灰鸽子远控实现原理与实战
需要的工具一共有以下几种1. 虚拟机两台
2. XAMPP Cnotrol Panel
3. 20CN MINI FTP服务器
4. HGZ远程控制软件2009免费体验版
5. 一个善于思考的大脑
5.
预备知识
这些知识简单了解一下,不太懂没关系,但是要读一遍
灰鸽子是一种非常经典的木马,他一共有两个部分组成,一个是控制端,控制端也就是我们的主程序,另外一个叫服务端,也叫做被控制端,也就是被我们控制的电脑上的程序,任何一部分都会被主流的杀毒软件查杀,但是随着不断发展延伸出新的变种和一些查杀的技巧,经常可以绕过一些主动的安全防御软件
灰鸽子这款经典的木马程序客户端和服务端都是采用Delphi进行编写,攻击者利用客户端程序配置出服务端程序,可配置的信息主要包括上线类型,如等待连接还是主动连接,主动连接时使用的公网ip,也就是我们的域名,连接密码,使用端口启动项名称,服务名称,进程隐藏方式,使用的壳代理图标等等配置
灰鸽子的服务端是由控制,当主程序配置主动生成,进攻者在配置自动上线的时候一般会用到ftp自动上线和动态域名解析两种手法,目的是让我们的木马以后每天都会自动上线,而且不受自身的ip影响,当配置好服务端后,攻击者会利用一切可能的手段达到入侵的目的,当用户电脑中马后,进攻者就会拥有电脑最高管理权限,包括随意修改,窃取用户电脑文件,监控电脑键盘屏幕摄像头等等,就相当于电脑是进攻者自己的了,配置出来的服务端文件,文件名为G_server.exe当然这是默认的,我们也可以自己修改,然后黑客利用一切办法,包装修改,诱骗,等等一切办法,来让用户运行我们的G_server.exe木马程序,接着我们的木马程序运行后会将自己拷贝到windows目录下,然后再从体内释放出G_server.dll和G_server_HOOK.dll到Windows目录下这三个文件组成了灰鸽子的服务端,有些灰鸽子会多释放出一个名G_serverkey.dll文件来进行记录键盘输入,要值得注意的是,G_server.exe这个名称并不是固定的,它是可以通过进攻者进行命名的,比如当定制服务端文件名为520.exe的时候生成的文件就是,520.exe,并且其他文件也会同样跟随服务端文件名改变,比如,520.dll,520_HOOK
.dll,windows目录下的G_server.exe文件将自己注册成服务,每次开机都会自动运行,运行后启动G_server.dll,G__server_HOOK.dll
并自动退出,G_server.dll文件进行实现后门功能,与控制端客户端进行通信,G_server_HOOK.dll这个文件是用来隐藏灰鸽子的,通过截获进程的API调用隐藏灰鸽子的文件,服务的注册表项,甚至是进程中的模块名,截获的函数主要是用来遍历文件,遍历注册表项和遍历进程模块的一些函数,因此中毒后看不到病毒文件,也看不到病毒注册的服务项,随着灰鸽子服务端文件设置不同,G_server_HOOK.bll有时候也会附在Explorer.exe进程空间中有时候会附在所有进程中,这就是说为什么有时候有些人感觉中毒了,仔细检查翻天覆地的检查,但是却发现不了什么异常
以上每种知识点都会单独出文章进行讲解,现在看不懂没关系,了解一下就好
接下来进入实战环节
页:
[1]