黑客技术之灰鸽子远控肉鸡
大家应该经常看到某某人因为下软件被远程控制(也就是肉鸡)然后各种隐私泄露,密码被改 钱被洗走等等。。。。可谓远控技术也是很强大的!
今天我们就来详细讲解这玩意怎么玩!
远程控制技术是黑客必学的技术之一。
可能很多人没有接触过的认为远程就是qq和向日葵什么的普通控制软件,一个概念很重要,授权和非授权,远程控制不同于远程协助,两者之间有很大的区别。
所谓远程协助需要经过被控端的授权允许,并且被控端可以看到控制者的所有操作,使之控制操作透明性,例如我们的QQ远程协助,就需要对方的允许控制进行操作,并且对方也能够看到我们的操作动作,远程协助一般是用来进行远程的计算机操作协助。远程控制则不一样,远程控制只要在被控者电脑安装一个服务端,即可在不知情的情况下进行控制对方计算机以及对计算机其它操作,控制时不需要经过对方的许可就可以控制,而控制时操作的一些动作,对方也无法察觉到。
看到这里是不是就想做坏事,控制自己喜欢的女神的电脑??? (自己yy),心要善良点,不要总是想着做坏事,专栏的系列文章,有动力的话打算把黑客目前涵盖的所有范围全部知识点都讲解一遍,然后从入门到进阶、到大神,想走捷径的可以看看我的书 入门系统的学习,为什么不推荐什么编程和一下web讲安全什么之类的,不是他们写的不好,前辈的东西确实有用,但是有没有想过小白基础入门是要从令人蒙圈的代码开始吗?这也是为什么不推荐什么代码类的书,要看感兴趣的推荐你看看。
远程控制按控制类型可以分类为:
(1)正向主动型远程控制 。
(2)反向被动型。
什么是正向主动型的呢?正向主动型是需要控制着主动去连接被控端,一般情况下,控制者必须知道需要被控制者的IP和端口,然后通过某种软件来进行控制被控者,例如微软的3389远程桌面、Radmin远程控制、VNC远程控制都需要知道对方的IP(端口)然后通过客户端软件进行连接对方。
反向被动型控制又可以称为反弹性控制技术,指的是在被控端下安装服务端之后,由被控端主动来寻找你的客户端监听端口软件连接来进行控制,这个好处就是不需要知道对方的IP地址和端口,被控端会自己主动来找我们的监听地址和端口,当我们发现被控端已经找到我们的监听地址和端口,我们就可以控制对方电脑,这样省去要知道对方的IP和端口的麻烦了,特别是对方是动态IP的时候。
反向被动型远控在黑客界已经是主流了,黑客专门使用某些控制软件在控制对方,反弹型远控软件更是数不胜数,例如:灰鸽子、白金、终结者、Ghost 、上兴 、大白鲨等,基础的功能都差不多,没什么太大的影响,对一般的控制端来说功能已经是非常强大了,后面有具体说明。
远程控制软件的功能与远控木马的特性
我们这里主要讲解的是反弹型远控,并且也有讲解到Web型的正向型远控,正向型远控,现在的远程控制软件(又称客户端,生成出的木马叫服务端)数不胜数,甚至很多已经是源码爆出,自己可以随便找几个去下载试试功能,自己去下载的软件最好到虚拟机里头测试。
接下来讲点主要的功能,对于各种远程控制软件来说,其实基本都是具备以下功能:
【屏幕监控】:可以查看被控制者的屏幕,保存捕获的被控制屏幕的截图。并且看到对方的一切操作,可以自由选定图像位色查看,还可以选择是否控制对方鼠标、键盘,若选择即可控制对方的电脑鼠标、键盘,这一控制对方是可以看到鼠标被控制。(如果没有摸清楚目标的习性,不要随意开始控制对方的鼠标,这个对方如果在自己屏幕面前不受控制是会察觉的)
这里强调一下,如果你是被控端,被别人控制了,这个程序是会在运行的,打开任务管理器,有点基础的可以分析出哪个程序有问题立即结束,或者立刻重启电脑进行杀毒或者重装系统。
【文件管理】:可以在后台查看被控者的各个磁盘中的文件,直接显示隐藏文件,可自由在对方的磁盘中删除文件、上传文件、下载文件、重命名文件、远程显示打开文件、远程隐藏打开文件、复制文件、粘贴文件、新建文件夹等功能。(比你自己操作电脑还要方便,你都没有察觉的)
【视频监控】:如果对方有视频,即可暗中开启对方视频监控到对方人、环境等一切。
(这个所以一定注意的,黑客都从来不打开自己摄像头驱动或者摄像头都是蒙住的,女孩子一定得注意!!!)
【语音监听】:如果对方已经插上麦,此功能即可通过对方的麦暗中监听到对方说话的声音。
【键盘记录】:可以记录对方键盘的一切操作,可执行离线记录,即不打开该功能也能随时记录,有些还可以IE密码记录。(盗取你的账号就是这么来的,记得原来在网吧盗号的那种,记录键盘的,有的跟优盘差不多的插到电脑机箱后面,然后就盗你账号咯,自己要有防范意识,了解这些,不要觉得我啰嗦,是有这种事发生的,现在可能比较少了)
【系统信息查看】:可以查看对方的外网IP地址,内网IP地址、系统版本、电脑配置、上线时间等。
【注册表编辑器】:可以查看对方计算机的注册表和修改对方注册表的键值等操作。
【超级终端】:又称Telnet,即远程CMD,可以使用远程主机的cmshell进行各种CMD命令的操作。
【系统管理】:可以查看对方电脑的进程管理器,可任意结束进程。也可以查看对方窗口信息,随意结束某个窗口,有些远程控制软件还可以查看对方的宽带账号密码、软件信息等。
【服务管理】:可以查看对方的系统服务列表和开启状态,可随意停止和开启对方的某个服务。
【代理映射】:可以开启远程计算机IP代理,把远程主机映射到本机作为代理。使用远程计算机IP和端口进行代理上网。
【会话管理】:可以重启、注销、关机远程计算机,还可以断开远程主机的连接或者卸载远程主机的服务端。
【共享与剪贴板】:可以查看远程主机的共享文件,剪贴板功能可查看远程主机剪贴板中的文本信息。
【弹窗下载】:可以发送某段消息给远程主机,远程主机即会弹出对话框显示,下载执行可以通过后台打开对方的IE进行浏览某个网站或者执行下载木马等。
【DDOS】:某些远程控制软件拥有该功能,可以随意选择在线肉鸡,以肉鸡作为流量来进行DDOS、CC攻击网站等操作。
【配置服务端】:即配置木马,每个远控软件都有,通过自己选择某些参数配置一个反弹型服务端(木马)。
以上讲解的都是远程控制软件的常见功能,可能有些远控软件有其中功能或者更多功能,这里就只讲这么多咯,被控制了,你电脑基本上就不属于你了,你也不会知道有多危险,学习一定要知道攻防,我写文章的目的也不是教大家去做坏事!!!谨记!不要太过分!
泼一盆冷水给大家,现在的杀毒软件基本上对一般的脚本小子,生成的垃圾木马直接秒杀,不要小看,我这里也暂时不会讲如果做高级木马,只是说整个流程和技术原理,小白也没必要太过于担心,但是网络安全意识也必须得了解。
下面给大家讲解下远程控制所生成的木马,远控软件生成的木马又被称为后门木马,一般它只要对方点击了该木马,木马就立即分析木马本身的IP配置等信息,向主控端发送TCP连接请求,当发现主控端在线即上线在主控端的远程控制软件上。
一般远程控制软件的木马有以下几种特点:
(如何被感染的,方法很多)
①:模仿系统进行运行在内存中。有的可能使用Rootkit技术隐藏进程。
②:通过DLL注入在某个正常进程中。
③:通过替换系统正常程序来运行在内存中。
④:木马会创建服务到系统服务中,并且设置为自启动类型。
⑤:木马会残留在C盘或者感染C盘某个正常DLL文件。
⑥:木马会写入自启动项,使之远程主机开机运行木马。
⑦:木马运行后每三十几秒向主控端发起连接请求。若找到对应IP和端口则建立连接。
上述所说的就是常见的远控木马特性,一般来说远控木马并不带有恶性行为,即不存在格式化磁盘、破坏电脑硬件或删除Windows重要文件等恶意操作。
灰鸽子可以说是一代人的记忆了,现在的功能可能比不上更新后的远程控制,我也不点名了,就直接说灰鸽子(代表目前所有的远控软件)。
灰鸽子支持固定IP上线、动态域名上线 方法。
必须了解木马上线的原理。当我们的木马在A电脑上运行后,只要A电脑一旦连接网络,那么木马就会通过之前配置好的连接IP和端口向我们的主控端发起连接请求,一旦连接木马配置中的IP和端口成功,主控端就可以看到肉鸡上线了,此时就可以进行远程控制肉鸡了。
我们举例说,比如配置了一个木马的上线地址为:192.168.1.100,那么该木马放到某台连接互联网的计算机中运行后,木马会不停地向IP为 192.168.1.100 的主机发起连接,只要该IP电脑上运行了灰鸽子软件,就会显示肉鸡上线了,那么就可以轻易控制被控端了!
说到ip地址,内网外网的概念前面也有说,因为你如果映射没有做好,你网络出不去,你内网的电脑是控制不到外网的。
固定IP上线不适合于普通用户使用,因为大家的IP一般都是动态IP,即计算机重启后外网IP会不停地变动,特别对于宽带拨号的用户来说,一旦断开宽带连接,再重新拨号,公网IP地址又变了。这样木马就只能上线一次,就是说目标只能控制在线的时候。
例如:我们配置木马的上线IP为192.168.1.100,那么木马就会始终向IP为: 192.168.1.100 的计算机发起连接请求,假设我们这一次电脑是这个IP。
我们电脑重启了的话IP发生变化,或者断线重新拨号,变成 192.168.1.101 ,那么木马又如何能向我们现在的IP发起连接请求呢?所以固定IP一般不适用于普通用户,而它却适用某些服务器上线,因为很多服务器的IP都是固定IP,向ISP运营商申请的固定IP,无论重启多少次,IP始终保持不变,那么我们在该固定IP的服务器上配置木马,由于服务器IP始终是不变,我们下次重启计算机再在该服务器上打开灰鸽子软件也能看到肉鸡的上线。
固定IP上线原理就是这么简单,仅仅适用于固定IP的用户,配置方法是:先打开灰鸽子的——配置服务端。上线地址中填写我们的固定IP,可以通过百度“IP”得到我们的外网IP.如果端口修改后必须添加端口,形式为〈IP地址:端口〉,灰鸽子默认端口是8000端口,我们如果不修改就直接填写固定IP,其它的进行隐藏、选择木马图标、自动删除、上线备注、连接密码可按需设置。最后选择“生成服务端”木马就生成出来了。这里我就假设我现在的外网IP为固定IP。因为只有外网IP才有连接因特网的通讯能力。
稍微认真点理解一下,并不复杂,觉得麻烦的自己直接找软件上手就是,但是关于远控上线会遇到的问题可能有很多,我这里一篇文章也没办法解决那么多,所以先把基础学完在到进阶,自己也要学会找路子,有思路解决。静态ip的比较死,针对普通pc用户很难多次的控制,所以接下来要学的就是动态域名控制上线。
动态域名又叫DDNS,动态域名上线适用于所有使用动态IP用户。
为什么呢?对于广大动态IP用户来说,我们每次重启或断开宽带连接都会更换不同的外网IP,那么我们想生成一个木马,如何让木马始终知道我们电脑更换的IP后进行发起连接呢?如何在我们计算机重启后,打开灰鸽子还能看到原来肉鸡的上线呢?那么动态域名就解决了我们这个问题了,首先我们去申请一个动态域名,可以在3322里面或者花生壳等地方申请一个域名。
域名地址是永远不变的,好比百度的域名www.baidu.com永远不会变,但是我们的电脑IP地址是不停变的。我们就可以使用动态域名来解析IP,我们每次电脑重启更换IP后,进去3322域名,将我们的IP地址更新到域名。
比如我现在的IP是:192.168.1.1,那我就将该IP更新到域名:www.baidu.com ,那么我们这个域名对应的IP就是我们现在的IP,我们可以使用Ping域名看我们现在的域名是否与现在的IP对应。
通过我们IP会变,但是域名始终不变的原理,我们配置木马的时候填写我们的动态域名地址,然后生成一个由域名配置的木马,当木马在某电脑运行后,木马会自动地去解析域名的IP是多少,即所谓的ping 域名得到IP地址,例如我们将自己最新的IP: 192.168.1.1 更新到了域名,那么木马就通过解析域名出来的IP进行一个反弹连接。如果我们计算机重启IP变成 192.168.1.2 ,那么我们将IP更新到域名后,对方电脑木马就会继续解析我们的域名,当发现我们的域名www.baidu.com IP又是 192.168.1.2了,那么木马就会向这个IP发起连接请求。
对于上线方法还有ftp等其他的上线方式,这里就不一一的说太多,自己都可以操作一下,还有其他的很多功能,无用的废话就不讲太多,随便操作一下就会了,重点来了,下面讲一下可能遇到的问题,原来我做视频很多人问的问题,可以到微博问答或值呼,给大家专解疑难杂症,这里说几个常见的问题。
灰鸽子无法上线的常见问题:
问:为什么我在虚拟机使用灰鸽子,总是不会上线呢?
答:某些灰鸽子软件通过PEiD查壳可能会发现加了PElock的壳导致在虚拟机上线的限制,软件的问题,换一款远控就可以了。
问:为什么我的灰鸽子做了端口映射还是不上线呢?
答:你的灰鸽子确定做了监听端口的映射?你换端口了记得做多少端口映射,做端口映射填写的是你本地内网IP,如果正确那么请你停止你的防火墙,因为有时即使做了映射防火墙也会拦截你映射端口的的数据包,自己本地做了防护的都要取消掉,不然会被拦截,无法上线。
问:为什么我的灰鸽子打开后提示端口监听失败?
答:这很明显就是你的监听端口被占用了,可以使用netstat -ano查看下是哪个ID占用了灰鸽子的监听端口,如果占用了那么就更换一个未使用的监听端口,更换后内网需要映射的映射的端口也要记得改,不同的端口有不同的功能。(自己做为目标如何防御,关闭电脑自己不常用的端口)
问:为什么我用FTP上线总是上线不呢?
答:可以在虚拟机测试,看看点击配置为FTP上线木马的连接请求是不是先与你的FTP连接,如果是断开状态,很明显你的免费FTP空间不稳定,建议更换国外主机或者收费的FTP主机。或者仔细查看下你FTP空间IP.txt的内容。
问:为什么我的域名更新了,配置的灰鸽子还是不上线?
答:还是域名的问题,免费域名比较麻烦,可能导致无法上线,最好自己用顶级域名,你先确定你现在的公网IP,然后再通过Ping命令Ping一下你的域名,看看得到的IP是不是你公网的IP,如果不是说明域名不稳定,更新IP速度太慢了,请不断去更新,直到Ping出的 IP是你现在的公网IP。
问:为什么我配置出的灰鸽子总是上不了线?
答:请尝试是否做了端口筛选,然后就是防火墙是否停止,还有就是如果是内网用户看看是否内网其它用户也在使用8000端口,如果是则更换监听端口,并且不与局域网的映射端口冲突就可!
远控属于渗透系列入门,自己都要学会开始实战各方面的软件安装和平台的了解, 把术语讲清楚慢慢一步步的来过渡了解与学习,帮助更多人学习到黑客攻防,学会保护自己和身边的人,主要是谈谈小白如何慢慢学习网络安全相关知识,有正确得价值观,做正确的事情,欢迎各界人士给建议。相信每一个对计算机感兴趣的童鞋都有着一颗黑客的心,我希望通过一系列的文章让大家了解黑客和网络安全。
视频演示地址http://pan.baidu.com/s/1c2N8HNy
详细教程扫二维码
黑客技术之灰鸽子远控肉鸡