精华内容
下载资源
问答
  • Linux 现在常用的图形化远控软件的大体介绍
    千次阅读
    2022-01-27 10:57:05

    远程控制指的是通过网络在该网络的物理节点访问其它的同一个网络的任意一个物理节点,通俗的说,就是可以不需要到物理主机跟前就可以通过网络访问操控该物理主机。

    常用的远程控制软件并不多,也就向日葵,teamview和,todesk ,Remote Access Plus这几个软件比较常用,相对来说,向日葵的受众可能是比较多的吧(没有调查就没有发言权,仅仅是我自己的感觉,不喜勿喷哦!!!!!!!!!!!!!)。




    A:

    图形化远控软件的前世今生

    1,图形化远控软件的前世-----灰鸽子远控

    病毒发展

    诞生期

    自2001年,灰鸽子诞生之日起,就被专业人士判定为最具危险性的,并引发了安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。

    灰鸽子自2001年出现至今,主要经历了模仿期、飞速发展期以及全民骇客时代三大阶段。

    灰鸽子2011出现变种。服务端加壳之后仅有70kb,比葛军的灰鸽子小了近10倍,隐蔽性更强。国家多线程上线分组。可视化远程开户。可以躲过主流管理员的检测方式,隐蔽性强。

    模仿期

    “灰鸽子”是2001年出现的,采用Delphi编写,最早并未以成品方式发布,更多的是以技术研究的姿态,采用了源码共享的方式出现在互联网,至今仍可搜索到“灰鸽子”早期版本的源码。“灰鸽子”在出现的时候使用了当时讨论最多的“反弹端口”连接方式,用以躲避大多数个人网络防火墙的拦截。“灰鸽子”在当时的名气不及“冰河”,因此只出现了少量的感染,但其开放源码的方式也让“灰鸽子”逐渐增大了传播量。灰鸽子出现后以源码开放,所以出现多种不同的版本,由于服务端都以隐藏方式启动,就奠定了其恶意后门木马的地位。

    飞速发展期

    灰鸽子产业链示意图

    2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高,2004年的感染统计表现为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,使受害者无从得知感染此病毒。

    其实以上的介绍,主要是说灰鸽子可以作为一个远控软件,只能运行在Windows环境下,曾经的灰鸽子也有辉煌过(祖上阔气过,早期的许多上网用户应该还记得被灰鸽子支配的恐惧吧!!!),现在已经处于一个尴尬的境地了(人人喊打,由于远控的隐秘性,造成各大安全厂商持续打击,国家也大力打击)。

    现在的灰鸽子是由一家山东公司通过二次开发的形式商业化了,该公司官网为:首页  ,公司名称为:潍坊灰鸽子安防工程。

    2,图形化远控软件的今身-----teamview,向日葵,todesk等等魔改灰鸽子

    其实现在的teamview,向日葵,todesk这些软件应该都是魔改灰鸽子(或者类似灰鸽子的其它类木马),而现在这些商业性的远控软件都加入了服务端和客户端双向验证,被控前提醒功能,两端数据加密,文件传输,消息传递等等功能,从而限制原来灰鸽子的破坏性,隐秘性,使得远控活动可以被监管。

    B:

    远控软件的现状

    现在的几个常用图形化远控软件首页:

    向日葵远控首页:向日葵远程控制软件_远程控制电脑手机_远程桌面连接_远程办公|游戏|运维-贝锐向日葵官网

    teamview远控首页:TeamViewer 定价:远程桌面和访问领域的领导者

    todesk远控首页ToDesk远程控制软件-免费安全流畅的远程连接电脑手机

    remote access plus远控远程访问桌面软件|远程桌面管理工具|ManageEngine Remote Access Plus

    以上图形化远控软件,teamview和remote access plus由于商业化比较重,因此,入门需要很多门槛(其实就是要钱开路),这造成了这两个软件并没有向日葵和todesk这么简单(免费的,功能基本就可以满足现有需求),并且后两个对手机的免root控制也有所支持,虽然,远控手机前需要点击一个确定按钮。造成了一点使用上的困扰。

    C:

    todesk在centos7操作系统上的安装

    本文已经疯狂提到图形化,因此,图形化,图形化,图形化(重要的事情说三遍)是Linux安装这些软件的基本前提条件,在配置好yum源后(可本地yum也可网络yum),执行命令(常用的图形化GNOME还是比较稳定的,因此,选择这个):

    yum group install 'GNOME Desktop' -y

    安装完桌面后,输入命令 startx 进入桌面,从上面提到的todesk官网下载Linux系统版本的rpm包安装即可。没有依赖,安装完毕后,即可 输入命令todesk 打开软件界面啦;

     大概安装就这么几条命令

    [root@centos1 ~]# rz -E
    rz waiting to receive.
    [root@centos1 ~]# ls
    anaconda-ks.cfg  Desktop  Documents  Downloads  initial-setup-ks.cfg  Music  Pictures  Public  Templates  todesk_4.1.0_x86_64.rpm  Videos
    [root@centos1 ~]# rpm -ivh todesk_4.1.0_x86_64.rpm 
    Preparing...                          ################################# [100%]
    Updating / installing...
       1:todesk-4.1.0-1                   ################################# [100%]
    Created symlink from /etc/systemd/system/multi-user.target.wants/todeskd.service to /etc/systemd/system/todeskd.service.
    [root@centos1 ~]# systemctl enable todeskd && systemctl start todeskd
    [root@centos1 ~]# systemctl status todeskd
    ● todeskd.service - ToDesk Daemon Service
       Loaded: loaded (/etc/systemd/system/todeskd.service; enabled; vendor preset: disabled)
       Active: active (running) since Sat 2022-02-05 09:53:58 CST; 1min 12s ago
     Main PID: 2898 (todeskd)
       CGroup: /system.slice/todeskd.service
               └─2898 /opt/todesk/bin/todeskd -f /opt/todesk/config/todeskd.conf
    
    Feb 05 09:53:58 centos1 systemd[1]: Started ToDesk Daemon Service.

     安装完毕后启动的界面

     

    rpm安装文件运行的脚本,脚本内主要是设置字体:

    [root@centos1 ~]# rpm -q --scripts todesk
    preinstall scriptlet (using /bin/sh):
    if [ -f "/tmp/todeskd.conf" ]; then
    	rm /tmp/todeskd.conf
    fi
    if [ -f "/opt/todesk/config/todeskd.conf" ]; then
    	cp /opt/todesk/config/todeskd.conf /tmp/
    fi
    systemctl stop todeskd.service > /dev/null 2>&1 &
    systemctl disable todeskd.service > /dev/null 2>&1 &
    postinstall scriptlet (using /bin/sh):
    sed -i 's/.*WaylandEnable.*$/WaylandEnable=false/g' /etc/gdm/custom.conf > /dev/null 2>&1
    sed -i 's/.*WaylandEnable.*$/WaylandEnable=false/g' /etc/gdm3/custom.conf > /dev/null 2>&1
    sed -i 's/.*WaylandEnable.*$/WaylandEnable=false/g' /etc/gdm3/daemon.conf > /dev/null 2>&1
    mkdir -p /usr/share/fonts/todesk > /dev/null 2>&1
    cp -f /opt/todesk/res/fonts/NotoSansCJK-Regular.ttc /usr/share/fonts/todesk
    chmod 744 /usr/share/fonts/todesk/NotoSansCJK-Regular.ttc
    cd /usr/share/fonts/todesk/ && mkfontscale && mkfontdir && fc-cache -fv > /dev/null 2>&1
    killall todesk > /dev/null 2>&1
    if [ -f "/tmp/todeskd.conf" ]; then
    	cp /tmp/todeskd.conf /opt/todesk/config/todeskd.conf
    fi
    systemctl daemon-reload
    systemctl enable todeskd.service
    systemctl start todeskd.service
    preuninstall scriptlet (using /bin/sh):
    systemctl stop todeskd.service
    systemctl disable todeskd.service
    

    更多相关内容
  • 详细讲解黑客常用远程控制木马

    万次阅读 2009-11-26 23:49:00
     总结:东南网安远程控制软件,虽然没有特别突出的地方,但是其稳定的远程控制能力,和集成了很多控制软件的特点,还是受到了很多黑客迷的喜爱。只不过唯一美中不足的是屏幕监控,所截取的图像有点失真。 ...

     

     

    原文地址: http://www.qudong.com/soft/safe/hacker/20080411/6956.html


     

        喜欢在网上浏览新闻的人,一定会经常看到某人隐私被黑客盗窃,或者以此来要挟受害人的事情。这里大家可能要问了,他们是如何做到的呢? 其实答案很简单,只不过是利用了远程木马控制实现,下面笔者将会针对黑客圈子里,常见的远程木马进行详细讲解。

       一、穿透力极强的Byshell 木马

      Byshell 是一个无进程、无DLL 、无启动项的、集多种Rootkit 技术特征的独立功能远程控制后门程序 (Backdoor) 。其利用线程注射DLL 到系统进程,解除DLL 映射并删除自身文件和启动项,关机时恢复。它是内核级的木马程序,主要部分工作在 Ring0 ,因此有很强的隐蔽性和杀伤力。

       1. 配置Byshell 木马服务端

      要想配置Byshell 木马服务端,我们首先打开下载到本地的“Byshell 客户端 程序,在所弹出的 监听端口 对话框内,输入其木马想要监听的端口,默认设置为2007( 如图1)

    1

      修改完毕后,进入到“Byshell 木马客户端 界面,在顶端的工具栏内,单击 配置服务端 按钮,此时就会打开 配置服务端 的对话框( 如图2)

    2

      在“IP 通知地址 标签处,输入自己空间的访问地址,“IP 或者DNS 域名 标签,则输入自己的本机IP ,另外 客户端口输入的数字,要与此前设置的监听端口一致,否则会出现肉鸡无法上线的情况。然后在单击 生成 按钮,在弹出的 另存为 对话框内,选择好所要生成 的路径,单击 确定 按钮,就可使其服务端生成完毕。

       2. 让主动防御纷纷落马

      为了能够测试Byshell 木马的威力,我们这里打开杀毒软件的所有 主动防御 选项,并且将其安全级别提高到 最高,然后在运行一下刚生成好的Byshell 木马服务端,此时你会发现杀毒软件竟然将它的启动视而不见,并且在客户端还可以看到中招的机器上线。如果你 想对肉鸡进行控制,我们可以选择其上线的机器,然后在上方单击工具栏里的 相关 按钮,如这里单击 文件管理 按钮,就可打开被控制机器的 文件管理 对 话框,从中我们可以查阅该肉鸡里的所有硬盘文件。另外最后要想卸载掉远程服务端,只要在 客户端 界面内,右击上线肉鸡IP 栏,选择 远程卸载 选项,就 可将其服务端从受害者系统里摘除。

       总结 :其实Byshell 木马通过对当前系统的SSDT 表进行破坏,所 使用系统原来的SSDT 表覆盖现在的SSDT 表,才使杀毒软件的主动防御功能实效的。如果你想从数据上了解Byshell 木马的穿透,可以使用 Wsyscheck 等工具查看系统中的SSDT 表,这样就会清楚的看见杀毒软件在正常情况下,与被木马穿透的表是不同的了。

      

       二、上线速度超快的暗组远控木马

      暗组远控木马,是一款体积非常小的控制软件,并且它还具备着较强的穿透防火墙和杀毒软件的主动防御能力。另外由于这款软件很偏门,一般人都不太知道,所以其所生成的最新服务端,无须进行加密就可以逃脱一些杀毒软件的查杀。

       1. 利用客户端生成服务端

      由于暗组远控软件功能不是很强大,所以客户端界面很简单,主要有顶端三个功能按钮,如: 生成服务端、设置、监 听 按钮构成,很适合新手操作。另外暗组远控木马与其他同类软件一样,也是通过其客户端来生成服务端。这里我们依然在其客户端界面内,单击 生成服务端 按钮,此时在弹出的 生成服务端 对话框内( 如图3)

    3

      新手只要在上线域名那里换成自己的固定IP 地址,然后单击 生成 按钮,选择好保存路径就可将其生成成功了。

       2. 偏门木马杀毒软件不易发现

      之前笔者已经说过了,貌似这种不出名的木马,即使有时不加密也不会被查杀掉,而像灰鸽子、黑洞等名声在外的木 马,即使加密也用不了多久。因此我们只要通过欺骗QQ 好友看照片的手段,让他() 运行配置好的木马服务端,然后单击 开始监听 按钮,其主机就会立刻在 客户端上线了( 如图4)

     

    4

      此时你只要选择该上线的肉鸡,就可以对相关肉鸡进行远程控制,而具体控制功能都集成在了右键上面,大家可以根据需要进行选择即可。

       总结 :暗组远控木马与Rdmin 差不多,其不仅可以观看到操作者的一举一动,就连其桌面的也可一同进行控制,这要比前者介绍的Byshell 好的多。另外如果你想为自己的网站刷流量,还可以通过右键启动看看增加批量打开网站,从而可以为自己的网站获取更多的点击率。

        三、新兴的东南网安远程控制软件

      东南网安远程控制是由东南大学网络安全联盟,开发的一款远程控制软件,其界面友好简单,左侧有一排错落有致的功能按钮,我要想对肉鸡进行控制,只需使用这几个按钮便可完成操作( 如图5)

    5

       1. 配置木马服务端

      打开 客户端 程序,默认选择的是左侧 上线主机 标签,由于还有配置服务端程序,所以更谈不上有肉鸡上线。因 此这里单击 配置服务端 标签,在所显示的界面内,根据标签的提示信息,将自己电脑信息输入便可,然后单击 生成 按钮,此配置的服务端,就会自动生成在 该软件的同一目录下,并且默认服务端名称为SEU_server 。然后以各种欺骗的手段或者其他方法让受害人运行,这样其主机才会在客户端显示上线( 如图 6)

    6

       2. 远程操控肉鸡

      我们在其上方右击,可以选择里面的快捷功能进行操控。当然像有些功能如: 文件传输、屏幕监控、DOS 命令、进 程管理 ,左侧功能栏都有。如果你不喜欢在快捷功能里选择,可以在左侧功能标签里选择,比如单击 文件传输 标签,可以对其远程肉鸡的硬盘文件进行查阅。 屏幕监控,就可非常直观的看到其肉鸡受害人的操作。DOS 命令可以通过命令的形式,创建用户开启服务等等实施更进一步的入侵。进程管理可以查询当前肉鸡 上,所有运行的程序进程。

      总结:东南网安远程控制软件,虽然没有特别突出的地方,但是其稳定的远程控制能力,和集成了很多控制软件的特点,还是受到了很多黑客迷的喜爱。只不过唯一美中不足的是屏幕监控,所截取的图像有点失真。

      

       四、远程控制航母Gh0st RAT

      Gh0st RAT 有着远程控制航母的称号,它可以最多容纳上万台肉鸡同时上线,这是很多同类软件达不到的事情,因此这个称号也并不夸张。另外该软件是一款共享免费类的软件,并且其作者为了大家着想,不保留版权可由黑客迷们自由修改。

      打开“Gh0st RAT 客户端 软件,你会发现与其他同类软件不同的是,它的功能标签都在下方,并且是以英文形式表达( 如图7)

    7

      默认选择的是下方“Connections” 标签,这里显示的是肉鸡上线界面。而后面的“Settinas” 标 签,则显示 服务端的配置 界面,我们切入此标签,只要把上线主机IP 更改成自己的IP 地址,其他选项保持默认。然后选择“Build” 标签,在显示的界 面上方,将“Settinas” 标签里的上线字符串,复制到 域名上线字符串 标签,或者勾选 启用 按钮,在其前方输入HTTP 上线网址后,单击生成 服务端 按钮,在弹出的 另存为 对话框内,选择好所要存储服务端的路径即可。

      同样以想方设法将其服务端让受害者运行,然后你回到“Connections” 标签,就可看到其运行服务端的肉鸡上线了。并且肉鸡的IP 地址、计算机名、使用的操作系统,以及有无摄像头的信息,也同时会被显示出来( 如图8)

    8

      为了操控这台肉鸡,笔者在该显示肉鸡栏的上方右击,在弹出的 快捷 菜单内,选择 文件管理 选项,可以非常直 观的看到本地和外地的盘符,如果此时你想自己本地盘符的文件,上传到被控制肉鸡的盘符里,你只需将其传输的文件选中,直接拖拽或者复制粘贴到肉鸡盘即可, 无需像其他同类软件那样,还需使用复杂的命令进行上传。

     

      小提示:屏幕监视: 此模块全用汇编编写,其特点控制屏幕且传输速度快,而且有7 种色彩显示方式。

      键盘记录:可记录中英文信息,离线记录( 记录上限50M ) 功能

      远程终端:一个简单shell

      系统管理:进程管理,窗口管理,拨号上网密码获取

      视频监控; 监控远程摄像头

      会话管理:注销,重启,关机,卸载服务端

      其它功能 :下载执行指定URL 中的程序,隐藏或者显示访问指定网址,清除系统日志

      地址位置:将IP 数据库文件QQWry.Dat 放置程序同目录下即可显示地理位置

      集群控制:可同时控制多台主机,同时打开视频监控等管理功能

       总结: Gh0st RAT 控制端采用IOCP 模型,并且数据传输采用zlib 压缩方式稳定快速,其上线肉鸡数量无上限,可同时控制上万台主机。另外其控制端还能自动检测CPU 使用率,且调整自己的工作线程,从而可以更稳定更高效。

      

       五、黑客防线新一代远控pcshare

      黑客防线新一代远控pcshare 软件,是一款标准的远程管理软件,用于远程计算机管理维护,具有相当的产品特性,涵盖了各种远程管理软件的功能。

      打开“pcshare 软件 客户端程序,如果此时你想对木马服务端程序进行配置,只要在上方单击 设置 菜单, 选择 生成客户端 选项,此时就会弹出的 被控制端执行程序参数 对话框。我们在“IP 地址 标签内,输入自己的固定IP 地址,如果没有固定IP 地址,可 以上希网域名注册一个动态域名,然后将其本机的IP 配置进去。在将其动态域名,输入到“IP 地址 标签内,也可达到相同效果( 如图9)

    9

      其他选项保持默认,而后单击 生成 按钮,与其他软件一样选择好生成服务端路径,便可成功生成其木马服务端了。

      操作完毕后,将其生成的服务端,运行在受害主机上,这样你就可以在 客户端 界面的普通客户组里,看到被控制的肉鸡上线了( 如图10)

    10

      这里选择上线的肉鸡,上方一排功能按钮,就会变为可用状态, 文件管理 屏幕监控 超级终端 键盘 监控 注册表管理 服务管理 窗口管理 ,与其他同类软件的相应功能基本相同,这里也就不多加介绍了。不过与其他软件不同的是,黑防软件提供 了 音视频监控 功能,可通过其不仅能观看到的摄像头视频,而且还可以监听且记录里面的声音。另外如果你喜欢,还可以将其视频里的图像,以录像的形式保存 到本地硬盘里,从而可以避免在没有时间观看的情况下,而落掉肉鸡主人的某个或者某段动作。

      除了以上这些按钮的功能外,肉鸡还提供了 开肉鸡代理 的功能,我们只要右击想要开通的上线肉鸡,选择 () 客户代理 选项,在弹出的 开启被控制端代理服务 对话框内,输入代理服务的端口,默认是1080 。操作完毕后,勾选 启用Scoks5 代理服务器 用户/ 密码 复选框,并且将其想要设定的Scoks5 代理服务账号和密码输入,在单击 确定 按钮,就可立即开启肉鸡的代理服务功能。另外如果要想将本地 文件上传到肉鸡上,还需右击其受害的上线主机,在依次选择 广播命令到肉鸡端”→“ 肉鸡执行指定上传程序 选项,在弹出的 上传执行指定文件 对话框内, 选择想要上传的文件,便可单击 确定 按钮,执行上传( 如图11)

    11

      另外肉鸡更新指定客户端,就是对木马服务端的升级,以防止被杀毒软件认出来。强制肉鸡访问指定页,则可以强行肉鸡访问我们指定的网站。肉鸡下载执行连接和发送消息到肉鸡端,顾名思仪就是强行下载和发送消息给受害者的功能。

      总结:黑客防线新一代远控pcshare 软件,具有高效率穿透防火墙的功能,采取独特的技术穿透防火墙,并 且提供了自动辨别和人工设置的方式,可以通过默认浏览器、Svchost.exe 轻松穿透防火墙。另外更可怕的是它还具有驱动隐藏和保护的功能,能够隐藏 本身的文件和进程,即使用户通过Netstat –n 的命令,也是看不到其连接的。 还有就是当自身服务被删除或者禁止时,被控制端会自行修复,从而做到了只有控制台的管理员才能进行卸载。

       六、盗版灰鸽子—— 落学远程协助系统

      落学远程协助系统,是一款能够通过Internet 网、局域网进行计算机的远程监控管理软件,操作直观简便而功能强大,即使是使用电脑的新手也可以轻松上手。该程序可用于公司管理层对员工计算机的监控、家长对子女使用计算机的监控、家与单位的计算机间的监控等方面。

      打开 落学远程协助系统 界面,让笔者大吃一惊的是,它怎么跟大名鼎鼎的灰鸽子远程木马,长的这么像( 如图12)

    12

      相信如果没有落学远程协助系统标志,大家也一定会认错吧。言归正传,老规矩生成服务端,单击上方 配置服务端 程序,在弹出的 服务器配置 对话框内,默认切入的是 自动上线 标签,在其内部将DNS 解析域名处,输入以上我们申请的希望动态域名,关于如何配置动态 域名,在前面已经说过了这里就不重复讲解了。然后选择好上线的图标,分别切入至 安装信息 启动项目 标签,将里面安装,以及服务名称信息,修改成与 系统文件相近的信息,这样可以达到迷惑肉鸡主人的目的,别忘了单击 生成服务端 按钮,就可立即在其软件的同一目录下,生成一个服务端程序。

      同样想方设法让网友们运行其服务端,或者在你成功入侵电脑主机后,将其强行运行也可。当然这里不排除有很多朋 友,在配置上没有任何问题,受害人的主机也已中招,可是客户端界面就不显示肉鸡上线的问题。其实出现这种问题的原因很简单,无非就是客户端域名和服务端域 名没有同步,我们只要在 客户端 程序界面里,单击上方 自动上线 按钮,切入至 希望动态域名更新IP” 标签,将刚才配置添入的动态域名,及其用户名和 密码输入进去,最后单击更新IP 到希网域名按钮,就可看到中招的主机上线。

      总结:落学远程协助系统是一款很大众化的软件,可以说它的控制功能,几乎每款远程控制软件都具备,而且自动上线 那里,有时还需要自行调解很麻烦。当然有不好的一面,也会有好一面,首先说一下界面直观简单,很适合新手操作,另外它使用了内核驱动恢复SSDT 技术,可 以穿越主动防御拦截,并且无DLL 文件插入系统进程,还可以过防火墙的拦截,在不考虑免不免杀的情况下,这款软件绝对是黑客们必备利器之一。

    原文地址: http://www.qudong.com/soft/safe/hacker/20080411/6956.html

    展开全文
  • 远程控制——一句话木马

    千次阅读 2021-11-08 21:59:47
    好的远程控制有:TeamViewer、QQ远程协助、远程管理、实验室上课系统 坏的远程控制有:后门、木马 远程控制有正向连接和反向连接: 正向连接:黑客(客户端)先主动连接木马(服务端)。 反向连接:木马(服务端)...

    简单介绍一下远程控制的相关知识

    远程控制可以让目标系统上的服务器崩溃,可以在目标系统上执行某个程序,还可以直接控制目标系统。

    好的远程控制有:TeamViewer、QQ远程协助、远程管理、实验室上课系统

    坏的远程控制有:后门、木马

    远程控制有正向连接和反向连接:

    正向连接:黑客(客户端)先主动连接木马(服务端)。

    反向连接:木马(服务端)主动连接黑客(客户端)诱使Rebecca下载server.EXE并运行。优点是不需知道对方的IP地址和端口。

    Shellode:是一段用于利用软件漏洞而执行的代码,shellcode为16进制的机器码,因为经常让攻击者获得shell而得名。可在暂存器eip溢出后,塞入一段可让CPU执行的shellcode机器码,让电脑可以执行攻击者的任意指令。

    Shell:为使用者提供操作界面的软件(命令解析器)。如windows的cmd.exe。

    下面的一句话木马是webshell的应用。

    一、连接网络

    两个虚拟机要连在同一个子网,都采用桥接方式。

    VMware的网络连接方式有三种,详细请以下链接(别人的笔记)。

    VMware虚拟机三种网络模式详解--Bridged(桥接模式)_wx5aa8fe213e51f的技术博客_51CTO博客_虚拟机桥接模式VMware虚拟机三种网络模式详解--Bridged(桥接模式),VMware虚拟机三种网络模式详解--Bridged(桥接模式)https://blog.51cto.com/u_13648313/2164307

    选定虚拟机,点击右键,设置。

     

    kali 桥接会发现没有IP可进入编辑选择网络编辑器修改成连接的无线WiFi网卡。

    另一台虚拟机

    二、创建.php文件

    .php文件是动态网页,所谓的动态网页,是指跟静态网页相对的一种网页编程技术。静态网页,随着html代码的生成,页面的内容和显示效果就基本上不会发生变化了——除非你修改页面代码。而动态网页则不然,页面代码虽然没有变,但是显示的内容却是可以随着时间、环境或者数据库操作的结果而发生改变的。

    普通用户有很多权限限制,比如说无法在目录下创建文件,所以要用root超级用户。 

    Apache网站根目录默认根目录是在var/www/html, 所以直接在该目录下创建shell.php文件

    shell.php的文本为: <?php system($_REQUEST['cmd']);?>

    system函数

    system函数的作用是执行系统命令,并返回所有结果到标准输出设备上。

    如下代码中,用户在浏览器中访问http://localhost/system.php?cmd=ls–al,cmd中的脚本命令将被执行,执行结果输出到页面上。

    有关知识点请看别人的笔记:PHP安全:系统命令注入 

    PHP安全:系统命令注入_函数

     三、开启端口

    nmap扫描80端口是否开放

    没开,使用默认端口打开Apache服务

    可以看到已经开放了

    四、发送命令

    在地址栏输入url格式

    Apache服务器默认端口为80,如果是别的端口,要在ip地址后面加上端口号http://192.168.43.79:xx(端口号)/shell.php?cmd=ls

    ls的命令是不带任何参数运行 ls 命令将列出当前工作目录的内容

    其他命令可参考以下链接。

    ls 命令详解 | 《Linux就该这么学》Linux 用户常常做的一个事情是:在命令行列出目录内容,我们已经知道,ls和 dir 是两个可用在列出目录内容的 Linux 命令,前者是更受欢迎的,在大多数情况下,是用户的首选。但如何进行更细致的排序,下面将展开讨论。https://www.linuxprobe.com/ls-files.html

     shell.php接受我们传入的参数(也就是后面将被执行的命令),然后命令执行后的结果以网页内容形式传回我们的浏览器。就行啦。

    展开全文
  • 2.使用这类木马,只需有人运行了服务端程序,如果客户知道了服务端的IP地址,就可以实现远程控制。 3.这类程序可以实现观察受害者正在干什么。 再来了解下灰鸽子: 1.自2001年,灰鸽子诞生之日起,就被反病毒专业...

    更多文章关注公众号挽风安全

    远程访问型木马——灰鸽子

    先来了解下什么是远程访问型木马:

    1.它在受害者主机上运行一个服务端,监听某个特定端口;入侵者则使用木马的客户端连接到该端口上,向服务端发送各种指令,访问受害者计算机资源。

    2.使用这类木马,只需有人运行了服务端程序,如果客户知道了服务端的IP地址,就可以实现远程控制。

    3.这类程序可以实现观察受害者正在干什么。

    再来了解下灰鸽子:

    1.自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发了安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒。

    2.灰鸽子在出现的时候使用了当时讨论最多的“反弹端口”连接方式,用以躲避大多数个人网络防火墙的拦截。

    反弹端口连接方式:

    3.由于灰鸽子栏截了API调用,在正常模式下服务谜程序文件和它注珊的服务项均被晚藏,也就是说你即使设置了显示所有隐藏文件也看不到它们。此外,灰鸽子服务端的文件名也是可以自定义的。

    一、实验目的

    1、理解远程控制型木马的实现原理,使用灰鸽子木马实现远程控制目标主机;

    2、实现木马与图片的捆绑;(两个捆绑软件)
    3、实现木马与exe程序的捆绑;
    4、将木马注册成系统服务。

    二、实验设备及环境

    计算机1台、虚拟机XP系统、虚拟机2003系统、灰鸽子软件

    三、实验步骤

    1.实验环境配置

    两个虚拟机配置为NAT模式,配置IP地址为同一网段,并且用ping命令测试连通性。

    2.安装灰鸽子软件

    (1)点击运行灰鸽子软件,将会在C盘保存一份重复的软件。

    (2)将原文件夹中的三个文件夹拷贝至C盘。

    (3)点击C盘的灰鸽子软件,界面如下。

    3.服务器配置

    (1)点击界面上的“配置服务程序”图标:

    (2)固定IP上线,填写自己本地主机的IP地址,其他默认更改保存路径和名称,保存生成服务器。

    4.木马植入

    将木马植入目标主机,点击运行,则灰鸽子软件上会自动显示上线的主机信息。

    进行远程控制

    捕捉屏幕,目标主机在做什么事情你都可以检测得到。

    远程控制命令

    通过远程控制命令可以向目标主机发送系统命令。

    命令广播

    通过命令的广播可以远程控制目标主机开关机,以及打开特定网页。

    命令广播中的消息广播

    对计算机资源的控制

    (1)对文件夹的控制,新建一个文件。

    (2)下载被控方的文件,也可以远程打开,被控方同样操作

    5.木马捆绑

    5.1.散人文件捆绑器:

    先卸载木马服务端程序,源文件为图片,捆绑文件为木马,点击选择图标可更改显示的图标。

    点击捆绑,生成捆绑文件,点击运行,打开图片,木马上线;

    5.2.多文件捆绑器:

    先卸载木马服务端程序;打开捆绑软件,将图片与木马进行捆绑;

    点击捆绑,生成捆绑文件,点击运行,打开图片,木马上线;

    5.3.exe捆绑软件:

    1.先卸载木马服务端程序;打开exe捆绑软件,第一个选择你的游戏程序;

    2.第二个选择你的木马程序;

    3.指定保存的路径:

    4.点击开始捆绑,成功后将木马拷贝被攻击方再测试一遍,即可看到木马上线。

    6.木马注册成系统服务

    先卸载木马服务端程序;

    工具:instsrv.exe:给系统安装和删除服务

    srvany.exe:让程序以服务的方式运行

    1、命令:instsrv.exe CQLService C:\srvany\srvany.exe(其中CQL为姓名缩写)

    2、打开注册表目录:命令行输入“regedit” ,回车;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

    3、找到“CQLService”,鼠标右击新建一个项,将其命名为“Parameters” ;

    4、进入Parameters后,在右侧窗口里新建一个命名为“Application” 的字符串值,字符串的值就是木马程序的路径地址。

    5、在右侧窗口里再新建一个命名为“AppDirectory” 的字符串值,字符串的值就是存放木马程序的文件夹路径。

    6、启动服务:命令行输入“services.msc”,回车

    7、木马上线

    8、卸载服务:卸载之前应停止服务!

    instsrv CQLService remove

    四、灰鸽子免杀

    谈到免杀的方法,首先就要先弄懂那些杀毒软件到底是如何杀的原理,这里就来讲一讲

    1.杀毒原理

    通常的话,当研究病毒查杀与防御的人收到一个截获或者上报上来的病毒时,先是分析这个病毒文件执行后的动作,即病毒文件执行后会做哪些操作。例如会生成什么样的新文件、会怎样去更改注册表、会怎样去注册服务、会打开什么端口等等。

    搞明白这些以后,下一步一般就会开始研究这个病毒的文件结构,然后找出其与众不同的地方,将其定义为特征码。而这个特征码定义的高明与否,就要看他定义的位置到底是怎么样的,例如他如果定义的是病毒文件更改注册表键值那部分代码的话,这显然不会太难,因为只要病毒文件更改键值,大部分的情况下这个文件里一定存在被更改键值的字符串,所以找到这段字符串的位置就可以定义特征码了。但是针对这种特征码制作免杀是非常容易的,其中有一种免杀方法就是把特征码所对应的内容是可识别的英文字母或词组,并且确定其不是相关函数的,将大小写修改一下就可以了。而如果从文件头找出一段特征码已经是非常不容易的事情了。除此之外,所定义的特征码还要有一个分支,即内存特征码。所谓内存特征码就是指木马文件运行后释放到内存时所存在的特征,它的原理大体与上面介绍的文件特征码一样。

    当特征码定义出来之后,就会被提交到另外的部门,然后进入病毒库,当用户更新病毒库后,以后杀毒软件在碰到符合要求的文件时就会将其杀掉,也就是说,杀毒软件只认特征码,不认文件。

    由此可见,他们寻找特征码的方式也就是这样的。那接下来就来谈谈几种常用的免杀方式吧。

    2.免杀方法

    常见的灰鸽子免杀方法有:加壳压缩、加花指令、修改特征码、修改程序入口点等等,另外,在互联网上也存在着免杀版本的灰鸽子,并且不断更新。因为大多做了免杀汇编处理,所以对其客户端的查杀比较困难,大多数杀毒软件也无法识别它为病毒。

    2.1.加花指令

    由于黑客网站公布的花指令过不了一段时间就会被杀软辨认出来,所以需要你自己去搜集一些不常用的花指令,另外目前还有几款软件可以自动帮你加花指令,例如花指令添加器等。

    常见的花指令有:
    1.Visual C++ 6.0:

    PUSH EBP   MOV EBP,ESP   PUSH -1   PUSH 0   PUSH 0   MOV EAX,DWORD PTR FS:[0]   PUSH EAX   MOV DWORD PTR FS:[0],ESP   SUB ESP,68   PUSH EBX   PUSH ESI   PUSH EDI   POP EAX   POP EAX   POP EAX   ADD ESP,68   POP EAX   MOV DWORD PTR FS:[0],EAX   POP EAX   POP EAX   POP EAX   POP EAX   MOV EBP,EAX   JMP 原入口
    
    1. Visual C++ 5.0
    PUSH EBP   MOV EBP,ESP   PUSH -1   push 515448   PUSH 6021A8   MOV EAX,DWORD PTR FS:[0]   PUSH EAX   MOV DWORD PTR FS:[0],ESP   ADD ESP,-6C   PUSH EBX   PUSH ESI   PUSH EDI   jmp 跳转到程序原来的入口点
    
    2.1.1.花指令相关知识

    其实花指令就像上面那样,就是一段垃圾代码和一些乱跳转,但这些并不影响程序的正常运行。加了花指令后,可以使一些杀毒软件无法正确识别木马程序,从而达到免杀的效果。

    2.1.2.制作过程详解

    1.配置一个不加壳的木马程序。
    2.用OllyDbg载入这个木马程序,OllyDbg会自动停在入口点,同时记下入口点的内存地址。
    3.向下拉滚动条,找到零区域(也就是可以插入代码的都是0的空白地方)。并记下零区域的起始内存地址。
    4.从这个零区域的起始地址开始一句一句的写入我们准备好的花指令代码。
    5.花指令写完后,在花指令的结束位置写入一条JMP指令,跳转到刚才OD载入时的入口点内存地址。
    6.保存修改结果后,最后用PEditor这款工具打开这个改过后的木马程序。在入口点处把原来的入口地址改成刚才记下的零区域的起始内存地址,并按应用更改,使更改生效。
    例子:

    004A2A73 0000     add byte ptr ds:[eax],al
    
    004A2A75 0000     add byte ptr ds:[eax],al
    
    004A2A77 55     push ebp
    
    004A2A78 8BEC     mov ebp,esp
    
    004A2A7A B9 04000000   mov ecx,4
    
    004A2A7F E9 CCF3FFFF   jmp Server.004A1E50
    
    004A2A84 0000     add byte ptr ds:[eax],al
    
    004A2A86 0000     add byte ptr ds:[eax],al
    
    004A2A88 0000     add byte ptr ds:[eax],al
    

    上面的add byte ptr ds:[eax],al就是所谓的零区域,我们看到改完后的头文件位于004A2A77,所以我们还要用PEditor改一下入口点,打开PEditor后载入文件,将入口点处的地址改为我们的新文件头地址004A2A77,保存后即可。
    入口点加1:
    打开PEditor后载入文件,将原来的入口点+1即可,例如我们的入口点为004A2A77,加1后应该是004A2A78,然后点击“应用更改”即可完成更改。

    2.2.修改特征码

    2.2.1.修改字符串大小写

    刚才上文中也有提到,这里再说一下
    这是利用了Windows系统对大小写不敏感,而杀毒软件对大小写非常敏感的这一特性来达到免杀的目的。

    它的修改方法就是:把特征码所对应的内容是可识别的英文字母或词组,并且确定其不是相关函数的,将大小写修改一下就可以了。

    它的使用条件是特征码所对应的内容必需是字符串,否则不能成功。

    2.2.2.ADD指令与SUB指令互换

    这是利用了“1+1等于2,而1-(-1)也等于2”的原理。那么ADD指令就是“加”的意思,SUB指令则是“减”的意思。我们这样互换了一下,最终结果还是一样的,但是杀毒软件就不认识了。

    它的修改方法是:用OllyDbg载入木马程序,然后假设它的特征码所对应的地址中有ADD指令或者SUB指令,那么就将ADD指令与SUB指令互换,然后后面的十六进制数要自己改成负的。更改完毕后保存为EXE文件即可。

    五、灰鸽子绕过杀毒软件

    现在很多人在使用免杀灰鸽子软件后,遇见过这样一个奇怪的情况,就是明明已经免杀的文件,在导入用户的配置信息以后就立即被某些杀毒软件的数据流功能所查杀。那么下面就说几个方法来解决它。

    1.修改配置信息

    既然是在导入配置信息后才被某些杀毒软件所查杀的,说明问题就出现在配置信息里面。

    首先运行修改工具Restorator(这个工具挺好用的,打造个人版的灰鸽子软件的时候需要用到的软件),点击工具栏中的“打开文件”来选择服务端程序。

    接着在资源树中选择“RC数据”中的“HACKER”选项,现在从右侧窗口可以看到一串字符串信息,这就是经过服务端加密处理的配置信息内容。
    现在点击工具栏中的“编辑模式”按钮,只需要对加密信息中原有的英文字母改成小写即可。至于要更改多少个英文字母,就完全是凭个人意愿了,既可以改一个也可以改多个。完成操作以后,点击“文件”中的“另存为”命令,将文件重命名为其他的名称即可。

    经过这样处理过的灰鸽子软件,就不会被某些杀毒软件查杀了。

    2.更改调整信息

    既然文件可以被查杀就说明其存在特征码,因此还可以按照传统的方法来查杀并修改特征码。运行特征码分析程序MYCCL,按照以前介绍的方法进行设置,只不过需要点击操作界面中的“正向”按钮,来改变程序默认的分析方式。最终MYCCL程序得到的特征码位置是00000100_00000002

    现在运行十六进制工具C32Asm,点击“文件”菜单的“打开十六进制文件”,选择被杀的灰鸽子程序。接着点击右键菜单中的“跳到”命令,然后在弹出的窗口中输入“00000100”。

    从搜索结果中我们可以看到,特征码的位置和文件的PE头位置很接近。于是试着通过更改PE头,结果不是被金山给查杀了,就是服务端运行出现错误。于是就想在特征码前后的位置进行更改,因为这些地方有很多代码都是00,这样更改不会引起服务端的错误。于是我就将特征码所在的上一行的最后一个字节由00改成90,保存后发现文件不被查杀。另外,从PE头向下数第八行的最后一个字节在修改后也可以起到免杀的效果。这种方法不但适合于对服务端的修改,也适合于服务端母体的修改。通过“文件”菜单的“另存为”命令,将修改后的文件命名为CServer.Dat。然后将生成的母体文件复制到“Cache”文件夹中,替换原来的CServer.dat即可,这样用户以后就可以直接配置免杀的服务端。

    六、安全措施

    那么如何发现自己的电脑是否中了该木马呢?下面几点如果有其一你就应该有所重视了。
    1.电脑在空闲的时候看到硬盘灯不断的闪烁发亮;
    2.电脑的鼠标指针有时候会自动(非自己)移动;
    3.电脑开机变得缓慢,运行时无故经常卡机甚至死机;
    4.如果你的电脑装有摄像头的话,有时会发觉摄像头会自动开启(非自己)等。如果发现有如上非正常情况,最直接的临时措施就是果断的拔掉网线查找原因,然后升级最新的杀毒软件进行全盘的病毒查杀(最后在安全模式来个重启复查)。

    更多文章关注公众号挽风安全

    展开全文
  • 5、本软件远程控制,有的朋友下载后回去配置后捆绑其它程序或图片的方法抓鸡,是很正常的, 所以,使用此类工具的朋友要注意自身安全。 --------------------------------------------------------------------...
  • 冰河远程控制

    2013-08-17 13:54:40
    软件主要用于远程监控,具体功能包括: 1.自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用);2.记录各种口令...
  • 创建思路 实现代码 远程控制工具简介 远程控制程序是一个很常见的计算机术语,指的是可以在一台设备上控制另外一台设备的软件。 通常情况下,远程控制程序分为控制端和被控制端。如果一台计算机执行了被控端,就会被...
  • 木马分析(隐藏分析)实验 木马分析(控制分析)实验 木马植入方法实验---冰河木马
  • 远程桌面连接(以前称为“终端服务客户端”)主要是用于对远程托管的服务器进行远程管理,使用非常方便,如同操作本地电脑一样方便,而远程桌面连接工具,我个人喜好IIS7。 IIS7远程桌面管理工具(3389、vps、服务器...
  • 误区1:远程控制是病毒确实有一部分病毒和绝大部分木马(注意,病毒和木马是2个不同的概念)能够实现远程控制功能,但是我们通常所说的“网络远程控制”是Windows本身的功能之一,目的是为了进行远程系统维护/诊断。...
  • 安全厂商已经发现了一种新的恶意软件,可以攻击PC和Mac电脑。flashback恶意软件利用java安全弱点,感染了成百上千台Mac电脑。和flashback一样,当攻击的时候,这种java applet可以检测被攻击者运行的是哪种操作系统...
  • Linux运维常用工具软件

    千次阅读 2019-06-13 20:02:07
    1、远程桌面连接 TigerVNC Xshell 2、FTP服务和客户端 FileZilla - 将客户端的文件上传到服务器上. 客户端可以使用免费的FileZilla Client,支持多线程上传文件。 3、硬件检测 CPU-Z - CPU-Z是一款免费的系统...
  • 5、本软件远程控制,有的朋友下载后回去配置后捆绑其它程序或图片的方法抓鸡,是很正常的, 所以,使用此类工具的朋友要注意自身安全。 --------------------------------------------------------------------...
  • 服务端接受来自客户端的控制命令,并按照其命令进行操作,将操作后的结果返回给客户端,客户端就能够知道服务端的运行状态与运行结果。 4.1服务端实现技术 4.1.1 NAT穿越实现 NAT简述,私有(保留)地址的“内部”...
  • IT开发+软件测试常用端口号

    千次阅读 2019-07-04 21:55:04
    **端口号**具有网络功能的应用软件的标识号。注意,端口号是不固定的,即可以由用户手工可以分配(当然,一般在软件编写时就已经定义) 0-1023是公认端口号,即已经公认定义或为将要公认定义的软件保留的,而1024-...
  • 网络安全实验报告 冰河木马实验 网络 10-2 班 XXX 08103635 一 实验目的 通过学习冰河木马远程控制软件的使用熟悉使用木马进行网 络攻击的原理和方法 二 实验内容 1 在计算机 A上运行冰河木马客户端学习其常用功能 ...
  • 冰河木马实验

    千次阅读 2021-11-15 15:11:51
    实验目的 1. 本次实验为考核实验,需要独立设计完成一次网络攻防的综合实验。设计的实验中要包括以下几个方面内容: ...1.本木马程序用于实验目的,面向实验演示,侧重于演示和说明病毒的内在原理
  • v1.0 可编辑可修改 v1.0 可编辑可修改 PAGE PAGE # 网络安全实验报告 冰河木马实验 网络 10-2 班 XXX 08103635 一 实验目的 通过学习冰河木马远程控制软件的使用熟悉使用木马进行网 络攻击的原理和方法 二 实验内容 ...
  • 【黑客联盟2016年12月05日讯】近日,360手机卫士阿尔法团队(Alpha Team)独家发现微信远程任意代码执行漏洞,将其命名为badkernel。360手机卫士阿尔法团队发现,通过此漏洞攻击者可获取微信的完全控制权,危及用户...
  • port常用和不常用端口一览表 2016年07月22日 13:52:46 阅读数:14213 1 tcpmux tcp port service multiplexer 传输控制协议端口服务多路开关选择器 2 compressnet management utility ...
  • 内核层监视并防范异常恶意驱动程序调用API,发现有异常行为即报警并阻断动作,避免黑客利用底层驱动绕开防火墙的阻拦,入侵或远程控制目标电脑。  七、增强云安全防毒系统,海量可疑文件数据处理中心,搜集病毒...
  • 一位客户的PC出现了奇怪的症状,速度变慢,CD-ROM托盘毫无规律地进进出出,从来没有见过的错误信息,屏幕...我切断了他的Internet连接,然后按照对付恶意软件的标准步骤执行检查,终于找出了罪魁祸祝毫礁鲈冻谭梦侍...
  • 源码 目前一般的RAT远控软件都是dll版或者服务启动版,gh0st也是如此,本程序为gh0st的被控端单exe修改版(控制端我没上传,网上多得是),对过主动防御比较容易,已经做过一些免杀工作,常用的免杀技术如动态函数...
  • 网络攻防实验之木马攻击实验

    万次阅读 2019-07-09 21:52:03
    这个实验是网络攻防课程实验中的一个,以冰河木马为例,操作系统是XP,对于现在的安全意义不大了,但是可以看一下多年前流行的冰河木马的功能和操作。 一、实验目的和要求 (1)通过对木马的练习,使读者理解和...
  • 这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起...这篇文章简单叙述了Web安全学习路线,并实现了最简单的木马和病毒代码,希望对读者有所帮助。
  • Way v2.4 (远程控制)

    2006-01-13 09:51:35
    软件是游戏软件,主要用于捉弄人: 1、远程文件操作:包括创建、上传、下载、复制、删除文件或目录、打开文件(提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式)等多项文件操作功能; 2、远程...
  • 木马的介绍

    2017-11-12 16:59:00
    它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。 所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,往往只能望“马...
  • 文章目录一、挖矿木马简介1、挖矿流程2、挖矿木马的传播方式二、常见的挖矿木马三、挖矿木马应急响应方法3.1、隔离被感染的服务器/主机3.2、确认挖矿进程3.3、系统排查3.3.1、判断挖矿木马挖矿时间3.3.2、了解网络...
  • 手动编写木马

    万次阅读 多人点赞 2020-04-29 21:12:53
    使用C++实现一个简单的木马,实现木马远程控制功能,能够开机自启动和伪装或隐藏,最后通过清除本木马,掌握常规的木马排查和查杀方法。 工具:vc++6.0 攻击机:win10(ip随机) 靶机:192.168.1.129 一、木马是什么...
  • 木马攻击实验

    2021-10-18 22:02:48
    木马攻击实验 计算机木马病毒是指隐藏在正常程序中的一段具有特殊功能表面无害的恶意代码,是具备破坏和删除文件、发送密码、记录键盘等特殊功能的后门程序。 学员需在本实验中通过“冰河”木马的使用,掌握木马的...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 8,775
精华内容 3,510
关键字:

常用远程控制木马软件