远程控制---实验十：灰鸽子远控软件使用实验

二、实验原理

三、实验环境

四、实验步骤及内容

实验步骤一

实验步骤二：灰鸽子体验

五、实验总结

六、分析与思考

一、实验目的及要求

1、掌握经典远控木马的原理

2、掌握“灰鸽子”木马的使用方法

二、实验原理

“灰鸽子”是现在网络上非常流行的一种木马，由两部分组成，一是控制端（主程序），一是服务端（也叫受控端）。任一部分都会被主流的杀毒软件查杀，但随着其不断衍生新的变种和一些免杀技巧经常绕过一些主动防御软件，使得用户防不胜防。

灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型（如等待连接还是主动连接）、主动连接时使用的公网IP（域名）、连接密码、使用的端口、启动项名称、服务名称，进程隐藏方式，使用的壳，代理，图标等等。

“灰鸽子”的服务端是由控制端主程序配置自动生成，黑客在配置自动上线的时候一般会用到ftp自动上线和动态域名解析两种手法，目的是让鸽子以后每天都会自动上线，而不受自身IP改变的影响。当配置好服务端后，黑客会利用一切可能的手段达到入侵的目的，当用户电脑“中马”后，黑客就会拥有用户电脑的最高管理权限，包括随意修改、窃取用户电脑的文件，监控电脑的键盘和屏幕、摄像头等等。

配置出来的服务端文件文件名为G_Server.exe（这是默认的，当然也可以改变）。然后黑客利用一切办法诱骗用户运行G_Server.exe程序。

G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录，2k/NT下为系统盘的Winnt目录)，然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端， G_Server_Hook.dll负责隐藏灰鸽子。通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项，甚至是进程中的模块名。截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。所以，有些时候用户感觉中了毒，但仔细检查却又发现不了什么异常。有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意，G_Server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll。

Windows目录下的G_Server.exe文件将自己注册成服务（9X系统写注册表启动项），每次开机都能自动运行，运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能，与控制端客户端进行通信；G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此，中毒后看不到病毒文件，也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G_Server_Hook.dll有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中。 

三、实验环境

Windows 机器两台。

网络拓扑见下图：

控制端IP：10.1.1.228，被控端IP：10.1.1.40

四、实验步骤及内容

实验步骤一

打开两台Windows 实验台，运行 Windows xp系统。（请提前关闭双方防火墙）

控制端环境准备

1. 安装HTTP服务器

双击，直接“下一步”即可，如图所示。

运行HTTP服务器，点击“Start”按钮。

HTTP服务器启动成功：

（2）配置FTP服务器

解压FtpServer压缩包，双击

进行如下配置：侦听端口：21；最大连接：100；账户名称及密码：自行填写；访问目录：为HTTP服务器根目录；

设置好后点击“启动服务”。

（3）生成被控端（即服务器程序）

解压20081119压缩包，双击

点击“更新IP”进行设置，FTP服务器：填写本机地址，端口：默认；

用户名及密码：填写FTP服务器设置的用户名及密码；存放IP的文件：默认；IP文件内容：默认；

最后点击“更新IP到FTP空间”。

查看是否更新成功：

配置鸽子：点击“配置服务器”，IP：填写http://本地IP地址/ip.txt；安装路径：Windows目录；

安装名称：H_Srver.exe；连接密码：1234；上线分组：在线主机。

点击“生成服务端”，将服务端程序放到指定目录，再次点击“生成服务端”

至此，成功生成服务端程序，将服务端程序拷贝至被控端实验台（本实验中使用文件共享的方式）。双击运行然后启动Internet Explorer浏览器。会听到“有主机上线，请注意”语音；输入连接密码1234，然后点击“应用改变”。至此，主控端和被控端连接成功。

至此，主控端和被控端连接成功。

实验步骤二：灰鸽子体验

（1）屏幕监控

在主控端右击当前在线主机，选择“屏幕监控”，点击“启动”，即可监控被控端屏幕，被控端屏幕如下：

主控端屏幕如下：

（2）设备监控

右键选择“设备监控”，可进行视频读取、语音监听等操作。

（3）系统信息

右键选择“系统信息”，可查看被控端系统信息。

（4）注册表管理

右键选择“注册表管理”

可以对注册表进行新增、删除、重命名等操作：

（5）进程管理

右键选择“进程管理”

可以查看和终止进程：

（6）窗口管理

右键选择“窗口管理”，可对被控端窗口进行管理。

（7）服务管理

右键选择“服务管理”，可对服务进行查看、启动、停止、删除、设置等操作。

（8）CMD操作

右键选择“CMD操作”，输入cmd命令可显示结果。

（9）远程下载文件到本地

右键选择“文件管理”，找到一个文件或文件夹，右键选择“文件（夹）下载至本地”，即可下载被控端文件。

五、实验总结

通过这次实验我们对灰鸽子木马进行了相应操作，对他服务端进行相应配置，然后对受控端进行屏幕监控，设备监控，系统信息，注册表管理，进程管理，窗口管理，服务管理，cmd操作，远程文件下载，从而随意窃取受控机的信息，文件。

六、分析与思考

思考灰鸽子木马的实现原理

灰鸽子是国内一个著名的 后门程序。灰鸽子变种木马运行后，会自我复制到Windows目录下，并自行将安装程序删除。修改注册表，将病毒文件注册为服务项实现开机自启。 木马程序还会注入所有的进程中，隐藏自我，防止被 杀毒软件查杀。自动开启IE浏览器，以便与外界进行通信，侦听黑客指令，在用户不知情的情况下连接黑客指定站点，盗取用户信息、下载其它特定程序。