文档介绍：AccessDiver 中文使用指南本书由 TXT 之梦絮为您整理制作更多 txt 好书敬请登录 essDiver 中文使用指南不知道那位朋友翻译写出来, 收藏了 N久, 今天给大家转出来吧不错 AccessDiver 中文使用指南 AccessDiver 中文使用指南 By LordOne 一,前言关于 AD 以及暴力破解 ABC 什么是 AD? AD是 AccessDiver 的简称,就象 MicroSof t 被称为 MS 一样。 AccessDive r 是一个安全测试软件,官方网站是 ,作者叫 Jean ,在 (一个著名的网络安全论坛)的 support 版上经常可以看到他的身影,你可以在那里向他提出关于这个软件使用和技术方面的疑问。就象战斗武器既可以防身, 又可以发动攻击一样, AD 作为一个优秀的安全测试软件同时,也是一个表现极其出色的暴力破解软件。无论是破解标准的弹出窗口加密网页,还是 HTML 加密网页, AD 都显得游刃有余。最难能可贵的是,和 Ares 这样为专家级 Cracker 设计的破解软件不同, AD 有着友好的界面, 非常容易上手, 尤其适合初涉破解的新手( Newbie ) 。当然,拥有强大而齐全功能的 AD 同样适合老手使用。因此, AD 成为目前互联网上最受欢迎的暴力破解软件, 也就顺理成章了。在官方网站以下载到最新版的 AD 。目前最流行的版本是 Build 3044 。小圈子里传播的 Build 3283 目前尚在测试阶段,有诸多 Bug ,不必使用。为什么用 AD 这样的软件可以破解成功? 有很多新手问过我这个问题。在他们想来,随意性的用户帐号和密码组合是一个天文数字, 怎么会被人从网络上用暴力测试手段获得呢? 答案其实可以从你自己身上找到。比方说,你在公司里的英文名叫 Jackie Li ,你的信箱是 jackie-li@ , 密码是 jackie0101 ( 因为你是元旦出生的)。现在, 你又要申请一个免费信箱, 那么, 想到的第一个帐号会是什么呢?我想 90% 以上的概率会是 jackie 或者 jackie -li 。你很幸运, 你用 jackie-li 在这个免费邮箱服务器上注册成功了。接下来要设置密码, 你想到的第一个密码会是什么呢?我想 90% 以上的概率会是 jackie0101 。好,现在,假定这个免费信箱服务器的网络安全很烂,用户资料被盗,这个黑客用得来的用户名和密码序列去测试你们公司的邮件服务器, 会发生什么情况呢?很明显, 他用 jackie-li:jackie0101 成功的进入了你的公司信箱。这是一种成功破解的典型例子。我们再来探讨一个例子。某天,你要把一个 10多兆的文件共享给一个朋友, 邮件没办法发, 就临时到 Yaho o 申请了一个公文包,而你的朋友没有 Yahoo 帐号,于是你就把公文包的帐号和密码告诉了你的朋友。在这种情况下,你的帐号和密码会怎样设置呢?很多人会设成诸如 test:test 、 abc:123 、 asdf:123456 、 zhangsan:lisi 等等非常易记的序列( 当然, 这里需要指出的是, 诸如 admin 、 test 、 abc 等帐号在 Yahoo 服务器是属于稀缺资源, 拥有者不可能设置这么简单的密码, 我用 Yahoo 做例子, 只是打个比方而已)。于是, 如果有窥视者正在侦测服务器, 这些简单的序列就轻而易举的被命中了。现在理解了么?成功破解思路一:用A 服务器上的可用帐号密码序列去测试 B 服务器( 当然,前提是A 服务器和 B 服务器有很大的相关性), 注意,是“可用”, 而不是“曾经可用”而现在已经“死亡”的帐号密码序列;成功破解思路二:构造特定服务器上最可能出现的帐号密码序列进行测试,所谓“最可能”出现, 既包括诸如“ abc:abc ”这些通用的组合, 也包括与服务器内容紧密相关的组合。使用 AD 进行暴力破解会产生安全问题么? 使用不当,当然会产生安全问题。最常见的情况是,被频繁请求骚扰的服务器侦测出破解企图, 于是发出警报,启动反击程序, 释放大量的 Fake ( 虚假) 应答, 迷惑测试者, 并记录一切攻击行为。假定你使用的是固定 IP (比方说,你下班后在公司悄悄干活), 这个 IP 就被记录并被通知相关部门, 你就吃不了兜着走了; 假定你使用拨号上网,临时IP 也被记录并被通知相关 ISP , ISP一查记录,你也会吃不了兜着走。所以,暴力破解的另一个关键要素就是: 匿名代理服务器。注意, 代理服务器有很多种。很多代理服务器表面上给你提供代理服务, 却会悄悄的把你的真实 IP 透露给那一头的服务器;另外一些代理服务器则属于某些公司或者机