当前位置:文档之家 › 灰鸽子原理及上线方法剖析

灰鸽子原理及上线方法剖析

  • 格式:doc
  • 大小:336.00 KB
  • 文档页数:9

下载文档原格式

  / 9

合集下载

如何使用灰鸽子软件

如何使用灰鸽子软件

灰鸽子[VIP 专业版]1.只用一个端口来传输所有通讯数据!普通同类软件都用到了两个或两个以上的端口来完成!2.支持可以控制Internet连接共享、HTTP透明代理上网的电脑!软件智能读取系统设定的代理服务器信息,无需用户设置!3.无需知道服务端IP,自动上线功能让服务端自动上线报道!灰鸽子专用的上线系统无需您注册免费域名才能使用,同时也提供了备用上线方式,在我们的专用上线系统出现故障时,您可以使用备用上线方式来使用自动上线功能。

在使用专用上线系统时,你还可以控制远程电脑通过Socks5代理来中转自动上线。

4.自动上线可以在第一次设置分组,自定义上线图像,上线备注等,这样都可以让你轻而易举的找到目标主机,同时设置连接密码保证了服务主机的安全性!同时具用牵手版的搜索符合条件主机的功能:a.从主机窗口筛选:可以列出只有某个窗口的一批主机,可以轻松找到哪些人在玩某个游戏!b.从主机进程筛选:可以列出运行了某个程序的一批主机,例如QQ.exe,就可以找到打开了QQ的自动上线主机有哪些了!5.文件管理:管理远程电脑的文件系统,支持复制、粘贴、删除,断点下载、上传文件或文件夹,文件内容均以加密方式传输,确保通讯的安全性.6.远程控制命令:包括远程系统信息、剪切板信息、进程管理、窗口管理、键盘记录、服务管理、管理管理、MS-DOS模拟、代理服务控制!7.注册表编辑器:可以像操作本机注册表一样的编辑远程注册表。

8.常用命令广播,让你控制主机众多主机更多的方便!详细的在线主机线表显示了:主机IP地址,地址位置,电脑名称,系统版本,备注等信息,9.除了具有语音监听、语音发送,还有远程视频监控功能,只有远程计算机有摄像头,且正常打开没有被占用,那么你可以看到,远程摄像头捕获的图片!还可以把远程摄像头捕获的画面存为Mpeg-1格式.远程语音也可以录制成Wav声音文件。

10.可以设置服务端开放Socks5代理服务器功能和HTTP代理服务功能!无需第三方软件支持!支持Windows9x/ME/2000/Xp/2003。

12-反弹端口木马(灰鸽子)的演示

12-反弹端口木马(灰鸽子)的演示
计算机网络安全技术与管理
项目4 计算机病毒及防治
任务5: 反弹端口木马(灰鸽子)的演示
P111
- 1 -
任务5: 反弹端口木马(灰鸽子)的演示 1
项目背景
普通木马是攻击者主动去连接被攻击者,对于外部连 接审查严格的防火墙,木马很难工作起来,但如果被 攻击者主动连接攻击者?
飞蛾扑火的情况下, 作为一名网络安全人 员,你该做些什么, 如何去应对?
- 2 -
(12)本节任务目标和内容
任务目标:
了解:反弹端口木马(灰鸽子)的危害; 熟悉:灰鸽子木马的工作原理; 掌握:灰鸽子木马的配置和操作;
任务内容:
通过灰鸽子木马实际攻击演示操作,掌握灰鸽子木 马的攻击原理,为防范灰鸽子木马的学习作准备。
- 3 -
一、反弹端口木马(灰鸽子)演示实验
控制端打开某个监听端口,被控制端主动 连接控制端。
工作过程 P112
木马伪装 配置木马 信息反馈 传播木马 启动木马 建立连接 远程控制
- 4 -
1.配置服务器程序
切入点:

控制端
双击灰鸽子木马“客户端”程序
配置服务程序
邀请一名同学实际 演示!
- 5 -
重点说明:配置服务器程序
控制端IP
- 6 -
连接成功,现在可以对主 机进行远程控制了。
- 8 -
二、分角色操作演示:
成员甲(客户端,控制者) 192.168.1.1 第1步:配置服务器端程序。 第2步:将服务器端程序共享给成员 乙。
成员乙:(服务器端,被控制者) 192.168.1.2
第3步:运行服务器端程序(注意细
节)? 第6步:查看F盘是否新增一文件夹。
配置-传播-启动-连接-控制

灰鸽子实验

灰鸽子实验

灰鸽子远控软件使用实验
“灰鸽子”是现在网络上非常流行的一种木马,由两部分组成,一是控制端(主程序),一是服务端(也叫受控端)。

任一部分都会被主流的杀毒软件查杀,但随着其不断衍生新的变种和一些免杀技巧经常绕过一些主动防御软件,使得用户防不胜防。

灰鸽子客户端和服务端都是采用Delphi编写。

黑客利用客户端程序配置出服务端程序。

可配置的信息主要包括上线类型(如等待连接还是主动连接)、主动连接时使用的公网IP(域名)、连接密码、使用的端口、启动项名称、服务名称,进程隐藏方式,使用的壳,代理,图标等等。

“灰鸽子”的服务端是由控制端主程序配置自动生成,黑客在配置自动上线的时候一般会用到ftp自动上线和动态域名解析两种手法,目的是让鸽子以后每天都会自动上线,而不受自身IP改变的影响。

当配置好服务端后,黑客会利用一切可能的手段达到入侵的目的,当用户电脑“中马”后,黑客就会拥有用户电脑的最高管理权限,包括随意修改、窃取用户电脑的文件,监控电脑的键盘和屏幕、摄像头等等。

在主控端生成灰鸽子木马
把灰鸽子生成的服务端拷贝到受控端
对受控端进行一系列的操作对受控端进行监控
屏幕监控
系统信息
文件下载
实验总结
在日常生活中一些不法分子会利用一些邮件、网站的连接放置木病毒,所以在看到一些可疑的连接不要轻易去点击,一旦点击便会中木马病毒。

因此遇到一些不明的连接的情况下,一定要警惕,不要轻易点击陌生的连接。

电脑病毒灰鸽子构成

电脑病毒灰鸽子构成

电脑病毒灰鸽子构成电脑病毒无处不在,当我们的电脑受到病毒攻击时!你是否知道呢!下面由店铺给你做出详细的电脑病毒灰鸽子构成介绍!希望对你有帮助!病毒机理编辑病毒构成配置出来的服务端文件文件名为G_Server.exe(这是默认的,当然也可以改变)。

然后黑客利用一切办法诱骗用户运行G_Server.exe程序。

运行过程G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。

G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端,G_Server_Hook.dll负责隐藏灰鸽子。

通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项,甚至是进程中的模块名。

截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。

所以,有些时候用户感觉中了毒,但仔细检查却又发现不了什么异常。

有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。

注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。

Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。

G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。

因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。

随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。

电脑病毒灰鸽子传播方式

电脑病毒灰鸽子传播方式

电脑病毒灰鸽子传播方式传播方式编辑灰鸽子自身并不具备传播性,一般通过捆绑的方式进行传播。

下面由店铺给你做出详细的电脑病毒灰鸽子传播方式介绍!希望对你有帮助!电脑病毒灰鸽子传播方式:灰鸽子灰鸽子传播的四大途径:网页传播、邮件传播、IM聊天工具传播、非法软件传播。

1.网页传播:病毒制作者将灰鸽子病毒植入网页中,用户浏览即感染;2.邮件传播:灰鸽子被捆绑在邮件附件中进行传播;聊天工具传播:通过即时聊天工具传播携带灰鸽子的网页链接或文件。

3.非法软件传播:病毒制作者将灰鸽子病毒捆绑进各种非法软件,用户下载解压安装即感染。

清除预防编辑手工检测由于灰鸽子拦截了API调用,在正常模式下服务端程序文件和它注册的服务项均被隐藏,也就是说你即使设置了“显示所有隐藏文件”也看不到它们。

此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。

但是,通过仔细观察我们发现,对于灰鸽子的检测仍然是有规律可循的。

从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。

通过这一点,我们可以较为准确手工检测出灰鸽子服务端。

体积仅70kb隐蔽性更强由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。

进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。

1.由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。

打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“ 显示所有文件和文件夹”,然后点击“确定”。

2.打开Windows的“搜索文件”,文件名称输入“*_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。

一次灰鸽子内网入侵实例解析

一次灰鸽子内网入侵实例解析

一次灰鸽子内网入侵实例解析作者:刘洪霞来源:《电脑知识与技术》2009年第33期摘要:灰鸽子是一款优秀的远程控制软件。

我们通过灰鸽子就可以生成一个木马程序,将此木马程序发送到远程计算机,一旦对方运行该文件就可以实现对它的远程控制。

该文就详细介绍灰鸽子是如何实现远程控制的。

关键词:病毒;灰鸽子;内网;外网;自动上线;远程控制中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)33-9392-02灰鸽子是国内一款著名后门。

比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者。

其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。

客户端简易便捷的操作使刚入门的初学者都能充当黑客。

1 灰鸽子病毒的简介为了让大家更好的理解这款病毒,先说一下几个概念。

1) 网络病毒计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。

2) 网络木马木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名,顾名思义就是一种伪装潜伏的网络病毒。

传染方式:通过电子邮件附件发出,捆绑在其他的程序中。

病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。

木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等非法操作。

3) 外网和内网外网:通过ISP连接到INTERNET,拥有固定的公网IP,称之为外网。

内网:内网就是局域网,网吧、校园网、单位办公网都属于此类。

另外光纤到楼、小区宽带、教育网、有线电视Cable Modem上网虽然地域范围比较大但本质上还是基于以太网技术,所以仍然属于内网。

内网也叫私网地址如下:IP等级 IP位置Class A 10.0.0.0-10.255.255.255Class B 172.16.0.0-172.31.255.255Class C 192.168.0.0-192.168.255.255子网掩码一般设为:255.255.255.0内网是可以上网的,内网需要一台服务器或路由器做网关,通过它来上网。

灰鸽子木马实验报告

灰鸽子木马实验报告

病毒防治实验报告学生姓名学号专业班级指导教师学院信息科学与工程学院完成时间2014年4月一.实验目的及要求目的:了解灰鸽子是一个集多种控制方法于一体的木马病毒。

二.内容及要求1.练习软件的哪些功能,自己总结2.通过实验了解灰鸽子是一款远程控制软件。

3.熟悉使用木马进行网络攻击的原理和方法。

实验环境:虚拟机下安装组建一个局域网,2台安装win2000/win2003/XP系统的电脑,灰鸽子木马软件。

二.实验方法与步骤:1)打开虚拟机通过实验室的实验平台打开网站192.168.1.1:8088/limp开始试验-选择灰鸽子木马实验打开2个虚拟机,1号机作为服务器,2号机作为客户端。

在拓扑结构上的连接2太虚拟机。

通过PING (对方的IP)验证是否连接成功。

2)打开客户端屏幕上的灰鸽子木马文件,运行EXE文件。

3)木马制作首先配置服务程序123在自动上线设置的IP通知中填写本机的IP地址可以通过-运行-cmd-ipconfig查找本机的IP地址4高级设置这是显示在进程中的描述设置然后点击生成服务器。

5木马种植--将生成的服务器转移到服务器(肉鸡)上通过漏洞或溢出得到远程主机权限,上传并运行灰鸽子木马本地对植入灰鸽子的主机进行连接,看是否能连接灰鸽子。

(若无法获得远程主机权限可将生成的服务器程序拷贝到远程主机并运行)如果成功,则会出现通过-cmd-netstat -na查看所有的连接,确定连接成功。

可以通过捕捉屏幕和视频语言对目标服务器进行监控,或者通过Telnet对其进行控制。

6查看进程启动ICESWORD检查开放进程,进程中多出了IEXPLORE.exe 进程,这个进程即是启动灰鸽子木马的进程,起到隐藏灰鸽子木马自身的程序的目的。

7感想计算机病毒很可怕,他会在不知不觉中使我们被监控,财产处于危险中。

所以要做好防治病毒的工作。

灰鸽子远程控制软件(精)

灰鸽子远程控制软件(精)
2004年、2005年、2006年,灰鸽子木马连续三年被 国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因 此声名大噪,逐步成为媒体以及网民关注的焦点。
灰鸽子的发展简史
模仿期(2001年-2003年) 飞速发展期(2004年-2005年) 全民黑客时代(2006年-2007年)
灰鸽子的发展简史-模仿期
“反弹连接”技术则可以很轻松地刺穿防火墙, 因为防火墙通常对外部连接过滤严密,而对于 本机主动连接则疏于防范。
虚拟驱动,监控摄像头
灰鸽子在“屏幕控制”功能上率先使用了“虚 拟驱动”技术,这项技术可以使“屏幕监控” 更加流畅, 大大提高了控制的准确性。
用软件实现的硬件应该就叫虚拟设备,对应的驱动 程序就叫虚拟设备驱动程序;
“脱壳”指的就是将文件外边的壳去除,恢复文件 没有加壳前的状态。
灰鸽子的具体操作策略
灰鸽子客户端和服务端都是采用Delphi编写。 黑客利用客户端程序配置出服务端程序。可配
置的信息主要包括上线类型(如等待连接还是 主动连接)、主动连接时使用的公网IP(域 名)、连接密码、使用的端口、启动项名称、 服务名称,进程隐藏方式,使用的壳,代理, 图标等等。
通过换“壳”,可以使灰鸽子免于被杀;
补充:关于“壳”
在一些计算机软件里也有一段专门负责保护软 件不被非法修改或反编译的壳。它们一般都是 先于程序运行,拿到控制权,然后做保护软件 的工作。
从“壳”又延伸出“加壳”和“脱壳”两个词 汇;
“加壳”指的是对编译好的EXE、DLL等文件采用 加壳来进行保护;
进程插入,让进程蒸发
“灰鸽子”在配置服务端的时候可以选择插入 “explorer.exe”或者“iexplore.exe ”进程;

实验八 灰鸽的内网上线配置

实验八 灰鸽的内网上线配置
实验时间
2014、04、05
实验目的、内容
实验目的:本实验主要学习远程控制软件---灰鸽子的使用和内网配置方法
实验仪器设备:计算机
实验环境:Windows 2000 Server、灰鸽子软件、IPC扫描器
实验内容:
1、首先进行灰鸽子的配置
(1)双击运行灰鸽子软件,这里使用的是灰鸽子暗组专版,界面如图
2.使用IPC扫描器将服务程序上传到所有空口令主机上并运行。如图:
3.过几分钟等服务程序在扫描到的主机上运行后,在灰鸽子上我们看到自动上线主机,这时我们就可以远程监视以及控制对方的主机了。
实验设计过程
调试过程记录
实验结果记录以及与预期结果比较以及分析
总结以及心得体会
通过本次实验,我明白了当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。
(2)进行灰鸽子的服务端的配置。
a.单击工具栏的“配置服务程序”按钮,打开配置服务程序界面。
b.单击“自动上线配置”选项卡,在“IP通知http访问地址、DNS解析域名或固定IP”栏中输入本机的IP地址。本机的IP是:172.16.28.2。
c.单击“自动上线配置”选项卡,如图
在“安装路径”里设置服务端的安装路径,这里我们使用默认,在实际操作中可以根据需要选择安装路径。
在“程序图标”里选择程序的图标。然后选择“安装成功后自动删除安装文件”
d.单击“启动项设置”选项卡,如图:
选中“win98/2000/xp下写入注册表启动项”和“win2000/xp”下优选安装成服务启动两项。
在“显示名称”、“服务名称”和“描述信息”里分别填上相关信息。
e.在保存路径里设置程序保存的路径,单击“生成服务器”,生成服务器程序。

灰鸽子配置内网上线批量扫135端口抓肉鸡设置详细解释加图片说明

灰鸽子配置内网上线批量扫135端口抓肉鸡设置详细解释加图片说明

灰鸽子配置内网上线批量扫135端口抓肉鸡设置详细解释加图片说明第一:先打开灰鸽子(如图1)初始界面。

现在开始配置服务端(如图2)其他几项不重要按个人要求来选,主要是填写公网IP、域名填好后生成服务端保存在指定路径!注:本人用的是固定公网IP 所以只需要填写IP 在局域网使用灰鸽子需要做端口映射!介绍一个映射工具=================比特精灵端口映射工具UPnP局域网专用(如图3)===============打开工具以后点下一步它会自动查找UPNP设备(去掉忽略ICF防火墙前面的勾~)查找出设备后(如图4)下一步开始设置(如图5)设置好后下一步提示添加映射端口成功!(如图6)映射成功后不要关闭工具!============================================================== 配置好服务端以后接下来测试一下鸽子是否能上线!只要运行一下(如图7)鸽子配置好测试成功能上线了接下来批量扫135端口抓肉鸡!!用十段S扫描器扫几段IP(如图8)开始以后出现DOS界面扫到的IP全是开135端口的机器(如图9)呵呵还不少呢~~扫完以后DOS界面会自动关系在文件目录下出现Result.txt一个文档我们用扫描整理器处理一下只保留干净的IP 点“修正并保存文件”处理后在目录下会出现一个host.txt 的文件!(如图10)找到开135端口的IP 就该用NTscan 这个工具扫135的空口令了!(如图11)就先扫到这里其实还有好多呢!!关闭NTscan以后会在目录下自动建出一个NTscan.txt的文件里面还是未经过处理的IP需要把没用的字符去掉保留干净的IP 这里我们用记事本自带的替换功能就可以完成!不用说大家因该都会。

处理后的IP 连空格都需要去掉!(如图12)筛选出开135端口空口令的IP以后需要用一个批量开23端口的工具把这些IP的23端口全部打开!(如图13)点开始工具会自动批量开23端口程序运行还是在DOS界面下处理开好23端口后DOS窗口自动关闭,接下来用端口过滤工具把开好的23端口再次过滤在抓肉鸡的时候更加准确!把刚才找到的NTscan.txt文件后缀改成lst为NTscan.lst 呵呵这个工具只能后缀lst的文件所以要改一下后缀改好后打开工具导入开始过滤!(如图14)下一步导出过滤好的IP另存为23.txt文件!操作到这里已经一大半了全是批量处理还不是累就是耗时间接下来是最重要的部分了就是批量传马了废话不多说继续!我们先用Serv-U架设一个FTP 以后在传马的时候会用上(用别人的FTP空间也可以去免费空间申请一个就行本人是自己架设的空间别人的不稳定权限设置的很严格不能上传EXE文件或是下载上传带宽做了限制比较慢)架设FTP我想大家也都会我也就不介绍了!(如图15)是我简单架设的FTPFTP架设好以后配置一下JS脚本!(如图16)打来SecureCRT.EXE —>选项—>全局选项—>编辑默认设置—>选正编写好的JS脚本下一步运行批量传马工具填写配置基本和批量开23端口类似!(如图18)填写好以后点开始工具自动运行JS脚本批处理传马呵呵现在鸽子提示已经有肉鸡让线了不过不是很多因为我的小马没有做免杀!可怜~~看看有3只肉鸡了!(如图19)哈哈还有一个德国小鸡~~下一步运行批量传马工具填写配置基本和批量开23端口类似!(如图18)填写好以后点开始工具自动运行JS脚本批处理传马呵呵现在鸽子提示已经有肉鸡让线了不过不是很多因为我的小马没有做免杀!可怜~~看看有3只肉鸡了!(如图19)哈哈还有一个德国小鸡~~==============此文章只供参考学习若使用给别人带来损失本人概不负责==============。

网络安全-木马-灰鸽子种植

网络安全-木马-灰鸽子种植

实验名称:第五次木马xxxxxxxxx
姓名:xxx
学号:xxxxxxxxx
班级:xxxxxxxxxx
指导老师:xxxxx
(1)实验目的与要求
灰鸽子木马是网络上常见的并且功能强大的远程后
门软件。

采用dll注入技术,开启服务程序,从而实
现远程控制的目的。

本实验以灰鸽子木马为例进行木
马的制作、种植和攻击。

(2)实验平台及环境
本地主机(WindowsXP)、Windows实验台,灰鸽子客
户端软件。

(3)实验原理
主程序有两个,一个是服务端,另一个是控制端。


务端需要在主机执行。

当控制端连接服务端主机后,控制端会向服务端主机
发出命令。

而服务端主机在接受命令后,会执行相应
的任务。

灰鸽子是国内一款著名后门软件,是国内后门软件的
集大成者。

具有丰富而强大的功能、灵活多变的操作、
良好的隐藏性。

客户端简易便捷的操作使刚入门的初
学者都能充当黑客。

当使用在合法情况下时,灰鸽子
是一款优秀的远程控制软件。

但如果拿它做一些非法
的事,灰鸽子就成了很强大的黑客工具。

(4)实验方法与步骤
(5)实验结果及分析
可以通过文件管理、远程控制命令、注册表编辑器和命令广播对远程的主机进行操作。

(6)实验总结
提交木马植入的实现方法和步骤,并分析该方法的隐蔽性和可用性。

木马灰鸽子防护

木马灰鸽子防护

木马灰鸽子防护场景灰鸽子是国内一个著名的后门程序。

灰鸽子变种木马运行后,会自我复制到Windows目录下,并自行将安装程序删除。

修改注册表,将病毒文件注册为服务项实现开机自启。

木马程序还会注入所有的进程中,隐藏自我,防止被杀毒软件查杀。

自动开启IE浏览器,以便与外界进行通信,侦听黑客指令,在用户不知情的情况下连接黑客指定站点,盗取用户信息、下载其它特定程序。

通过对灰鸽子的运行过程及原理进行了解,掌握对木马的防御实验目标●掌握木马的原理●通过木马对主机控制过程的了解,掌握防御方法●树立安全的防范意识●可以根据环境要求设定有效的防范策略实验拓扑VM Server VM Client实验环境Server:Windows XP[服务端](因实验需要 Server 服务端登录账户:administrator,密码:123456)Client:Windows XP[客户端]灰鸽子[企业版]Server_Setup.exe服务端木马(可由灰鸽子生成)灰鸽子专杀工具[工具]利用灰鸽子进行控制灰鸽子木马程序版本众多,这里我们选择了使用较多的“灰鸽子远程管理企业版Build060228”版本。

【注释】安装灰鸽子客户端程序,目的为了控制被种植了灰鸽子服务端程序的肉鸡,客户端本身没有危害性。

1.在客户端上运行“灰鸽子[企业版]”程序,主界面如图 1:(图1)2.点击工具栏中的“配置服务程序”按钮,弹出如图2对话框,可根据自己要求定制生成服务端程序,用于种植在肉鸡中。

(图2)【注释】用户可以定制肉鸡服务端开放的端口、连接密码、控制权限等。

自动上线功能可以在肉鸡启动时,自动告知控制者上线信息。

3.添加好相应的信息后,点击“生成服务器”按钮,可以生成EXE可执行程序。

这里我们在C盘根目录已经提供了一个生成好的服务端程序Server_Setup.exe,其连接端口为7812,连接密码为7812,具有所有控制权限。

4.把生成的Server_Setup.exe通过网络共享方式复制至服务端上,并在服务器上双击运行该程序。

实验五--灰鸽子远程控制

实验五--灰鸽子远程控制

实验五灰鸽子远程控制1、实验背景灰鸽子远程监控软件分两部分:客户端和服务端。

黑客操纵着客户端,利用客户端配置生成出一个服务端程序。

服务端文件的名字默认为G_Server.exe,然后黑客通过各种渠道传播这个服务端(俗称种木马)。

种木马的手段有很多,比如,黑客可以将它与一张图片绑定,然后假冒成一个羞涩的MM通过QQ把木马传给你,诱骗你运行;也可以建立一个个人网页,诱骗你点击,利用IE漏洞把木马下载到你的机器上并运行;还可以将文件上传到某个软件下载站点,冒充成一个有趣的软件诱骗用户下载……。

G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。

G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。

值得注意的是,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。

Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。

G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。

因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。

随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe 的进程空间中,有时候则是附在所有进程中。

(转)灰鸽子 - 冰山的一角

(转)灰鸽子 - 冰山的一角

(转)灰鸽子- 冰山的一角前言就目前而言,国内现有的远程控制软件非常之多,深受广大菜鸟以及老鸟喜欢的有灰鸽子、Gh0st、DRAT、PcShare、黑洞、RemoteABC…… 由于Miku_fl0和alph4对灰鸽子(Gray Pigeons) 有着极其的狂热,所以请允许我们两个以非常微薄的知识来阐述我们所知道灰鸽子的冰山一角。

正文首先,这是灰鸽子程序的主界面,界面非常美观:引用: 程序的功能模块看文字标签即可明白,在此笔者简单的说明:自动上线:包含更新ftp上线文本信息的功能。

捕获屏幕:远程监视对方桌面,并包含鼠标、键盘操作的功能。

视频语音:可进行音源的监听、捕获摄像头拍到的画面。

(对方主机的摄像头和音箱、耳麦等设备必须处于工作状态。

) Telnet:远程终端,可执行cmd命令。

配置服务程序:配置服务端运行时的参数信息并生成服务端。

最小化:应用程序最小化到托盘图标。

退出:退出应用程序。

文件管理器- 标签页:我的电脑:可查看本地磁盘中的磁盘、文件等信息。

自动上线主机:目前已连接上被植入服务端的主机。

符合条件主机:进行条件过滤后所筛选出来的初级。

远程控制命令- 标签页:系统操作:可查看系统的相关信息,远程关闭计算机、重启计算机、卸载服务端。

剪切板查看:可查看远程主机、本地的剪切板内容。

进程管理:对远程主机的进程进行管理。

服务管理:包含对远程主机的服务进行查看、启动、停止、删除等功能。

共享管理:包含对远程主机的共享管道管理。

代理服务:提供关闭、开启SOCKS5和HTTP代理服务的功能。

插件管理:对安装的插件进行管理。

注册表编辑器- 标签页:提供远程查看、删除、新建、修改注册表的支持。

命令广播标签页:可以看到主机IP地址、地理位置、系统版本、电脑名称、服务端版本等信息。

还可以进行打开网页、下载文件、消息广播、主机筛选等功能。

(其实一看便知) 灰鸽子的上线:过程在客户端的配置服务程序中,我们可以对服务端的各个运行参数进行配置。

灰鸽子上线教程

灰鸽子上线教程

灰鸽子上线教程在用灰鸽子之前最好关了自己电脑上的杀病毒软件,否则自己的鸽子会被查杀打开灰鸽子点击“配置服务程序”就可以配置服务端了,在这里填写在上面申请的域名,如果用自己的电脑做实验(把鸽子安在自己的电脑上)填写127.0.0.1或自己电脑的IP(这里我的电脑的IP为192.168.142.1)就可以了上线图像可以自己选择,上线分组可以自己填写,上线备注可以自己填写,连接密码可以自己设置,设置的密码要记住,我这里只填写域名这一项,这一项是必须填写的,别的可以用他的默认就可以。

自动上线设置填写好后点击”启动设置”显示名称填写system服务名称填写svchost描述信息填写windows system这样填写可以让别人不容易发现你的鸽子安装选项,这一项中选择就可以,其它的代理服务、高级选项、插件功能,就不用填写了然后点击生成服务器,就可以生成灰鸽子了把srver.exe(鸽子)放到要安的电脑上运行,就可以了。

安好以后SERVER。

EXE会自动删除。

我这里在我的电脑局域网内的一台电脑上运行。

点击自动上线主机就可以看到我的肉鸡了。

142.1是我本身的电脑,142.128是局域网内另外一电脑。

就可以对它们进行控制了要删除的话点击命令广播在这里选中要删除的肉鸡,然后点击卸载服务端,就可以肉鸡卸载了。

关于设置了上线密码如果设置了上线密码的话,要对肉鸡进行控制的话就要输入密码,这产别人就控制不了你的肉鸡了。

我这里设置的密码是123在连接密码这里面输入刚才配置服务端时输入的密码123,然后点击保存,就可以对所要控制的肉鸡进行控制了。

上线端口的设置,鸽子默认端口为8000,要修改的话点击设置里面的系统设置在“自动上线端口”上就可以修改上线端口号了.一般端口号不要设置常用的端口如80,21这样端口会和别的软件用的端口发生冲突,最好设置8000左右的端口,如8001,7889这些不常用的端口。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

原创作者unis远程控制分类与远程协助区别远程控制技术是黑客必学的技术之一。

远程控制不同于远程协助,两者之间有很大的区别,所谓远程协助需要经过被控端的授权允许,并且被控端可以看到控制者的所有操作,使之控制操作透明性;例如我们的QQ远程协助,就需要对方的允许控制进行操作,并且对方也能够看到我们的操作动作,远程协助一般是用来进行远程的计算机操作协助。

远程控制则不一样,远程控制只要在被控者电脑安装一个服务端,即可在不知情的情况下进行控制对方计算机以及对计算机其它操作,控制时不需要经过对方的许可就可以控制,而控制时操作的一些动作,对方也无法察觉到(除鼠标控制)。

远程控制按控制类型可以分类为:(1)正向主动型远程控制(2)反向被动型。

什么是正向主动型的呢?正向主动型是需要控制着主动去连接被控端,一般情况下,控制者必须知道需要被控制者的IP和端口,然后通过某种软件来进行控制被控者,例如微软的3389远程桌面、Radmin远程控制、VNC远程控制都需要知道对方的IP(端口)然后通过客户端软件进行连接对方。

反向被动型控制又可以称为反弹性控制技术,指的是在被控端下安装服务端之后,由被控端主动来寻找你的客户端监听端口软件连接来进行控制,这个好处就是不需要知道对方的IP地址和端口,被控端会自己主动来找我们的监听地址和端口,当我们发现被控端已经找到我们的监听地址和端口,我们就可以控制对方电脑,这样省去要知道对方的IP和端口的麻烦了,特别是对方是动态IP的时候。

反向被动型远控在黑客界已经是主流了,黑客专门使用某些控制软件在控制对方,反弹型远控软件更是数不胜数,例如:花鸽子(灰鸽子)、白金、终结者、Ghost 等等。

远程控制软件的功能与远控木马的特性我们这里主要讲解的是反弹型远控,并且也有讲解到Web型的正向型远控,正向型远控还有Radmin、3389远程桌面也可以值得大家去学习,关于Radmin远控的可以参考我之前写的《深度研究Radmin远控》。

关于3389终端技术我已经写了《精通3389终端》。

现在的远程控制软件(又称客户端,生成出的木马叫服务端)数不胜数,甚至很多已经是源码爆出,对于各种远程控制软件来说,其实基本都是具备以下功能:【屏幕监控】:可以查看被控制者的屏幕,保存捕获的被控制屏幕的截图。

并且看到对方的一切操作,可以自由选定图像位色查看,还可以选择是否控制对方鼠标、键盘,若选择即可控制对方的电脑鼠标、键盘,这一控制对方是可以看到鼠标被控制。

【文件管理】:可以在后台查看被控者的各个磁盘中的文件,直接显示隐藏文件,可自由在对方的磁盘中删除文件、上传文件、下载文件、重命名文件、远程显示打开文件、远程隐藏打开文件、复制文件、粘贴文件、新建文件夹等功能。

【视频监控】:如果对方有视频,即可暗中开启对方视频监控到对方人、环境等一切。

【语音监听】:如果对方已经插上麦,此功能即可通过对方的麦暗中监听到对方说话的声音。

【键盘记录】:可以记录对方键盘的一切操作,可执行离线记录,即不打开该功能也能随时记录,有些还可以IE密码记录。

【系统信息查看】:可以查看对方的外网IP地址,内网IP地址、系统版本、电脑配置、上线时间等。

【注册表编辑器】:可以查看对方计算机的注册表和修改对方注册表的键值等操作。

【超级终端】:又称Telnet,即远程CMD,可以使用远程主机的cmshell进行各种CMD命令的操作。

【系统管理】:可以查看对方电脑的进程管理器,可任意结束进程。

也可以查看对方窗口信息,随意结束某个窗口,有些远程控制软件还可以查看对方的宽带账号密码、软件信息等。

【服务管理】:可以查看对方的系统服务列表和开启状态,可随意停止和开启对方的某个服务。

【代理映射】:可以开启远程计算机IP代理,把远程主机映射到本机作为代理。

使用远程计算机IP和端口进行代理上网。

【会话管理】:可以重启、注销、关机远程计算机,还可以断开远程主机的连接或者卸载远程主机的服务端。

【共享与剪贴板】:可以查看远程主机的共享文件,剪贴板功能可查看远程主机剪贴板中的文本信息。

【弹窗下载】:可以发送某段消息给远程主机,远程主机即会弹出对话框显示,下载执行可以通过后台打开对方的IE进行浏览某个网站或者执行下载木马等。

【DDOS】:某些远程控制软件拥有该功能,可以随意选择在线肉鸡,以肉鸡作为流量来进行DDOS、CC攻击网站等操作。

【配置服务端】:即配置木马,每个远控软件都有,通过自己选择某些参数配置一个反弹型服务端(木马)。

以上讲解的都是远程控制软件的常见功能,可能有些远控软件有其中功能或者更多功能,这里就只讲这么多咯,下面给大家讲解下远程控制所生成的木马,远控软件生成的木马又被称为后门木马,一般它只要对方点击了该木马,木马就立即分析木马本身的IP配置等信息,向主控端发送TCP连接请求,当发现主控端在线即上线在主控端的远程控制软件上,一般远程控制软件的木马有以下几种特点:①:模仿系统进行运行在内存中。

有的可能使用Rootkit技术隐藏进程。

②:通过DLL注入在某个正常进程中。

③:通过替换系统正常程序来运行在内存中。

④:木马会创建服务到系统服务中,并且设置为自启动类型。

⑤:木马会残留在C盘或者感染C盘某个正常DLL文件。

⑥:木马会写入自启动项,使之远程主机开机运行木马。

⑦:木马运行后每三十几秒向主控端发起连接请求。

若找到对应IP和端口则建立连接。

上述所说的就是常见的远控木马特性,一般来说远控木马并不带有恶性行为,即不存在格式化磁盘、破坏电脑硬件或删除Windows重要文件等恶意操作。

灰鸽子固定IP、动态域名、FTP上线原理与方法1.灰鸽子是一款早期很流行的远程控制软件,由安徽籍灰鸽子工作室创办人“葛军”使用Delphi编写的,后来的远程控制软件基本都是模仿灰鸽子进行编写的。

所以说学会灰鸽子原理,其它远控你基本都会了。

2.灰鸽子支持固定IP上线、动态域名上线、FTP上线。

我们先来简单的说下木马上线的原理。

当我们的木马在A电脑上运行后,只要A电脑一旦连接网络,那么木马就会通过之前配置好的连接IP和端口向我们的主控端发起连接请求,一旦连接木马配置中的IP和端口成功,主控端就可以看到肉鸡上线了,此时就可以进行远程控制肉鸡了。

我们举例说,比如配置了一个木马的上线地址为:188.188.188.188,那么该木马放到某台连接互联网的计算机中运行后,木马会不停地向IP为188.188.188.188的主机发起连接,只要该IP电脑上运行了灰鸽子软件,就会显示肉鸡上线了,那么就可以轻易控制被控端了!3.【固定IP的上线】:固定IP上线不适合于普通用户使用,因为大家的IP一般都是动态IP,即计算机重启后外网IP会不停地变动,特别对于宽带拨号的用户来说,一旦断开宽带连接,再重新拨号,公网IP地址又变了。

这样木马就只能上线一次,什么意思呢?例如:我在内网做测试,配置木马的上线IP为我虚拟机的IP192.168.1.121,那么木马就会始终向IP为:192.168.1.121的计算机发起连接请求。

假设在外网,我们一般是拨号上网,这一次电脑是这个IP,下一次我们电脑重启了的话IP发生变化,那么木马又如何能向我们现在的IP发起连接请求呢?所以固定IP一般不适用于普通用户,而它却适用某些服务器上线,因为很多服务器的IP都是固定IP,向ISP运营商申请的固定IP,无论重启多少次,IP始终保持不变,那么我们在该固定IP的服务器上配置木马,由于服务器IP始终是不变,我们下次重启计算机再在该服务器上打开灰鸽子软件也能看到肉鸡的上线。

固定IP上线原理就是这么简单,仅仅适用于固定IP的用户,配置方法是:先打开灰鸽子的——配置服务端。

上线地址中填写我们的固定IP,可以通过百度“IP”得到我们的外网IP.如果端口修改后必须添加端口,形式为〈IP地址:端口〉,灰鸽子默认端口是8000端口,我们如果不修改就直接填写固定IP,其它的进行隐藏、选择木马图标、自动删除、上线备注、连接密码可按需设置。

最后选择“生成服务端”木马就生成出来了。

这里我就假设我现在的外网IP为固定IP。

因为只有外网IP才有连接因特网的通讯能力。

4.将生成的木马放入到虚拟机做测试,发现能够成功上线,当然假如我们非固定IP电脑重启了之后,IP变了,那么我们再打开灰鸽子就无法看到肉鸡上线了,因为木马不知道我们的新IP,所以固定IP上线适用于有固定IP的用户来配置木马。

5.此时我们可以在虚拟机中CMD下输入netstat -ano 查看TCP连接,就能看到本机正在与182.101. 185.***的8000端口进行连接着。

肉鸡是随机启动用一个未使用的端口来对我们的182.101.185.***的8000端口来连接。

并且模仿IE进程。

6:【动态域名上线】:动态域名又叫DDNS,动态域名上线适用于所有使用动态IP用户。

为什么呢?对于广大动态IP用户来说,我们每次重启或断开宽带连接都会更换不同的外网IP,那么我们想生成一个木马,如何让木马始终知道我们电脑更换的IP后进行发起连接呢?如何在我们计算机重启后,打开灰鸽子还能看到原来肉鸡的上线呢?那么动态域名就解决了我们这个问题了,首先我们去申请一个动态域名,可以在3322里面或者花生壳等地方申请一个域名,比如我申请的域名账号为: 。

那我们首先要知道我们的域名地址是永远不变的,好比百度的域名永远不会变,但是我们的电脑IP地址是不停变的。

我们就可以使用动态域名来解析IP,我们每次电脑重启更换IP后,进去3322域名,将我们的IP地址更新到域名,比如我现在的IP是:95.95.95.95,那我就将该IP 更新到域名: ,那么我们这个域名对应的IP就是我们现在的IP,我们可以使用Ping域名看我们现在的域名是否与现在的IP对应。

检测为对应,即所谓的:=95.95.95.95。

如果下次我们重启电脑换成了155.155.155.155,那么我们就再上去3322域名,将变化了的IP 155.155.155.155更新到域名 ,那么域名 =155.155.155.155。

7.通过我们IP会变,但是域名始终不变的原理,我们配置木马的时候填写我们的动态域名地址,然后生成一个由域名配置的木马,当木马在某电脑运行后,木马会自动地去解析域名的IP是多少,即所谓的ping 域名得到IP地址,例如我们将自己最新的IP:95.95.95.95更新到了域名,那么木马就通过解析域名出来的IP进行一个反弹连接。

如果我们计算机重启IP变成155.155.155.155,那么我们将IP更新到域名后,对方电脑木马就会继续解析我们的域名,当发现我们的域名,IP变成了155.155.155.155了,那么木马就会向这个IP发起连接请求。