喜歡在網(wǎng)上瀏覽新聞的人，一定會(huì)經(jīng)常看到某人隱私被黑客盜竊，或者以此來要挾受害人的事情。這里大家可能要問了，他們是如何做到的呢?其實(shí)答案很簡(jiǎn)單，只不過是利用了遠(yuǎn)程木馬控制實(shí)現(xiàn)，下面筆者將會(huì)針對(duì)黑客圈子里，常見的遠(yuǎn)程木馬進(jìn)行詳細(xì)講解。

　　一、穿透力極強(qiáng)的Byshell木馬

　　Byshell是一個(gè)無進(jìn)程、無DLL、無啟動(dòng)項(xiàng)的、集多種Rootkit技術(shù)特征的獨(dú)立功能遠(yuǎn)程控制后門程序(Backdoor)。其利用線程注射DLL到系統(tǒng)進(jìn)程，解除DLL映射并刪除自身文件和啟動(dòng)項(xiàng)，關(guān)機(jī)時(shí)恢復(fù)。它是內(nèi)核級(jí)的木馬程序，主要部分工作在Ring0，因此有很強(qiáng)的隱蔽性和殺傷力。

　　1.配置Byshell木馬服務(wù)端

　　要想配置Byshell木馬服務(wù)端，我們首先打開下載到本地的“Byshell客戶端”程序，在所彈出的“監(jiān)聽端口”對(duì)話框內(nèi)，輸入其木馬想要監(jiān)聽的端口，默認(rèn)設(shè)置為2007(如圖1)。

　　

　　圖1

　　修改完畢后，進(jìn)入到“Byshell木馬客戶端”界面，在頂端的工具欄內(nèi)，單擊“配置服務(wù)端”按鈕，此時(shí)就會(huì)打開“配置服務(wù)端”的對(duì)話框(如圖2)。

　　

　　圖2

　　在“IP通知地址”標(biāo)簽處，輸入自己空間的訪問地址，“IP或者DNS域名”標(biāo)簽，則輸入自己的本機(jī)IP，另外客戶端口輸入的數(shù)字，要與此前設(shè)置的監(jiān)聽端口一致，否則會(huì)出現(xiàn)肉雞無法上線的情況。然后在單擊“生成”按鈕，在彈出的“另存為”對(duì)話框內(nèi)，選擇好所要生成的路徑，單擊“確定”按鈕，就可使其服務(wù)端生成完畢。

　　2.讓主動(dòng)防御紛紛落馬

　　為了能夠測(cè)試Byshell木馬的威力，我們這里打開殺毒軟件的所有“主動(dòng)防御”選項(xiàng)，并且將其安全級(jí)別提高到最高，然后在運(yùn)行一下剛生成好的Byshell木馬服務(wù)端，此時(shí)你會(huì)發(fā)現(xiàn)殺毒軟件竟然將它的啟動(dòng)視而不見，并且在客戶端還可以看到中招的機(jī)器上線。如果你想對(duì)肉雞進(jìn)行控制，我們可以選擇其上線的機(jī)器，然后在上方單擊工具欄里的“相關(guān)”按鈕，如這里單擊“文件管理”按鈕，就可打開被控制機(jī)器的“文件管理”對(duì)話框，從中我們可以查閱該肉雞里的所有硬盤文件。另外最后要想卸載掉遠(yuǎn)程服務(wù)端，只要在“客戶端”界面內(nèi)，右擊上線肉雞IP欄，選擇“遠(yuǎn)程卸載”選項(xiàng)，就可將其服務(wù)端從受害者系統(tǒng)里摘除。

　　總結(jié)：其實(shí)Byshell木馬通過對(duì)當(dāng)前系統(tǒng)的SSDT表進(jìn)行破壞，所使用系統(tǒng)原來的SSDT表覆蓋現(xiàn)在的SSDT表，才使殺毒軟件的主動(dòng)防御功能實(shí)效的。如果你想從數(shù)據(jù)上了解Byshell木馬的穿透，可以使用Wsyscheck等工具查看系統(tǒng)中的SSDT表，這樣就會(huì)清楚的看見殺毒軟件在正常情況下，與被木馬穿透的表是不同的了。

　　二、上線速度超快的暗組遠(yuǎn)控木馬

　　暗組遠(yuǎn)控木馬，是一款體積非常小的控制軟件，并且它還具備著較強(qiáng)的穿透防火墻和殺毒軟件的主動(dòng)防御能力。另外由于這款軟件很偏門，一般人都不太知道，所以其所生成的最新服務(wù)端，無須進(jìn)行加密就可以逃脫一些殺毒軟件的查殺。

　　1. 利用客戶端生成服務(wù)端

　　由于暗組遠(yuǎn)控軟件功能不是很強(qiáng)大，所以客戶端界面很簡(jiǎn)單，主要有頂端三個(gè)功能按鈕，如：“生成服務(wù)端、設(shè)置、監(jiān)聽”按鈕構(gòu)成，很適合新手操作。另外暗組遠(yuǎn)控木馬與其他同類軟件一樣，也是通過其客戶端來生成服務(wù)端。這里我們依然在其客戶端界面內(nèi)，單擊“生成服務(wù)端”按鈕，此時(shí)在彈出的“生成服務(wù)端”對(duì)話框內(nèi)(如圖3)。

　　

　　圖3

　　新手只要在上線域名那里換成自己的固定IP地址，然后單擊“生成”按鈕，選擇好保存路徑就可將其生成成功了。

#p#副標(biāo)題#e#

　　2. 偏門木馬殺毒軟件不易發(fā)現(xiàn)

　　之前筆者已經(jīng)說過了，貌似這種不出名的木馬，即使有時(shí)不加密也不會(huì)被查殺掉，而像灰鴿子、黑洞等名聲在外的木馬，即使加密也用不了多久。因此我們只要通過欺騙QQ好友看照片的手段，讓他(她)運(yùn)行配置好的木馬服務(wù)端，然后單擊“開始監(jiān)聽”按鈕，其主機(jī)就會(huì)立刻在客戶端上線了(如圖4)。

　　

　　圖4

　　此時(shí)你只要選擇該上線的肉雞，就可以對(duì)相關(guān)肉雞進(jìn)行遠(yuǎn)程控制，而具體控制功能都集成在了右鍵上面，大家可以根據(jù)需要進(jìn)行選擇即可。

　　總結(jié)：暗組遠(yuǎn)控木馬與Rdmin差不多，其不僅可以觀看到操作者的一舉一動(dòng)，就連其桌面的也可一同進(jìn)行控制，這要比前者介紹的Byshell好的多。另外如果你想為自己的網(wǎng)站刷流量，還可以通過右鍵啟動(dòng)看看增加批量打開網(wǎng)站，從而可以為自己的網(wǎng)站獲取更多的點(diǎn)擊率。

　　三、新興的東南網(wǎng)安遠(yuǎn)程控制軟件

　　東南網(wǎng)安遠(yuǎn)程控制是由東南大學(xué)網(wǎng)絡(luò)安全聯(lián)盟，開發(fā)的一款遠(yuǎn)程控制軟件，其界面友好簡(jiǎn)單，左側(cè)有一排錯(cuò)落有致的功能按鈕，我要想對(duì)肉雞進(jìn)行控制，只需使用這幾個(gè)按鈕便可完成操作(如圖5)。

　　

　　圖5

　　1. 配置木馬服務(wù)端

　　打開“客戶端”程序，默認(rèn)選擇的是左側(cè)“上線主機(jī)”標(biāo)簽，由于還有配置服務(wù)端程序，所以更談不上有肉雞上線。因此這里單擊“配置服務(wù)端”標(biāo)簽，在所顯示的界面內(nèi)，根據(jù)標(biāo)簽的提示信息，將自己電腦信息輸入便可，然后單擊“生成”按鈕，此配置的服務(wù)端，就會(huì)自動(dòng)生成在該軟件的同一目錄下，并且默認(rèn)服務(wù)端名稱為SEU_server。然后以各種欺騙的手段或者其他方法讓受害人運(yùn)行，這樣其主機(jī)才會(huì)在客戶端顯示上線(如圖6)。

　　

　　圖6

　　2.遠(yuǎn)程操控肉雞

　　我們?cè)谄渖戏接覔簦梢赃x擇里面的快捷功能進(jìn)行操控。當(dāng)然像有些功能如：“文件傳輸、屏幕監(jiān)控、DOS命令、進(jìn)程管理”，左側(cè)功能欄都有。如果你不喜歡在快捷功能里選擇，可以在左側(cè)功能標(biāo)簽里選擇，比如單擊“文件傳輸”標(biāo)簽，可以對(duì)其遠(yuǎn)程肉雞的硬盤文件進(jìn)行查閱。屏幕監(jiān)控，就可非常直觀的看到其肉雞受害人的操作。DOS命令可以通過命令的形式，創(chuàng)建用戶開啟服務(wù)等等實(shí)施更進(jìn)一步的入侵。進(jìn)程管理可以查詢當(dāng)前肉雞上，所有運(yùn)行的程序進(jìn)程。

　　總結(jié)：東南網(wǎng)安遠(yuǎn)程控制軟件，雖然沒有特別突出的地方，但是其穩(wěn)定的遠(yuǎn)程控制能力，和集成了很多控制軟件的特點(diǎn)，還是受到了很多黑客迷的喜愛。只不過唯一美中不足的是屏幕監(jiān)控，所截取的圖像有點(diǎn)失真。

　　四、遠(yuǎn)程控制航母Gh0st RAT

　　Gh0st RAT有著遠(yuǎn)程控制航母的稱號(hào)，它可以最多容納上萬臺(tái)肉雞同時(shí)上線，這是很多同類軟件達(dá)不到的事情，因此這個(gè)稱號(hào)也并不夸張。另外該軟件是一款共享免費(fèi)類的軟件，并且其作者為了大家著想，不保留版權(quán)可由黑客迷們自由修改。

　　打開“Gh0st RAT客戶端”軟件，你會(huì)發(fā)現(xiàn)與其他同類軟件不同的是，它的功能標(biāo)簽都在下方，并且是以英文形式表達(dá)(如圖7)。

　　

　　圖7

　　默認(rèn)選擇的是下方“Connections”標(biāo)簽，這里顯示的是肉雞上線界面。而后面的“Settinas”標(biāo)簽，則顯示“服務(wù)端的配置”界面，我們切入此標(biāo)簽，只要把上線主機(jī)IP更改成自己的IP地址，其他選項(xiàng)保持默認(rèn)。然后選擇“Build”標(biāo)簽，在顯示的界面上方，將“Settinas”標(biāo)簽里的上線字符串，復(fù)制到“域名上線字符串”標(biāo)簽，或者勾選“啟用”按鈕，在其前方輸入HTTP上線網(wǎng)址后，單擊生成“服務(wù)端”按鈕，在彈出的“另存為”對(duì)話框內(nèi)，選擇好所要存儲(chǔ)服務(wù)端的路徑即可。

#p#副標(biāo)題#e#

　　同樣以想方設(shè)法將其服務(wù)端讓受害者運(yùn)行，然后你回到“Connections”標(biāo)簽，就可看到其運(yùn)行服務(wù)端的肉雞上線了。并且肉雞的IP地址、計(jì)算機(jī)名、使用的操作系統(tǒng)，以及有無攝像頭的信息，也同時(shí)會(huì)被顯示出來(如圖8)。

　　

　　圖8

　　為了操控這臺(tái)肉雞，筆者在該顯示肉雞欄的上方右擊，在彈出的“快捷”菜單內(nèi)，選擇“文件管理”選項(xiàng)，可以非常直觀的看到本地和外地的盤符，如果此時(shí)你想自己本地盤符的文件，上傳到被控制肉雞的盤符里，你只需將其傳輸?shù)奈募x中，直接拖拽或者復(fù)制粘貼到肉雞盤即可，無需像其他同類軟件那樣，還需使用復(fù)雜的命令進(jìn)行上傳。

　　小提示：屏幕監(jiān)視： 此模塊全用匯編編寫，其特點(diǎn)控制屏幕且傳輸速度快，而且有7種色彩顯示方式。

　　鍵盤記錄：可記錄中英文信息，離線記錄(記錄上限50M)功能

　　遠(yuǎn)程終端：一個(gè)簡(jiǎn)單shell

　　系統(tǒng)管理：進(jìn)程管理，窗口管理，撥號(hào)上網(wǎng)密碼獲取

　　視頻監(jiān)控;監(jiān)控遠(yuǎn)程攝像頭

　　會(huì)話管理：注銷，重啟，關(guān)機(jī)，卸載服務(wù)端

　　其它功能 ：下載執(zhí)行指定URL中的程序，隱藏或者顯示訪問指定網(wǎng)址，清除系統(tǒng)日志

　　地址位置：將IP數(shù)據(jù)庫文件QQWry.Dat放置程序同目錄下即可顯示地理位置

　　集群控制：可同時(shí)控制多臺(tái)主機(jī)，同時(shí)打開視頻監(jiān)控等管理功能

　　總結(jié)：Gh0st RAT控制端采用IOCP模型，并且數(shù)據(jù)傳輸采用zlib壓縮方式穩(wěn)定快速，其上線肉雞數(shù)量無上限，可同時(shí)控制上萬臺(tái)主機(jī)。另外其控制端還能自動(dòng)檢測(cè)CPU使用率，且調(diào)整自己的工作線程，從而可以更穩(wěn)定更高效。

　　五、黑客防線新一代遠(yuǎn)控pcshare

　　黑客防線新一代遠(yuǎn)控pcshare軟件，是一款標(biāo)準(zhǔn)的遠(yuǎn)程管理軟件，用于遠(yuǎn)程計(jì)算機(jī)管理維護(hù)，具有相當(dāng)?shù)漠a(chǎn)品特性，涵蓋了各種遠(yuǎn)程管理軟件的功能。

　　打開“pcshare軟件”客戶端程序，如果此時(shí)你想對(duì)木馬服務(wù)端程序進(jìn)行配置，只要在上方單擊“設(shè)置”菜單，選擇“生成客戶端”選項(xiàng)，此時(shí)就會(huì)彈出的“被控制端執(zhí)行程序參數(shù)”對(duì)話框。我們?cè)?ldquo;IP地址”標(biāo)簽內(nèi)，輸入自己的固定IP地址，如果沒有固定IP地址，可以上希網(wǎng)域名注冊(cè)一個(gè)動(dòng)態(tài)域名，然后將其本機(jī)的IP配置進(jìn)去。在將其動(dòng)態(tài)域名，輸入到“IP地址”標(biāo)簽內(nèi)，也可達(dá)到相同效果(如圖9)。

　　

　　圖9

　　其他選項(xiàng)保持默認(rèn)，而后單擊“生成”按鈕，與其他軟件一樣選擇好生成服務(wù)端路徑，便可成功生成其木馬服務(wù)端了。

　　操作完畢后，將其生成的服務(wù)端，運(yùn)行在受害主機(jī)上，這樣你就可以在“客戶端”界面的普通客戶組里，看到被控制的肉雞上線了(如圖10)。

　　

　　圖10

#p#副標(biāo)題#e#

　　這里選擇上線的肉雞，上方一排功能按鈕，就會(huì)變?yōu)榭捎脿顟B(tài)，“文件管理”、“屏幕監(jiān)控”、“超級(jí)終端”、“鍵盤監(jiān)控”、“注冊(cè)表管理”、“服務(wù)管理”、“窗口管理”，與其他同類軟件的相應(yīng)功能基本相同，這里也就不多加介紹了。不過與其他軟件不同的是，黑防軟件提供了“音視頻監(jiān)控”功能，可通過其不僅能觀看到的攝像頭視頻，而且還可以監(jiān)聽且記錄里面的聲音。另外如果你喜歡，還可以將其視頻里的圖像，以錄像的形式保存到本地硬盤里，從而可以避免在沒有時(shí)間觀看的情況下，而落掉肉雞主人的某個(gè)或者某段動(dòng)作。

　　除了以上這些按鈕的功能外，肉雞還提供了“開肉雞代理”的功能，我們只要右擊想要開通的上線肉雞，選擇“開(關(guān))客戶代理”選項(xiàng)，在彈出的“開啟被控制端代理服務(wù)”對(duì)話框內(nèi)，輸入代理服務(wù)的端口，默認(rèn)是1080。操作完畢后，勾選“啟用Scoks5代理服務(wù)器用戶/密碼”復(fù)選框，并且將其想要設(shè)定的Scoks5代理服務(wù)賬號(hào)和密碼輸入，在單擊“確定”按鈕，就可立即開啟肉雞的代理服務(wù)功能。另外如果要想將本地文件上傳到肉雞上，還需右擊其受害的上線主機(jī)，在依次選擇“廣播命令到肉雞端”→“肉雞執(zhí)行指定上傳程序”選項(xiàng)，在彈出的“上傳執(zhí)行指定文件”對(duì)話框內(nèi)，選擇想要上傳的文件，便可單擊“確定”按鈕，執(zhí)行上傳(如圖11)。

　　

　　圖11

　　另外肉雞更新指定客戶端，就是對(duì)木馬服務(wù)端的升級(jí)，以防止被殺毒軟件認(rèn)出來。強(qiáng)制肉雞訪問指定頁，則可以強(qiáng)行肉雞訪問我們指定的網(wǎng)站。肉雞下載執(zhí)行連接和發(fā)送消息到肉雞端，顧名思儀就是強(qiáng)行下載和發(fā)送消息給受害者的功能。

　　總結(jié)：黑客防線新一代遠(yuǎn)控pcshare軟件，具有高效率穿透防火墻的功能，采取獨(dú)特的技術(shù)穿透防火墻，并且提供了自動(dòng)辨別和人工設(shè)置的方式，可以通過默認(rèn)瀏覽器、Svchost.exe輕松穿透防火墻。另外更可怕的是它還具有驅(qū)動(dòng)隱藏和保護(hù)的功能，能夠隱藏本身的文件和進(jìn)程，即使用戶通過Netstat –n的命令，也是看不到其連接的。 還有就是當(dāng)自身服務(wù)被刪除或者禁止時(shí)，被控制端會(huì)自行修復(fù)，從而做到了只有控制臺(tái)的管理員才能進(jìn)行卸載。

　　六、盜版灰鴿子——落學(xué)遠(yuǎn)程協(xié)助系統(tǒng)

　　落學(xué)遠(yuǎn)程協(xié)助系統(tǒng)，是一款能夠通過Internet網(wǎng)、局域網(wǎng)進(jìn)行計(jì)算機(jī)的遠(yuǎn)程監(jiān)控管理軟件，操作直觀簡(jiǎn)便而功能強(qiáng)大，即使是使用電腦的新手也可以輕松上手。該程序可用于公司管理層對(duì)員工計(jì)算機(jī)的監(jiān)控、家長(zhǎng)對(duì)子女使用計(jì)算機(jī)的監(jiān)控、家與單位的計(jì)算機(jī)間的監(jiān)控等方面。

　　打開“落學(xué)遠(yuǎn)程協(xié)助系統(tǒng)”界面，讓筆者大吃一驚的是，它怎么跟大名鼎鼎的灰鴿子遠(yuǎn)程木馬，長(zhǎng)的這么像(如圖12)。

　　

　　圖12

　　相信如果沒有落學(xué)遠(yuǎn)程協(xié)助系統(tǒng)標(biāo)志，大家也一定會(huì)認(rèn)錯(cuò)吧。言歸正傳，老規(guī)矩生成服務(wù)端，單擊上方“配置服務(wù)端”程序，在彈出的“服務(wù)器配置”對(duì)話框內(nèi)，默認(rèn)切入的是“自動(dòng)上線”標(biāo)簽，在其內(nèi)部將DNS解析域名處，輸入以上我們申請(qǐng)的希望動(dòng)態(tài)域名，關(guān)于如何配置動(dòng)態(tài)域名，在前面已經(jīng)說過了這里就不重復(fù)講解了。然后選擇好上線的圖標(biāo)，分別切入至“安裝信息”、“啟動(dòng)項(xiàng)目”標(biāo)簽，將里面安裝，以及服務(wù)名稱信息，修改成與系統(tǒng)文件相近的信息，這樣可以達(dá)到迷惑肉雞主人的目的，別忘了單擊“生成服務(wù)端”按鈕，就可立即在其軟件的同一目錄下，生成一個(gè)服務(wù)端程序。

　　同樣想方設(shè)法讓網(wǎng)友們運(yùn)行其服務(wù)端，或者在你成功入侵電腦主機(jī)后，將其強(qiáng)行運(yùn)行也可。當(dāng)然這里不排除有很多朋友，在配置上沒有任何問題，受害人的主機(jī)也已中招，可是客戶端界面就不顯示肉雞上線的問題。其實(shí)出現(xiàn)這種問題的原因很簡(jiǎn)單，無非就是客戶端域名和服務(wù)端域名沒有同步，我們只要在“客戶端”程序界面里，單擊上方“自動(dòng)上線”按鈕，切入至“希望動(dòng)態(tài)域名更新IP”標(biāo)簽，將剛才配置添入的動(dòng)態(tài)域名，及其用戶名和密碼輸入進(jìn)去，最后單擊更新IP到希網(wǎng)域名按鈕，就可看到中招的主機(jī)上線。

　　總結(jié)：落學(xué)遠(yuǎn)程協(xié)助系統(tǒng)是一款很大眾化的軟件，可以說它的控制功能，幾乎每款遠(yuǎn)程控制軟件都具備，而且自動(dòng)上線那里，有時(shí)還需要自行調(diào)解很麻煩。當(dāng)然有不好的一面，也會(huì)有好一面，首先說一下界面直觀簡(jiǎn)單，很適合新手操作，另外它使用了內(nèi)核驅(qū)動(dòng)恢復(fù)SSDT技術(shù)，可以穿越主動(dòng)防御攔截，并且無DLL文件插入系統(tǒng)進(jìn)程，還可以過防火墻的攔截，在不考慮免不免殺的情況下，這款軟件絕對(duì)是黑客們必備利器之一。