Compute-eye
articles
灰鸽子是一款优秀的远程控制软件、翻墙代理软件,但刚出来时由于设计缺陷被黑客恶意利用,成为一款远程控制木马程序。因而也是国内一款著名后门。比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。
我们通过灰鸽子就可以生成一个木马程序,将此木马程序发送到远程计算机,一旦对方运行该文件就可以实现对它的远程控制。该文就详细介绍灰鸽子是如何实现远程控制的。
为了让大家更好的理解这款病毒,先说一下几个概念。
1) 网络病毒
计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。
2) 网络木马
木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名,顾名思义就是一种伪装潜伏的网络病毒。
传染方式:通过电子邮件附件发出,捆绑在其他的程序中。
病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。
木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等非法操作。
3) 外网和内网
外网:通过ISP连接到INTERNET,拥有固定的公网IP,称之为外网。
内网:内网就是局域网,网吧、校园网、单位办公网都属于此类。另外光纤到楼、小区宽带、教育网、有线电视Cable Modem上网虽然地域范围比较大但本质上还是基于以太网技术,所以仍然属于内网。
内网也叫私网地址如下:
IP等级 IP位置
Class A 10.0.0.0-10.255.255.255
Class B 172.16.0.0-172.31.255.255
Class C 192.168.0.0-192.168.255.255
子网掩码一般设为:255.255.255.0
内网是可以上网的,内网需要一台服务器或路由器做网关,通过它来上网。
4) 端口
计算机"端口"是英文port的译义,可以认为是计算机与外界通讯交流的出口。端口可以分为三类:(1)公认端口(WellKnownPorts):从0到1023,它们紧密绑定(binding)于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如:80端口实际上总是HTTP通讯。(2)注册端口(RegisteredPorts):从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口,这些端口同样用于许多其它目的。例如:许多系统处理动态端口从1024左右开始。(3)动态和/或私有端口(Dynamicand/orPrivatePorts):从49152到65535。理论上,不应为服务分配这些端口。实际上,机器通常从1024起分配动态端口。但也有例外:SUN的RPC端口从32768开始。
5) FTP(文件传输协议)
FTP(File Transfer Protocol),是文件传输协议的简称。用于Internet上的控制文件的双向传输。同时,它也是一个应用程序(Application)。用户可以通过它把自己的PC机与世界各地所有运行FTP协议的服务器相连,访问服务器上的大量程序和信息。FTP的主要作用,就是让用户连接上一个远程计算机(这些计算机上运行着FTP服务器程序),察看远程计算机有哪些文件,然后把文件从远程计算机上拷到本地计算机,或把本地计算机的文件送到远程计算机去。
灰鸽子客户端和服务端都是采用Delphi编写。用户利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型(如等待连接还是主动连接)、主动连接时使用的公网IP(域名)、连接密码、使用的端口、启动项名称、服务名称,进程隐藏方式,使用的壳,代理,图标等。服务端对客户端连接方式有多种,使得处于各种网络环境的用户都可能中毒,包括局域网用户(通过代理上网)、公网用户和ADSL拨号用户等。
灰鸽子分为服务端——肉鸡,控制端——我们的电脑,为例。
服务端是以8000端口上线的,所以我们的电脑——控制端要打开8000端口。
当我们打开控制端时,8000端口也就随之打开,等待肉鸡的连接。服务端(肉鸡)并不是看到哪台电脑开放8000端口,就连接哪台电脑的,它只会连接指定IP 的8000端口,而这个IP 就是我们给服务端事先设好的。我们通过灰鸽子这个软件可以生成一种木马,然后通过各种手段(如论坛、QQ、博客等)传播给其他的网络用户,只要他打开这个木马程序,同时他又开放了8000端口,那么他就成为我们的服务端,我们的木马,也可以称为鸽子就会按照我们所配置的信息找到我们电脑的IP地址,同时同我们的电脑相连接,从而完成远程控制。
以上就是我们入侵所必须了解的几个重要概念和灰鸽子远程入侵的原理,下面我们就以一次远程入侵实例来了解一下灰鸽子。
3.1 需要的工具
1) fpt 空间,flashFTP软件;
2) 一个动态域名;
3) 灰鸽子远程控制软件;
4) 快乐行网络加速器。
3.2 实际操作
第一步,因为我们所处的是内网,一般情况下内网是不可以直接上线的。内网上线的方法有两种,第一种是通过路由做端口映射,但通常情况下我们并没有路由权限。所以我们只有用第二种,通过第三方的软件获取一个公网IP,这种软件可以是苹果茶等,这里我们所用的是快乐行网络加速器。下面我们打开网络加速器,并且登录,如图1所示。
大家可以看到,我们现在有了一个公网IP:123.130.241.182,我们本机的内网IP是192.168.0.15.
第二步,我们登录希网去更新一下目前的IP,打开浏览器,输入WWW.3322.org,打开希网的主页,选择域名管理,选取自己的动态域名,将自己的内网IP填好后点确定完成更新。
第三步,前面提到过,我们现在有了一个公网的IP,现在我们就将我们这个地址想办法告诉我们即将配置生成的鸽子,我用的方法是,将自己的公网IP上传到FTP空间中。下面就来设置一下“自动上线”,点灰鸽子面板上的自动上线,将自己的FTP账号和密码输入进去,FTP的默认端口号为21,因为为灰鸽子服务的端口号为8000端口,所以在“IP文件内容”中输入“123.130.241.182:8000”。
第四步,打开灰鸽子远程控制软件,点“配置服务程序”在自动上线设置中输入动态域名”www.wfwyc123@3322.org”因为我们是采用动态域名来上线的,在其他的几个项中,我们可以根据自己喜欢的设置来进行填写。
第五步,点击生成服务器,这样在桌面上就生成了一个木马程序,就是我们俗称的鸽子。我们将它通过qq发给我的好友来验证一下。
好了,通过上面的几步,我想结果出来了,肉鸡上线了。
这样我们就可以监控肉鸡的屏幕、视频监控、修改注册表、记录对方键盘等等,从而实现对对方电脑的远程控制。
4 结论
我们通过对灰鸽子内网入侵实例的分析,让大家对这款软件的工作原理有了初步的了解,从而在一定程度上帮助大家预防计算机病毒。
悟空监控软件系统,拥有更加强大的远程控制功能,但它不同于灰鸽子,它是一款正规的企业局域网监控软件,不是后门,有著作权证书,通过微软认证;而且它拥有灰鸽子远没有的监视历史记录功能和上网行为管理功能,是一款功能强大而完善的正规企业管理监控软件,欢迎免费下载试用。