教你做免杀木马,木马免杀教程
远程管理特洛伊木马(RAT)病毒
远程管理特洛伊木马(RA T)病毒 远程管理特洛伊木马(rat)病毒 rats the world of malicious software is often pided into two types: viral and nonviral. viruses are little bits of code that are buried in other codes. when the “host” codes are executed, the viruses replicate themselves and may attempt to do something destructive. in this, they behave much like biological viruses. worms are a kind of computer parasite considered to be part of the viral camp because they replicate and spread from computer to computer. a s with viruses, a worm”s malicious act is often the very act of replication; they can overwhelm computer infrastructures by generating massive numbers of e-mails or requests for connections that servers can”t handle. worms differ from viruses, thou gh, in that they aren”t just bits of code that exist in other files. they could be whole files--an entire excel spreadsheet, for example. they replicate without the need for another program to be run. remote administration types are an example of another kind of nonviral malicious software, the trojan horse, or more simply trojan. the purpose of these programs isn”t replication, but to penetrate and control. that masquerade as one thing when in fact they are something else, usually something destructive. there are a number of kinds of trojans, including spybots, which report on the web sites a computer user visits, and keybots or keyloggers, which record and report the user
远控、木马
远控、木马?神马都是浮云! 供稿:VIRUSFREE 年初,中央电视台的《焦点访谈》专门介绍了黑客如何危害大众的事,给人的感觉是黑客软件在利益的趋势下,有愈演愈烈的趋势,而普通用户的电脑沦为黑客们的“肉鸡”,只有被人任意宰割的份了。 为什么会这样?这还得从黑客软件的原理说起。 黑客软件,也称远控软件,是一种特殊的软件,合法的用途是用于远程维护电脑,能增加工作效率、降低劳动成本,但在黑客手里,就演变成为控制用户电脑,盗窃用户电脑资源的后门,用户电脑一旦被植入这种东东,什么游戏装备、QQ密码、银行支付帐号、股票账户、机密文档,都会成为黑客的囊中之物,除此之外,若干台被控电脑还可以组成“僵尸”网络,成为犯罪分子攻击别人电脑网络或者运行系统的帮凶,所以,电脑被黑客控制是非常危险的事情。 有人要说了,我的电脑安装了杀毒软件,还有防火墙,难道就防不住这些黑客软件?! 是的,基于杀毒软件的工作原理,黑客们使用各种“免杀”技术,就能逃避杀软的查杀,达到入驻用户电脑的目的。他们为了达到长期霸占用户电脑的目的,还使用了随时更新远控端程序的技术,目的只有一个,让杀软永远发现不了它们。 无毒空间的诞生,基本是敲响了这类黑客软件的丧钟,其原因是,那些在杀软面前非常牛的“免杀”技术,在无毒空间面前无疑于自投罗网,无毒空间的工作原理跟黑客软件的“免杀”技术是完全相克的,所以,只要用户电脑的无毒空间还在正常工作,抓黑客软件、后门程序就如同“瓮中捉鳖”一样非常容易。 以下案例就显示无毒空间抓住各类黑客软件的样子。
首先试试灰鸽子这个经典的远控,我们将灰鸽子的最新版找来测试了一下,老版本就不一一试验了,从原理上看,都应该不在话下。 这个截图显示的是灰鸽子进入用户电脑的情形,我们为了测试这个木马,故意没有搭理它,如果第一时间就禁止这些可疑程序,我们也就看不到后面的精彩镜头了。 图1 重启电脑,当作不知道木马已经进入我们电脑的样子。
灰鸽子远程控制软件
灰鸽子远程控制软件 【实验内容】 灰鸽子木马是网络上常见的并且功能强大的远程后门软件。采用dll注入技术,开启服务程序,从而实现远程控制的目的。本实验以灰鸽子木马为例进行木马的制作、种植和攻击。实验原理】 木马,全称为特洛伊木马(Trojan Horse)。“特洛伊木马”这一词最早出先在希腊神话传说中。一般木马程序都是隐蔽的进程,不易被用户发现。计算机木马程序一般具有以下几个特征: 主程序有两个,一个是服务端,另一个是控制端。服务端需要在主机执行。 当控制端连接服务端主机后,控制端会向服务端主机发出命令。而服务端主机在接受命令后,会执行相应的任务。 灰鸽子是国内一款著名后门软件,是国内后门软件的集大成者。具有丰富而强大的功能、灵活多变的操作、良好的隐藏性。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。 【实验环境】 本地主机(WindowsXP)、Windows实验台,灰鸽子客户端软件。 实验的网络拓扑如图3.5.8-8所示,实验目标需首先确定所在主机实验台IP地址,并根据实验步骤填写正确的IP地址进行实验。 Windows实验台 本地主机 图3.5.8-8 【实验步骤】 一、木马制作 启动实验台,并设置实验台的IP地址,以实验台为目标主机进行攻防试验。 (1)在学生客户端,下载木马制作程序,打开客户端程序(可能需退出安全程序),灰 鸽子客户端的操作界面如下图所示。
(2)首先需要配置服务程序。点击“配置服务程序”,出现如下图所示的界面。 图 3.5.8-10 (3)在“自动上线设置”里,填写上“IP通知http访问地址、DNS解析域名或固定IP”, 此时填写学生客户端IP地址,然后设置连接密码,如下图所示。 图 3.5.8-11 (4)为了保证服务端程序运行的隐蔽性,我们可以把“安装选项”里的“安装后自动删 除安装文件”选中;如下图所示。
黑客是如何给我们的系统种上木马的
相信很多朋友都听说过木马程序,总觉得它很神秘、很高难,但事实上随着木马软件的智能化,很多骇客都能轻松达到攻击的目的。今天,笔者就以最新的一款木马程序——黑洞2004,从种植、使用、隐藏、防范四个方面来为网络爱好者介绍一下木马的特性。需要提醒大家的是,在使用木马程序的时候,请先关闭系统中的病毒防火墙,因为杀毒软件会把木马作为病毒的一种进行查杀。 操作步骤: 一、种植木马 现在网络上流行的木马基本上都采用的是C/S结构(客户端/服务端)。你要使用木马控制对方的电脑,首先需要在对方的的电脑中种植并运行服务端程序,然后运行本地电脑中的客户端程序对对方电脑进行连接进而控制对方电脑。 二、使用木马 成功的给别人植入木马服务端后,就需要耐心等待服务端上线。由于黑洞2004采用了反连接技术,所以服务端上线后会自动和客户端进行连接,这时,我们就可以操控客户端对服务端进行远程控制。在黑洞2004下面的列表中,随便选择一台已经上线的电脑,然后通过上面的命令按钮就可以对这台电脑进行控制。下面就简单的介绍一下这些命令的意义。 文件管理:服务端上线以后,你可以通过“文件管理”命令对服务端电脑中的文件进行下载、新建、重命名、删除等操作。可以通过鼠标直接把文件或文件夹拖放到目标文件夹,并且支持断点传输。简单吧? 进程管理:查看、刷新、关闭对方的进程,如果发现有杀毒软件或者防火墙,就可以关闭相应的进程,达到保护服务器端程序的目的。 窗口管理:管理服务端电脑的程序窗口,你可以使对方窗口中的程序最大化、最小化、正常关闭等操作,这样就比进程管理更灵活。你可以搞很多恶作剧,比如让对方的某个窗口不停的最大化和最小化。 视频监控和语音监听:如果远程服务端电脑安装有USB摄像头,那么可以通过它来获取图像,并可直接保存为MediaPlay可以直接播放的Mpeg文件;需要对方有麦克风的话,还可以听到他们的谈话,恐怖吧? 除了上面介绍的这些功能以外,还包括键盘记录、重启关机、远程卸载、抓屏查看密码等功能,操作都非常简单,明白了吧?做骇客其实很容易。 3隐藏
冰河木马远程控制
实验2 冰河远程控制软件使用(2学时) 实验目的 本次实验学习冰河木马远程控制软件的使用,通过实验可以了解木马和计算机病毒的区别,熟悉使用木马进行网络攻击的原理和方法,熟悉防范木马的方法。实验环境 装有Windows 2000/XP系统的计算机,局域网或Internet,冰河木马软件(服务器和客户端) 实验内容与步骤 双击冰河木马.rar文件,将其进行解压,解压路径可以自定义。解压过程见图1-图4,解压结果如图4所示。 图1 图2
图3 冰河木马共有两个应用程序,见图4,其中win32.exe是服务器程序,属于木马受控端程序,种木马时,我们需将该程序放入到受控端的计算机中,然后双击该程序即可;另一个是木马的客户端程序,属木马的主控端程序。 图4 在种木马之前,在受控端计算机中打开注册表,查看打开txtfile的应用程序注册项:HKEY_CLASSES_ROOT\txtfile\shell\open\command,可以看到打开.txt文件默认值是c:\winnt\system32\notepad.exe%1。 在受控端计算机中双击Win32.exe图标,将木马种入受控端计算机中,表面上好像没有任何事情发生。我们再打开受控端计算机的注册表,查看打开txt 文件的应用注册项。HKEY_CLASSES_ROOT\txtfile\shell\open\command,可以发现,这时它的值为C:\winnt\system32\sysexplr.exe%1,见图7。
图5 打开受控端计算机的C:\WINNT\System32文件夹,这时我们可以找到 sysexplr.exe文件,如图8所示。 图6 在主控端计算机中,双击Y_Client.exe图标,打开木马的客户端程序(主 控程序)。可以看到如图9所示界面。
远程控制软件和木马的区别
远控软件和木马的区别 很多人听到远程控制,就想到木马——通过发送一个图片或文档,或者让对方打开一个网址,对方观看后,就可以远程控制对方了。真有这样的软件吗?答案是肯定的,灰鸽子就是其中最杰出的代表(灰鸽子2003年是已经倒闭了的)。 现在就将灰鸽子这类木马软件和网络人远程控制软件之间的区别,以及黑客非法控制他人的手段和正常实现远程控制的方法。 1.首先,无论是用木马还是用正规的远程控制软件,要实现远程操控对方电脑,都需要在被控的电脑上安装一个被控端,如果不安装那么不可能实现控制。灰鸽子、黑洞等木马软件,会将被控端设计成全自动后台运行,点击一下后,被控端可能就消失掉了,其实它已经在后台悄悄的安装了。正规的远程控制软件,比如网络人、PCanyWhere 等被控端的安装符合常规软件的安装流程,有安装界面供客户选择和退出。被控端如果隐藏安装,那么杀毒软件会认为你是木马,如果有安装界面正常安装,并且可以退出、卸载,那么可以认为是正规的远程控制软件。 2.网络人和灰鸽子等木马软件在功能上基本完全相同,都具有文件管理,屏幕监控、视频监控,远程重启、键盘记录、屏幕录像等功能,实施监控的时候,都不会被对方发现。但灰鸽子是木马,会被杀毒软件当作病毒查杀,而网络人是正规的远程控制软件,获得了360、毒霸、瑞星等杀毒软件的安全认证,不会被当作病毒查杀。
3.灰鸽子之类的木马软件,使用起来较麻烦,首先需要用户自己购买FTP 空间或申请域名,费用约250元/一年,并且还很不稳定。然后要在路由器上做端口映射,完成这些前期工作后,还要进行服务端配置,上线设置,技术性很强,一般用户无法轻易学会使用。 4. 网络人是国内第一款穿透内网的远程控制软件,无需做任何设置,也不用进行端口映射,即可实现远程控制。软件分为控制端和被控端两部分,只要在你想控制的电脑上安装一个被控端,填写用户名登陆,并进行简单的设置,今后您在地球上任何地方,以同一个ID 登陆控制端,即可控制对方,简单方便。 5.木马会被当病毒查杀,而网络人不会。木马销售者一般都宣称他们的软件可以逃过杀毒软件的拦截,并且也会给你测试,但实际上那是短暂的,杀毒软件天天升级,它们今天不被杀,不意味着明天不被杀。使用木马控制,非常不稳定,一旦被拦截,就控制不了,而且被对方发现你用木马监控他,可能引发法律纠纷。
实验12 网页木马
特洛伊木马 特洛伊木马(Trojan Horse)又称木马,是一种通过各种方法直接或者间接与远程计算机之间建立起连接,使远程计算机能够通过网络控制本地计算机的程序。这个名称来源于希腊神话《木马屠城记》。古希腊有大军围攻特洛伊城,久久无法攻下。于是有人献计制造一只高二丈的大木马,假装作战马神,让士兵藏匿于巨大的木马中,大部队假装撤退而将木马摈弃于特洛伊城下。城中得知解围的消息后,遂将“木马”作为奇异的战利品拖入城内,全城饮酒狂欢。到午夜时分,全城军民尽入梦乡,匿于木马中的将士开秘门游绳而下,开启城门及四处纵火,城外伏兵涌入,部队里应外合,焚屠特洛伊城。后世称这只大木马为“特洛伊木马”。如今黑客程序借用其名,有“一经潜入,后患无穷”之意。 通常木马并不被当成病毒,因为它们通常不包括感染程序,因而并不自我复制,只是靠欺骗获得传播。现在,随着网络的普及,木马程序的危害变得十分强大,概括起来,木马的危害有:窃取数据、接受非授权操作者的指令、篡改文件和数据、删除文件和数据、施放病毒、使系统自毁、远程运行程序、跟踪监视对方屏幕、直接屏幕鼠标控制,键盘输入控制、监视对方任务且可以中止对方任务、锁定鼠标键盘和屏幕、远程重启和关机、远程读取和修改注册表、共享被控制端的硬盘等。 远程控制概述。要了解木马,首先应了解远程控制。所谓远程控制,是指管理人员在异地通过计算机网络异地拨号或双方都接入Internet等手段,联通需被控制的计算机,将被控计算机的桌面环境显示到自己的计算机上,通过本地计算机对远方计算机进行配置、软件安装程序、修改等工作。这里的远程不是字面意思的远距离,一般指通过网络控制远端电脑。早期的远程控制往往指在局域网中的远程控制而言,随着互联网的普及和技术革新,现在的远程控制往往指互联网中的远程控制。当操作者使用主控端电脑控制被控端电脑时,就如同坐在被控端电脑的屏幕前一样,可以启动被控端电脑的应用程序,可以使用或窃取被控端电脑的文件资料,甚至可以利用被控端电脑的外部打印设备(打印机)和通信设备(调制解调器或者专线等)来进行打印和访问外网和内网,就像利用遥控器遥控电视的音量、变换频道或者开关电视机一样。不过,有一个概念需要明确,那就是主控端电脑只是将键盘和鼠标的指令传送给远程电脑,同时将被控端电脑的屏幕画面通过通信线路回传过来。也就是说,控制被控端电脑进行操作似乎是在眼前的电脑上进行的,实质是在远程的电脑中实现的,不论打开文件,还是上网浏览、下载等都是存储在远程的被控端电脑中的。远程控制必须通过网
灰鸽子远程控制木马教程
一定要用迅雷下,不然可能下不了 【黑客视频教程-建立超级隐藏帐户】 https://www.360docs.net/doc/6b9609122.html,/eschool/esafe2/hideadmin1.wmv https://www.360docs.net/doc/6b9609122.html,/eschool/esafe2/hideadmin2.wmv https://www.360docs.net/doc/6b9609122.html,/eschool/esafe2/hideadmin3.wmv 【黑客视频教程-简单制作CHM木马】 https://www.360docs.net/doc/6b9609122.html,/eschool/esafe2/CHM1.wmv https://www.360docs.net/doc/6b9609122.html,/eschool/esafe2/CHM2.wmv 【黑客视频教程-简单破解Access数据库的密码】 https://www.360docs.net/doc/6b9609122.html,/eschool/esafe2/Access.wmv 【黑客视频教程-功能超强的BEAST远控木马】 https://www.360docs.net/doc/6b9609122.html,/eschool/esafe2/BEAST1.wmv https://www.360docs.net/doc/6b9609122.html,/eschool/esafe2/BEAST2.wmv https://www.360docs.net/doc/6b9609122.html,/eschool/esafe2/BEAST3.wmv https://www.360docs.net/doc/6b9609122.html,/eschool/esafe2/BEAST4.wmv 【黑客视频教程-VMware虚拟机的安装和使用】 https://www.360docs.net/doc/6b9609122.html,/eschool/esafe2/VMware1.wmv https://www.360docs.net/doc/6b9609122.html,/eschool/esafe2/VMware2.wmv https://www.360docs.net/doc/6b9609122.html,/eschool/esafe2/VMware3.wmv 【黑客视频教程-Iris网络嗅探器使用与技巧】 https://www.360docs.net/doc/6b9609122.html,/eschool/esafe2/Iris01.wmv
Gh0st3.75远程控制的原理和使用
Gh0st3.75远程控制的原理和使用 【摘要】Gh0st3.75免杀远控是一款功能十分强大的远程控制的软件,可实现远程电脑控制,键盘记录,文件浏览和音频聊天等功能。本文首先简单介绍了远程控制的原理和用途,之后简单介绍了Gh0st3.75免杀远控的功能和应用,然后通过实例演示了Gh0st3.75免杀远控的配置使用过程,并对该软件做出了总结与评价。 【关键字】Gh0st3.75免杀远控;远程控制原理;远程控制应用 1.远程控制简介 远程控制软件,主要用于pc管理和服务,是在网络上由一台电脑(主控端 /客户端)远距离去控制另一台电脑(被控端 Host/服务器端)的应用软件,使用时客户端程序向被控端电脑中的服务器端程序发出信号,建立一个特殊的远程服务,然后通过这个远程服务,使用各种远程控制功能发送远程控制命令,控制被控端电脑中的各种应用程序运行。具有强大的内网穿透功能。 1.1远程控制的原理 远控软件一般分客户端程序(Client)和服务器端程序(Server)两部分,通常将客户端程序安装到主控端的电脑上,将服务器端程序安装到被控端的电脑上。使用时客户端程序向被控端电脑中的服务器端程序发出信号,建立一个特殊的远程服务,然后通过这个远程服务,使用各种远程控制功能发送远程控制命令,控制被控端电脑中的各种应用程序运行。 用户连接到网络上,通过远程访问的客户端程序发送客户身份验证信息和与远程主机连接的要求,远程主机的服务器端程序验证客户身份,如果验证通过,那么就与客户建立连接,并向用户发送给验证通过和已建立连接的信息。那么这个时候,用户便可以通过客户端程序监控或向远程主机发送要执行的指令,而服务器端程序则执行这些指令,并把键盘、鼠标和屏幕刷新数据传给客户端程序,客户端程序通过运算把主机的屏幕等信息显示给用户看,使得用户可以在远程主机上进行工作。如果没有通过身份验证的话,就是没有与用户建立连接,用户也就不能远程控制远程主机了。 1.2远程控制的应用 远程控制在众多的领域里有着非常广泛的应用,如: a.远程办公 b.远程教育 c.远程维护 d.远程协助 e.远程指挥 2.Gh0st3.75免杀远控的功能和应用 2.1 Gh0st 3.75免杀远控简介 免杀远控是指利用这个软件制造病毒,通过网页,传送等放发送给其他用户,让其他主机被你控制。实现例如:查看对方视频、对方语音、键盘记录、系统应用等功能,并且常用杀毒软件并不能发现被远程控制。 Gh0st3.75免杀远控端采用IOCP模型,数据传输采用zlib压缩方式。稳定快速,上线数量无上限,可同时控制上万台主机。控制端自动检测CPU使用率调整自己的工作线程, 稳定高效。宿主为svchost以系统服务启动,有远程守护线程,上线间隔为两分钟。心跳包机制防止意外掉线,支持HTTP和DNS上线两种方式,恢复SSDT,控制端279K,返朴归真的界面,
(整理)分析远程协助的安全性.
浅谈远程控制软件 关于远程控制,我们都会将它和病毒、木马等联系在一起,担心远控软件做了后门,电脑被非法入侵,导致重要数据被窃取或丢失。这主要是在理解和应用方面,存在一些误区。远程控制软件的安全隐患,主要源于这几方面: ●图省事,去冒险使用一些破解版或民间汉化版,很容易被不法分子植入木马,这对于远 控软件来说尤其危险。被篡改过的软件很容易识别,一般正规厂商的软件都有数字签名,也可对比官方公布的哈希码; ● ●没有深入了解远控软件本身的安全规则,导致未正确设置。这就好比你的Windows电脑, 若没有设置密码,或密码太过于简单,自然容易被人乘虚而入; ●正规软件也可能被用作不法之途,需谨慎。 拿TeamViewer来说,本是比较严肃的商用远程软件,官方虽没有服务于国内用户,但自从出现了民间的汉化版后,倒是逐步流行开了,于是又有一些技术高手打它的主意,写文章教人如何整改TeamViewer,将其变为一个强大的后门软件,恨不得把它弄成当年的灰鸽子。 但是正规服务商所推出的产品,通常都具有完善的安全策略。远程控制软件从授权模式或安全性角度,可以分为以下三类: 点对点授权模式,它是由被控方主动发出远程控制请求,QQ、MSN、NetMeeting等软件所附带的远程协助功能均属于此类应用; 基于授权码或许可文件的访问模式,是在对方授权的情况下,进行安全的远程访问和控制,主要特点是远控时不需要对方点击确认,适用于远端无人值守的应用场景。老牌的PCAnywhere、KDT、协通XT800、以及Windows远程桌面等都是采用这种方式; 集权许可模式,一次性授权,持久有效,管理端可以随时访问已获得授权的任一电脑。 在维护的终端机器规模很大时,特别适合。例如,企业对内部员工电脑或服务器做远程监控、维护。 所以我们不应该担心远程控制软件的安全,而是应该想想到底使用什么样的远程软件,
中了远程控制电脑病毒怎么样解决
中了远程控制电脑病毒怎么样解决 当我们电脑中了远程控制电脑病毒时!该怎么样解决呢?下面由小编给你做出详细的远程控制电脑病毒解决方法介绍!希望对你有帮助! 远程控制电脑病毒解决方法一: 远程控制都是有目的性的操作鼠标是有目的的移动轨迹的,如果是鼠标乱动多数是鼠标问题 比如鼠标断线或鼠标到了垫的边缘或者无线鼠标在电池电量低时操作会出错,如果确定中毒 先关闭网络,把毒软升级到最新版,全盘查杀下,重启到安全模式下再查杀下,如果说还不行,就重做系统吧。 远程控制电脑病毒解决方法二:
1、网络人远程控制软件需要双方电脑手动安装软件:如果怀疑电脑被远程控制,先想一下电脑有自己安装了网络人软件了 由于正规的远程控制软件是需要双方都安装,不能通过木马的方式发送一个东西点击之后自动在电脑安装运行。 2、网络人远程控制软件免杀:如果怀疑自己的电脑被远程控制,如果是木马病毒,直接使用杀毒软件进行全盘查杀。 3、网络人远程控制软件可以设置隐蔽监控对方电脑屏幕:如果怀疑电脑被远程控制,由于很多用户会使用服务方式启动来确保每次电脑重启之后软件自启动 而360会将所有不是系统自启动的程序列出来,可以到那里去看一下,清除不需要自启动的程序即可。这个并不是指针对于网络人远程控制软件,其他软件也是如此。 远程控制电脑病毒解决方法三: 如果被远程控制,建议立即断开网络,使用腾讯电脑管家对你的电脑进行全面的病毒查杀,推荐在安全模式下操作,杀毒更彻底
由于在安全模式下,系统只加载部分核心驱动,可以彻底杀毒。建议不要随意接收陌生人发送的文件,不要在不安全的网吧电脑上游戏 相关阅读: 计算机病毒简介 计算机病毒(Computer Virus)是编制者在计算机程序中插入的破坏计算机功能或者数据的代码,能影响计算机使用,能自我复制的一组计算机指令或者程序代码。 计算机病毒具有传播性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性。计算机病毒的生命周期:开发期→传染期→潜伏期→发作期→发现期→消化期→消亡期。 计算机病毒是一个程序,一段可执行码。就像生物病毒一样,具有自我繁殖、互相传染以及激活再生等生物病毒特征。计算机病毒有独特的复制能力,它们能够快速蔓延 又常常难以根除。它们能把自身附着在各种类型的文件上,
“白金远控”木马(Trojan-PSW.Win32.Bjlog.hvc)
关注恶意软件: 名称:“白金远控”木马(Trojan-PSW.Win32.Bjlog.hvc) 大小:192 KB 是否加壳:否 影响的平台:WIN9X/ME/NT/2000/XP/2003/Vista/Win7 具体表现: 创建文件:C:\Documents and Settings\All Users\DRM\%SESSIONNAME%\fekkx.pic 创建服务:Hidserv 修改注册表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HidServ "Description"="启用对智能界面设备(HID)的通用输入访问,它激活并保存键盘、远程控制和其它多媒体设备上的预先定义的热按钮。如果此服务被终止,由此服务控制的热按钮将不再运行。如果此服务被禁用,任何依赖它的服务将无法启动。" "DisplayName"="Human Interface Device Access" 下载文件:https://www.360docs.net/doc/6b9609122.html,:55/55.exe -> %Program Files%\cao.exe 连接黑客:https://www.360docs.net/doc/6b9609122.html, 恶意行为:此木马文件的的扩展为".jpg.scr",是一种可执行文件,但却会利用图标伪装成图片文件迷惑用户点击运行,从而造成感染。首先,木马会创建fekkx.pic动态库,通过启动服务的方式加载病毒动态库,一旦加载成功会主动连接至黑客,等待黑客的命令。 此恶意程序具有远程文件管理、远程注册表管理、远程发送命令、远程查看屏幕、远程查看摄像头、开启远程桌面、修改Guset权限等功能,同时还会记录用户按键信息,从而盗取用户密码及隐私。该病毒会监视系统连接,阻止用户访问常见杀毒软件的官方网站。此木马可以形成一个完整的病毒产业链。不法分子从黑客手中购买此恶意软件,黑客负责对恶意软件进行更新和维护,不法分子负责控制用户和盗取用户信息。该木马还具有更新功能,黑客一旦发现自己此木马被杀毒软件查杀时,会对其重新进行编写和更新,然后提供给不法分子。 专家预防建议: 1.建立良好的安全习惯,不打开可疑邮件和可疑网站。 2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。 3.使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。 4.现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。 5.安装专业的防毒软件升级到最新版本,并开启实时监控功能。 6.为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母 组合的密码。 7.不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。
黑客如何运用木马实施远程控制
黑客如何运用木马实施远程控制 黑客技术 2009-10-26 12:53 阅读99 评论1 字号:大中小 喜欢在网上浏览新闻的人,一定会经常看到某人隐私被黑客盗窃,或者以此来要挟受害人的事情。这里大家可能要问了,他们是如何做到的呢?其实答案很简单,只不过是利用了远程木马控制实现,下面笔者将会针对黑客圈子里,常见的远程木马进行详细讲解。 一、穿透力极强的Byshell木马 Byshell是一个无进程、无DLL、无启动项的、集多种Rootkit技术特征的独立功能远程控制后门程序(Backdoor)。其利用线程注射DLL到系统进程,解除DLL映射并删除自身文件和启动项,关机时恢复。它是内核级的木马程序,主要部分工作在Ring0,因此有很强的隐蔽性和杀伤力。 1.配置Byshell木马服务端 要想配置Byshell木马服务端,我们首先打开下载到本地的“Byshell客户端”程序,在所弹出的“监听端口”对话框内,输入其木马想要监听的端口,默认设置为2007(如图1)。 图1 修改完毕后,进入到“Byshell木马客户端”界面,在顶端的工具栏内,单击“配置服务端”按钮,此 时就会打开“配置服务端”的对话框(如图2)。
图2 在“IP通知地址”标签处,输入自己空间的访问地址,“IP或者DNS域名”标签,则输入自己的本机IP,另外客户端口输入的数字,要与此前设置的监听端口一致,否则会出现肉鸡无法上线的情况。然后在单击“生成”按钮,在弹出的“另存为”对话框内,选择好所要生成的路径,单击“确定”按钮,就可使其服务 端生成完毕。 2.让主动防御纷纷落马 为了能够测试Byshell木马的威力,我们这里打开杀毒软件的所有“主动防御”选项,并且将其安全级别提高到最高,然后在运行一下刚生成好的Byshell木马服务端,此时你会发现杀毒软件竟然将它的启动视而不见,并且在客户端还可以看到中招的机器上线。如果你想对肉鸡进行控制,我们可以选择其上线的机器,然后在上方单击工具栏里的“相关”按钮,如这里单击“文件管理”按钮,就可打开被控制机器的“文件管理”对话框,从中我们可以查阅该肉鸡里的所有硬盘文件。另外最后要想卸载掉远程服务端,只要在“客户端”界面内,右击上线肉鸡IP栏,选择“远程卸载”选项,就可将其服务端从受害者系统里摘除。 总结:其实Byshell木马通过对当前系统的SSDT表进行破坏,所使用系统原来的SSDT表覆盖现在的SSDT表,才使杀毒软件的主动防御功能实效的。如果你想从数据上了解Byshell木马的穿透,可以使用Wsyscheck等工具查看系统中的SSDT表,这样就会清楚的看见杀毒软件在正常情况下,与被木马穿 透的表是不同的了。 二、上线速度超快的暗组远控木马 暗组远控木马,是一款体积非常小的控制软件,并且它还具备着较强的穿透防火墙和杀毒软件的主动防御能力。另外由于这款软件很偏门,一般人都不太知道,所以其所生成的最新服务端,无须进行加密就 可以逃脱一些杀毒软件的查杀。 1. 利用客户端生成服务端 由于暗组远控软件功能不是很强大,所以客户端界面很简单,主要有顶端三个功能按钮,如:“生成服务端、设置、监听”按钮构成,很适合新手操作。另外暗组远控木马与其他同类软件一样,也是通过其客户端来生成服务端。这里我们依然在其客户端界面内,单击“生成服务端”按钮,此时在弹出的“生成服务端” 对话框内(如图3)。
远程控制与木马程序设计
1 实验题目 远程控制与木马程序设计 2 实验目的 ●掌握远程控制的一般原理与类型,实现利用网络scoket套接字完成计算机远 程通信过程,学生深入理解和掌握基于TCP/IP协议的网络通信概念、原 理,以及网络客户机/服务器模型的结构概念。 ●熟悉常用的Windows API函数的用法,利用C++或VB语言实现木马程 序的设计。 3 实验条件和环境 ●Windows XP SP3 ●Microsoft Virtual C++ 4 实验方法(系统功能、结构设计,软件流程图等) ●利用Socket进行网络远程通信设计 使用套接字Socket在两台计算机实现通信过程中,首先假设一台是服务端,另一台是客户端。服务端先启动,建立一个套接字Socket,并对相应的IP 和端口进行绑定、监听;客户端也建立一个套接字Socket,并对其相应的IP 和端口进行绑定,然后与服务端连接,待其相应后,双方可以实现远程通信。 服务端流程如下: socket()->bind()->listen()->accept()->recv()/send()->closesocket()客户端流程如下:
socket()->connect()->recv()/send()->closesocket() 远程控制与木马程序 远程控制实际上是包含有服务器端和客户端的一套程序服务器端程序驻留在目标计算机里,随着系统启动而自行启动。此外,使用传统技术的程序会在某端口进行监听,若接收到数据就对其进行识别,然后按照识别后的命令在目标计算机上执行一些操作(比如窃取口令,拷贝或删除文件,或重启计算机等)。 攻击者一般在入侵成功后,将服务端程序拷贝到目标计算机中,并设法使其运行,从而留下后门。日后,攻击者就能够通过运行客户端程序,来对目标计算机进行操作。 总体流程: 通过C/S运行模式并结合进程与匿名管道技术来实现的,主体分为两部分:即客户端和服务端木马程序。其原理为服务端程序在目标计算机中采用自动运行模式,并打开2000端口进行监听,当客户端向服务端主动提出连接请求,服务端木马程序就会自动运行,来应答客户端的请求,从而建立连接,服务段木马程序根据客户端的指令而执行相应的操作。 软件流程图:
如何让木马为我们工作:远程控制技巧讲解
对于网管员或网络工程师来说,要同时管理好不同位置的服务器或工作站,是一件不容易的事情。你不可能保证时时都在服务器的旁边,当它出现系统故障,或需要调整配置时,直接进行现场处理。你总是有远离这些“宝贝”的时候。 但是,问题就在这里,当你在这些服务器或工作站的现场时,它们非常的“乖巧”,而当你有事或休息时,事情却偏偏来了。可此时,远水该怎么救近火呢? 最好的办法就是使用远程控制,这样一来,无论你身处何方,都可以实时监控被控服务器或主机的现状,对它们进行配置和系统故障处理。 一说到远程控制,一些朋友就会想到微软的远程桌面连接,或一些比较出名的商业远程控制软件。使用它们来完成远程控制当然没什么问题,但是,微软的远程桌面连接不仅功能太少,且开放此服务带来的安全问题让你头痛,而使用商业软件,对于一些较小的应用场合,又有一点大材小用的意味。 那么,难道就没有其它方法可以完成我们的心愿? 有肯定是有的,只是雪源梅香现在要说的方法,肯怕不会被某些朋友所接受,因为我推荐的方法就是使用远程控制木马程序! 毕竟木马们以前的作风,已经让大家从骨子里认为只要是木马,就是一个彻底的坏蛋。对于坏蛋,人们避之不及不说,怎么还要去接近它,甚至去使用它呢! 其实,凡事都有其两面性。既然攻击者可以利用木马来远程控制我们的主机,那么,我们为什么就不能利用木马的这种功能来帮我们做事呢。更何况这些具有远程控制的木马,大多也仅仅具有远程控制功能,其它的危害是没有的,这样,只要我们掌握了它的工作原理,理清了它的本性,我们就可以轻松地驾驭它,让它为我们做事。 而且,一些远程控制木马具有穿透防火墙,防止被杀毒软件查杀,进行反弹连接等功能,这些功能,可以减少我们对被控端的各种设置,减少许多不必要的麻烦。同时,这些木马的远程控制功能甚至在商业远程控制软件之上,我们完全可以通过它们来解决各种远程控制功能。 为远程控制木马说了这么多好话,并不是为木马拔乱反正,而是想让大家了解如何利用比较可靠的木马来为我们做事。为此,我们先来看看现在有哪些这样的“好木马”。 我们都知道具有远程控制功能的木马数量太多,毕竟我们也不是销售软件,只需要找到适合我们的一款就行,因此,下面这4款中应该有一款适合你: 1、 Remote Administrator Control v3.3.1 2、网络人企业版 V4.46 3、 TeamViewer V4.0.5474 4、 SEU_Peeper 0.11 beta2(东南远程控制)
常用的远程控制木马
详细讲解黑客常用的远程控制木马 喜欢在网上浏览新闻的人,一定会经常看到某人隐私被黑客盗窃,或者以此来要挟受害人的事情。这里大家可能要问了,他们是如何做到的呢?其实答案很简单,只不过是利用了远程木马控制实现,下面笔者将会针对黑客圈子里,常见的远程木马进行详细讲解。 一、穿透力极强的Byshell木马 Byshell是一个无进程、无DLL、无启动项的、集多种Rootkit技术特征的独立功能远程控制后门程序(Backdoor)。其利用线程注射DLL到系统进程,解除DLL映射并删除自身文件和启动项,关机时恢复。它是内核级的木马程序,主要部分工作在Ring0,因此有很强的隐蔽性和杀伤力。 1.配置Byshell木马服务端 要想配置Byshell木马服务端,我们首先打开下载到本地的“Byshell客户端”程序,在所弹出的“监听端口”对话框内,输入其木马想要监听的端口,默认设置为2007(如图1)。 图1 修改完毕后,进入到“Byshell木马客户端”界面,在顶端的工具栏内,单击“配置服务端”按钮,此时就会打开“配置服务端”的对话框(如图2)。 图2
在“IP通知地址”标签处,输入自己空间的访问地址,“IP或者DNS域名”标签,则输入自己的本机IP,另外客户端口输入的数字,要与此前设置的监听端口一致,否则会出现肉鸡无法上线的情况。然后在单击“生成”按钮,在弹出的“另存为”对话框内,选择好所要生成的路径,单击“确定”按钮,就可使其服务端生成完毕。 2.让主动防御纷纷落马 为了能够测试Byshell木马的威力,我们这里打开杀毒软件的所有“主动防御”选项,并且将其安全级别提高到最高,然后在运行一下刚生成好的Byshell木马服务端,此时你会发现杀毒软件竟然将它的启动视而不见,并且在客户端还可以看到中招的机器上线。如果你想对肉鸡进行控制,我们可以选择其上线的机器,然后在上方单击工具栏里的“相关”按钮,如这里单击“文件管理”按钮,就可打开被控制机器的“文件管理”对话框,从中我们可以查阅该肉鸡里的所有硬盘文件。另外最后要想卸载掉远程服务端,只要在“客户端”界面内,右击上线肉鸡IP栏,选择“远程卸载”选项,就可将其服务端从受害者系统里摘除。 总结:其实Byshell木马通过对当前系统的SSDT表进行破坏,所使用系统原来的SSDT 表覆盖现在的SSDT表,才使杀毒软件的主动防御功能实效的。如果你想从数据上了解Byshell木马的穿透,可以使用Wsyscheck等工具查看系统中的SSDT表,这样就会清楚的看见杀毒软件在正常情况下,与被木马穿透的表是不同的了。 二、上线速度超快的暗组远控木马 暗组远控木马,是一款体积非常小的控制软件,并且它还具备着较强的穿透防火墙和杀毒软件的主动防御能力。另外由于这款软件很偏门,一般人都不太知道,所以其所生成的最新服务端,无须进行加密就可以逃脱一些杀毒软件的查杀。 1. 利用客户端生成服务端 由于暗组远控软件功能不是很强大,所以客户端界面很简单,主要有顶端三个功能按钮,如:“生成服务端、设置、监听”按钮构成,很适合新手操作。另外暗组远控木马与其他同类软件一样,也是通过其客户端来生成服务端。这里我们依然在其客户端界面内,单击“生成服务端”按钮,此时在弹出的“生成服务端”对话框内(如图3)。
电子取证远控木马之SRAT
电子取证远控木马之SRAT 作者:New4[D.S.T] https://www.360docs.net/doc/6b9609122.html, 前言: SRA T远程控制软件是在灰鸽子之后出现的又一款功能强大的反弹型木马,具备几乎灰鸽子所有功能并且体积仅有不足200KB,在SRAT发布之后掀起了黑客界换马狂潮。大部分小菜鸟们都觉得灰鸽子免杀难做并且突破主动防御不易,都选择较新或者有更新活力的新远控。而SRAT的条件都满足当前大部分小黑的需要,体积小、易免杀、穿透主动防御能力强。功能强大:文件管理、屏幕监控、超级终端、键盘记录、进程管理、服务管理、窗口管理、插件管理、注册表管理、音频视频监控,等几乎涉及所有计算机操作的功能使小黑们一旦拥有别无所求!使得SRAT近期大量被使用和传播,各类免杀版本发布,一条条新的黑色产业链条应此而生。其强大的键盘记录功能让您的电脑没有任何隐私可言,无论您输入的是中文或者英文以及其他语言都可以完美记录下来! 上面就是SRAT远控木马的简要介绍下面我来向大家展示一个,通过解密木马配置信息来取证的方法。 操作环境:Window Xp Sp3(本地局域网中的虚拟机) 使用工具:Wsyscheck(辅助木马查找)、010Editor(16进制编辑器) 推荐工具:SRAT远控专杀工具V1.0(可辅助查找并查杀SRAT木马)
首先,我们事先准备了一台虚拟PC(非真实机器),并且配置一个新的SRA T木马,并运行植入该计算机中已制造一个木马已经潜伏的环境,然后我们就可以继续以下的检查是否被种植了SRAT木马的操作!配置信息如图1和图2。 图1 配置上线地址
图2 配置安装服务端及文件路径 配置完成我们查看一下文件属性,发现木马体积:175KB(如图3),由于SRA T没有压缩服务端的选项所以我们可以锁定,傀儡计算机中如果中了SRAT木马其体积也不会超过200K,如果经过加密或者其他特殊变种后可能会超过体积。而变种不在我们现在讨论的范围内,如果仔细的朋友可能会发现SRA T远控目录下还有个update目录,看字面的意思就是“升级”的意思而你打开目录后会发现有两个文件(如图4):SratInit.exe和SratMain.dll。大家可以发现这个SratInit.exe的图标和配置出来的那个服务端图标一模一样!没错这个就是安装服务端的主体,也被专业人士称为ServerLoader(即服务端加载程序)。主要作用就是用于木马的安装任务,而SratMain.dll文件就是该木马所有功能的主体了,这个大家看一下体积也就知道了足足有144KB占据了几乎整个木马的大部分体积。一般这类木马的植入计算机后的一些特性如自删除都是由ServerLoader完成的,而安装完成之后ServerLoader 就不在使用了!以减少被杀毒软件查杀的几率因为它已经没有了安装的特性,也就是说一个杀人犯他没有带凶器。就算警察(杀毒软件)查到也不一定能给他定罪,然而谁能又知道这看似正常的一个文件既然是一个能完成潜伏并后台操作的木马?这类的木马我们一般都称为:DLL型木马它的传播必须有一个ServerLoader程序(EXE),我们在查杀SRAT木马(DLL 型木马)的时候我们只能找它的DLL文件进行查杀而不是找EXE。因为一般EXE都不存在了,所以我们下文所说的内容主要都是以讲解其DLL文件为主,请大家留意不要弄错了!