或主机名）进行网络统计和会话信息监视。只需简单地单击某个会话即可获得tcpdump标准的输出。过滤器设置也是最为简单的，只要在一个对话框中单击需要监视的主机即可。

        （二）.免费软件sniffer

        1. Sniffit由Lawrence Berkeley 实验室开发，运行于Solaris、SGI和Linux等平台。可以选择源、目标地址或地址集合，还可以选择监听的端口、协议和网络接口等。这个SNIFFER默认状态下只接受最先的个字节的信息包，这对于一次登陆会话进程刚刚好。

        2. SNORT：这个SNIFFER有很多选项供你使用并可移植性强，可以记录一些连接信息，用来跟踪一些网络活动。

        3. TCPDUMP：这个SNIFFER很有名，linux,FREEBSD还搭带在系统上，是一个被很多UNIX高手认为是一个专业的网络管理工具，记得以前TsutomuShimomura（应该叫下村侵吧）就是使用他自己修改过的TCPDUMP版本来记录了KEVINMITNICK攻击他系统的记录，后来就配合FBI抓住了KEVINMITNICK，后来他写了一文：使用这些LOG记录描述了那次的攻击，HowMitnickhackedTsutomuShimomurawithanIPsequenceattack

       ( /~lspitz/snoop.html

       （四）.Linux下的sniffer工具

       Linux下的sniffer工具，我推荐Tcpdump。

       [1].tcpdump的安装

       在linux下tcpdump的安装十分简单，一般由两种安装方式。一种是以rpm包的形式来进行安装。另外一种是以源程序的形式安装。

        1． rpm包的形式安装

        这种形式的安装是最简单的安装方法，rpm包是将软件编译后打包成二进制的格式，通过rpm命令可以直接安装，不需要修改任何东西。以超级用户登录，使用命令如下：

        #rpm -ivh tcpdump-3_4a5.rpm

        这样tcpdump就顺利地安装到你的linux系统中。怎么样，很简单吧。

        2． 源程序的安装

        既然rpm包的安装很简单,为什么还要采用比较复杂的源程序安装呢?其实，linux一个最大的诱人之处就是在她上面有很多软件是提供源程序的，人们可以修改源程序来满足自己的特殊的需要。所以我特别建议朋友们都采取这种源程序的安装方法。

        · 第一步 取得源程序 在源程序的安装方式中，我们首先要取得tcpdump的源程序分发包，这种分发包有两种 形式，一种是tar压缩包(tcpdump-3_4a5.tar.Z),另一种是rpm的分发包(tcpdump-3_4a5.src.rpm)。这两种 形式的内容都是一样的，不同的仅仅是压缩的方式.tar的压缩包可以使用如下命令解开：

        #tar xvfz tcpdump-3_4a5.tar.Z

        rpm的包可以使用如下命令安装:

        #rpm -ivh tcpdump-3_4a5.src.rpm

        这样就把tcpdump的源代码解压到/usr/src/redhat/SOURCES目录下.

        · 第二步 做好编译源程序前的准备活动

        在编译源程序之前，最好已经确定库文件libpcap已经安装完毕，这个库文件是tcpdump软件所需的库文件。同样，你同时还要有一个标准的c语言编译器。在linux下标准的c 语言编译器一般是gcc。 在tcpdump的源程序目录中。有一个文件是Makefile.in，configure命令就是从Makefile.in文件中自动产生Makefile文件。在Makefile.in文件中，可以根据系统的配置来修改BINDEST 和 MANDEST 这两个宏定义，缺省值是

        BINDEST = @sbindir @

        MANDEST = @mandir @

        第一个宏值表明安装tcpdump的二进制文件的路径名，第二个表明tcpdump的man 帮助页的路径名,你可以修改它们来满足系统的需求。

        · 第三步 编译源程序

        使用源程序目录中的configure脚本，它从系统中读出各种所需的属性。并且根据Makefile.in文件自动生成Makefile文件，以便编译使用.make 命令则根据Makefile文件中的规则编译tcpdump的源程序。使用make install命令安装编译好的tcpdump的二进制文件。

        总结一下就是:

        # tar xvfz tcpdump-3_4a5.tar.Z

        # vi Makefile.in

        # . /configure

        # make

        # make install

       [2].Tcpdump的使用

        tcpdump采用命令行方式，它的命令格式为：

        tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ]

        [ -i 网络接口 ] [ -r 文件名] [ -s snaplen ]

        [ -T 类型 ] [ -w 文件名 ] [表达式 ]

        1. tcpdump的选项介绍

        -a 将网络地址和广播地址转变成名字；

        -d 将匹配信息包的代码以人们能够理解的汇编格式给出；

        -dd 将匹配信息包的代码以c语言程序段的格式给出；

        -ddd 将匹配信息包的代码以十进制的形式给出；

        -e 在输出行打印出数据链路层的头部信息；

        -f 将外部的Internet地址以数字的形式打印出来；

        -l 使标准输出变为缓冲行形式；

        -n 不把网络地址转换成名字；

        -t 在输出的每一行不打印时间戳；

        -v 输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息；

        -vv 输出详细的报文信息；

        -c 在收到指定的包的数目后，tcpdump就会停止；

        -F 从指定的文件中读取表达式,忽略其它的表达式；

        -i 指定监听的网络接口；

        -r 从指定的文件中读取包(这些包一般通过-w选项产生)；

        -w 直接将包写入文件中，并不分析和打印出来；

        -T 将监听到的包直接解释为指定的类型的报文，常见的类型有rpc （远程过程 调用）和snmp（简单网络管理协议；）

        2. tcpdump的表达式介绍

        表达式是一个正则表达式，tcpdump利用它作为过滤报文的条件，如果一个报文满足表达式的条件，则这个报文将会被捕获。如果没有给出任何条件，则网络上所有的信息包将会被截获。

        在表达式中一般如下几种类型的关键字，一种是关于类型的关键字，主要包括host，net，port, 例如 host ...2，指明 ...2是一台主机，net .0.0.0 指明 .0.0.0是一个网络地址，port 指明端口号是。如果没有指定类型，缺省的类型是host.

        第二种是确定传输方向的关键字，主要包括src , dst ,dst or src, dst and src ,这些关键字指明了传输的方向。举例说明，src ...2 ,指明ip包中源地址是...2 , dst net .0.0.0 指明目的网络地址是.0.0.0 。如果没有指明方向关键字，则缺省是src or dst关键字。

        第三种是协议的关键字，主要包括fddi,ip ,arp,rarp,tcp,udp等类型。Fddi指明是在FDDI(分布式光纤数据接口网络)上的特定的网络协议，实际上它是"ether"的别名，fddi和ether具有类似的源地址和目的地址，所以可以将fddi协议包当作ether的包进行处理和分析。其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议，则tcpdump将会监听所有协议的信息包。

        除了这三种类型的关键字之外，其他重要的关键字如下：gateway, broadcast,less,greater,还有三种逻辑运算，取非运算是 'not ' '! ', 与运算是'and','&&';或运算 是'or' ,''；

        这些关键字可以组合起来构成强大的组合条件来满足人们的需要，下面举几个例子来说明。

        (1)想要截获所有...1 的主机收到的和发出的所有的数据包：

        #tcpdump host ...1

        (2) 想要截获主机...1 和主机...2 或...3的通信，使用命令：（在命令行中适用括号时，一定要

        #tcpdump host ...1 and \ (...2 or ...3 \)

        (3) 如果想要获取主机...1除了和主机...2之外所有主机通信的ip包，使用命令：

        #tcpdump ip host ...1 and ! ...2

        (4)如果想要获取主机...1接收或发出的telnet包，使用如下命令：

        #tcpdump tcp port host ...1

        3. tcpdump 的输出结果介绍

        下面我们介绍几种典型的tcpdump命令的输出信息

        (1) 数据链路层头信息

        使用命令#tcpdump --e host ice

        ice 是一台装有linux的主机，她的MAC地址是0：：：：AF：1A

        H是一台装有SOLARIC的SUN工作站，它的MAC地址是8：0：：：5B：；上一条命令的输出结果如下所示：

       ::. eth0 < 8:0:::5b: 0::::af:1a ip : h. > ice.telne

       t 0:0(0) ack win (DF)

        分析：：：是显示的时间， 是ID号，eth0 <表示从网络接口eth0 接受该数据包，eth0 >表示从网络接口设备发送数据包, 8:0:::5b:是主机H的MAC地址,它表明是从源地址H发来的数据包. 0::::af:1a是主机ICE的MAC地址,表示该数据包的目的地址是ICE . ip 是表明该数据包是IP数据包, 是数据包的长度, h. > ice.telnet 表明该数据包是从主机H的端口发往主机ICE的TELNET()端口. ack 表明对序列号是的包进行响应. win 表明发送窗口的大小是.

        (2) ARP包的TCPDUMP输出信息

        使用命令#tcpdump arp

        得到的输出结果是：

        ::. eth0 > arp who-has route tell ice (0::::af:1a)

        ::. eth0 < arp reply route is-at 0::::: (0::::af:1a)

        分析: ::是时间戳, 是ID号, eth0 >表明从主机发出该数据包, arp表明是ARP请求包, who-has route tell ice表明是主机ICE请求主机ROUTE的MAC地址。 0::::af:1a是主机ICE的MAC地址。

        (3) TCP包的输出信息

        用TCPDUMP捕获的TCP包的一般输出信息是：

        src > dst: flags data-seqno ack window urgent options

        src > dst:表明从源地址到目的地址, flags是TCP包中的标志信息,S 是SYN标志, F (FIN), P (PUSH) , R (RST) "." (没有标记); data-seqno是数据包中的数据的顺序号, ack是下次期望的顺序号, window是接收缓存的窗口大小, urgent表明数据包中是否有紧急指针. Options是选项.

        (4) UDP包的输出信息

        用TCPDUMP捕获的UDP包的一般输出信息是：

        route.port1 > ice.port2: udp lenth

        UDP十分简单，上面的输出行表明从主机ROUTE的port1端口发出的一个UDP数据包到主机ICE的port2端口，类型是UDP， 包的长度是lenth上面，我就详细介绍了TCPDUMP的安装和使用，希望会对大家有所帮助。如果想要熟练运用TCPDUMP这个LINUX环境下的SNIFFER利器，还需要大家在实践中总结经验，充分发挥它的威力。

       （五）.windows平台上的sniffer

       我推荐netxray和sniffer pro软件，想必大家都用过他们，不过我在这儿还要再简单介绍一下他们。

       netxray的使用说明

       1.1.1.1----2.2.2.2----3.3.3.3----4.4.4.4 这是一个ShareHub连接下的局域网

       5.5.5.5 这是一个端口上的

       启动Capture，

Snort主要指令

       以下是Snort主要指令的改写版，以HTML格式展示：

       Snort是一款强大的网络流量分析工具，其提供了多种指令以满足不同需求。首先，你可以使用snort -o来改变规则的顺序，确保它们按照你的需求执行。

       设置警告输出档是通过snort -a和config alertfile: alertlog完成的，这有助于记录和分析网络活动中的异常情况。

       规则分类是通过classification指令进行的，有助于组织和管理复杂的规则集。

       开启arp解码功能则使用decode_arp，这有助于解析ARP报文，理解其含义。

       字元撷取功能的开启通过dump_chars_only，可以抓取和分析网络数据中的特定字符。

       若想获取应用层资料，可以使用dump_payload；而解码资料链结层的标头则通过decode_data_link。

       利用snort -F和bpf_file，你可以指定BPF筛选程序，增强规则匹配的精准性。

       改变GID的设置是通过set_gid，例如config set_gid: snort_group，以适应特定的安全需求。

       以背景模式执行Snort，可以使用daemon，如snort -D。

       通过reference_net和config reference_net:..1.0/，可以指定监控的网络范围。

       网路介面的设置通过interface，如config interface: xl0，确保Snort只监控特定网络接口。

       要附带介面资讯在警示中，使用alert_with_interface_name。

       记录目录的设置通过logdir，如config logdir: /var/log/snort，便于管理和分析日志。

       调整输出档权限使用umask，如config umask: 。

       通过pkt_count，如config pkt_count: ，Snort在处理完指定数量的封包后会自动退出。

       关闭记录功能但保留警示功能，使用nolog。

       在安静模式下，quiet会让Snort运行时仅显示必要信息，减少输出干扰。

       计算checksum的协定类型是通过checksum_mode，支持多种协议选项。

       如果想使用UTC时间记录，可以使用utc。

       增加详细记录输出，使用verbose，这对于调试和分析非常有帮助。

       若想详细抓取资料链结层的封包，dump_payload_verbose是你的选择。

       在时间记录中显示年份，show_year功能不可少。

       最后，对于Stream4的保证模式设置，可以使用stateful。

       还有其他选项，如设置最小TTL值、控制解码警示等，可根据具体需求调整。

       通过detection指令，你可以配置侦测引擎，优化性能和准确性。

       最后，reference则允许你在Snort中加入新的参考系统，扩展其功能和兼容性。

扩展资料

       在年，Martin Roesch先生用C语言开发了开放源代码(Open Source)的入侵检测系统Snort.直至今天，Snort已发展成为一个多平台(Multi-Platform),实时(Real-Time)流量分析，网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System),即NIDS/NIPS.Snort符合通用公共许可(GPL——GUN General Pubic License),在网上可以通过免费下载获得Snort,并且只需要几分钟就可以安装并开始使用它。snort基于libpcap。

尝试开源的安全通讯软件 Threema 的 7 个理由 | Linux 中国

       探索隐私与安全新边界：深入理解Threema的7大亮点

       在当今的数字世界中，寻找一个既注重隐私又安全的通讯工具显得尤为重要。Threema，一个备受推崇的开源选项，凭借其独特的设计和理念，为用户提供了区别于其他应用的体验。让我们一起揭开它的神秘面纱，看看为什么它值得你尝试。

       一、隐私的无痕之旅

       Threema的独特之处在于，它无需手机号码即可注册，只需一个Threema ID，这让你在保护隐私的同时，也能轻松与他人建立联系。即使在没有SIM卡的情况下，Threema也能无缝运行，无需担心个人信息的泄露。

       二、开源的信任保障

       作为一款开源软件，Threema的源代码对所有用户开放，这意味着它的安全性和稳定性得到了严格的社区审查。对于追求透明度和信任度的用户来说，这无疑是一大优势。

       三、去中心化的安全基石

       与中心化服务器不同，Threema采用了去中心化架构，这意味着它的安全性和抵御审查的能力更胜一筹。无论面临怎样的外部干扰，Threema都能保持高效运行，保障你的通信安全无虞。

       四、付费版的高质量承诺

       虽然Threema并非免费，但它的收费模式意味着没有广告打扰，而且可以筛选出那些不怀好意的信息。对于重视隐私的人来说，这是一笔投资，换来的是一个更纯净的沟通空间。

       五、卓越的用户体验和创新特性

       Threema不仅拥有稳定的界面，还具备实用的功能，如群聊投票和静默确认，让你的沟通更加便捷且高效。对于寻求高级功能的用户，Threema显然不逊色于竞品。

       六、瑞士的法律背书与GDRP遵从

       Threema的开发团队位于尊重隐私的瑞士，这使得它的服务在法律约束和隐私保护上更加可靠。它的GDRP合规性进一步增强了用户对数据安全的信心。

       七、企业级的安全解决方案

       Threema还提供了针对企业的专用版本，专为增强内部沟通安全而设计。对于需要内部通讯安全的企业来说，这无疑是一个专业且安全的选择。

       结论与个人体验

       尽管我并未广泛使用，但长期的使用体验告诉我，Threema是为那些追求隐私和安全的用户精心打造的。它的存在，就像一个安静的守护者，守护着每一个用户的对话。你是否已经准备好尝试这个与众不同的选择？在评论区分享你的见解，让我们共同探讨这个安全的通信世界。

       注：以上内容由LCTT原创编译，Linux中国荣誉发布