一、穿透力極強的Byshell木馬
Byshell是一個無進程、無DLL、無啟動項的、集多種Rootkit技術特征的獨立功能遠程控制后門程序(Backdoor)。其利用線程注射DLL到系統進程,解除DLL映射并刪除自身文件和啟動項,關機時恢復。它是內核級的木馬程序,主要部分工作在Ring0,因此有很強的隱蔽性和殺傷力。
1.配置Byshell木馬服務端
要想配置Byshell木馬服務端,我們首先打開下載到本地的“Byshell客戶端”程序,在所彈出的“監聽端口”對話框內,輸入其木馬想要監聽的端口,默認設置為2007(如圖1)。
圖1
修改完畢后,進入到“Byshell木馬客戶端”界面,在頂端的工具欄內,單擊“配置服務端”按鈕,此時就會打開“配置服務端”的對話框(如圖2)。
圖2
在“IP通知地址”標簽處,輸入自己空間的訪問地址,“IP或者DNS域名”標簽,則輸入自己的本機IP,另外客戶端口輸入的數字,要與此前設置的監聽端口一致,否則會出現肉雞無法上線的情況。然后在單擊“生成”按鈕,在彈出的“另存為”對話框內,選擇好所要生成的路徑,單擊“確定”按鈕,就可使其服務端生成完畢。
2.讓主動防御紛紛落馬
為了能夠測試Byshell木馬的威力,我們這里打開殺毒軟件的所有“主動防御”選項,并且將其安全級別提高到最高,然后在運行一下剛生成好的Byshell木馬服務端,此時你會發現殺毒軟件竟然將它的啟動視而不見,并且在客戶端還可以看到中招的機器上線。如果你想對肉雞進行控制,我們可以選擇其上線的機器,然后在上方單擊工具欄里的“相關”按鈕,如這里單擊“文件管理”按鈕,就可打開被控制機器的“文件管理”對話框,從中我們可以查閱該肉雞里的所有硬盤文件。另外最后要想卸載掉遠程服務端,只要在“客戶端”界面內,右擊上線肉雞IP欄,選擇“遠程卸載”選項,就可將其服務端從受害者系統里摘除。
總結:其實Byshell木馬通過對當前系統的SSDT表進行破壞,所使用系統原來的SSDT表覆蓋現在的SSDT表,才使殺毒軟件的主動防御功能實效的。如果你想從數據上了解Byshell木馬的穿透,可以使用Wsyscheck等工具查看系統中的SSDT表,這樣就會清楚的看見殺毒軟件在正常情況下,與被木馬穿透的表是不同的了。
二、上線速度超快的暗組遠控木馬
暗組遠控木馬,是一款體積非常小的控制軟件,并且它還具備著較強的穿透防火墻和殺毒軟件的主動防御能力。另外由于這款軟件很偏門,一般人都不太知道,所以其所生成的最新服務端,無須進行加密就可以逃脫一些殺毒軟件的查殺。
1. 利用客戶端生成服務端
由于暗組遠控軟件功能不是很強大,所以客戶端界面很簡單,主要有頂端三個功能按鈕,如:“生成服務端、設置、監聽”按鈕構成,很適合新手操作。另外暗組遠控木馬與其他同類軟件一樣,也是通過其客戶端來生成服務端。這里我們依然在其客戶端界面內,單擊“生成服務端”按鈕,此時在彈出的“生成服務端”對話框內(如圖3)。
圖3
新手只要在上線域名那里換成自己的固定IP地址,然后單擊“生成”按鈕,選擇好保存路徑就可將其生成成功了。
#p#副標題#e#
2. 偏門木馬殺毒軟件不易發現
之前筆者已經說過了,貌似這種不出名的木馬,即使有時不加密也不會被查殺掉,而像灰鴿子、黑洞等名聲在外的木馬,即使加密也用不了多久。因此我們只要通過欺騙QQ好友看照片的手段,讓他(她)運行配置好的木馬服務端,然后單擊“開始監聽”按鈕,其主機就會立刻在客戶端上線了(如圖4)。
圖4
此時你只要選擇該上線的肉雞,就可以對相關肉雞進行遠程控制,而具體控制功能都集成在了右鍵上面,大家可以根據需要進行選擇即可。
總結:暗組遠控木馬與Rdmin差不多,其不僅可以觀看到操作者的一舉一動,就連其桌面的也可一同進行控制,這要比前者介紹的Byshell好的多。另外如果你想為自己的網站刷流量,還可以通過右鍵啟動看看增加批量打開網站,從而可以為自己的網站獲取更多的點擊率。
三、新興的東南網安遠程控制軟件
東南網安遠程控制是由東南大學網絡安全聯盟,開發的一款遠程控制軟件,其界面友好簡單,左側有一排錯落有致的功能按鈕,我要想對肉雞進行控制,只需使用這幾個按鈕便可完成操作(如圖5)。
圖5
1. 配置木馬服務端
打開“客戶端”程序,默認選擇的是左側“上線主機”標簽,由于還有配置服務端程序,所以更談不上有肉雞上線。因此這里單擊“配置服務端”標簽,在所顯示的界面內,根據標簽的提示信息,將自己電腦信息輸入便可,然后單擊“生成”按鈕,此配置的服務端,就會自動生成在該軟件的同一目錄下,并且默認服務端名稱為SEU_server。然后以各種欺騙的手段或者其他方法讓受害人運行,這樣其主機才會在客戶端顯示上線(如圖6)。
圖6
2.遠程操控肉雞
我們在其上方右擊,可以選擇里面的快捷功能進行操控。當然像有些功能如:“文件傳輸、屏幕監控、DOS命令、進程管理”,左側功能欄都有。如果你不喜歡在快捷功能里選擇,可以在左側功能標簽里選擇,比如單擊“文件傳輸”標簽,可以對其遠程肉雞的硬盤文件進行查閱。屏幕監控,就可非常直觀的看到其肉雞受害人的操作。DOS命令可以通過命令的形式,創建用戶開啟服務等等實施更進一步的入侵。進程管理可以查詢當前肉雞上,所有運行的程序進程。
總結:東南網安遠程控制軟件,雖然沒有特別突出的地方,但是其穩定的遠程控制能力,和集成了很多控制軟件的特點,還是受到了很多黑客迷的喜愛。只不過唯一美中不足的是屏幕監控,所截取的圖像有點失真。
四、遠程控制航母Gh0st RAT
Gh0st RAT有著遠程控制航母的稱號,它可以最多容納上萬臺肉雞同時上線,這是很多同類軟件達不到的事情,因此這個稱號也并不夸張。另外該軟件是一款共享免費類的軟件,并且其作者為了大家著想,不保留版權可由黑客迷們自由修改。
打開“Gh0st RAT客戶端”軟件,你會發現與其他同類軟件不同的是,它的功能標簽都在下方,并且是以英文形式表達(如圖7)。
圖7
默認選擇的是下方“Connections”標簽,這里顯示的是肉雞上線界面。而后面的“Settinas”標簽,則顯示“服務端的配置”界面,我們切入此標簽,只要把上線主機IP更改成自己的IP地址,其他選項保持默認。然后選擇“Build”標簽,在顯示的界面上方,將“Settinas”標簽里的上線字符串,復制到“域名上線字符串”標簽,或者勾選“啟用”按鈕,在其前方輸入HTTP上線網址后,單擊生成“服務端”按鈕,在彈出的“另存為”對話框內,選擇好所要存儲服務端的路徑即可。
#p#副標題#e#
同樣以想方設法將其服務端讓受害者運行,然后你回到“Connections”標簽,就可看到其運行服務端的肉雞上線了。并且肉雞的IP地址、計算機名、使用的操作系統,以及有無攝像頭的信息,也同時會被顯示出來(如圖8)。
圖8
為了操控這臺肉雞,筆者在該顯示肉雞欄的上方右擊,在彈出的“快捷”菜單內,選擇“文件管理”選項,可以非常直觀的看到本地和外地的盤符,如果此時你想自己本地盤符的文件,上傳到被控制肉雞的盤符里,你只需將其傳輸的文件選中,直接拖拽或者復制粘貼到肉雞盤即可,無需像其他同類軟件那樣,還需使用復雜的命令進行上傳。
小提示:屏幕監視: 此模塊全用匯編編寫,其特點控制屏幕且傳輸速度快,而且有7種色彩顯示方式。
鍵盤記錄:可記錄中英文信息,離線記錄(記錄上限50M)功能
遠程終端:一個簡單shell
系統管理:進程管理,窗口管理,撥號上網密碼獲取
視頻監控;監控遠程攝像頭
會話管理:注銷,重啟,關機,卸載服務端
其它功能 :下載執行指定URL中的程序,隱藏或者顯示訪問指定網址,清除系統日志
地址位置:將IP數據庫文件QQWry.Dat放置程序同目錄下即可顯示地理位置
集群控制:可同時控制多臺主機,同時打開視頻監控等管理功能
總結:Gh0st RAT控制端采用IOCP模型,并且數據傳輸采用zlib壓縮方式穩定快速,其上線肉雞數量無上限,可同時控制上萬臺主機。另外其控制端還能自動檢測CPU使用率,且調整自己的工作線程,從而可以更穩定更高效。
五、黑客防線新一代遠控pcshare
黑客防線新一代遠控pcshare軟件,是一款標準的遠程管理軟件,用于遠程計算機管理維護,具有相當的產品特性,涵蓋了各種遠程管理軟件的功能。
打開“pcshare軟件”客戶端程序,如果此時你想對木馬服務端程序進行配置,只要在上方單擊“設置”菜單,選擇“生成客戶端”選項,此時就會彈出的“被控制端執行程序參數”對話框。我們在“IP地址”標簽內,輸入自己的固定IP地址,如果沒有固定IP地址,可以上希網域名注冊一個動態域名,然后將其本機的IP配置進去。在將其動態域名,輸入到“IP地址”標簽內,也可達到相同效果(如圖9)。
圖9
其他選項保持默認,而后單擊“生成”按鈕,與其他軟件一樣選擇好生成服務端路徑,便可成功生成其木馬服務端了。
操作完畢后,將其生成的服務端,運行在受害主機上,這樣你就可以在“客戶端”界面的普通客戶組里,看到被控制的肉雞上線了(如圖10)。
圖10
#p#副標題#e#
這里選擇上線的肉雞,上方一排功能按鈕,就會變為可用狀態,“文件管理”、“屏幕監控”、“超級終端”、“鍵盤監控”、“注冊表管理”、“服務管理”、“窗口管理”,與其他同類軟件的相應功能基本相同,這里也就不多加介紹了。不過與其他軟件不同的是,黑防軟件提供了“音視頻監控”功能,可通過其不僅能觀看到的攝像頭視頻,而且還可以監聽且記錄里面的聲音。另外如果你喜歡,還可以將其視頻里的圖像,以錄像的形式保存到本地硬盤里,從而可以避免在沒有時間觀看的情況下,而落掉肉雞主人的某個或者某段動作。
除了以上這些按鈕的功能外,肉雞還提供了“開肉雞代理”的功能,我們只要右擊想要開通的上線肉雞,選擇“開(關)客戶代理”選項,在彈出的“開啟被控制端代理服務”對話框內,輸入代理服務的端口,默認是1080。操作完畢后,勾選“啟用Scoks5代理服務器用戶/密碼”復選框,并且將其想要設定的Scoks5代理服務賬號和密碼輸入,在單擊“確定”按鈕,就可立即開啟肉雞的代理服務功能。另外如果要想將本地文件上傳到肉雞上,還需右擊其受害的上線主機,在依次選擇“廣播命令到肉雞端”→“肉雞執行指定上傳程序”選項,在彈出的“上傳執行指定文件”對話框內,選擇想要上傳的文件,便可單擊“確定”按鈕,執行上傳(如圖11)。
圖11
另外肉雞更新指定客戶端,就是對木馬服務端的升級,以防止被殺毒軟件認出來。強制肉雞訪問指定頁,則可以強行肉雞訪問我們指定的網站。肉雞下載執行連接和發送消息到肉雞端,顧名思儀就是強行下載和發送消息給受害者的功能。
總結:黑客防線新一代遠控pcshare軟件,具有高效率穿透防火墻的功能,采取獨特的技術穿透防火墻,并且提供了自動辨別和人工設置的方式,可以通過默認瀏覽器、Svchost.exe輕松穿透防火墻。另外更可怕的是它還具有驅動隱藏和保護的功能,能夠隱藏本身的文件和進程,即使用戶通過Netstat –n的命令,也是看不到其連接的。 還有就是當自身服務被刪除或者禁止時,被控制端會自行修復,從而做到了只有控制臺的管理員才能進行卸載。
六、盜版灰鴿子——落學遠程協助系統
落學遠程協助系統,是一款能夠通過Internet網、局域網進行計算機的遠程監控管理軟件,操作直觀簡便而功能強大,即使是使用電腦的新手也可以輕松上手。該程序可用于公司管理層對員工計算機的監控、家長對子女使用計算機的監控、家與單位的計算機間的監控等方面。
打開“落學遠程協助系統”界面,讓筆者大吃一驚的是,它怎么跟大名鼎鼎的灰鴿子遠程木馬,長的這么像(如圖12)。
圖12
相信如果沒有落學遠程協助系統標志,大家也一定會認錯吧。言歸正傳,老規矩生成服務端,單擊上方“配置服務端”程序,在彈出的“服務器配置”對話框內,默認切入的是“自動上線”標簽,在其內部將DNS解析域名處,輸入以上我們申請的希望動態域名,關于如何配置動態域名,在前面已經說過了這里就不重復講解了。然后選擇好上線的圖標,分別切入至“安裝信息”、“啟動項目”標簽,將里面安裝,以及服務名稱信息,修改成與系統文件相近的信息,這樣可以達到迷惑肉雞主人的目的,別忘了單擊“生成服務端”按鈕,就可立即在其軟件的同一目錄下,生成一個服務端程序。
同樣想方設法讓網友們運行其服務端,或者在你成功入侵電腦主機后,將其強行運行也可。當然這里不排除有很多朋友,在配置上沒有任何問題,受害人的主機也已中招,可是客戶端界面就不顯示肉雞上線的問題。其實出現這種問題的原因很簡單,無非就是客戶端域名和服務端域名沒有同步,我們只要在“客戶端”程序界面里,單擊上方“自動上線”按鈕,切入至“希望動態域名更新IP”標簽,將剛才配置添入的動態域名,及其用戶名和密碼輸入進去,最后單擊更新IP到希網域名按鈕,就可看到中招的主機上線。
總結:落學遠程協助系統是一款很大眾化的軟件,可以說它的控制功能,幾乎每款遠程控制軟件都具備,而且自動上線那里,有時還需要自行調解很麻煩。當然有不好的一面,也會有好一面,首先說一下界面直觀簡單,很適合新手操作,另外它使用了內核驅動恢復SSDT技術,可以穿越主動防御攔截,并且無DLL文件插入系統進程,還可以過防火墻的攔截,在不考慮免不免殺的情況下,這款軟件絕對是黑客們必備利器之一。
