远程访问型木马——灰鸽子
先来了解下什么是远程访问型木马:
1.它在受害者主机上运行一个服务端,监听某个特定端口;入侵者则使用木马的客户端连接到该端口上,向服务端发送各种指令,访问受害者计算机资源。
2.使用这类木马,只需有人运行了服务端程序,如果客户知道了服务端的IP地址,就可以实现远程控制。
3.这类程序可以实现观察受害者正在干什么。
再来了解下灰鸽子:
1.自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发了安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒。
2.灰鸽子在出现的时候使用了当时讨论最多的“反弹端口”连接方式,用以躲避大多数个人网络防火墙的拦截。
反弹端口连接方式:
一、实验目的
1、理解远程控制型木马的实现原理使用灰鸽子木马实现远程控制目标主机;
2、实现木马与图片的捆绑;(两个捆绑软件)
3、实现木马与exe程序的捆绑;
4、将木马注册成系统服务。
二、实验设备及环境
计算机1台、虚拟机XP系统、虚拟机2003系统、灰鸽子软件
三、实验步骤
1.实验环境配置
两个虚拟机配置为NAT模式,配置IP地址为同一网段,并且用ping命令测试连通性。
2.安装灰鸽子软件
(1)点击运行灰鸽子软件,将会在C盘保存一份重复的软件。
(2)将原文件夹中的三个文件夹拷贝至C盘。
(3)点击C盘的灰鸽子软件,界面如下。
3.服务器配置
(1)点击界面上的“配置服务程序”图标:
(2)固定IP上线,填写自己本地主机的IP地址,其他默认更改保存路径和名称,保存生成服务器。
4.木马植入
将木马植入目标主机点击运行,则灰鸽子软件上会自动显示上线的主机信息。
进行远程控制
捕捉屏幕,目标主机在做什么事情你都可以检测得到。
远程控制命令
通过远程控制命令可以向目标主机发送系统命令。
命令广播
通过命令的广播可以远程控制目标主机开关机,以及打开特定网页。
命令广播中的消息广播
对计算机资源的控制
(1)对文件夹的控制,新建一个文件。
(2)下载被控方的文件,也可以远程打开,被控方同样操作
5.木马捆绑
5.1.散人文件捆绑器:
先卸载木马服务端程序,源文件为图片,捆绑文件为木马,点击选择图标可更改显示的图标。
点击捆绑,生成捆绑文件,点击运行,打开图片,木马上线;
5.2.多文件捆绑器:
先卸载木马服务端程序;打开捆绑软件,将图片与木马进行捆绑;
点击捆绑,生成捆绑文件,点击运行,打开图片,木马上线;
5.3.exe捆绑软件:
-
先卸载木马服务端程序;打开exe捆绑软件,第一个选择你的游戏程序;
2.第二个选择你的木马程序;
3.指定保存的路径:
点击开始捆绑,成功后将木马拷贝被攻击方再测试一遍,即可看到木马上线。
6.木马注册成系统服务
先卸载木马服务端程序;
工具:instsrv.exe:给系统安装和删除服务
srvany.exe:让程序以服务的方式运行
1、命令:instsrv.exe CQLService C:srvanysrvany.exe(其中CQL为姓名缩写)
2、打开注册表目录:命令行输入“regedit” ,回车;HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
3、找到“CQLService”,鼠标右击新建一个项,将其命名为“Parameters” ;
4、进入Parameters后,在右侧窗口里新建一个命名为“Application” 的字符串值,字符串的值就是木马程序的路径地址。
5、在右侧窗口里再新建一个命名为“AppDirectory” 的字符串值,字符串的值就是存放木马程序的文件夹路径。
6、启动服务:命令行输入“services.msc”,回车
7、木马上线
8、卸载服务:卸载之前应停止服务!
instsrv CQLService remove
本文始发于微信公众号(疯猫网络):远程访问型木马——灰鸽子软件的使用
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论