Cain& Abel绿色汉化版

Cain & Abel绿色汉化版是一款专注于网络凭证获取与安全测试的工具。它主要用于本地或局域网环境中的密码恢复、网络通信分析及系统安全检测，常见于渗透测试和漏洞验证场景。

原始英文版由Oxid.it团队开发，绿色汉化版则由第三方技术爱好者进行界面汉化和便携化处理。适合网络安全工程师、IT运维人员及安全研究人员使用。

核心价值在于提供可视化界面下的密码嗅探、哈希提取、路由跟踪等功能，帮助用户快速定位网络配置风险。

软件功能

1. 密码恢复：支持Windows系统账户密码、LAN Manager哈希值破解、路由器登录凭证获取

2. 网络嗅探：通过ARP欺骗实现局域网流量捕获，解析明文传输的账号密码

3. 哈希处理：集成NTLM/LM哈希提取模块，可配合彩虹表进行离线破解

4. VoIP分析：实时捕获并解码SIP协议通信内容，支持语音通话重建

5. 路由追踪：可视化展示网络节点路径，标记关键设备IP与MAC地址映射

软件特色

1. 绿色便携设计：无需安装直接运行，适合U盘携带或临时测试环境部署

2. 交互式流程图：网络拓扑以节点连接图显示，异常通信一目了然

3. 模块化架构：各功能单元独立加载，降低资源占用（典型内存占用约15MB）

4. 多协议支持：覆盖HTTP、FTP、SMTP、POP3等20+常见协议的明文捕获

5. 自定义规则：可编写过滤脚本控制嗅探范围，减少无关流量干扰

系统组成       

Cain&abel是两个程序。Cain是图形界面主程序；abel是后台服务程序，由两个文件组成：Able.exe和Able.dll  10MB硬盘空间  
Microsoft windows 2000/xp/2003  
winpcap包驱动(v2.3或以上；4.0版本支持airpcap网卡) 
程序由以下文件组成：  
Cain.exe                        主程序 
Ca usermanual.chm               用户手册  
Abel.exe                        名为abel的windows服务 
Abell.dll                        程序支持文件 
Wordlist.txt                      小型口令文件 
Install.log                        程序安装目录 
Oui.txt mac                       地址厂商文件 
<安装目录>\winrtgen\winrtgen.exe    字典生成器  
<安装目录>\winrtgen\charset.txt       字符集文件  
<安装目录>\driver\winpcap_4_0_beta2.exe     原始winpcap驱动程序

cain中文版使用教程

Cain安装：首先我们需要安装Winpcap驱动。

一路next下去就可以安装成功了

运行CAIN，主界面如图所示

我们先来看看CAIN的几个大类的使用，大类页面如下图

一．解密器：
解密器的作用主要是读取缓存中保存的各种密码。你可以点击左边的各选项然后点击上面的
你就可以在右边的窗口看到保存在缓存中的密码。我的电脑中我都看到了我MSN的账号和密码，曾经登陆路由的账号和密码，邮箱的密码。 举例：点击左边的无线网络口令，再点击上面的
在右边的窗口你可以看到你曾经正确使用过的无线的密码都保存在这里，如下图所示。大家可以清楚的看到SSID和后面的密码。
二．网络
这个网络主要用来鉴别各域控制器，SQLserver，打印服务，远程拨入，终端服务等。网络的左侧用来浏览网络结构和连接远程主机。连接到主机就可列出用户名，工作者，服务，共 享资源等。如下图，我们清楚的看到SMM-DB1开启了IPC$默认共享连接和文件夹共享。
同时也可以搜索到计算机的用户组和组的用户名，虽然NT版本以后不能建立空连接了，但是还是可以通过提取SID来获得Admin的账号，因为管理员的SID总是500。如下图所示

三．嗅探器（包含局域网的嗅探和ARP欺骗） 嗅探器是CAIN的重点，很多人用CAIN主要就是用这个嗅探器和ARP欺骗。CAIN中的嗅探器，主要嗅探局域网内的有用信息，比如各类密码等。CAIN中的ARP的欺骗，原理是 操纵两台主机的ARP缓存表，以改变它们之间的正常通信方向，这种通信注入的结果就是ARP欺骗攻击，利用ARP欺骗可以获得明文的信息。

1．程序配置 首先点击菜单的配置按钮
首先选择用于嗅探的以太网卡（可以是有线网卡也可以是无线网卡），本文中将选择第二个无线网卡。下面的选项可以不选。 然后转到ARP欺骗选项卡。 欺骗选项中可以用真实的IP地址也可以使用伪装IP地址和的MAC。但是使用伪装IP和MAC有几个前提条件：
1.攻击者的机器只能连接在HUB中，不能连接在交换机中
2. 设置的IP地址需是子网内的合法的而且是未使用的IP地址预欺骗ARP缓存勾选，下面默认每30秒发送一次ARP欺骗包。XP系统每2分钟更新ARP 缓存，因此设置太大就不能达到欺骗的效果，设置太小会产生太多的ARP流量 
接下来看看其他的几张选项卡，如下图

这两张选项卡中HTTP区域主要定义了HTTP的字段，用来检查和过滤HTTP包中包含的敏感字符，比如用户名密码等。过滤与端口选项是CAIN定义的过滤程序和协议的各种端口，你可以关闭你不需要过滤的程序协议，比如POP3、ICQ、FTPS、RDP等。另外两张选项卡 就不用看了不需要进行什么设置。
2．MAC地址扫描 选择功能栏的嗅探器，然后选择下面的主机
扫描之前需要先激活嗅探器，点击上面的

然后在下面空白处点右键选择扫描MAC地址，如右图所示 1． 扫描整个子网 2． 规定扫描的范围 3． 扫描哪些网卡工作在混杂模式下(B31) 注：处于混杂模式下网卡接口能接受所有通过它的数据流，不管是什么格式，什么地址的。它会接收并响应 网络上任何的数据。一般网卡接口默认关闭 混杂模式。扫描混杂模式的网卡主要是检测网络中的嗅探器。处于混杂模式的网卡在B31那一栏就会有*号。 通过扫描我们将得到如下MAC（注：本机是扫不到的）
从上图可以看到192.168.2.1是个netgear的网关地址。 MAC地址扫描是基于ARP请求包因此可快速定位MAC和IP的对应关系，OUI指纹中包含了各大MAC厂商的信息，因此你可看到Netgear的路由器和Cisco-Linksys的网卡。 扫描到MAC以后可以点右键来解析主机名。 
3．ARP欺骗 点击下面的APR
出现下图所示

点击左侧栏最上面的APR后就出现下图所示，这时在右边空白处点一下鼠标，上面的
就从灰色变成了深蓝色。点一下这个加号，出现下图所示

在这个左侧选择被欺骗的主机，在右侧选择一台或多台PC，这时候将捕获所有被欺骗主机和其他多台主机之间的通信数据。也可以在右侧选择网关地址，则左侧被欺骗主机与广域网 的通信将被捕获。例中左侧选择被欺骗主机192.168.2.2右侧选择网关地址192.168.2.1点确定。这时将出现下图所示

配置好APR欺骗的主机后我们可以进行ARP欺骗了，看左侧栏我们可以进行各种ARP欺骗。a． APR-Cert 这个是数字证书收集器，配合APR-HTTPS使用。 由HTTPS嗅探过滤自动使用，也可手动创建一个伪造的证书。伪造的证书保存在Certs下。当前APR-HTTPS获得证书列表在Cert.lst文件中。也可 手动修改，定义APR-HTTPS使用指定的伪证书注入到“被ARP欺骗主机”和指定的HTTPS服务器的连接中。b． APR-DNS 这是DNS欺骗，点击APR-DNS欺骗，再点击上面的
出现如下图所示的对话框在DNS名称请求中输入被欺骗主机要访问的网址。在回应包中输入用于欺骗的网址。图中输入百度的网址，下面输入华东理工大学的网址（网址为举例说明，并无任何目的）。这时被欺骗的主机如果访问百度网站的话会出来华东理工的主页。一些盗取银行账号的垃圾就是自己做一个和银行主页一样的钓鱼网站，然后在下面的回应包中输入钓鱼网站的网址。当对方访问银行主页时将会自动转到你的钓鱼网站上。（银行钓鱼网站，WEB认证页面钓鱼）等等 举例：设置好之后点确定，然后再点击上面菜单图标

更新日志

1. 修复了XP系统下启动时界面错位问题

2. 新增WPA-PSK握手包捕获成功率提升至92%

3. 优化ARP扫描响应速度，局域网设备识别时间缩短40%

4. 更新彩虹表接口兼容性，支持RT格式7.2版本

5. 修正中文界面下部分菜单项编码异常