灰鸽子原理及上线方法剖析
如何使用灰鸽子软件
灰鸽子[VIP 专业版]1.只用一个端口来传输所有通讯数据!普通同类软件都用到了两个或两个以上的端口来完成!2.支持可以控制Internet连接共享、HTTP透明代理上网的电脑!软件智能读取系统设定的代理服务器信息,无需用户设置!3.无需知道服务端IP,自动上线功能让服务端自动上线报道!灰鸽子专用的上线系统无需您注册免费域名才能使用,同时也提供了备用上线方式,在我们的专用上线系统出现故障时,您可以使用备用上线方式来使用自动上线功能。
在使用专用上线系统时,你还可以控制远程电脑通过Socks5代理来中转自动上线。
4.自动上线可以在第一次设置分组,自定义上线图像,上线备注等,这样都可以让你轻而易举的找到目标主机,同时设置连接密码保证了服务主机的安全性!同时具用牵手版的搜索符合条件主机的功能:a.从主机窗口筛选:可以列出只有某个窗口的一批主机,可以轻松找到哪些人在玩某个游戏!b.从主机进程筛选:可以列出运行了某个程序的一批主机,例如QQ.exe,就可以找到打开了QQ的自动上线主机有哪些了!5.文件管理:管理远程电脑的文件系统,支持复制、粘贴、删除,断点下载、上传文件或文件夹,文件内容均以加密方式传输,确保通讯的安全性.6.远程控制命令:包括远程系统信息、剪切板信息、进程管理、窗口管理、键盘记录、服务管理、管理管理、MS-DOS模拟、代理服务控制!7.注册表编辑器:可以像操作本机注册表一样的编辑远程注册表。
8.常用命令广播,让你控制主机众多主机更多的方便!详细的在线主机线表显示了:主机IP地址,地址位置,电脑名称,系统版本,备注等信息,9.除了具有语音监听、语音发送,还有远程视频监控功能,只有远程计算机有摄像头,且正常打开没有被占用,那么你可以看到,远程摄像头捕获的图片!还可以把远程摄像头捕获的画面存为Mpeg-1格式.远程语音也可以录制成Wav声音文件。
10.可以设置服务端开放Socks5代理服务器功能和HTTP代理服务功能!无需第三方软件支持!支持Windows9x/ME/2000/Xp/2003。
12-反弹端口木马(灰鸽子)的演示
项目4 计算机病毒及防治
任务5: 反弹端口木马(灰鸽子)的演示
P111
- 1 -
任务5: 反弹端口木马(灰鸽子)的演示 1
项目背景
普通木马是攻击者主动去连接被攻击者,对于外部连 接审查严格的防火墙,木马很难工作起来,但如果被 攻击者主动连接攻击者?
飞蛾扑火的情况下, 作为一名网络安全人 员,你该做些什么, 如何去应对?
- 2 -
(12)本节任务目标和内容
任务目标:
了解:反弹端口木马(灰鸽子)的危害; 熟悉:灰鸽子木马的工作原理; 掌握:灰鸽子木马的配置和操作;
任务内容:
通过灰鸽子木马实际攻击演示操作,掌握灰鸽子木 马的攻击原理,为防范灰鸽子木马的学习作准备。
- 3 -
一、反弹端口木马(灰鸽子)演示实验
控制端打开某个监听端口,被控制端主动 连接控制端。
工作过程 P112
木马伪装 配置木马 信息反馈 传播木马 启动木马 建立连接 远程控制
- 4 -
1.配置服务器程序
切入点:
控制端
双击灰鸽子木马“客户端”程序
配置服务程序
邀请一名同学实际 演示!
- 5 -
重点说明:配置服务器程序
控制端IP
- 6 -
连接成功,现在可以对主 机进行远程控制了。
- 8 -
二、分角色操作演示:
成员甲(客户端,控制者) 192.168.1.1 第1步:配置服务器端程序。 第2步:将服务器端程序共享给成员 乙。
成员乙:(服务器端,被控制者) 192.168.1.2
第3步:运行服务器端程序(注意细
节)? 第6步:查看F盘是否新增一文件夹。
配置-传播-启动-连接-控制
灰鸽子实验
灰鸽子远控软件使用实验
“灰鸽子”是现在网络上非常流行的一种木马,由两部分组成,一是控制端(主程序),一是服务端(也叫受控端)。
任一部分都会被主流的杀毒软件查杀,但随着其不断衍生新的变种和一些免杀技巧经常绕过一些主动防御软件,使得用户防不胜防。
灰鸽子客户端和服务端都是采用Delphi编写。
黑客利用客户端程序配置出服务端程序。
可配置的信息主要包括上线类型(如等待连接还是主动连接)、主动连接时使用的公网IP(域名)、连接密码、使用的端口、启动项名称、服务名称,进程隐藏方式,使用的壳,代理,图标等等。
“灰鸽子”的服务端是由控制端主程序配置自动生成,黑客在配置自动上线的时候一般会用到ftp自动上线和动态域名解析两种手法,目的是让鸽子以后每天都会自动上线,而不受自身IP改变的影响。
当配置好服务端后,黑客会利用一切可能的手段达到入侵的目的,当用户电脑“中马”后,黑客就会拥有用户电脑的最高管理权限,包括随意修改、窃取用户电脑的文件,监控电脑的键盘和屏幕、摄像头等等。
在主控端生成灰鸽子木马
把灰鸽子生成的服务端拷贝到受控端
对受控端进行一系列的操作对受控端进行监控
屏幕监控
系统信息
文件下载
实验总结
在日常生活中一些不法分子会利用一些邮件、网站的连接放置木病毒,所以在看到一些可疑的连接不要轻易去点击,一旦点击便会中木马病毒。
因此遇到一些不明的连接的情况下,一定要警惕,不要轻易点击陌生的连接。
电脑病毒灰鸽子构成
电脑病毒灰鸽子构成电脑病毒无处不在,当我们的电脑受到病毒攻击时!你是否知道呢!下面由店铺给你做出详细的电脑病毒灰鸽子构成介绍!希望对你有帮助!病毒机理编辑病毒构成配置出来的服务端文件文件名为G_Server.exe(这是默认的,当然也可以改变)。
然后黑客利用一切办法诱骗用户运行G_Server.exe程序。
运行过程G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。
G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端,G_Server_Hook.dll负责隐藏灰鸽子。
通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项,甚至是进程中的模块名。
截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。
所以,有些时候用户感觉中了毒,但仔细检查却又发现不了什么异常。
有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。
注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。
G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。
因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。
随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。
电脑病毒灰鸽子传播方式
电脑病毒灰鸽子传播方式传播方式编辑灰鸽子自身并不具备传播性,一般通过捆绑的方式进行传播。
下面由店铺给你做出详细的电脑病毒灰鸽子传播方式介绍!希望对你有帮助!电脑病毒灰鸽子传播方式:灰鸽子灰鸽子传播的四大途径:网页传播、邮件传播、IM聊天工具传播、非法软件传播。
1.网页传播:病毒制作者将灰鸽子病毒植入网页中,用户浏览即感染;2.邮件传播:灰鸽子被捆绑在邮件附件中进行传播;聊天工具传播:通过即时聊天工具传播携带灰鸽子的网页链接或文件。
3.非法软件传播:病毒制作者将灰鸽子病毒捆绑进各种非法软件,用户下载解压安装即感染。
清除预防编辑手工检测由于灰鸽子拦截了API调用,在正常模式下服务端程序文件和它注册的服务项均被隐藏,也就是说你即使设置了“显示所有隐藏文件”也看不到它们。
此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。
但是,通过仔细观察我们发现,对于灰鸽子的检测仍然是有规律可循的。
从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。
通过这一点,我们可以较为准确手工检测出灰鸽子服务端。
体积仅70kb隐蔽性更强由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。
进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。
1.由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。
打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“ 显示所有文件和文件夹”,然后点击“确定”。
2.打开Windows的“搜索文件”,文件名称输入“*_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。
一次灰鸽子内网入侵实例解析
一次灰鸽子内网入侵实例解析作者:刘洪霞来源:《电脑知识与技术》2009年第33期摘要:灰鸽子是一款优秀的远程控制软件。
我们通过灰鸽子就可以生成一个木马程序,将此木马程序发送到远程计算机,一旦对方运行该文件就可以实现对它的远程控制。
该文就详细介绍灰鸽子是如何实现远程控制的。
关键词:病毒;灰鸽子;内网;外网;自动上线;远程控制中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)33-9392-02灰鸽子是国内一款著名后门。
比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者。
其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。
客户端简易便捷的操作使刚入门的初学者都能充当黑客。
1 灰鸽子病毒的简介为了让大家更好的理解这款病毒,先说一下几个概念。
1) 网络病毒计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。
2) 网络木马木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名,顾名思义就是一种伪装潜伏的网络病毒。
传染方式:通过电子邮件附件发出,捆绑在其他的程序中。
病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。
木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等非法操作。
3) 外网和内网外网:通过ISP连接到INTERNET,拥有固定的公网IP,称之为外网。
内网:内网就是局域网,网吧、校园网、单位办公网都属于此类。
另外光纤到楼、小区宽带、教育网、有线电视Cable Modem上网虽然地域范围比较大但本质上还是基于以太网技术,所以仍然属于内网。
内网也叫私网地址如下:IP等级 IP位置Class A 10.0.0.0-10.255.255.255Class B 172.16.0.0-172.31.255.255Class C 192.168.0.0-192.168.255.255子网掩码一般设为:255.255.255.0内网是可以上网的,内网需要一台服务器或路由器做网关,通过它来上网。
灰鸽子木马实验报告
病毒防治实验报告学生姓名学号专业班级指导教师学院信息科学与工程学院完成时间2014年4月一.实验目的及要求目的:了解灰鸽子是一个集多种控制方法于一体的木马病毒。
二.内容及要求1.练习软件的哪些功能,自己总结2.通过实验了解灰鸽子是一款远程控制软件。
3.熟悉使用木马进行网络攻击的原理和方法。
实验环境:虚拟机下安装组建一个局域网,2台安装win2000/win2003/XP系统的电脑,灰鸽子木马软件。
二.实验方法与步骤:1)打开虚拟机通过实验室的实验平台打开网站192.168.1.1:8088/limp开始试验-选择灰鸽子木马实验打开2个虚拟机,1号机作为服务器,2号机作为客户端。
在拓扑结构上的连接2太虚拟机。
通过PING (对方的IP)验证是否连接成功。
2)打开客户端屏幕上的灰鸽子木马文件,运行EXE文件。
3)木马制作首先配置服务程序123在自动上线设置的IP通知中填写本机的IP地址可以通过-运行-cmd-ipconfig查找本机的IP地址4高级设置这是显示在进程中的描述设置然后点击生成服务器。
5木马种植--将生成的服务器转移到服务器(肉鸡)上通过漏洞或溢出得到远程主机权限,上传并运行灰鸽子木马本地对植入灰鸽子的主机进行连接,看是否能连接灰鸽子。
(若无法获得远程主机权限可将生成的服务器程序拷贝到远程主机并运行)如果成功,则会出现通过-cmd-netstat -na查看所有的连接,确定连接成功。
可以通过捕捉屏幕和视频语言对目标服务器进行监控,或者通过Telnet对其进行控制。
6查看进程启动ICESWORD检查开放进程,进程中多出了IEXPLORE.exe 进程,这个进程即是启动灰鸽子木马的进程,起到隐藏灰鸽子木马自身的程序的目的。
7感想计算机病毒很可怕,他会在不知不觉中使我们被监控,财产处于危险中。
所以要做好防治病毒的工作。
灰鸽子远程控制软件(精)
灰鸽子的发展简史
模仿期(2001年-2003年) 飞速发展期(2004年-2005年) 全民黑客时代(2006年-2007年)
灰鸽子的发展简史-模仿期
“反弹连接”技术则可以很轻松地刺穿防火墙, 因为防火墙通常对外部连接过滤严密,而对于 本机主动连接则疏于防范。
虚拟驱动,监控摄像头
灰鸽子在“屏幕控制”功能上率先使用了“虚 拟驱动”技术,这项技术可以使“屏幕监控” 更加流畅, 大大提高了控制的准确性。
用软件实现的硬件应该就叫虚拟设备,对应的驱动 程序就叫虚拟设备驱动程序;
“脱壳”指的就是将文件外边的壳去除,恢复文件 没有加壳前的状态。
灰鸽子的具体操作策略
灰鸽子客户端和服务端都是采用Delphi编写。 黑客利用客户端程序配置出服务端程序。可配
置的信息主要包括上线类型(如等待连接还是 主动连接)、主动连接时使用的公网IP(域 名)、连接密码、使用的端口、启动项名称、 服务名称,进程隐藏方式,使用的壳,代理, 图标等等。
通过换“壳”,可以使灰鸽子免于被杀;
补充:关于“壳”
在一些计算机软件里也有一段专门负责保护软 件不被非法修改或反编译的壳。它们一般都是 先于程序运行,拿到控制权,然后做保护软件 的工作。
从“壳”又延伸出“加壳”和“脱壳”两个词 汇;
“加壳”指的是对编译好的EXE、DLL等文件采用 加壳来进行保护;
进程插入,让进程蒸发
“灰鸽子”在配置服务端的时候可以选择插入 “explorer.exe”或者“iexplore.exe ”进程;
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
原创作者unis远程控制分类与远程协助区别远程控制技术是黑客必学的技术之一。
远程控制不同于远程协助,两者之间有很大的区别,所谓远程协助需要经过被控端的授权允许,并且被控端可以看到控制者的所有操作,使之控制操作透明性;例如我们的QQ远程协助,就需要对方的允许控制进行操作,并且对方也能够看到我们的操作动作,远程协助一般是用来进行远程的计算机操作协助。
远程控制则不一样,远程控制只要在被控者电脑安装一个服务端,即可在不知情的情况下进行控制对方计算机以及对计算机其它操作,控制时不需要经过对方的许可就可以控制,而控制时操作的一些动作,对方也无法察觉到(除鼠标控制)。
远程控制按控制类型可以分类为:(1)正向主动型远程控制(2)反向被动型。
什么是正向主动型的呢?正向主动型是需要控制着主动去连接被控端,一般情况下,控制者必须知道需要被控制者的IP和端口,然后通过某种软件来进行控制被控者,例如微软的3389远程桌面、Radmin远程控制、VNC远程控制都需要知道对方的IP(端口)然后通过客户端软件进行连接对方。
反向被动型控制又可以称为反弹性控制技术,指的是在被控端下安装服务端之后,由被控端主动来寻找你的客户端监听端口软件连接来进行控制,这个好处就是不需要知道对方的IP地址和端口,被控端会自己主动来找我们的监听地址和端口,当我们发现被控端已经找到我们的监听地址和端口,我们就可以控制对方电脑,这样省去要知道对方的IP和端口的麻烦了,特别是对方是动态IP的时候。
反向被动型远控在黑客界已经是主流了,黑客专门使用某些控制软件在控制对方,反弹型远控软件更是数不胜数,例如:花鸽子(灰鸽子)、白金、终结者、Ghost 等等。
远程控制软件的功能与远控木马的特性我们这里主要讲解的是反弹型远控,并且也有讲解到Web型的正向型远控,正向型远控还有Radmin、3389远程桌面也可以值得大家去学习,关于Radmin远控的可以参考我之前写的《深度研究Radmin远控》。
关于3389终端技术我已经写了《精通3389终端》。
现在的远程控制软件(又称客户端,生成出的木马叫服务端)数不胜数,甚至很多已经是源码爆出,对于各种远程控制软件来说,其实基本都是具备以下功能:【屏幕监控】:可以查看被控制者的屏幕,保存捕获的被控制屏幕的截图。
并且看到对方的一切操作,可以自由选定图像位色查看,还可以选择是否控制对方鼠标、键盘,若选择即可控制对方的电脑鼠标、键盘,这一控制对方是可以看到鼠标被控制。
【文件管理】:可以在后台查看被控者的各个磁盘中的文件,直接显示隐藏文件,可自由在对方的磁盘中删除文件、上传文件、下载文件、重命名文件、远程显示打开文件、远程隐藏打开文件、复制文件、粘贴文件、新建文件夹等功能。
【视频监控】:如果对方有视频,即可暗中开启对方视频监控到对方人、环境等一切。
【语音监听】:如果对方已经插上麦,此功能即可通过对方的麦暗中监听到对方说话的声音。
【键盘记录】:可以记录对方键盘的一切操作,可执行离线记录,即不打开该功能也能随时记录,有些还可以IE密码记录。
【系统信息查看】:可以查看对方的外网IP地址,内网IP地址、系统版本、电脑配置、上线时间等。
【注册表编辑器】:可以查看对方计算机的注册表和修改对方注册表的键值等操作。
【超级终端】:又称Telnet,即远程CMD,可以使用远程主机的cmshell进行各种CMD命令的操作。
【系统管理】:可以查看对方电脑的进程管理器,可任意结束进程。
也可以查看对方窗口信息,随意结束某个窗口,有些远程控制软件还可以查看对方的宽带账号密码、软件信息等。
【服务管理】:可以查看对方的系统服务列表和开启状态,可随意停止和开启对方的某个服务。
【代理映射】:可以开启远程计算机IP代理,把远程主机映射到本机作为代理。
使用远程计算机IP和端口进行代理上网。
【会话管理】:可以重启、注销、关机远程计算机,还可以断开远程主机的连接或者卸载远程主机的服务端。
【共享与剪贴板】:可以查看远程主机的共享文件,剪贴板功能可查看远程主机剪贴板中的文本信息。
【弹窗下载】:可以发送某段消息给远程主机,远程主机即会弹出对话框显示,下载执行可以通过后台打开对方的IE进行浏览某个网站或者执行下载木马等。
【DDOS】:某些远程控制软件拥有该功能,可以随意选择在线肉鸡,以肉鸡作为流量来进行DDOS、CC攻击网站等操作。
【配置服务端】:即配置木马,每个远控软件都有,通过自己选择某些参数配置一个反弹型服务端(木马)。
以上讲解的都是远程控制软件的常见功能,可能有些远控软件有其中功能或者更多功能,这里就只讲这么多咯,下面给大家讲解下远程控制所生成的木马,远控软件生成的木马又被称为后门木马,一般它只要对方点击了该木马,木马就立即分析木马本身的IP配置等信息,向主控端发送TCP连接请求,当发现主控端在线即上线在主控端的远程控制软件上,一般远程控制软件的木马有以下几种特点:①:模仿系统进行运行在内存中。
有的可能使用Rootkit技术隐藏进程。
②:通过DLL注入在某个正常进程中。
③:通过替换系统正常程序来运行在内存中。
④:木马会创建服务到系统服务中,并且设置为自启动类型。
⑤:木马会残留在C盘或者感染C盘某个正常DLL文件。
⑥:木马会写入自启动项,使之远程主机开机运行木马。
⑦:木马运行后每三十几秒向主控端发起连接请求。
若找到对应IP和端口则建立连接。
上述所说的就是常见的远控木马特性,一般来说远控木马并不带有恶性行为,即不存在格式化磁盘、破坏电脑硬件或删除Windows重要文件等恶意操作。
灰鸽子固定IP、动态域名、FTP上线原理与方法1.灰鸽子是一款早期很流行的远程控制软件,由安徽籍灰鸽子工作室创办人“葛军”使用Delphi编写的,后来的远程控制软件基本都是模仿灰鸽子进行编写的。
所以说学会灰鸽子原理,其它远控你基本都会了。
2.灰鸽子支持固定IP上线、动态域名上线、FTP上线。
我们先来简单的说下木马上线的原理。
当我们的木马在A电脑上运行后,只要A电脑一旦连接网络,那么木马就会通过之前配置好的连接IP和端口向我们的主控端发起连接请求,一旦连接木马配置中的IP和端口成功,主控端就可以看到肉鸡上线了,此时就可以进行远程控制肉鸡了。
我们举例说,比如配置了一个木马的上线地址为:188.188.188.188,那么该木马放到某台连接互联网的计算机中运行后,木马会不停地向IP为188.188.188.188的主机发起连接,只要该IP电脑上运行了灰鸽子软件,就会显示肉鸡上线了,那么就可以轻易控制被控端了!3.【固定IP的上线】:固定IP上线不适合于普通用户使用,因为大家的IP一般都是动态IP,即计算机重启后外网IP会不停地变动,特别对于宽带拨号的用户来说,一旦断开宽带连接,再重新拨号,公网IP地址又变了。
这样木马就只能上线一次,什么意思呢?例如:我在内网做测试,配置木马的上线IP为我虚拟机的IP192.168.1.121,那么木马就会始终向IP为:192.168.1.121的计算机发起连接请求。
假设在外网,我们一般是拨号上网,这一次电脑是这个IP,下一次我们电脑重启了的话IP发生变化,那么木马又如何能向我们现在的IP发起连接请求呢?所以固定IP一般不适用于普通用户,而它却适用某些服务器上线,因为很多服务器的IP都是固定IP,向ISP运营商申请的固定IP,无论重启多少次,IP始终保持不变,那么我们在该固定IP的服务器上配置木马,由于服务器IP始终是不变,我们下次重启计算机再在该服务器上打开灰鸽子软件也能看到肉鸡的上线。
固定IP上线原理就是这么简单,仅仅适用于固定IP的用户,配置方法是:先打开灰鸽子的——配置服务端。
上线地址中填写我们的固定IP,可以通过百度“IP”得到我们的外网IP.如果端口修改后必须添加端口,形式为〈IP地址:端口〉,灰鸽子默认端口是8000端口,我们如果不修改就直接填写固定IP,其它的进行隐藏、选择木马图标、自动删除、上线备注、连接密码可按需设置。
最后选择“生成服务端”木马就生成出来了。
这里我就假设我现在的外网IP为固定IP。
因为只有外网IP才有连接因特网的通讯能力。
4.将生成的木马放入到虚拟机做测试,发现能够成功上线,当然假如我们非固定IP电脑重启了之后,IP变了,那么我们再打开灰鸽子就无法看到肉鸡上线了,因为木马不知道我们的新IP,所以固定IP上线适用于有固定IP的用户来配置木马。
5.此时我们可以在虚拟机中CMD下输入netstat -ano 查看TCP连接,就能看到本机正在与182.101. 185.***的8000端口进行连接着。
肉鸡是随机启动用一个未使用的端口来对我们的182.101.185.***的8000端口来连接。
并且模仿IE进程。
6:【动态域名上线】:动态域名又叫DDNS,动态域名上线适用于所有使用动态IP用户。
为什么呢?对于广大动态IP用户来说,我们每次重启或断开宽带连接都会更换不同的外网IP,那么我们想生成一个木马,如何让木马始终知道我们电脑更换的IP后进行发起连接呢?如何在我们计算机重启后,打开灰鸽子还能看到原来肉鸡的上线呢?那么动态域名就解决了我们这个问题了,首先我们去申请一个动态域名,可以在3322里面或者花生壳等地方申请一个域名,比如我申请的域名账号为: 。
那我们首先要知道我们的域名地址是永远不变的,好比百度的域名永远不会变,但是我们的电脑IP地址是不停变的。
我们就可以使用动态域名来解析IP,我们每次电脑重启更换IP后,进去3322域名,将我们的IP地址更新到域名,比如我现在的IP是:95.95.95.95,那我就将该IP 更新到域名: ,那么我们这个域名对应的IP就是我们现在的IP,我们可以使用Ping域名看我们现在的域名是否与现在的IP对应。
检测为对应,即所谓的:=95.95.95.95。
如果下次我们重启电脑换成了155.155.155.155,那么我们就再上去3322域名,将变化了的IP 155.155.155.155更新到域名 ,那么域名 =155.155.155.155。
7.通过我们IP会变,但是域名始终不变的原理,我们配置木马的时候填写我们的动态域名地址,然后生成一个由域名配置的木马,当木马在某电脑运行后,木马会自动地去解析域名的IP是多少,即所谓的ping 域名得到IP地址,例如我们将自己最新的IP:95.95.95.95更新到了域名,那么木马就通过解析域名出来的IP进行一个反弹连接。
如果我们计算机重启IP变成155.155.155.155,那么我们将IP更新到域名后,对方电脑木马就会继续解析我们的域名,当发现我们的域名,IP变成了155.155.155.155了,那么木马就会向这个IP发起连接请求。