中华经典网络军刀


软件简介

  这是一个非常小巧的图形界面网络服务测试以及 RFC 协议分析工具,系统管理员和网络安全人士的移动办公首选。
  这也是一个操作更方便的万能精简版网络通讯、透明包转发以及信息刺探工具,黑客级人物必备。
  同时,这还是一个内置系统进程、线程和内存、窗口分析等辅助功能的精巧系统工具,为系统日常维护提供最大便利。

  这是一把多功能的“瑞士军刀”。一刀在手,百事无忧。

  严正声明:
  本工具及所有附赠产品均仅授权应用于合法的教学评估、辖区内操作系统或防火墙等安全产品的相关性能测试,请勿擅自用于任何非授权或非正当的用途。
  无论如何,使用本工具及所有附赠产品而引发的、任何形式的民事及刑事后果由使用者自负,本工具及所有附赠产品作者不承担任何责任和义务(正如铁匠只是打刀,买刀者杀人偿命与铁匠无任何关系)。
  如果您不同意上述声明,请勿下载使用,并请即刻自觉关闭浏览器,谢谢合作。

  最新版本下载:中华经典网络军刀 (63K, Build 070901.1709) (先查阅更新记录)
    ◇ 附赠 SYN Flood/Land/WinNuke 拒绝服务及 FIN/SYN/RESET/PUSH/ACK/URGENT 标志位攻击测试工具:
      SYN For Windows 2000/XP/2003 (14.5K, Build 050417.0950)
      SYN For RedHat Linux (SYN Flood only, 23.2K, Build 020813)
    ◇ 附赠操作最方便的 ASP 网页木马 Build 040627
      (浏览、下载、写入、执行和删除远程文件和本地资源管理器一样方便,密码为引号内的“(C)CCView”)
  中华经典网络军刀使用说明:中华经典网络军刀完全手册
  洪水攻击测试工具使用说明:洪水攻击测试工具使用说明
  倾情奉献网络信息安全教程:网络信息安全白皮书

  本工具参考图如下:

  本工具采用纯 VC++ Win32 API 风格的 GUI 和 Winsock 编程,因此非常小巧,易于保存携带和快速网络传输。
  本工具普遍适合于 Windows 2000/XP/2003/Vista 环境使用,但部分功能可能需要特定或以上版本支持。
  至于兼容性,Windows 95/OSR2/98/NT 操作系统已于 Build 060923.1848 以后版本完全取消兼容;对于 Windows Vista 而言,监视系统消息、获取磁盘序列号以及 NCB 扫描失效。

更新记录

  从 2003-10-01 起,记录历次较为重要的更新情况。
  请尽可能下载使用最新版本,这不仅可以获得更新更强的功能体验,同时也可以尽可能保证 Bug 得到修正。

  【2007-09-01(63K)】: 开放获取缓存密码等功能,可获取 Outlook、IE 受保护站点以及自动完成的密码等信息。
  【2007-05-06(61K)】: 增加本地 ARP 路由表配置命令以及在原有 MAC 扫描的基础上增加 NCB 扫描方式。
  【2007-03-10(59.5K)】: 内置基于本地或共享局域网访问方式的 VSS(Visual SourceSafe 6/2005) 用户列表及口令破译功能,适合于任何 VSS 账号密码遗忘的高效应急处理(请勿滥用于非法破解 Admin 账号密码)。同时,从本版本开始取消通用序列号。
  【2006-10-28】: 发放一个通用序列号(DeposeAbian2006),可执行所有会员功能(仅现阶段特定版本有效,点击查看使用详情)。
  【2006-09-23(57K)】: 开放端口扫描、NetBios 探测、系统进程线程和窗口分析功能给普通用户(但需要输入序列号运行或者凭概率体验)。
  【2006-07-29(41.5K)】: 内置 MD2/MD4/MD5/SHA1 编码支持,并附带提供对文件内容的 MD5Sum/SHA1Sum 摘要验证。
  【2006-07-22(37K 内部版)】: 指令模式内置发送 TCP/IP 原始数据包功能(取代原 SYN 命令行工具,但是 Windows XP SP2 无法发送原始数据包,而 Windows 2003 由于安全机制阻止,也无法发送伪造的 TCP/IP 数据)。
  【2006-05-20(35K)】: 增加追踪目标地址的路由功能。
  【2006-05-14(34.5K 内部版)】: 增加获取本地 IP 段的 MAC 地址功能,并支持对指定 IP 的 MAC 监视,适合于检测基于交换机网络的 ARP 欺骗和嗅探行为。
  【2005-10-30】: 本地安全策略可选“禁止写移动存储设备”(目前仅适用于 Windows XP SP2 版本,Windows 200X 不支持)。
  【2005-06-19】: 本地安全策略可选“关闭 RPC 服务”。
  【2005-05-15(33.5K)】: 优化系统消息监视调度。
  【2005-05-03(32.5K)】: 工具驻留系统托盘,更便于保持桌面简洁和利于管理操作。
  【2005-05-02(32K)】: 系统消息增加对剪贴板和鼠标操作的监视。
  【2005-04-24(31.5K)】: 内置系统消息监视功能,方便于监视系统全局键盘操作。
  【2005-03-26(30K)】: 内置 Base64/QuotedPrintable 编码解码,更加方便于跟踪分析协议以及收发邮件等。
  【2005-02-27(28.5K)】: 增加磁盘文件监视功能,便于监视系统后台文件访问情况。
  【2005-01-29】: 增加系统日志登记(目前暂记录自动关机以及嗅探事件)。
  【2005-01-09】: 为方便某些应用而增加目标连接中断后的可选自动关机。
  【2004-11-14(27K)】: 为嗅探分析增加筛选条件。
  【2004-10-24(25.5K)】: 两大更新:
  ◇ 增加嗅探功能(仅适合于 Windows 2000/XP/2003 以上操作系统),方便进行数据包捕获和诊断分析。
  ◇ 增加对 GET/POST 浏览器代理协议的单线程基本支持,适合小量跟踪调试,不宜作为专业代理服务器软件部署(主要差别在于多线程和连接池调度)。
  ◇ 顺便实现快捷键隐藏和显示窗口(Ctrl+Alt+Shift+F10)。
  【2004-08-01(24K)】: 增加“监听绑定”功能,允许在监听连接建立后立即执行用户绑定的任意本地可执行文件(默认为 Windows 2000 的 cmd.exe),并且支持命令行交互操作。
  【2004-07-24】: 提供远程连接的自定义“本地绑定端口”功能,其意义在于让远程刺探入侵连接更具有隐蔽性和迷惑性,例如可以绑定本地 80 端口进行远程控制,以使对方的安全日志乍看起来像在浏览网页。
  【2004-06-27】: 增加 Finger 蜜罐简单模拟。
  【2004-06-05(23.5K)】: 变更操作日志的记录方式。
  【2004-05-29】: 发送的指令支持选用十进制和十六进制两种编码方案。
  【2004-05-15(23K)】: 可选支持对包转发数据流向的标记,更方便于分析相关通讯机制。
  【2004-05-05】: 提供了更方便的 FTP/SMTP/HTTP/POP3(请期待更多仿真端口) 蜜罐支持(部分功能)。完善了 HTTP CONNECT 连接代理,方便突破防火墙安全策略以及根据需要随时通过远程来操纵任意更远程的有效目标连接,并可以完全截获基于此代理协议的网络通讯数据(如 QQ 通讯密文)。
  【2004-05-04(22.5K)】: 开始支持部署为代理服务器(未完善)以及蜜罐。
  【2004-05-03】: 支持以十进制编码串格式手工发送非文本数据(需要勾选“发送指令编码识别”以及发送数据以 % 作为前缀)。
  【2004-05-02(21.5K)】: 通讯数据支持按原文字符串/十进制、十六进制/C++、Debug字符样式等多种显示风格进行回显,更方便对非文本通讯数据进行实时监测和分析,也更加适合不同网络应用和个人数据阅读偏好的需要。
  【2004-04-18(20.5K)】: 支持直接从文件载入文本数据或者二进制可执行代码进行发送或回应,其意义并不在于仅仅发送文件内容本身,而是为了增加对非文本协议的辅助支持,同时也更方便于对特定服务端口的数据缓冲区等潜在漏洞进行汇编代码级溢出测试(请注意,测试可能具有高攻击危险性,请在法律许可的授权范围内进行有限操作)。
  【2004-04-11】: 日志记录支持十六进制原始通讯数据转储,而非原来单纯的仅文本信息(如需再现原始数据,可以采用 Debug 等十六进制编辑工具进行截断、分离和还原)。
  【2004-03-13】: 增加对包转发通讯数据加密的支持。该功能的意义类似于 VPN 虚拟专网,通过对通讯数据的双向加密传输,杜绝明文通讯,保证通讯双方在公用网络上的数据传输安全。
  【2004-02-21】: 增加在“自动双向转发”条件下对监听连接的自动欢迎词回应,更加适合于作为各类服务的网桥部署。
  【2004-02-07】: 对外刺探的同时也应该加强自身防护,因此新增“本地安全策略”设置操作(软件尺寸增加 1K),暂时仅适合于 Windows NT/2000 以上用户及时方便地关闭非常危险的系统空连接以及自动管理共享,以后再逐步添加其它必要的本地安全策略。
  【2003-11-09】: 取消互斥设置,允许多窗口运行。
  【2003-10-04(19.5K)】: 三大更新:
  ◇ 允许监听端口强制绑定在已经占用的端口上,这意味着可以替换或拦截原有服务。当然,并非所有的端口都可以成功强行绑定,这取决于操作系统对安全稳定性的考虑和设计,例如操作系统通常都不会允许端口复用在一些重要的系统端口如 135/139/445 等,以此限制来避免系统紊乱甚至崩溃。
  ◇ 增加包转发功能,支持远程连接和监听连接两条通讯隧道之间的双向包互相转发,因此可以作为通用网关或者万能跳板使用(幸好本软件不提供隐藏运行)。当然,这需要一定熟练程度的操作技巧。
  ◇ 增加操作日志记录功能,方便离线后详细分析。
  【2003-10-03】: 开放对监听端口手工信息回应的支持,此举意在给精通协议的用户一个营造蜜罐、诱捕入侵者的机会。
  【2003-10-02】: 增加监听端口自动处理及相关协议指令合成功能,更加方便于 FTP 之类古怪协议的轻松驾驭。
  【2003-10-01】: 完善对 UDP 协议的支持,并增加端口监听。

  本工具随时更新,请密切保持关注,同时也欢迎交流。