本帖最后由 zhaorong 于 2021-5-6 16:07 编辑
远程访问型木马——灰鸽子
先来了解下什么是远程访问型木马:
1.它在受害者主机上运行一个服务端,监听某个特定端口;入侵者则使用木马的客户端连接到该端口上
向服务端发送各种指令访问受害者计算机资源。
2.使用这类木马,只需有人运行了服务端程序 如果客户知道了服务端的IP地址 就可以实现远程控制。
3.这类程序可以实现观察受害者正在干什么。
再来了解下灰鸽子:
1.自2001年 灰鸽子诞生之日起 就被反病毒专业人士判定为最具危险性的后门程序 并引发了安全领域的高度关注。
2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒。
2.灰鸽子在出现的时候使用了当时讨论最多的 反弹端口 连接方式,用以躲避大多数个人网络防火墙的拦截。
反弹端口连接方式:
一、实验目的
1、理解远程控制型木马的实现原理,使用灰鸽子木马实现远程控制目标主机;
2、实现木马与图片的捆绑;(两个捆绑软件)
3、实现木马与exe程序的捆绑;
4、将木马注册成系统服务。
二、实验设备及环境
计算机1台 虚拟机XP系统 虚拟机2003系统 灰鸽子软件
三、实验步骤
1.实验环境配置
两个虚拟机配置为NAT模式 配置IP地址为同一网段 并且用ping命令测试连通性。
2.安装灰鸽子软件
1,点击运行灰鸽子软件 将会在C盘保存一份重复的软件。
2,将原文件夹中的三个文件夹拷贝至C盘。
3,点击C盘的灰鸽子软件界面如下。
3.服务器配置
1,点击界面上的“配置服务程序”图标:
2,固定IP上线 填写自己本地主机的IP地址 其他默认更改保存路径和名称 保存生成服务器。
4.木马植入
将木马植入目标主机,点击运行 则灰鸽子软件上会自动显示上线的主机信息。
进行远程控制
捕捉屏幕 目标主机在做什么事情你都可以检测得到。
远程控制命令
通过远程控制命令可以向目标主机发送系统命令。
命令广播
通过命令的广播可以远程控制目标主机开关机以及打开特定网页。
命令广播中的消息广播
对计算机资源的控制
1,对文件夹的控制 新建一个文件。
2,下载被控方的文件 也可以远程打开 被控方同样操作
5.木马捆绑
5.1.散人文件捆绑器:
先卸载木马服务端程序 源文件为图片 捆绑文件为木马点击选择图标可更改显示的图标。
点击捆绑 生成捆绑文件 点击运行 打开图片 木马上线;
5.2.多文件捆绑器:
先卸载木马服务端程序;打开捆绑软件 将图片与木马进行捆绑;
点击捆绑 生成捆绑文件 点击运行 打开图片 木马上线;
5.3.exe捆绑软件:
1.先卸载木马服务端程序;打开exe捆绑软件 第一个选择你的游戏程序;
2.第二个选择你的木马程序;
3.指定保存的路径:
4.点击开始捆绑 成功后将木马拷贝被攻击方再测试一遍 即可看到木马上线。
6.木马注册成系统服务
先卸载木马服务端程序;
工具:instsrv.exe:给系统安装和删除服务
srvany.exe:让程序以服务的方式运行
1、命令:instsrv.exe CQLService C:\srvany\srvany.exe(其中CQL为姓名缩写)
2、打开注册表目录:命令行输入“regedit” ,回车;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
3、找到 CQLService 鼠标右击新建一个项,将其命名为“Parameters” ;
4、进入Parameters后 在右侧窗口里新建一个命名为 Application 的字符串值 字符串的值就是木马程序的路径地址。
5、在右侧窗口里再新建一个命名为 AppDirectory 的字符串值 字符串的值就是存放木马程序的文件夹路径。
6、启动服务:命令行输入“services.msc”,回车
7、木马上线
8、卸载服务:卸载之前应停止服务!
instsrv CQLService remove