文档介绍:AccessDiver 中文使用指南本书由 TXT 之梦絮为您整理制作更多 txt 好书敬请登录 essDiver 中文使用指南不知道那位朋友翻译写出来, 收藏了 N久, 今天给大家转出来吧不错 AccessDiver 中文使用指南 AccessDiver 中文使用指南 By LordOne 一,前言关于 AD 以及暴力破解 ABC 什么是 AD? AD是 AccessDiver 的简称,就象 MicroSof t 被称为 MS 一样。 AccessDive r 是一个安全测试软件,官方网站是 ,作者叫 Jean ,在 (一个著名的网络安全论坛)的 support 版上经常可以看到他的身影,你可以在那里向他提出关于这个软件使用和技术方面的疑问。就象战斗武器既可以防身, 又可以发动攻击一样, AD 作为一个优秀的安全测试软件同时,也是一个表现极其出色的暴力破解软件。无论是破解标准的弹出窗口加密网页,还是 HTML 加密网页, AD 都显得游刃有余。最难能可贵的是,和 Ares 这样为专家级 Cracker 设计的破解软件不同, AD 有着友好的界面, 非常容易上手, 尤其适合初涉破解的新手( Newbie )。当然, 拥有强大而齐全功能的 AD 同样适合老手使用。因此, AD 成为目前互联网上最受欢迎的暴力破解软件, 也就顺理成章了。在官方网站以下载到最新版的 AD 。目前最流行的版本是 Build 3044 。小圈子里传播的 Build 3283 目前尚在测试阶段,有诸多 Bug ,不必使用。为什么用 AD 这样的软件可以破解成功? 有很多新手问过我这个问题。在他们想来,随意性的用户帐号和密码组合是一个天文数字, 怎么会被人从网络上用暴力测试手段获得呢? 答案其实可以从你自己身上找到。比方说,你在公司里的英文名叫 Jackie Li ,你的信箱是 jackie-li@ , 密码是 jackie0101 ( 因为你是元旦出生的)。现在,你又要申请一个免费信箱,那么,想到的第一个帐号会是什么呢?我想 90% 以上的概率会是 jacki e或者 jackie -li 。你很幸运, 你用 jackie-li 在这个免费邮箱服务器上注册成功了。接下来要设置密码, 你想到的第一个密码会是什么呢?我想 90% 以上的概率会是 jackie0101 。好,现在,假定这个免费信箱服务器的网络安全很烂,用户资料被盗,这个黑客用得来的用户名和密码序列去测试你们公司的邮件服务器, 会发生什么情况呢?很明显, 他用 jackie-li:jackie0101 成功的进入了你的公司信箱。这是一种成功破解的典型例子。我们再来探讨一个例子。某天,你要把一个 10多兆的文件共享给一个朋友, 邮件没办法发, 就临时到 Yaho o 申请了一个公文包,而你的朋友没有 Yahoo 帐号,于是你就把公文包的帐号和密码告诉了你的朋友。在这种情况下,你的帐号和密码会怎样设置呢?很多人会设成诸如 test:test 、 abc:123 、 asdf:123456 、 zhangsan:lisi 等等非常易记的序列( 当然, 这里需要指出的是, 诸如 admin 、 test 、 abc 等帐号在 Yahoo 服务器是属于稀缺资源, 拥有者不可能设置这么简单的密码, 我用 Yahoo 做例子, 只是打个比方而已)。于是,如果有窥视者正在侦测服务器,这些简单的序列就轻而易举的被命中了。现在理解了么?成功破解思路一:用A 服务器上的可用帐号密码序列去测试 B 服务器( 当然,前提是A 服务器和 B 服务器有很大的相关性),注意,是“可用”,而不是“曾经可用”而现在已经“死亡”的帐号密码序列;成功破解思路二:构造特定服务器上最可能出现的帐号密码序列进行测试, 所谓“最可能”出现,既包括诸如“ abc:abc ”这些通用的组合,也包括与服务器内容紧密相关的组合。使用 AD 进行暴力破解会产生安全问题么? 使用不当,当然会产生安全问题。最常见的情况是, 被频繁请求骚扰的服务器侦测出破解企图, 于是发出警报,启动反击程序, 释放大量的 Fake ( 虚假) 应答, 迷惑测试者, 并记录一切攻击行为。假定你使用的是固定 IP (比方说,你下班后在公司悄悄干活), 这个 IP 就被记录并被通知相关部门, 你就吃不了兜着走了; 假定你使用拨号上网, 临时 IP 也被记录并被通知相关 ISP , ISP 一查记录, 你也会吃不了兜着走。所以, 暴力破解的另一个关键要素就是: 匿名代理服务器。注意, 代理服务器有很多种。很多代理服务器表面上给你提供代理服务, 却会悄悄的把你的真实 IP 透露给那一头的服务器;另外一些代理服务器则属于某些公司或者机构的