软件准备：本文用EeePC900HA（无线网卡：Athero 5007EG）为例做说明，采用硬盘安装bt3的方式（安装到D盘）（U盘安装BT3的方法参见：http://www.eeefan.com/redirect.php?tid=16670）。

1. BT3（BT3是linux的一种，好比REDLINUX，好比红旗LINUX。不过这个BT3集成了大量的黑客工具，尤以破无线网的工具而出名。）
BT3光盘版下载地址：http://ftp.heanet.ie/mirrors/backtrack/bt3-final.iso
如果上面的链接你无法下载，你可以自己百度或者迅雷搜索，网上很多这个资源的。

以下三个文件（2、3、4）均可从：
http://ddduck3000.ys168.com 中的无线密码破解目录中下载
也可直接按照下面的链接从附件中下载
2. BT3硬盘安装助手（三个文件都要下载，点击其一解压缩）（U盘安装BT3的话这个就不需要了）
BT3R2+11_BK.part1.rar (500 KB)

BT3R2+11_BK.part2.rar (500 KB)

BT3R2+11_BK.part3.rar (477.73 KB)

3. spoonwep2无线网络破解工具（三个文件都要下载，点击其一解压缩）（必须的）
spoonwep2.part1.rar (500 KB)

spoonwep2.part2.rar (500 KB)

spoonwep2.part3.rar (132.08 KB)

4. daemon tools3.47简体中文版（U盘安装BT3的话就不需要了）
DAEMON_TOOLSV347简体中文版.rar (484.47 KB)

====破解过程=====
（如果你已经在U盘上安装了BT3请直接从第三步开始即可）


1. 将BT3的ISO镜像载入虚拟光驱

安装daemon tools，安装完毕后若提示重启，无需重启；若提示新硬盘，自动安装即可。在托盘区右键点击daemon tools图标，选择“虚拟CD/DVD-ROM”-》“设置驱动器数量"->"一个驱动器”。然后再次右键单击托盘区的dm图标，选择“虚拟CD/DVD-ROM”-》“驱动器0”-》“安装映像文件”，映像文件选择之前下载好的bt3镜像。然后会弹出窗口显示虚拟出来的光盘的文件。记住盘符。

2. 利用bt3硬盘安装助手安装bt3到本地硬盘D盘。

运行bt3硬盘安装助手BT3R211_，点击“开始安装”后，在新弹出的窗口中：“启动时间”无需改动，bt光盘位置点击右侧下拉按钮选择虚拟出来的光驱对应的盘符。“bt安装位置”选择D盘即可，其他盘也可以。设置好后点击“确认安装”，会提示“文件夹D:\boot   不存在”，点击“是”创建。然后提示“文件夹D：\bt3 ”不存在，同样点击“是”。完成后会给你用户名、密码和命令，其实根本用不着，重启后（先不要重启）双启动菜单中选择第二个自动就可以进入bt3系统，无需输入什么命令。

3. 在BT3中添加spoonwep2破解工具
接下来需要将spoonwep2破解工具复制到bt3的modules目录下，如果把bt3系统安装到了d盘，那么应该是d盘下的/BT3/modules/目录。另外bt3系统是英文的，从网上也可下载中文包，不过汉化的很不完全，没什么用处，所以干脆也别装了。

4. 在bt3系统中用spoonwep2破解。

（在破解密码之前你当然应该确定你周围有带密码的无线信号才行，这个在xp系统中就可以检测到。）

a. 重启系统，出现双启动菜单，选择第二项：back track by colin；然后有一个菜单选择

b. 进入系统后点击屏幕左下角“开始”按钮右侧第一个黑色的小图标，弹出终端命令窗口。

c. 输入：spoonwep然后按回车，等会儿就会弹出一个新窗口即spoonwep2的界面

d. 在sponwep settings 界面中net card项如果使用的机型是701/900/900HA等则可选择wifi0（其他机型自己尝试，一般选择下拉框中最下边的选项即可）；driver选择normal；mode选择unknown victim；然后点击next。
NET CARD   网卡接口 选择 WIFI0
DRIVER    驱动     选择 NORMAL
MODE       模式     选择 UNKNOWN   VICTIM

e. 在victims discovery界面中，点击左上角下拉菜单中有两项（是指路由器工作的频道）：
FIXED   CHAN 固定频段扫描（选定可从从右侧手动切换频段）
CHAN   HOPPING 是全频段扫描

一般情况下保持默认即Chan Hopping即可，无需更改设置，点击右上角 LAUNCH 按钮   (点完后会变成 ABORT ) 这时会弹出抓包窗口（SCAN），可作为参考，也可不用理会。稍等一会儿，如果能够找到符合要求的信号，会在当前的victims discovery窗口中显示扫描到的信息，其中：

ESSID 路由广播名称
MAC 路由的MAC地址
CHAN 使用的频道
POW 信号强度
DATA   (注意：这个数值一直为0基本无法破解，你可另寻时机等到有DATA再破）
CLIS 空白代表无客户端，打钩则代表有客户端

每一行代表一个扫描到的无限AP信号，点击选中你要破解的信号（尽量选择有DATA以及CLIS后有对号的信号进行破解）；然后在信号信息框的下面相应的显示出在AP当前的客户端，你可以点击选中一个客户端（这样更容易破解一些），也可以不选。然后点击窗口下边的selection OK按钮，就会进入attack panel界面。


f. 在attack panel界面，攻击模式下拉框中几个选项的区别如下（由客户端建议选择第一项，无客户端建议选择第四项）：
ARP   REPLAY   ATTACK （有客户端时用）
P0841   REPLAY   ATTACK (第三选择）
CHOPCHOP   &   FORGEATTACK （第二选择）
FRAGMENTATION   &   FORGE ATTACK（首选）

然后直接点击launch即可是破解，这时同样会在任务栏出现一个新的窗口，你可以用鼠标点击出来看一看，里面会显示一些相关的信息，如信号强度等。注意，最后破解出来的密码是在attack panel界面下方显示（而不是在spoonwep dump窗口显示）。

如果确实有wep加密的信号，而且对方正在上网，那么大概需要10几分钟既可以破解出来了，破解出来的是16进制的一个数，每隔两位用冒号隔开，直接把冒号去掉，然后在连接无线信号上网时根据提示按要求输入就可以免费上网了。