《灰鸽子原理及上线方法剖析》由会员分享,可在线阅读,更多相关《灰鸽子原理及上线方法剖析(10页珍藏版)》请在金锄头文库上搜索。
1、原创作者unis远程控制分类与远程协助区别远程控制技术是黑客必学的技术之一。远程控制不同于远程协助,两者之间有很大的区别,所谓远程协助需要经过被控端的授权允许,并且被控端可以看到控制者的所有操作,使之控制操作透明性;例如我们的QQ远程协助,就需要对方的允许控制进行操作,并且对方也能够看到我们的操作动作,远程协助一般是用来进行远程的计算机操作协助。远程控制则不一样,远程控制只要在被控者电脑安装一个服务端,即可在不知情的情况下进行控制对方计算机以及对计算机其它操作,控制时不需要经过对方的许可就可以控制,而控制时操作的一些动作,对方也无法察觉到(除鼠标控制)。远程控制按控制类型可以分类为:(1)正向
2、主动型远程控制(2)反向被动型。什么是正向主动型的呢?正向主动型是需要控制着主动去连接被控端,一般情况下,控制者必须知道需要被控制者的IP和端口,然后通过某种软件来进行控制被控者,例如微软的3389远程桌面、Radmin远程控制、VNC程控制都需要知道对方的IP(端口)然后通过客户端软件进行连接对方。反向被动型控制又可以称为反弹性控制技术,指的是在被控端下安装服务端之后,由被控端主动来寻找你的客户端监听端口软件连接来进行控制,这个好处就是不需要知道对方的IP地址和端口,被控端会自己主动来找我们的监听地址和端口,当我们发现被控端已经找到我们的监听地址和端口,我们就可以控制对方电脑,这样省去要知道
3、对方的IP和端口的麻烦了,特别是对方是动态IP的时候。反向被动型远控在黑客界已经是主流了,黑客专门使用某些控制软件在控制对方,反弹型远控软件更是数不胜数,例如:花鸽子(灰鸽子)、白金、终结者、Ghost等等。远程控制软件的功能与远控木马的特性我们这里主要讲解的是反弹型远控,并且也有讲解到Web型的正向型远控,正向型远控还有Radmin、3389远程桌面也可以值得大家去学习,关于Radmin远控的可以参考我之前写的深度研究Radmin远控。关于3389终端技术我已经写了精通3389终端。现在的远程控制软件(又称客户端,生成出的木马叫服务端)数不胜数,甚至很多已经是源码爆出,对于各种远程控制软件来
4、说,其实基本都是具备以下功能:【屏幕监控】:可以查看被控制者的屏幕,保存捕获的被控制屏幕的截图。并且看到对方的一切操作,可以自由选定图像位色查看,还可以选择是否控制对方鼠标、键盘,若选择即可控制对方的电脑鼠标、键盘,这一控制对方是可以看到鼠标被控制。【文件管理】:可以在后台查看被控者的各个磁盘中的文件,直接显示隐藏文件,可自由在对方的磁盘中删除文件、上传文件、下载文件、重命名文件、远程显示打开文件、远程隐藏打开文件、复制文件、粘贴文件、新建文件夹等功能。【视频监控】:如果对方有视频,即可暗中开启对方视频监控到对方人、环境等一切。【语音监听】:如果对方已经插上麦,此功能即可通过对方的麦暗中监听到
5、对方说话的声音。【键盘记录】:可以记录对方键盘的一切操作,可执行离线记录,即不打开该功能也能随时记录,有些还可以IE密码记录。【系统信息查看】:可以查看对方的外网IP地址,内网IP地址、系统版本、电脑配置、上线时间等。【注册表编辑器】:可以查看对方计算机的注册表和修改对方注册表的键值等操作。【超级终端】:又称Telnet,即远程CMD可以使用远程主机的cmshell进行各种CM附令的操作。【系统管理】:可以查看对方电脑的进程管理器,可任意结束进程。也可以查看对方窗口信息,随意结束某个窗口,有些远程控制软件还可以查看对方的宽带账号密码、软件信息等。【服务管理】:可以查看对方的系统服务列表和开启状
6、态,可随意停止和开启对方的某个服务。【代理映射】:可以开启远程计算机IP代理,把远程主机映射到本机作为代理。使用远程计算机IP和端口进行代理上网。【会话管理】:可以重启、注销、关机远程计算机,还可以断开远程主机的连接或者卸载远程主机的服务端。【共享与剪贴板】:可以查看远程主机的共享文件,剪贴板功能可查看远程主机剪贴板中的文本信息。【弹窗下载】:可以发送某段消息给远程主机,远程主机即会弹出对话框显示,下载执行可以通过后台打开对方的IE进行浏览某个网站或者执行下载木马等。【DDOS】:某些远程控制软件拥有该功能,可以随意选择在线肉鸡,以肉鸡作为流量来进行DDOSCC攻击网站等操作。【配置服务端】:
7、即配置木马,每个远控软件都有,通过自己选择某些参数配置一个反弹型服务端(木马)。以上讲解的都是远程控制软件的常见功能,可能有些远控软件有其中功能或者更多功能,这里就只讲这么多咯,下面给大家讲解下远程控制所生成的木马,远控软件生成的木马又被称为后门木马,一般它只要对方点击了该木马,木马就立即分析木马本身的IP配置等信息,向主控端发送TCP连接请求,当发现主控端在线即上线在主控端的远程控制软件上,一般远程控制软件的木马有以下几种特点:模仿系统进行运行在内存中。有的可能使用Rootkit技术隐藏进程。:通过DLL注入在某个正常进程中。:通过替换系统正常程序来运行在内存中。:木马会创建服务到系统服务中
8、,并且设置为自启动类型。:木马会残留在C盘或者感染C盘某个正常DLL文件。:木马会写入自启动项,使之远程主机开机运行木马。:木马运行后每三十几秒向主控端发起连接请求。若找到对应IP和端口则建立连接。上述所说的就是常见的远控木马特性,一般来说远控木马并不带有恶性行为,即不存在格式化磁盘、破坏电脑硬件或删除Windows重要文件等恶意操作。灰鸽子固定IP、动态域名、FTP上线原理与方法1 .灰鸽子是一款早期很流行的远程控制软件,由安徽籍灰鸽子工作室创办人“葛军”使用Delphi编写的,后来的远程控制软件基本都是模仿灰鸽子进行编写的。所以说学会灰鸽子原理,其它远控你基本都会了。2 .灰鸽子支持固定I
9、P上线、动态域名上线、FTP上线。我们先来简单的说下木马上线的原理。当我们的木马在A电脑上运行后,只要A电脑一旦连接网络,那么木马就会通过之前配置好的连接IP和端口向我们的主控端发起连接请求,一旦连接木马配置中的IP和端口成功,主控端就可以看到肉鸡上线了,此时就可以进行远程控制肉鸡了。我们举例说,比如配置了一个木马的上线地址为:188.188.188.188,那么该木马放到某台连接互联网的计算机中运行后,木马会不停地向IP为188.188.188.188的主机发起连接,只要该IP电脑上运行了灰鸽子软件,就会显示肉鸡上线了,那么就可以轻易控制被控端了!当果各启动r读客6端.则被控馨就脑辕豺的远控
10、轼件L,即司远主控端黑客先通过通控软件配置好木马,包括配置木马的上线ip、木马运行参数设置.全起置,发配IPIP量线事黑上上诱营问接逋马马在被控端这台电脑运行了黑客配置的马将释放在这台电脑中,然隔30秒通过除先配置该木马进行向该IP发起TCP连接请3接请求成功l控端会e示该3.【固定IP的上线】:固定IP上线不适合于普通用户使用,因为大家的IP一般都是动态IP,即计算机重启后外网IP会不停地变动,特别对于宽带拨号的用户来说,一旦断开宽带连接,再重新拨号,公网IP地址又变了。这样木马就只能上线一次,什么意思呢?例如:我在内网做测试,配置木马的上线IP为我虚拟机的IP192.168.1.121,那
11、么木马就会始终向IP为:192.168.1.121的计算机发起连接请求。自动上线设置安装选项.启动项设置代理服务高级选项插件功能邛通知http访问地址、D格解析域名或固定工F:192.168.i.121上线图像:上线备注:连接密码:默认配置信息|:洁除:历史配置记录:保存路径:口A软件安装包入黑防灰鸽子脱壳J|-至最藤静假设在外网,我们一般是拨号上网,这一次电脑是这个ip,下一次我们电脑重启了的话ip发生变化,那么木马又如何能向我们现在的IP发起连接请求呢?所以固定IP一般不适用于普通用户,而它却适用某些服务器上线,因为很多服务器的IP都是固定IP,向ISP运营商申请的固定IP,无论重启多少次
12、,IP始终保持不变,那么我们在该固定IP的服务器上配置木马,由于服务器IP始终是不变,我们下次重启计算机再在该服务器上打开灰鸽子软件也能看到肉鸡的上线。固定IP上线原理就是这么简单,仅仅适用于固定IP的用户,配置方法是:先打开灰鸽子的一一配置服务端。上线地址中填写我们的固定IP,可以通过百度“IP”得到我们的外网IP.如果端口修改后必须添加端口,形式为IP地址:端口,灰鸽子默认端口是8000端口,我们如果不修改就直接填写固定IP,其它的进行隐藏、选择木马图标、自动删除、上线备注、连接密码可按需设置。最后选择“生成服务端”木马就生成出来了。这里我就假设我现在的外网IP为固定IP。因为只有外网IP
13、才有连接因特网的通讯能力。4.将生成的木马放入到虚拟机做测试,发现能够成功上线,当然假如我们非固定IP电脑重,因为木马不知道我们启了之后,IP变了,那么我们再打开灰鸽子就无法看到肉鸡上线了的新IP,所以固定IP上线适用于有固定IP的用户来配置木马。5.此时我们可以在虚拟机中CMDF输入netstat -ano查看TCP连接,就能看到本机正在与182.101.185.* 的8000端口进行连接着。肉鸡是随机启动用一个未使用的端口来对我们的182.101.185.* 的8000端口来连接。 并且模仿IE进程。6:【动态域名上线】:动态域名又叫DDNS动态域名上线适用于所有使用动态IP用户。为什么呢
14、?对于广大动态IP用户来说,我们每次重启或断开宽带连接都会更换不同的外网IP,那么我们想生成一个木马,如何让木马始终知道我们电脑更换的IP后进行发起连接呢?如何在我们计算机重启后,打开灰鸽子还能看到原来肉鸡的上线呢?那么动态域名就解决了我们这个问题了,首先我们去申请一个动态域名,可以在3322里面或者花生壳等地方申请一个域名,比如我申请的域名账号为:hack95.3322.org。那我们首先要知道我们的域名地址是永远不变的,好比百度的域名永远不会变,但是我们的电脑IP地址是不停变的。我们就可以使用动态域名来解析IP,我们每次电脑重启更换IP后,进去3322域名,将我们的IP地址更新到域名,比如
15、我现在的IP是:95.95.95.95,那我就将该IP更新到域名:hack95.3322.org,那么我们这个域名对应的IP就是我们现在的IP,我们可以使用Ping域名看我们现在的域名是否与现在的IP对应。检测为对应,即所谓的:hack95.3322.org=95.95.95.95。如果下次我们重启电脑换成了155.155.155.155,那么我们就再上去3322域名,将变化了的IP155.155.155.155更新到域名hack95.3322.org,那么域名hack95.3322.org=155.155.155.155。7.通过我们IP会变,但是域名始终不变的原理,我们配置木马的时候填写我们的动态域名地址,然后生成一个由域名配置的木马,当木马在某电脑运行后,木马会自动地去解析域名的IP是多少,即所谓的ping域名得到IP地址,例如我们将自己最新的IP:9
