一、实验目的及要求

二、实验原理

三、实验环境

四、实验步骤及内容

实验步骤一

实验步骤二：灰鸽子体验

五、实验总结

六、分析与思考

一、实验目的及要求

1、掌握经典远控木马的原理

2、掌握“灰鸽子”木马的使用方法

二、实验原理

“灰鸽子”是现在网络上非常流行的一种木马，由两部分组成，一是控制端（主程序），一是服务端（也叫受控端）。任一部分都会被主流的杀毒软件查杀，但随着其不断衍生新的变种和一些免杀技巧经常绕过一些主动防御软件，使得用户防不胜防。

灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型（如等待连接还是主动连接）、主动连接时使用的公网IP（域名）、连接密码、使用的端口、启动项名称、服务名称，进程隐藏方式，使用的壳，代理，图标等等。

“灰鸽子”的服务端是由控制端主程序配置自动生成，黑客在配置自动上线的时候一般会用到ftp自动上线和动态域名解析两种手法，目的是让鸽子以后每天都会自动上线，而不受自身IP改变的影响。当配置好服务端后，黑客会利用一切可能的手段达到入侵的目的，当用户电脑“中马”后，黑客就会拥有用户电脑的最高管理权限，包括随意修改、窃取用户电脑的文件，监控电脑的键盘和屏幕、摄像头等等。

配置出来的服务端文件文件名为G_Server.exe（这是默认的，当然也可以改变）。然后黑客利用一切办法诱骗用户运行G_Server.exe程序。

G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录，2k/NT下为系统盘的Winnt目录)，然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端， G_Server_Hook.dll负责隐藏灰鸽子。通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项，甚至是进程中的模块名。截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。所以，有些时候用户感觉中了毒，但仔细检查却又发现不了什么异常。有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意，G_Server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll。

Windows目录下的G_Server.exe文件将自己注册成服务（9X系统写注册表启动项），每次开机都能自动运行，运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能，与控制端客户端进行通信；G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此，中毒后看不到病毒文件，也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G_Server_Hook.dll有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中。

三、实验环境

Windows 机器两台。

网络拓扑见下图：

控制端IP：10.1.1.228，被控端IP：10.1.1.40

四、实验步骤及内容

实验步骤一

打开两台Windows 实验台，运行 Windows xp系统。（请提前关闭双方防火墙）

控制端环境准备

安装HTTP服务器

双击，直接“下一步”即可，如图所示。

运行HTTP服务器，点击“Start”按钮。

HTTP服务器启动成功：

（2）配置FTP服务器

解压FtpServer压缩包，双击

进行如下配置：侦听端口：21；最大连接：100；账户名称及密码：自行填写；访问目录：为HTTP服务器根目录；

设置好后点击“启动服务”。

（3）生成被控端（即服务器程序）

解压20081119压缩包，双击

点击“更新IP”进行设置，FTP服务器：填写本机地址，端口：默认；

用户名及密码：填写FTP服务器设置的用户名及密码；存放IP的文件：默认；IP文件内容：默认；

最后点击“更新IP到FTP空间”。

查看是否更新成功：

配置鸽子：点击“配置服务器”，IP：填写http://本地IP地址/ip.txt；安装路径：Windows目录；

安装名称：H_Srver.exe；连接密码：1234；上线分组：在线主机。

点击“生成服务端”，将服务端程序放到指定目录，再次点击“生成服务端”

至此，成功生成服务端程序，将服务端程序拷贝至被控端实验台（本实验中使用文件共享的方式）。双击运行然后启动Internet Explorer浏览器。会听到“有主机上线，请注意”语音；输入连接密码1234，然后点击“应用改变”。至此，主控端和被控端连接成功。

至此，主控端和被控端连接成功。

实验步骤二：灰鸽子体验

（1）屏幕监控

在主控端右击当前在线主机，选择“屏幕监控”，点击“启动”，即可监控被控端屏幕，被控端屏幕如下：

主控端屏幕如下：

（2）设备监控

右键选择“设备监控”，可进行视频读取、语音监听等操作。

（3）系统信息

右键选择“系统信息”，可查看被控端系统信息。

（4）注册表管理

右键选择“注册表管理”

可以对注册表进行新增、删除、重命名等操作：

（5）进程管理

右键选择“进程管理”

可以查看和终止进程：

（6）窗口管理

右键选择“窗口管理”，可对被控端窗口进行管理。

（7）服务管理

右键选择“服务管理”，可对服务进行查看、启动、停止、删除、设置等操作。

（8）CMD操作

右键选择“CMD操作”，输入cmd命令可显示结果。

（9）远程下载文件到本地

右键选择“文件管理”，找到一个文件或文件夹，右键选择“文件（夹）下载至本地”，即可下载被控端文件。

五、实验总结

通过这次实验我们对灰鸽子木马进行了相应操作，对他服务端进行相应配置，然后对受控端进行屏幕监控，设备监控，系统信息，注册表管理，进程管理，窗口管理，服务管理，cmd操作，远程文件下载，从而随意窃取受控机的信息，文件。

六、分析与思考

思考灰鸽子木马的实现原理

灰鸽子是国内一个著名的后门程序。灰鸽子变种木马运行后，会自我复制到Windows目录下，并自行将安装程序删除。修改注册表，将病毒文件注册为服务项实现开机自启。木马程序还会注入所有的进程中，隐藏自我，防止被杀毒软件查杀。自动开启IE浏览器，以便与外界进行通信，侦听黑客指令，在用户不知情的情况下连接黑客指定站点，盗取用户信息、下载其它特定程序。

远程控制---实验十：灰鸽子远控软件使用实验相关推荐

灰鸽子远控软件使用实验
"灰鸽子"是现在网络上非常流行的一种木马,由两部分组成,一是控制端(主程序),一是服务端(也叫受控端).任一部分都会被主流的杀毒软件查杀,但随着其不断衍生新的变种和一些免杀技巧经常 ...
灰鸽子远控软件使用及xuetr查杀
灰鸽子远控软件这里靶机是2003,别的不一定管用重新配一个壳的左右除了减小体积,还可以对其加密假如这个木马做了免杀,我们怎么去发现他按进程,启动项,服务,计划任务等一个一个找手工删除
另类远控：木马借道商业级远控软件的隐藏运行实现
360安全卫士 · 2015/10/20 13:51 提起远控木马,灰鸽子.Gh0st等等都是臭名昭著.与这些木马相比,商业级远控软件的监控能力毫不逊色,只不过这类软件有着合法身份,并且在安装和运行时 ...
远程控制软件哪家好？六款主流远控软件全方位测评
*本文内容以及测试数据来自"B站" 作者:小李student 什么是远控软件?选择远控软件的标准又是什么呢?今天我将测评6款主流的软件来帮大家看看谁是最强远控软件!本次参与测试的远 ...
Eric6与pyqt5学习笔记13 【实战4 打造局域网远控软件】
已经去集训营安心准备考研了,这两天回校参加夏令营,顺便把之前3天课设做的一个小软件写个博客分享下~ 不知道有没有也是今年考研的研友呢,祝大家都能考上理想的研究生!!! 远控软件思路远控软件基本功能我 ...
被Teamviewer 割韭菜后我才发现我大国产远控软件真香
来源 | 头条号硬科技说到远程控制,想必大家都不陌生.从QQ时代的远程协助,到后来拓展开来的远程办公.远程文件等等实用功能,可见其在生活或工作中发挥了不小的重要. 那么,大家平时都用什么远程控制软 ...
远控软件GHOST源码免杀
<script type="text/javascript"></script> 远控软件gh0st源码免杀远控软件gh0st3.6开源了,开源意味着我们 ...
远控软件gh0st源码免杀之我谈
远控软件gh0st3.6开源了,开源意味着我们可以在此基础上进行二次开发,同时也意味着杀软可以较容易的查杀该款远控木马,既然要利用,我们就做好源码基础上的木马免杀工作. 好久没有来博客了,我把免杀这部 ...
RayLink远控软件又推出2个重磅宝藏功能免费用
你有没有在远程办公时,担心他人偷窥电脑?以致于保密性资料或私密信息,遭到泄露.创意被剽窃...... 又或是遇到过邻座同事屏幕前明明没人,鼠标箭头却自个浏览起网页的惊悚画面? 如果你有上述情况,可以试 ...

远程控制---实验十：灰鸽子远控软件使用实验

一、实验目的及要求

二、实验原理

三、实验环境

四、实验步骤及内容

实验步骤一

实验步骤二：灰鸽子体验

五、实验总结

六、分析与思考

远程控制---实验十：灰鸽子远控软件使用实验相关推荐

最新文章

热门文章