详细讲解黑客常用的远程控制木马

 

 

原文地址：http://www.qudong.com/soft/safe/hacker/20080411/6956.html

 

    喜欢在网上浏览新闻的人，一定会经常看到某人隐私被黑客盗窃，或者以此来要挟受害人的事情。这里大家可能要问了，他们是如何做到的呢?其实答案很简单，只不过是利用了远程木马控制实现，下面笔者将会针对黑客圈子里，常见的远程木马进行详细讲解。

　　一、穿透力极强的Byshell木马

　　Byshell是一个无进程、无DLL、无启动项的、集多种Rootkit技术特征的独立功能远程控制后门程序 (Backdoor)。其利用线程注射DLL到系统进程，解除DLL映射并删除自身文件和启动项，关机时恢复。它是内核级的木马程序，主要部分工作在 Ring0，因此有很强的隐蔽性和杀伤力。

　　1.配置Byshell木马服务端

　　要想配置Byshell木马服务端，我们首先打开下载到本地的“Byshell客户端”程序，在所弹出的“监听端口”对话框内，输入其木马想要监听的端口，默认设置为2007(如图1)。

图1

　　修改完毕后，进入到“Byshell木马客户端”界面，在顶端的工具栏内，单击“配置服务端”按钮，此时就会打开“配置服务端”的对话框(如图2)。

图2

　　在“IP通知地址”标签处，输入自己空间的访问地址，“IP或者DNS域名”标签，则输入自己的本机IP，另外 客户端口输入的数字，要与此前设置的监听端口一致，否则会出现肉鸡无法上线的情况。然后在单击“生成”按钮，在弹出的“另存为”对话框内，选择好所要生成 的路径，单击“确定”按钮，就可使其服务端生成完毕。

　　2.让主动防御纷纷落马

　　为了能够测试Byshell木马的威力，我们这里打开杀毒软件的所有“主动防御”选项，并且将其安全级别提高到 最高，然后在运行一下刚生成好的Byshell木马服务端，此时你会发现杀毒软件竟然将它的启动视而不见，并且在客户端还可以看到中招的机器上线。如果你想对肉鸡进行控制，我们可以选择其上线的机器，然后在上方单击工具栏里的“相关”按钮，如这里单击“文件管理”按钮，就可打开被控制机器的“文件管理”对 话框，从中我们可以查阅该肉鸡里的所有硬盘文件。另外最后要想卸载掉远程服务端，只要在“客户端”界面内，右击上线肉鸡IP栏，选择“远程卸载”选项，就 可将其服务端从受害者系统里摘除。

　　总结：其实Byshell木马通过对当前系统的SSDT表进行破坏，所使用系统原来的SSDT表覆盖现在的SSDT表，才使杀毒软件的主动防御功能实效的。如果你想从数据上了解Byshell木马的穿透，可以使用 Wsyscheck等工具查看系统中的SSDT表，这样就会清楚的看见杀毒软件在正常情况下，与被木马穿透的表是不同的了。

　　

　　二、上线速度超快的暗组远控木马

　　暗组远控木马，是一款体积非常小的控制软件，并且它还具备着较强的穿透防火墙和杀毒软件的主动防御能力。另外由于这款软件很偏门，一般人都不太知道，所以其所生成的最新服务端，无须进行加密就可以逃脱一些杀毒软件的查杀。

　　1. 利用客户端生成服务端

　　由于暗组远控软件功能不是很强大，所以客户端界面很简单，主要有顶端三个功能按钮，如：“生成服务端、设置、监 听”按钮构成，很适合新手操作。另外暗组远控木马与其他同类软件一样，也是通过其客户端来生成服务端。这里我们依然在其客户端界面内，单击“生成服务端” 按钮，此时在弹出的“生成服务端”对话框内(如图3)。

图3

　　新手只要在上线域名那里换成自己的固定IP地址，然后单击“生成”按钮，选择好保存路径就可将其生成成功了。

　　2. 偏门木马杀毒软件不易发现

　　之前笔者已经说过了，貌似这种不出名的木马，即使有时不加密也不会被查杀掉，而像灰鸽子、黑洞等名声在外的木马，即使加密也用不了多久。因此我们只要通过欺骗QQ好友看照片的手段，让他(她)运行配置好的木马服务端，然后单击“开始监听”按钮，其主机就会立刻在 客户端上线了(如图4)。

 

图4

　　此时你只要选择该上线的肉鸡，就可以对相关肉鸡进行远程控制，而具体控制功能都集成在了右键上面，大家可以根据需要进行选择即可。

　　总结：暗组远控木马与Rdmin差不多，其不仅可以观看到操作者的一举一动，就连其桌面的也可一同进行控制，这要比前者介绍的Byshell好的多。另外如果你想为自己的网站刷流量，还可以通过右键启动看看增加批量打开网站，从而可以为自己的网站获取更多的点击率。

　　　三、新兴的东南网安远程控制软件

　　东南网安远程控制是由东南大学网络安全联盟，开发的一款远程控制软件，其界面友好简单，左侧有一排错落有致的功能按钮，我要想对肉鸡进行控制，只需使用这几个按钮便可完成操作(如图5)。

图5

　　1. 配置木马服务端

　　打开“客户端”程序，默认选择的是左侧“上线主机”标签，由于还有配置服务端程序，所以更谈不上有肉鸡上线。因 此这里单击“配置服务端”标签，在所显示的界面内，根据标签的提示信息，将自己电脑信息输入便可，然后单击“生成”按钮，此配置的服务端，就会自动生成在 该软件的同一目录下，并且默认服务端名称为SEU_server。然后以各种欺骗的手段或者其他方法让受害人运行，这样其主机才会在客户端显示上线(如图 6)。

图6

　　2.远程操控肉鸡

　　我们在其上方右击，可以选择里面的快捷功能进行操控。当然像有些功能如：“文件传输、屏幕监控、DOS命令、进 程管理”，左侧功能栏都有。如果你不喜欢在快捷功能里选择，可以在左侧功能标签里选择，比如单击“文件传输”标签，可以对其远程肉鸡的硬盘文件进行查阅。 屏幕监控，就可非常直观的看到其肉鸡受害人的操作。DOS命令可以通过命令的形式，创建用户开启服务等等实施更进一步的入侵。进程管理可以查询当前肉鸡 上，所有运行的程序进程。

　　总结：东南网安远程控制软件，虽然没有特别突出的地方，但是其稳定的远程控制能力，和集成了很多控制软件的特点，还是受到了很多黑客迷的喜爱。只不过唯一美中不足的是屏幕监控，所截取的图像有点失真。

　　

　　四、远程控制航母Gh0st RAT

　　Gh0st RAT有着远程控制航母的称号，它可以最多容纳上万台肉鸡同时上线，这是很多同类软件达不到的事情，因此这个称号也并不夸张。另外该软件是一款共享免费类的软件，并且其作者为了大家着想，不保留版权可由黑客迷们自由修改。

　　打开“Gh0st RAT客户端”软件，你会发现与其他同类软件不同的是，它的功能标签都在下方，并且是以英文形式表达(如图7)。

图7

　　默认选择的是下方“Connections”标签，这里显示的是肉鸡上线界面。而后面的“Settinas”标签，则显示“服务端的配置”界面，我们切入此标签，只要把上线主机IP更改成自己的IP地址，其他选项保持默认。然后选择“Build”标签，在显示的界 面上方，将“Settinas”标签里的上线字符串，复制到“域名上线字符串”标签，或者勾选“启用”按钮，在其前方输入HTTP上线网址后，单击生成 “服务端”按钮，在弹出的“另存为”对话框内，选择好所要存储服务端的路径即可。

　　同样以想方设法将其服务端让受害者运行，然后你回到“Connections”标签，就可看到其运行服务端的肉鸡上线了。并且肉鸡的IP地址、计算机名、使用的操作系统，以及有无摄像头的信息，也同时会被显示出来(如图8)。

图8

　　为了操控这台肉鸡，笔者在该显示肉鸡栏的上方右击，在弹出的“快捷”菜单内，选择“文件管理”选项，可以非常直 观的看到本地和外地的盘符，如果此时你想自己本地盘符的文件，上传到被控制肉鸡的盘符里，你只需将其传输的文件选中，直接拖拽或者复制粘贴到肉鸡盘即可，无需像其他同类软件那样，还需使用复杂的命令进行上传。

 

　　小提示：屏幕监视： 此模块全用汇编编写，其特点控制屏幕且传输速度快，而且有7种色彩显示方式。

　　键盘记录：可记录中英文信息，离线记录(记录上限50M)功能

　　远程终端：一个简单shell

　　系统管理：进程管理，窗口管理，拨号上网密码获取

　　视频监控;监控远程摄像头

　　会话管理：注销，重启，关机，卸载服务端

　　其它功能 ：下载执行指定URL中的程序，隐藏或者显示访问指定网址，清除系统日志

　　地址位置：将IP数据库文件QQWry.Dat放置程序同目录下即可显示地理位置

　　集群控制：可同时控制多台主机，同时打开视频监控等管理功能

　　总结：Gh0st RAT控制端采用IOCP模型，并且数据传输采用zlib压缩方式稳定快速，其上线肉鸡数量无上限，可同时控制上万台主机。另外其控制端还能自动检测CPU使用率，且调整自己的工作线程，从而可以更稳定更高效。

　　

　　五、黑客防线新一代远控pcshare

　　黑客防线新一代远控pcshare软件，是一款标准的远程管理软件，用于远程计算机管理维护，具有相当的产品特性，涵盖了各种远程管理软件的功能。

　　打开“pcshare软件”客户端程序，如果此时你想对木马服务端程序进行配置，只要在上方单击“设置”菜单， 选择“生成客户端”选项，此时就会弹出的“被控制端执行程序参数”对话框。我们在“IP地址”标签内，输入自己的固定IP地址，如果没有固定IP地址，可 以上希网域名注册一个动态域名，然后将其本机的IP配置进去。在将其动态域名，输入到“IP地址”标签内，也可达到相同效果(如图9)。

图9

　　其他选项保持默认，而后单击“生成”按钮，与其他软件一样选择好生成服务端路径，便可成功生成其木马服务端了。

　　操作完毕后，将其生成的服务端，运行在受害主机上，这样你就可以在“客户端”界面的普通客户组里，看到被控制的肉鸡上线了(如图10)。

图10

　　这里选择上线的肉鸡，上方一排功能按钮，就会变为可用状态，“文件管理”、“屏幕监控”、“超级终端”、“键盘 监控”、“注册表管理”、“服务管理”、“窗口管理”，与其他同类软件的相应功能基本相同，这里也就不多加介绍了。不过与其他软件不同的是，黑防软件提供了“音视频监控”功能，可通过其不仅能观看到的摄像头视频，而且还可以监听且记录里面的声音。另外如果你喜欢，还可以将其视频里的图像，以录像的形式保存到本地硬盘里，从而可以避免在没有时间观看的情况下，而落掉肉鸡主人的某个或者某段动作。

　　除了以上这些按钮的功能外，肉鸡还提供了“开肉鸡代理”的功能，我们只要右击想要开通的上线肉鸡，选择“开 (关)客户代理”选项，在弹出的“开启被控制端代理服务”对话框内，输入代理服务的端口，默认是1080。操作完毕后，勾选“启用Scoks5代理服务器用户/密码”复选框，并且将其想要设定的Scoks5代理服务账号和密码输入，在单击“确定”按钮，就可立即开启肉鸡的代理服务功能。另外如果要想将本地 文件上传到肉鸡上，还需右击其受害的上线主机，在依次选择“广播命令到肉鸡端”→“肉鸡执行指定上传程序”选项，在弹出的“上传执行指定文件”对话框内，选择想要上传的文件，便可单击“确定”按钮，执行上传(如图11)。

图11

　　另外肉鸡更新指定客户端，就是对木马服务端的升级，以防止被杀毒软件认出来。强制肉鸡访问指定页，则可以强行肉鸡访问我们指定的网站。肉鸡下载执行连接和发送消息到肉鸡端，顾名思仪就是强行下载和发送消息给受害者的功能。

　　总结：黑客防线新一代远控pcshare软件，具有高效率穿透防火墙的功能，采取独特的技术穿透防火墙，并且提供了自动辨别和人工设置的方式，可以通过默认浏览器、Svchost.exe轻松穿透防火墙。另外更可怕的是它还具有驱动隐藏和保护的功能，能够隐藏本身的文件和进程，即使用户通过Netstat –n的命令，也是看不到其连接的。 还有就是当自身服务被删除或者禁止时，被控制端会自行修复，从而做到了只有控制台的管理员才能进行卸载。

　　六、盗版灰鸽子——落学远程协助系统

　　落学远程协助系统，是一款能够通过Internet网、局域网进行计算机的远程监控管理软件，操作直观简便而功能强大，即使是使用电脑的新手也可以轻松上手。该程序可用于公司管理层对员工计算机的监控、家长对子女使用计算机的监控、家与单位的计算机间的监控等方面。

　　打开“落学远程协助系统”界面，让笔者大吃一惊的是，它怎么跟大名鼎鼎的灰鸽子远程木马，长的这么像(如图12)。

图12

　　相信如果没有落学远程协助系统标志，大家也一定会认错吧。言归正传，老规矩生成服务端，单击上方“配置服务端” 程序，在弹出的“服务器配置”对话框内，默认切入的是“自动上线”标签，在其内部将DNS解析域名处，输入以上我们申请的希望动态域名，关于如何配置动态 域名，在前面已经说过了这里就不重复讲解了。然后选择好上线的图标，分别切入至“安装信息”、“启动项目”标签，将里面安装，以及服务名称信息，修改成与 系统文件相近的信息，这样可以达到迷惑肉鸡主人的目的，别忘了单击“生成服务端”按钮，就可立即在其软件的同一目录下，生成一个服务端程序。

　　同样想方设法让网友们运行其服务端，或者在你成功入侵电脑主机后，将其强行运行也可。当然这里不排除有很多朋友，在配置上没有任何问题，受害人的主机也已中招，可是客户端界面就不显示肉鸡上线的问题。其实出现这种问题的原因很简单，无非就是客户端域名和服务端域 名没有同步，我们只要在“客户端”程序界面里，单击上方“自动上线”按钮，切入至“希望动态域名更新IP”标签，将刚才配置添入的动态域名，及其用户名和密码输入进去，最后单击更新IP到希网域名按钮，就可看到中招的主机上线。

　　总结：落学远程协助系统是一款很大众化的软件，可以说它的控制功能，几乎每款远程控制软件都具备，而且自动上线那里，有时还需要自行调解很麻烦。当然有不好的一面，也会有好一面，首先说一下界面直观简单，很适合新手操作，另外它使用了内核驱动恢复SSDT技术，可 以穿越主动防御拦截，并且无DLL文件插入系统进程，还可以过防火墙的拦截，在不考虑免不免杀的情况下，这款软件绝对是黑客们必备利器之一。

原文地址：http://www.qudong.com/soft/safe/hacker/20080411/6956.html