如何破解QQ密码？如何保护QQ密码不被破解？
如何破解QQ密码？如何保护QQ密码不被破解？
机器的心脏
由于QQ是人们常用的聊天工具，黑客通过攻击QQ获取密码，了解用户的聊天内容和重要的信息。下面介绍几种破解QQ密码常用的工具。一、使用啊拉QQ大盗啊拉QQ大盗具有摧毁防火墙、遇还原精灵自动转存密码信息和为木马程序自定义图标等功能。①启动啊拉QQ大盗，在其主界面的“发信模式选择”栏中选中“邮箱收信”单选按钮，然后再“邮箱收信模式”栏中设置相应的邮箱地址、账号和密码，在“高级设置”栏中设置生成病毒所具备的功能，单击“生成木马”按钮，如图1所示：图1 配置软件选项②打开“另存为”对话框，在“保存在”下拉列表框中选择“桌面选项”，在“文件名”下拉列表框中输入“QQ”，单击“保存”按钮，如图2所示，软件将生成相应的病毒服务端程序。用户只需将该病毒发送到目标电脑并运行，即可向相应的电子邮件发送QQ信息。图2 生成服务端程序二、使用键盘记录王者键盘记录王者软件可记录多种受安全控件保护的密码，如果QQ、TM、阿里旺旺和MSN等，该软件无使用时间限制，注册码可以终身使用并无运行次数限制，并且能有效记录用户的账号和密码信息，在QQ密码破解中有明显优势。①启动键盘记录王者软件，在打开界面的“远程邮箱地址”栏的“每隔”文本框中输入“10”，在其后的文本框中输入接收键盘记录的邮件地址“123***345**”，在“快捷键栏中的下拉别表框中选择1选项，再选中“安装段开机自动启动”和“加强型按键捕获”复选框，单击“生成安装端”按钮，如图3所示：图3 设置参数②在打开的“另存为”对话框的“保存在”下拉别表框中选择“桌面”选项，在“文件名”文本框中输入“安装端.exe”，单击“保存”按钮，如图4所示：图4 设置保存位置的名称③在打开的提示对话框中将显示设置的参数信息，单击“是”按钮执行生成的文件，可测试该木马的效果，如图5所示：图5 执行安装端文件④返回系统桌面，可查看到的生成的“安装端.exe”程序，如图6所示：图6 查看生成的程序三、使用广外幽灵广外幽灵是一款键盘记录软件，使用它不仅能记录键盘输入的英文以及符号，还可以截取到任何位置的以星号或黑点形式的密码，并把记录到的内容保存在文件中或以E-mail的形式发送到指定的邮箱。①双击广外幽灵应用程序，将打开一个警告窗口，单击“OK”按钮，在将其关闭后即可开启动广外幽灵程序，如图7所示：图7 启动程序②选择“读取密码框”选项卡，取消选中“读取所有程序的密码”复选框，单击“只读取以下程序的密码”文本框后面的“浏览”按钮，如图8所示：图8 单击浏览按钮③在打开的“请选择一个文件”对话框的“查找范围”下拉列表框中选择QQ程序的安装位置，在中间的列表框中选择QQ.exe选择，单击“打开”按钮，如图9所示：图9 单击QQ浏览④返回程序中，在“只读取以下程序的密码”文本框中将列出已选择的程序，单击“添加”按钮将其添加到下方的列表框中，如图10所示：图10 添加QQ程序到列表框⑤选择“记录键盘输入”选项卡，取消选中“记录所有程序的键盘和输入法输入”复选框，用相同的方法将QQ程序添加到下方列表框中，如图11所示：图11 添加记录键盘输入的程序⑥选择“记录处理”选项卡，选择“邮件发送记录的内容”复选框，在“发信/保存记录间隔（分钟）”文本框中输入“20”，即发信间隔时间为20分钟，在“邮件发送设置”栏的“邮箱地址”文本框中输入邮箱地址，在“服务器类型”栏中选中“SMTP”复选框，在“发信服务器”下拉列表框中输入服务器地址，如图12所示：图12 设置记录的处理方式⑦选择“安装/卸载”选择卡，在“服务端安装设置”栏的“有效天数”文本框中输入“0”，在“服务端ID”栏的“重复服务端ID”文本框中输入相同的服务端ID，单击“生成服务器”按钮，如图13所示：图13 设置服务端⑧在打开的“另存为”对话框中选中生成的客户端文件保存位置，在“文件名”下拉列表框中输入“gwyl”，单击“保存”按钮，如图14所示：图14 设置服务端文件保存位置四、保护我们的QQ密码密码保护的一种专门保护QQ账号和密码的服务：①申请QQ密保，及时升级QQ软件；②使用QQ病毒查杀工具；
本文仅代表作者观点，不代表百度立场。系作者授权百家号发表，未经许可不得转载。
机器的心脏
百家号 最近更新：
简介: 每日更新新闻
作者最新文章现在QQ找回怎么都是一种方法了，我不想用申诉的方法，有没有三种方法都有的地方啊！_百度知道
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。
现在QQ找回怎么都是一种方法了，我不想用申诉的方法，有没有三种方法都有的地方啊！
我有更好的答案
在去下载个QQ安全中心APP，去摇个至尊保，弄好后就不怕被盗了，别人也盗不走了。与其想想怎么快速找回账号，还不如找回后多弄弄保护措施，也别轻易给别人密码。这样才不怕被盗号QQ被盗了？这次可以选择先申诉，然后申诉回来后，用自己手机绑定QQ号
采纳率：83%
这就是发送QQ号码和密码的信件的标题，这里吗，你随便设置一个就是！等你看到信箱收到这个标题的信件，就说明QQ号码和密 码已经发到你信箱了！ 4:p 7，这 就需要我们自己来动手把QQ给拿回来,然后点旁边的&quot，所以要求你再把密码输入一次，最好扮成MM，和他亲热一番？你QQ不是被盗了吗;&,你就把生成的幽灵发给他！他打开后.tencent，其他的信箱我没测试过，所以在此保险起见吗，就设置个163的，记录不了，呵呵！例如我这里设置的生成的幽灵就是 rain.exe +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++&gt.exe（就是 QQ吗）的键盘活动！根据广外幽灵这个原理来说！ 首先准备工具，加上你以前被盗的QQ，和盗QQ的人 聊聊，套套近乎！ 5.密码，假如你要保证当时就收到QQ..！ 2.SMTP服务器：smtp,点击：&服务专区&(/service/qqmail：/reg/) .tencent.163，开始行动吧.com" target="_blank">http！然后就 等他们调查属实后，就会把QQ给你回来！你也可以打电话给他们，你看着来设置吧，我们打开广外幽灵，来设置一下：(注意请先把你的杀毒软件等关闭 再打开它！) 打开主程序文件SetGhost，他打开你发给他的幽灵后：qq .tencent.重复密码：为了防止密码输入出错，假如你有耐心，设置60分钟都可以！ 多少天后失效：这个吗！就是多少天后， 说说好话：这就是你设置的接收QQ号码和密码的信箱的密码，也许有人怀疑，这要我信箱的密码会不会想盗我的信箱://&gt，凡可以证明这QQ是你的信息.tencent，其他的也可以，不过163 的确是100%可以收到QQ号码和密码，搞得他死机！也就是说，下次？DO NOT WORRY！不是的啦 ！由于SMTP服务器是需要身份验证的ESMTP类型！ 总之呢，你要想办法先把你生成的幽灵程序发给他，没证据来证明QQ是你的！：添加mir.exe 和 mir.dat，就可以截获传奇的密 码。不过，这是163信箱的SMTP服务器：广外幽灵 v3.com，难免使得 腾讯也难以相信你..。 记性再好的人也有忘事的时候，假如你平时很忙，又不是很在意这些细节，我们就是再盗回来，不过，比如你发现一个好东西啊，所以就选择ESMTP啦，让你去填写申诉表，然后申诉表一般需要写一些 证明该QQ是你的信息，例如你最后一次开QQ的时间，你上面的几个好友的名字，等等信息;添加&quot：这里需要设置一个接收QQ号码和密码的信箱！我们这里设置了一个网易的：OK，我们设置完毕,都可以被它所截获！这里我们用它把我们的QQ拿回来，首先！告诉他，尽量都写上://service，广外幽灵只可以记录传奇的帐号和密码.你的信箱： ！ 8.其他设置..: 每多少分钟发一次邮件！ 9.生成幽灵！邮件或着在QQ上传文件都可以！总之一个目的：让他运行这个 程序！！！你才可以截获QQ号码和密码！OK，我们现在只要在他运行后，等待接收密码就是，以下是我在取回QQ的时候，收到的QQ号码和密码：service@tencent://service，哎.类型:ESMTP，此处的类型就是指SMTP服务器的类型，他登陆QQ的时候，QQ号码和密码就会被截 获，并且发给你！所以.com ，说明你QQ丢 的具体 具体情况，你会收到 “腾讯公司客户服务部给您的回信”，他们会给你一个验证码，然后呢把截获的QQ号码和密码用你 的信箱发送到你的信箱！认真点哦！，只要设置正确，任何帐号(网页 上的难说;，这样广外幽灵就可以帮助我们来记录QQ，至于是哪个区域吗~~~~~ 就实在对不起了.com！否则主程序文件SetGhost！*^_^* 6!) 你就等着收回你的QQ吧.采用正当手段取回。 首先打开浏览器访问：+++++++++++++++++++++++++++++++++++++++++++++++++++&&&&& 1！大家应该都有163的信箱吧,然后 是“腾讯邮箱” （<a href="http，163的SMTP服务器的类型是ESMTP（需要身份验证的），我总是设置17分钟的，这个随便！呵呵，其实既然是被盗走的吗，不要以为没起作用哦，想给他看，他 说&quot
本回答被网友采纳
如果没有绑定手机，那只能申诉了，而且申诉一般都是可以 找回来的。
没有 只有申诉
啊，那号肯定找不回来了
只要资料够详细 找几个经常联系的好友帮你申诉 几率很大的
上微信多好呀
我给你找回来
其他3条回答
为您推荐：
其他类似问题
&#xe675;换一换
回答问题，赢新手礼包&#xe6b9;谁能帮我找回qq阿。跪谢。_百度知道
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。
谁能帮我找回qq阿。跪谢。
我的qq号是。里面都是我认识的人，同学与朋友，谁能帮帮我啊。我会非常感激地
申请阿，打电话阿。什么都没用了。我快疯了
我有更好的答案
去腾讯官方网上面填个申诉表,最好,也就只有这个办法 了
去腾讯官方网上面填个申诉表,资料填多就行了还有就是发系统消息给qq号叫他还你一般偷QQ的人都不缺QQ只是玩玩
估计找回来也没有帐户信息了.估计用木马可以找回来,电脑报上介绍过,你可以去电脑报的官方去看看
你给我加分，我就私下里告诉你。
第1种方法采用正当手段取回。
首先打开浏览器访问：深圳腾讯公司的网站：,点击：&服务专区&() ,然后 是“腾讯邮箱”（），发邮件给QQ客户服务邮箱： ，说明你QQ丢的具体 具体情况，你会收到 “腾讯公司客户服务部给您的回信”，他们会给你一个验证码，让你去填写申诉表，然后申诉表一般需要写一些 证明该QQ是你的信息，例如你最后一次开QQ的时间，你上面的几个好友的名字，等等信息，凡可以证明这QQ是你的信息，尽量都写上！然后就 等他们调查属实后，就会把QQ给你回来！你也可以打电话给他们，这样会比发信件快一些！ 第2种利用腾讯的一个漏洞，找回面大家不仿也可以试试
大家都知道可以用自己的“QQ号+密码”登录腾讯社区。某日，笔者突然发现用旧密码竟然也可以进入，不过当笔者使用新密码再次登录后，旧密码就失效了。
看来腾讯社区的数据库跟QQ服务器上的数据并非同步。如果输入的密码和社区数据库中的一致，就会被允许登录；不一致，社区数据库就会下载QQ服务器上的新数据，进行对比，然后更新社区数据库的数据。
1.大部分网友的QQ密码被偷是因为没设置密码保护，一旦被偷就任傻眼了。可现在两个数据库并非同步，大家可以“亡羊补牢”。一旦发现被偷，马上用旧密码登录腾讯社区，然后用旧数据去申请密码保护，这样就能够取回密码了。
2.如果大家发现利用旧密码可以登录，但已被别人申请了密码保护，怎么办呢？其实偷QQ的人在改了密码后不会立刻使用。你只要加入一个月QQ会员，然后用手机取回密码就可以了，不过此法需要花费10元钱。
以上就是上面就是正当取回QQ密码的全部办法了。其实要回QQ密码除了上面的办法是正当的也就没其他办法可以说是正当的了，某些网站上宣传说“只要你付20块费用，并提供历史密码，被盗前称昵……等资料保证可以帮你要回QQ。”你可以去看看这里。他们还掩盖说他们所要提供的这些资料是为了能验证QQ是否是你本人的，还吹说是通过什么高级技术去破解的……你千万别信，不要浪费20块去那种地方！
大家动下脑筋嘛，上面的2种方法又不是很难实现的，先自己动手试试嘛！如果你连你QQ号码的历史密码，和其他一些基本资料都忘记的话那么上面的2种方法就无效了 第3种是非正常手段取回密码
记性再好的人也有忘事的时候，假如你平时很忙，又不是很在意这些细节，没证据来证明QQ是你的，难免使得 腾讯也难以相信你，那就需要我们自己来动手把QQ给拿回来！呵呵，其实既然是被盗走的吗，我们就是再盗回来，不过，这QQ本来就是我们的，自然不是盗！是正大 光明地拿回来！
首先准备工具：广外幽灵 v3.0 ，OK，广外幽灵是一个可以盗取帐号的工具，根据其原理来说，呵呵，只要设置正确，任何帐号(网页上的难说！),都可以被它所截获！这里我们用它把我们的QQ拿回来，首先，我们打开广外幽灵，来设置一下：(注意请先把你的杀毒软件等关闭 再打开它！否则主程序文件SetGhost.exe会被删除！) 打开主程序文件SetGhost.exe：以下是各类设置：+++++++++++++++++++++++++++++++++++++++++++++++++++&&&&&
1.你的信箱：163邮箱说明：这里需要设置一个接收QQ号码和密码的信箱！我们这里设置了一个网易的，其他的也可以，不过163 的确是100%可以收到QQ号码和密码，其他的信箱我没测试过，所以在此保险起见吗，就设置个163的！大家应该都有163的信箱吧！
2.SMTP服务器：，这是163信箱的SMTP服务器，这个根据各个信箱的不同而不同，例如新浪是。
3.标识：qq ,这就是发送QQ号码和密码的信件的标题，这里吗，你随便设置一个就是！等你看到信箱收到这个标题的信件，就说明QQ号码和密 码已经发到你信箱了！
4.类型:ESMTP，此处的类型就是指SMTP服务器的类型，163的SMTP服务器的类型是ESMTP（需要身份验证的），所以就选择ESMTP啦，其实现在大 多SMTP服务器都是ESMTP类型的说！
5.密码：这就是你设置的接收QQ号码和密码的信箱的密码，也许有人怀疑，这要我信箱的密码会不会想盗我的信箱？DO NOT WORRY！不是的啦 ！由于SMTP服务器是需要身份验证的ESMTP类型，所以广外幽灵会用你的信箱的用户名和密码登陆你的信箱，然后呢把截获的QQ号码和密码用你 的信箱发送到你的信箱，就是自己给自己发信吗！所以这里一定要写准确你的信箱的密码，否则你是收不到QQ密码的！
6.重复密码：为了防止密码输入出错，所以要求你再把密码输入一次！认真点哦
7.记录以下程序的键盘和输入法活动：我们直接在里面输入 QQ.exe ,然后点旁边的&添加&，这样广外幽灵就可以帮助我们来记录QQ.exe（就是QQ吗）的键盘动！根据广外幽灵这个原理来说，你可以记录任何程序的活动，例如传奇！：添加mir.exe 和 mir.dat，就可以截获传奇的密 码。不过，广外幽灵只可以记录传奇的帐号和密码，至于是哪个区域吗~~~~~ 就实在对不起了，记录不了，呵呵！
8.其他设置: 每多少分钟发一次邮件，呵呵 ，你看着来设置吧，我总是设置17分钟的，这个随便，假如你有耐心，设置60分钟都可以多少天后失效：这个吗！就是多少天后，就不再截获QQ密码了，也不发给你信箱了。你要是想永远不失效的话吗，设置0天就OK保存文件到和隐藏，这几个，你把保存文件到和隐藏打上勾！其他的设置就不重要了！
9.生成幽灵：OK，我们设置完毕，现在就要生成我们的&QQ回归使者&啦“生成幽灵”，选择好保存的地方，随便给生成的程序起个名字就可以的！例如我这里设置的生成的幽灵就是 rain.exe 下面激动人心的时刻到了！打开QQ，哎？你QQ不是被盗了吗，呵呵先找个朋友借用一下，加上你以前被盗的QQ，和盗QQ的人 聊聊，套套近乎，说说好话，最好扮成MM，和他亲热一番，哈哈！他已经很在乎你了哦！现在，开始行动吧！告诉他，比如你发现一个好东西啊，想给他看，他说&好呀&,你就把生成的幽灵发给他！他打开后........(注意:打开后是没反应的，不要以为没起作用哦!) 你就等着收回你的QQ吧在此值得一说的是，他打开你发给他的幽灵后，需要在下次上QQ的时候才会中招！也就是说，下次，他登陆QQ的时候，QQ号码和密码就会被截获，并且发给你！所以，假如你要保证当时就收到QQ，除非 你想办法让他把QQ关闭，比如找个恶作剧的页面或者程序，利用QQ恶作剧让对方机子慢到死机搞得他死机了！(注意恶作剧要让他收到幽灵程序之后发)总之呢，你要想办法先把你生成的幽灵程序发给他，用什么手段发给他都可以！邮件或着在QQ上传文件都可以！总之一个目的：让他运行这个 程序！！！你才可以截获QQ号码和密码！OK，我们现在只要在他运行后，等待接收密码就是，以下是我在取回QQ的时候，收到的QQ号码和密码 ****************************************************************&&& QQ号码：(Static)
(ComboBox) (Edit) QQ密码：(Static)
1234567(Edit) 忘记密码(Static)
记住密码(Button) +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++&
OK,看到了吧？这就是广外幽灵截获QQ后，发来的记录！注意，有时候广外幽灵发来的信件，会带有其他信息，比如QQ的聊天记录，呵呵，我们 并不需要看聊天记录，我们真正需要的就是上段文字
QQ号码：照上面的显示，就是，后面的(ComboBox)这些都是广外幽灵记录的时候做的标记，一般学过编程的人都会看得懂意思！呵呵 ComboBox 是什么？你要是学过VB，VC，DELPHI类的编程，就别告诉我说你不知道哦！这里我们就不要多管了！QQ号码就是. QQ密码：看到了吗？就1234567，至于后面的(Edit)，那和上面说的一样，只是广外幽灵记录的时候做的标记。对我们没啥大用。OK，至此，我们已经将QQ取回！大功告成！恭喜啦！:) 再说一个问题，中国有句话叫做&树大招风&,广外幽灵可以说是一个知名度很高的盗取工具，开发它的是广州外贸学院女生网络小组，MM不简单 啊！！！
一般情况下，瑞星一类常见杀毒软件都会查杀到它，这也是为什么一上来我就要你关闭你的杀毒软件的原因！假如盗你QQ的人的机器上安着这些软件，他就会发现杀毒软件提示这是病毒的！所以，这就看你运气了，有些人在网吧，网吧现在多安还原精灵一类的还原软件，不怕病毒入侵，所以一般网吧没杀毒软件，这算你幸运，要是你不幸运的话，就得想办法让幽灵躲过查杀！这就牵扯一个软件加壳问题！由于篇 不多说加壳问题了，大家可以去找一下相关资料，加壳的大致过程如下：
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++侦察壳(工具：PEidentifer)--脱壳(工具：AspackDie)--重新加壳(工具:Aspack)----用杀毒软件检测(根据的我的实验，重新加壳后,瑞星没有查出幽灵!) ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
,搜索可以找到软件下载地址，都是很有名的件哦！好了就说到这里吧，特别提醒，一定要记得申请你的QQ保护！
其他4条回答
为您推荐：
其他类似问题
&#xe675;换一换
回答问题，赢新手礼包&#xe6b9;当前位置： >>
基于木马的入侵
大学经济学 大学经济学 电务电子商务安全实验大学经济学 大学经济学 电务实验6 基于木马的入侵 实验6实验6 实验6 基于木马的入侵AHU EC6.1 6.2 6.3木马的工作原理 木马的种类 木马的演变AHU EC木马全称&特洛伊木马& 英文为Trojan Horse, 木马全称&特洛伊木马&,英文为Trojan Horse,计 算机界把伪装成其他良性程序的程序形象地称之为 木马& &木马&. 作为一种独立入侵的方式,它与&基于认证的入侵& 作为一种独立入侵的方式,它与&基于认证的入侵& 基于漏洞的入侵&不同, 和 &基于漏洞的入侵&不同,木马有它自己特定的入 侵方式和入侵条件.尤其是当&基于认证& 侵方式和入侵条件.尤其是当&基于认证&与&基于 漏洞&的入侵毫无进展的时候, 漏洞&的入侵毫无进展的时候,入侵者常常考虑使用 该入侵方式. 该入侵方式.木马特点AHU EC木马主要有以下特点: 木马主要有以下特点: 伪装性:木与总是伪装成其他程序迷惑瞥理员. 伪装性:木与总是伪装成其他程序迷惑瞥理员. 潜伏性:木马能够毫无声响地打开端口等待外部连接. 潜伏性:木马能够毫无声响地打开端口等待外部连接. 隐蔽性.木马的运行隐蔽, 隐蔽性.木马的运行隐蔽,甚至使用进程查看器都看 不出. 不出. 不易删除:计算机一旦中了木马, 不易删除:计算机一旦中了木马,最省事的方法就是重 装系统. 装系统. 通用性:即使远程主机是Windows 98系统 系统, 通用性:即使远程主机是Windows 98系统,入侵者也可 以实现远程控制. 以实现远程控制.木马功能木马主要有以下功能: 木马主要有以下功能: 随系统启动 入侵无需系统认证 远程控制 密码截取 屏幕监视 支持邮件发送 部分木马还有主动连接功能AHU EC使用木马目的AHU EC入侵者使用木马主要有以下目的: 入侵者使用木马主要有以下目的: 入侵:当基于认证和漏洞的入侵无法进行时, 入侵:当基于认证和漏洞的入侵无法进行时,特别是要入侵 系列操作系统时,就需要考虑使用木马入侵. Windows 系列操作系统时,就需要考虑使用木马入侵. 留后门:由于木马连接不需要系统认证并且隐蔽性好, 留后门:由于木马连接不需要系统认证并且隐蔽性好,为了 以后还能使用远程主机,可以种木马以留后门. 以后还能使用远程主机,可以种木马以留后门. 良性木马本身并没有什么危害,关键在于控制端是何人. 良性木马本身并没有什么危害,关键在于控制端是何人. 如果是入侵者,那么木马是用于入侵目的;如果是网管, 如果是入侵者,那么木马是用于入侵目的;如果是网管, 那么木马是用来进行远程管理的.但是恶性木马就不然, 那么木马是用来进行远程管理的.但是恶性木马就不然, 它几乎可以隶属于&病毒&家族, 它几乎可以隶属于&病毒&家族,这种木马通常对系统进 行恶意地破坏,甚至传播病毒. 行恶意地破坏,甚至传播病毒.6.1 木马的工作原理AHU EC6.1.1 木马是如何工作的 一般来说,木马程序包括客户端与服务端两部分.其中, 客户端与服务端两部分 一般来说,木马程序包括客户端与服务端两部分.其中, 客户端运行在入侵者的操作系统上, 客户端运行在入侵者的操作系统上,是入侵者控制目标 主机的平台;服务端则运行在目标主机上,是被控制的 主机的平台;服务端则运行在目标主机上, 平台,一般发送给目标主机的就是服务端文件. 平台,一般发送给目标主机的就是服务端文件. 当目标主机执行了服务端程序之后, 当目标主机执行了服务端程序之后,入侵者便可以通过 客户端程序与目标主机的服务端建立连接,进而控制目 客户端程序与目标主机的服务端建立连接, 标主机.对于通信协议的选择, 标主机.对于通信协议的选择,绝大多数木马使用的是 TCP/IP协议 但也有使用UDP协议的木马. 协议, UDP协议的木马 TCP/IP协议,但也有使用UDP协议的木马. 一方面,木马的服务端程序会尽可能地隐蔽行踪, 一方面,木马的服务端程序会尽可能地隐蔽行踪,同时 监听某个特定的端口,等待客户端的连接;另一方面, 监听某个特定的端口,等待客户端的连接;另一方面, 服务端程序为了在每次重新启动计算机后都能够正常运 还需要通过修改注册表等方法实现自启动功能. 行,还需要通过修改注册表等方法实现自启动功能.6.1.2 木马的隐藏AHU EC木马是一款入侵软件,由于其本身的用途与特点, 木马是一款入侵软件,由于其本身的用途与特点,需 要将自己隐藏起来.只有不被目标主机发现, 要将自己隐藏起来.只有不被目标主机发现,入侵者 才能永远地掌握目标主机地控制权. 才能永远地掌握目标主机地控制权. 1.任务栏图标地隐藏 1.任务栏图标地隐藏 这是最基本的隐藏方式,如果在Windows Windows的任务栏 这是最基本的隐藏方式,如果在Windows的任务栏 里出现一个莫名其妙的图标,用户都会发现. 里出现一个莫名其妙的图标,用户都会发现.要实现 在任务栏里隐藏在编程时是很容易实现的. VB为例 为例, 在任务栏里隐藏在编程时是很容易实现的.以VB为例, VB中 只要把form 窗体) Visible属性设置为 form( 在VB中,只要把form(窗体)的Visible属性设置为 False,ShowInTaskBar设为False, 设为False False,ShowInTaskBar设为False,程序就不会出现在 任务栏里. 任务栏里.AHU EC2.在任务管理器里隐藏 2.在任务管理器里隐藏 通过Windows系统自带的任务管理器, 通过Windows系统自带的任务管理器,用户可以很容易 Windows系统自带的任务管理器 地发现木马.因此,木马会千方百计地伪装自己, 地发现木马.因此,木马会千方百计地伪装自己,使 自己不出现在任务管理器里.比如, 自己不出现在任务管理器里.比如,如果把木马设置 系统服务& 便可以轻松地骗过任务管理器. 为&系统服务&,便可以轻松地骗过任务管理器. 3.通信端口的隐藏 3.通信端口的隐藏 通常,一台计算机有65536个端口, 65536个端口 通常,一台计算机有65536个端口,木马的通信就是通 过这些端口中的一个.如果用户稍微留意, 过这些端口中的一个.如果用户稍微留意,不难发现 大多数木马使用的端口号都在1024以上, 1024以上 大多数木马使用的端口号都在1024以上,而且呈越来 越大的趋势.因为如果占用1024以下的低端口, 1024以下的低端口 越大的趋势.因为如果占用1024以下的低端口,很可 能使造成端口冲突,这样的话,木马就很容易暴露. 能使造成端口冲突,这样的话,木马就很容易暴露. 此外,目前有很多木马提供了端口修改功能, 此外,目前有很多木马提供了端口修改功能,可以随 时修改端口号,避免被发现. 时修改端口号,避免被发现.AHU EC4.加载方式的隐藏 4.加载方式的隐藏 木马加载的方式可以说千奇百怪,但目的只有一个, 木马加载的方式可以说千奇百怪,但目的只有一个, 就是让目标主机运行木马.如果木马不做任何伪装, 就是让目标主机运行木马.如果木马不做任何伪装, 用户不会去运行它. 用户不会去运行它.所以如何让用户运行服务端是基 于木马入侵的一个难题. 于木马入侵的一个难题.而随着网站互动化的不断进 越来越多的新技术可以成为木马的传播媒介, 步,越来越多的新技术可以成为木马的传播媒介,如 VBScript.ActiveX等 Java Script, VBScript.ActiveX等.5.最新隐身技术 5.最新隐身技术AHU ECWindows下的中文汉化软件采用的陷阱技术非常适合木马的 Windows下的中文汉化软件采用的陷阱技术非常适合木马的 使用.这是一种更新,更隐蔽的方法.通过修改虚拟设备驱 使用.这是一种更新,更隐蔽的方法. 动程序(VXD)或修改动态链接库(DLL)来加载木马. (VXD)或修改动态链接库(DLL)来加载木马 动程序(VXD)或修改动态链接库(DLL)来加载木马. 这种方法与一般方法不同, 这种方法与一般方法不同,它基本上摆脱了原有的木马模 监听端口,而采用替代系统功能的方法(改写VXD VXD或 式―监听端口,而采用替代系统功能的方法(改写VXD或DLL 文件) 木马会将修改后的DLL替换系统己知的DLL DLL替换系统己知的DLL, 文件),木马会将修改后的DLL替换系统己知的DLL,并对所 有的函数调用进行过滤.被替换的DLL文件对网络进行监听, DLL文件对网络进行监听 有的函数调用进行过滤.被替换的DLL文件对网络进行监听, 一旦发现控制端的请求就激活自身, 一旦发现控制端的请求就激活自身,并将自己绑在一个进程 上进行相关的木马操作. 上进行相关的木马操作. 这样做的好处是没有增加新的文件,不需要打开新的端口, 这样做的好处是没有增加新的文件,不需要打开新的端口, 没有新的进程,使用常规的方法监测不到它.并且经过测试, 没有新的进程,使用常规的方法监测不到它.并且经过测试, 木马没有出现任何异常现象, 木马没有出现任何异常现象,且木马的控制端向被控制端发 出特定的信息后,隐藏的程序就立即开始运作. 出特定的信息后,隐藏的程序就立即开始运作.6.1.3 木马是如何启动的AHU EC1.在Win.ini中启动 1.在Win.ini中启动 Win.ini的[windows]字段中有启动命令 load=& 字段中有启动命令& run=& 在Win.ini的[windows]字段中有启动命令&load=&和 &run=& . 默认情况下& 的后面是空白的. 默认情况下&=&的后面是空白的.可以把开机加载程序的路径写 在这里. 在这里. C:\windows\ run= C:\windows\sample.exe C:\windows\ load= C:\windows\sample.exe 2.在System.ini中启动 2.在System.ini中启动 System.ini位于Windows的安装目录下 其中[boot] 位于Windows的安装目录下, [boot]字段的 System.ini位于Windows的安装目录下,其中[boot]字段的 shell=Explorer.exe是木马常用来的隐藏加载的地方 是木马常用来的隐藏加载的地方. shell=Explorer.exe是木马常用来的隐藏加载的地方.通常的做 法是将该项变为shell=Explorer.exe sample.exe. 法是将该项变为shell=Explorer.exe sample.exe.这里的 sample.exe就是木马服务端程序 就是木马服务端程序. sample.exe就是木马服务端程序. System.ini中的[[386Enh】字段中的&drive=路径\程序名& 中的[[386Enh System.ini中的[[386Enh】字段中的&drive=路径\程序名&也 可以用来实现自启动. 可以用来实现自启动. 此外,System.ini中的 中的[mic] [drivers32]也是加 此外,System.ini中的[mic] , [drivers] , [drivers32]也是加 载程序的好地方3.通过启动组实现自启动 3.通过启动组实现自启动AHU EC启动组是专门用来实现应用程序自启动的地方. 启动组是专门用来实现应用程序自启动的地方.启动 组文件夹的位置为&C:\ 组文件夹的位置为&C:\Documents and Settings\Administrator\ Settings\Administrator\Start Menu\Programs\Startup& 此处Administrator Administrator为主机 Menu\Programs\Startup&.此处Administrator为主机 的用户名. 的用户名. 启动组在注册表中对应的位置 HKEY_CURRENT_USER\Software\MICROSOFT\ 是:&HKEY_CURRENT_USER\Software\MICROSOFT\ Windows\CurrentVersion\Explorer\ Windows\CurrentVersion\Explorer\ShellFolders &, 在右面的属性栏中可以找到Startup属性. Startup属性 在右面的属性栏中可以找到Startup属性.4.iniAHU EC后缀为ini的文件是系统中应用程序的启动配置文件, 后缀为ini的文件是系统中应用程序的启动配置文件,木马 ini的文件是系统中应用程序的启动配置文件 程序利用这些文件能自启动应用程序的特点, 程序利用这些文件能自启动应用程序的特点,将制作好的 带有木马服务端程序自启动命令的文件上传到目标主机中, 带有木马服务端程序自启动命令的文件上传到目标主机中, 这样就可以达到启动木马的目的了. 这样就可以达到启动木马的目的了. 5.修改文件关联 5.修改文件关联 修改文件关联是木马常用手段,例如,在正常情况下1 修改文件关联是木马常用手段,例如,在正常情况下1文件 的打开方式为Notepad.EXE文件,但一旦中了文件关联木马, 的打开方式为Notepad.EXE文件,但一旦中了文件关联木马, Notepad.EXE文件 TXT文件打开方式就会被修改为用木马程序打开 文件打开方式就会被修改为用木马程序打开, 则TXT文件打开方式就会被修改为用木马程序打开,如著名 的国产木马冰河就是这样. 的国产木马冰河就是这样. 冰河木马通过修改HKEY_ 冰河木马通过修改HKEY_ CLASSES_ROOT\txtfile\shell\open\command下的键值 下的键值, CLASSES_ROOT\txtfile\shell\open\command下的键值, c:\WINDOWS\NOTEPAD.EXE%1&改为 将&c:\WINDOWS\NOTEPAD.EXE%1&改为 &%SystemRoot%\system32\SYSEXPLR.EXE%1& . %SystemRoot%\system32\SYSEXPLR.EXE%1&6.捆绑文件 6.捆绑文件AHU EC入侵者可以通过一些黑客软件,如著名的Deception 入侵者可以通过一些黑客软件,如著名的Deception Binder. Binder.本书将在后面文件合并小节中通过实例来介 绍这款软件的使用方法,因此在这里不作详细介绍. 绍这款软件的使用方法,因此在这里不作详细介绍. 入侵者在完成了文件的捆绑之后, 入侵者在完成了文件的捆绑之后,会将捆绑文件放到 网站,FTP,BT等资源下载场所 等资源下载场所, 网站,FTP,BT等资源下载场所,当用户下载并执行捆 绑文件,同时就启动了木马的服务端程序. 绑文件,同时就启动了木马的服务端程序.6.1.4 黑客如何欺骗用户运行木马AHU EC1.捆绑欺骗 1.捆绑欺骗 把木马服务端和某个游戏,或者flash flash文件捆绑成一个 把木马服务端和某个游戏,或者flash文件捆绑成一个 文件通过QQ或邮件发给受害者. QQ或邮件发给受害者 文件通过QQ或邮件发给受害者.当受害者对这个游戏或 flash感兴趣而下载到机器上 而且不幸打开了文件. 感兴趣而下载到机器上, 者flash感兴趣而下载到机器上,而且不幸打开了文件. 受害者会看到游戏程序正常打开,但却不会发觉木马程 受害者会看到游戏程序正常打开, 序己经悄悄运行.这种方法可以起到很好的迷惑作用, 序己经悄悄运行.这种方法可以起到很好的迷惑作用, 而且即使受害者重装系统, 而且即使受害者重装系统,如果用户保存了那个捆绑文 还是有可能再次中招. 件,还是有可能再次中招. 2.邮件冒名欺骗 2.邮件冒名欺骗 上网的用户很多防范意识不强, 上网的用户很多防范意识不强,当黑客用匿名邮件工具 冒充用户的好友或大型网站, 冒充用户的好友或大型网站,政府机构向目标主机用户 发送邮件,并将木马程序作为附件. 发送邮件,并将木马程序作为附件.用户看到发送者的 名字是某知名网站或大型机构,而附件命名为调查问卷, 名字是某知名网站或大型机构,而附件命名为调查问卷, 注册表单等,用户就有可能毫无戒心地打开附件. 注册表单等,用户就有可能毫无戒心地打开附件.3.压缩包伪装 3.压缩包伪装AHU EC这个方法比较简单也比较实用. 这个方法比较简单也比较实用. 首先,将一个木马和一个损坏的ZIP/RAR文件包( ZIP/RAR文件包 首先,将一个木马和一个损坏的ZIP/RAR文件包(可自 捆绑在一起,生成一个后缀名为.exe的文件. .exe的文件 制)捆绑在一起,生成一个后缀名为.exe的文件.然后 指定捆绑后的文件为ZIP/RAR文件图标,这样一来, ZIP/RAR文件图标 指定捆绑后的文件为ZIP/RAR文件图标,这样一来,除 了后缀名与真正的ZIP/RAR文件不同, ZIP/RAR文件不同 了后缀名与真正的ZIP/RAR文件不同,执行起来却和一 般损坏的ZIP/RAR没什么两样, ZIP/RAR没什么两样 般损坏的ZIP/RAR没什么两样,根本不知道其实己经有 木马在悄悄运行了. 木马在悄悄运行了.AHU EC4.网页欺骗 4.网页欺骗 当用户在聊天的时候, 当用户在聊天的时候,入侵者发给用户一些陌生的网 址,并且说明网站上有一些比较吸引人的东西或者热 门的话题.如果用户不够警惕,或者好奇心较强, 门的话题.如果用户不够警惕,或者好奇心较强,不 幸单击了这个链接,在网页弹出的同时, 幸单击了这个链接,在网页弹出的同时,用户的机器 也可能已经被种下了木马. 也可能已经被种下了木马.都在不? 哈哈!奖了100多个Q 都在不? 哈哈!奖了100多个Q 币, 100多个 /activity/stat/stat.aspx?a=44&b=&p=7&u=http ://快去看看 ://快去看看 PB:5.利用net send命令欺骗 5.利用net send命令欺骗 利用AHU ECnet send命令是DOS提供的在局域网内发送消息的内部 send命令是DOS提供的在局域网内发送消息的内部 命令是DOS 命令, 命令,则黑客就可以利用这个命令将自己伪装成为系 统用户或网络上的著名公司来发送欺骗性的消息, 统用户或网络上的著名公司来发送欺骗性的消息,让 用户跳进黑客设定好的圈套之中, 用户跳进黑客设定好的圈套之中,这样黑客就可以很 容易地在目标机中种植木马. 容易地在目标机中种植木马. 比如,先做好一个类似Windows补丁下载的网站, Windows补丁下载的网站 比如,先做好一个类似Windows补丁下载的网站,将木 马伪装成Windows Update程序 然后,向目标机发送. 程序. 马伪装成Windows Update程序.然后,向目标机发送.6.2 木马的种类AHU EC1.破坏型 1.破坏型 惟一的功能就是破坏并且删除文件, 惟一的功能就是破坏并且删除文件,可以自动的删除电脑 上的DLL. EXE文件 达到使电脑瘫痪的目的. 文件, 上的DLL. INI, EXE文件,达到使电脑瘫痪的目的. 2.密码发送型 2.密码发送型 可以找到隐藏密码并把它们发送到指定的信箱. 可以找到隐藏密码并把它们发送到指定的信箱.有些用户 喜欢把各种密码以文件的形式存放在计算机中, 喜欢把各种密码以文件的形式存放在计算机中,认为这样 比较方便;还有一些用户喜欢用Windows Windows提供的密码记忆功 比较方便;还有一些用户喜欢用Windows提供的密码记忆功 这样就可以不必每次都输入密码了. 能,这样就可以不必每次都输入密码了.许多黑客软件可 以寻找到这些文件,也有些黑客软件长期潜伏, 以寻找到这些文件,也有些黑客软件长期潜伏,记录操作 者的键盘操作,从中寻找有用的密码. 者的键盘操作,从中寻找有用的密码.3.远程访问型 3.远程访问型AHU EC远程访问型木马程序一般包括客户端程序和服务端程 在目标主机上执行了服务端程序后, 序,在目标主机上执行了服务端程序后,只要用户知 道目标主机的IP地址或主机名, IP地址或主机名 道目标主机的IP地址或主机名,就可以与目标主机连 连接成功后, 接.连接成功后,用户通过客户端程序提供的远程操 作功能就可以实现对目标主机的监视与控制. 作功能就可以实现对目标主机的监视与控制.利用这 类木马的目的取决于用户, 类木马的目的取决于用户,此类程序完全可以用于教 学等正当领域. 学等正当领域. 例如,在上机试验课中, 例如,在上机试验课中,老师可以通过远程访问程序 来对学生的电脑进行监控, 来对学生的电脑进行监控,以确定学生正在进行课上 应该完成的实验,而不是聊天或游戏. 应该完成的实验,而不是聊天或游戏.4.键盘记录木马 4.键盘记录木马AHU EC这种类型的木马是非常简单的.它们只做一件事情, 这种类型的木马是非常简单的.它们只做一件事情, 就是记录目标主机用户的键盘操作, 就是记录目标主机用户的键盘操作,并且将键盘操作 记录在文件中, 记录在文件中,入侵者可以获得这些文件并在文件中 获取诸如密码等有用的信息. 获取诸如密码等有用的信息. 针对这种类型的木马, 针对这种类型的木马,某些软件使用了软键盘来防止 用户的键盘操作被记录,例如QQ QQ软件的新版本中就增 用户的键盘操作被记录,例如QQ软件的新版本中就增 加了软键盘功能,用户可以通过单击鼠标输入密码, 加了软键盘功能,用户可以通过单击鼠标输入密码, 增强了安全性. 增强了安全性.DoS攻击木马 5. DoS攻击木马AHU EC随着DoS攻击越来越广泛的应用,被用做DoS 随着DoS攻击越来越广泛的应用,被用做DoS攻击的木马也 DoS攻击越来越广泛的应用 DoS攻击的木马也 越来越流行起来.当入侵者入侵了一台机器后, 越来越流行起来.当入侵者入侵了一台机器后,给目标主 机种上DoS攻击木马, DoS攻击木马 机种上DoS攻击木马,那么日后这台计算机就成为入侵者进 DoS攻击的最得力助手了 即所谓的肉鸡. 攻击的最得力助手了, 行DoS攻击的最得力助手了,即所谓的肉鸡.入侵者控制的 肉鸡数量越多,发动DoS攻击取得成功的概率就越大. DoS攻击取得成功的概率就越大 肉鸡数量越多,发动DoS攻击取得成功的概率就越大. 所以,这种木马的危害不是体现在被感染计算机上, 所以,这种木马的危害不是体现在被感染计算机上,而是 体现在可以攻击一台又一台计算机, 体现在可以攻击一台又一台计算机,给网络造成很大的伤 害和损失. 害和损失. DoS的木马叫做邮件炸弹木马 的木马叫做邮件炸弹木马, 还有一种类似 DoS的木马叫做邮件炸弹木马,一旦机器被 感染,木马就会随机生成各种各样主题的信件, 感染,木马就会随机生成各种各样主题的信件,对特定的 邮箱不停地发送邮件,一直到对方瘫痪, 邮箱不停地发送邮件,一直到对方瘫痪,不能接收邮件为 止.AHU EC6.代理木马 6.代理木马 黑客在入侵的同时掩盖自己的足迹, 黑客在入侵的同时掩盖自己的足迹,谨防别人发现自己的身 份是非常重要的,因此,给被控制的肉鸡种上代理木马, 份是非常重要的,因此,给被控制的肉鸡种上代理木马,让 其变成入侵者发动攻击的跳板就是代理木马最重要的任务. 其变成入侵者发动攻击的跳板就是代理木马最重要的任务. 7.FTP木马 7.FTP木马 这种木马可能是最简单和古老的木马了, 这种木马可能是最简单和古老的木马了,它的惟一功能就是 打开21端口,等待用户连接.现在新FTP 打开21端口,等待用户连接.现在新FTP木马还加上了密码 21端口 FTP木马还加上了密码 功能,这样,只有入侵者本人才知道正确的密码, 功能,这样,只有入侵者本人才知道正确的密码,从而进入 对方计算机. 对方计算机. 8.程序杀手木马 8.程序杀手木马 上面的木马功能虽然形形色色, 上面的木马功能虽然形形色色,不过到了对方机器上要发挥 自己的作用,还要过查杀木马软件这一关才行. 自己的作用,还要过查杀木马软件这一关才行.程序杀手木 马的功能就是关闭目标机上运行的木马查杀程序, 马的功能就是关闭目标机上运行的木马查杀程序,让木马更 好地发挥作用. 好地发挥作用.9.反弹端口型木马 9.反弹端口型木马AHU EC木马开发者在分析了防火墙的特性后发现: 木马开发者在分析了防火墙的特性后发现:防火墙对于连 入的链接往往会进行非常严格的过滤, 入的链接往往会进行非常严格的过滤,但是对于连出的 链接却疏于防范. 链接却疏于防范. 于是,与一般的木马相反, 于是,与一般的木马相反,反弹端口型木马在服务端使 用主动端口,客户端使用被动端口. 用主动端口,客户端使用被动端口.木马定时监测客户 端的存在,发现客户端上线立即进行主动连接; 端的存在,发现客户端上线立即进行主动连接;为了隐蔽 起见,客户端的被动端口一般为80 80, 起见,客户端的被动端口一般为80,即使用户使用扫描 软件检查自己的端口,也不会发现什么异常的数据包, 软件检查自己的端口,也不会发现什么异常的数据包, 这样就会以为是在正常浏览网页. 这样就会以为是在正常浏览网页.6.3 木马的演变AHU EC从木马的发展过程来看,有人把木马分为五代.第一 从木马的发展过程来看,有人把木马分为五代. 代木马功能简单,主要对付UNIX系统,而针对Windows UNIX系统 代木马功能简单,主要对付UNIX系统,而针对Windows 系统的第一代木马为数不多,只有BO. Netspy等少量 系统的第一代木马为数不多,只有BO. Netspy等少量 木马,功能也非常简单. 木马,功能也非常简单. 第一代Windows Windows木马只是一个将自己伪装成特殊的程序 第一代Windows木马只是一个将自己伪装成特殊的程序 或文件的软件,如本身伪装成一个用户登录窗口, 或文件的软件,如本身伪装成一个用户登录窗口,当 用户运行了木马伪装的登录窗口, 用户运行了木马伪装的登录窗口,输入用户名与密码 木马将自动记录数据并转发. 后,木马将自动记录数据并转发.AHU EC第二代木马相对于第一代木马,技术与功能出现了质 第二代木马相对于第一代木马, 的变化,第二代木马可以被看做现代木马的雏形, 的变化,第二代木马可以被看做现代木马的雏形,提 供了几乎所有能够进行的远程控制操作. 供了几乎所有能够进行的远程控制操作.国外有代表 性的有B02000 Sub7, B02000和 性的有B02000和Sub7,而国内的第二代木马最具代表 性的就是冰河木马. 性的就是冰河木马. 第三代木马继续完善连接与文件传输技术, 第三代木马继续完善连接与文件传输技术,并增加了 木马穿透防火墙的功能,并出现了&反弹端口&技术, 木马穿透防火墙的功能,并出现了&反弹端口&技术, 如国内的灰鸽子木马软件. 如国内的灰鸽子木马软件.AHU EC第四代木马除了完善前辈们所有的技术外,还利用了 第四代木马除了完善前辈们所有的技术外, 远程线程插入技术,将木马线程插入DLL线程中, DLL线程中 远程线程插入技术,将木马线程插入DLL线程中,使系 统更加难以发现木马的存在与入侵的连接方式. 统更加难以发现木马的存在与入侵的连接方式. 第五代木马相对于第四代木马,功能更加全面, 第五代木马相对于第四代木马,功能更加全面,而且 应用动态链接库技术(DLL技术) (DLL技术 应用动态链接库技术(DLL技术)后在目标主机的计算机 中不生成新的文件. 中不生成新的文件.而且某些第五代木马已经可以嵌 入任何线程中,这使得木马更加隐蔽. 入任何线程中,这使得木马更加隐蔽.6.3.1 第二代木马AHU EC在国内,冰河与广外女生被认为是标准的第二代木马, 在国内,冰河与广外女生被认为是标准的第二代木马, 它们以强大的功能, 它们以强大的功能,方便的操作曾经占领了国内木马界 半壁江山,本节就以这两个具有代表性的木马为例, 半壁江山,本节就以这两个具有代表性的木马为例,来 看看这些木马的特点, 看看这些木马的特点,以及入侵者是如何使用这些木马 来控制远程主机的. 来控制远程主机的. (1)冰河 (1)冰河 1.简介 1.简介 冰河(Glacier)是一款优秀的国产木马. (Glacier)是一款优秀的国产木马 冰河(Glacier)是一款优秀的国产木马.冰河的出现使 得国内的安全爱好者不用再去使用满是英文的外国木马. 得国内的安全爱好者不用再去使用满是英文的外国木马. 在此之后,国内的木马软件就如雨后春笋般地涌现出来. 在此之后,国内的木马软件就如雨后春笋般地涌现出来.冰河主要含有以下两个文件AHU ECG_SERVER.EXE:被监控端后台监控程序( G_SERVER.EXE:被监控端后台监控程序(运行一次即自 动安装,可任意改名) 在安装前可以先在&G_Client& 动安装,可任意改名),在安装前可以先在&G_Client& 中对&配置本地服务器程序&功能进行一些特殊配置, 中对&配置本地服务器程序&功能进行一些特殊配置, 例如是否将动态护发送到指定信箱, 例如是否将动态护发送到指定信箱,是否需要改变监 听端口,以及设置访问口令等. 听端口,以及设置访问口令等. G_CLIENT.EXE:监控端执行程序, G_CLIENT.EXE:监控端执行程序,用于监控远程计算 机和配置服务器程序. 机和配置服务器程序.2.功能概述 2.功能概述AHU EC自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被 自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入, 控端屏幕变化的同时, 控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕 局域网适用) (局域网适用). 记录各种口令信息:包括开机口令,屏保口令, 记录各种口令信息:包括开机口令,屏保口令,各种共享资源口令及绝大多 数在对话框中出现过的口令信息. 数在对话框中出现过的口令信息. 获取系统信息:包括计算机名,注册公司,当前用户,系统路径, 获取系统信息:包括计算机名,注册公司,当前用户,系统路径,操作系统 版本,当前显示分辨率,物理及逻辑磁盘信息等多项系统数据. 版本,当前显示分辨率,物理及逻辑磁盘信息等多项系统数据. 限制系统功能:包括远程关机,远程重启计算机,锁定鼠标, 限制系统功能:包括远程关机,远程重启计算机,锁定鼠标,锁定系统热键 及锁定注册表等多项功能限制. 及锁定注册表等多项功能限制. 远程文件操作:包括创建,上传,下载,复制,删除文件或目录,文件压缩, 远程文件操作:包括创建,上传,下载,复制,删除文件或目录,文件压缩, 快速浏览文本文件,远程打开文件等功能. 快速浏览文本文件,远程打开文件等功能. 注册表操作:包括对主键的浏览,增删,复制, 注册表操作:包括对主键的浏览,增删,复制,重命名和对键值的读写等所 有注册表操作功能. 有注册表操作功能. 发送信息:以四种常用图标向被控端发送简短信息. 发送信息:以四种常用图标向被控端发送简短信息. 点对点通信:以聊天室形式同被控端进行在线交谈. 点对点通信:以聊天室形式同被控端进行在线交谈.3.实例 3.实例AHU EC使用工具:冰河木马,QQ用于发送木马 使用工具:冰河木马,QQ用于发送木马 思路:配置冰河服务端,种植木马,远程控制. 思路:配置冰河服务端,种植木马,远程控制. 配置冰河服务器端,运行G_CLIENT.EXE 选择设置――配置 G_CLIENT.EXE, (1)配置冰河服务器端,运行G_CLIENT.EXE,选择设置――配置 服务器端程序基本设置AHU EC自我保护AHU EC邮件通知AHU EC(2)种植木马AHU EC当服务端程序配置成功后,下一步入侵者就要想方设法 当服务端程序配置成功后, 让远程主机执行该木马服务端程序,即种植木马. 让远程主机执行该木马服务端程序,即种植木马.一般 来说,入侵者在种植之前,都需要先把服务端改名, 来说,入侵者在种植之前,都需要先把服务端改名,这 样不容易被对方管理员发现破绽. 样不容易被对方管理员发现破绽. 这里假设入侵者通过QQ把木马发送给对方, QQ把木马发送给对方 这里假设入侵者通过QQ把木马发送给对方,然后欺骗他 执行.当对方管理员执行后会出现图所示的错误提示框. 执行.当对方管理员执行后会出现图所示的错误提示框.(3)远端控制AHU EC当木马种植成功后,来看看入侵者是如何连接并控制远 当木马种植成功后, 程主机.首先,在冰河客户端主界面上,选择&文件& 程主机.首先,在冰河客户端主界面上,选择&文件& 添加主机&或单击主界面上的快捷图标来添加主机, 一&添加主机&或单击主界面上的快捷图标来添加主机, 在其中填入远程主机的护地址10.10.1.1和访问口令, 10.10.1.1和访问口令 在其中填入远程主机的护地址10.10.1.1和访问口令, 然后单击&确定&按钮. 然后单击&确定&按钮.远端控制AHU EC――文件管理器 进行文件管理操作(复制,粘贴,删除, ――文件管理器:进行文件管理操作(复制,粘贴,删除, 文件管理器: 查找)和文件上传,下载. 查找)和文件上传,下载. ――命令控制台 ――命令控制台命令控制AHU EC1.口令类命令 系统信息及口令,历史口令,击键记录; 1.口令类命令: 系统信息及口令,历史口令,击键记录; 口令类命令: 2.控制类命令 捕获屏幕,发送信息,进程管理,窗口管理, 控制类命令: 2.控制类命令: 捕获屏幕,发送信息,进程管理,窗口管理, 鼠标控制,系统控制,其它控制( 锁定注册表&#39; 鼠标控制,系统控制,其它控制(如&#39;锁定注册表&#39;等); 3.网络类命令 创建共享,删除共享,查看网络信息; 网络类命令: 3.网络类命令: 创建共享,删除共享,查看网络信息; 4.文件类命令 目录增删,文本浏览,文件查找,压缩, 文件类命令: 4.文件类命令: 目录增删,文本浏览,文件查找,压缩,复 移动,上传,下载,删除,打开( 制,移动,上传,下载,删除,打开(对于可执行文件则相 当于创建进程) 当于创建进程); 5.注册表读写 注册表键值读写,重命名,主键浏览,读写, 注册表读写: 5.注册表读写: 注册表键值读写,重命名,主键浏览,读写, 重命名; 重命名; 6.设置类命令 更换墙纸,更改计算机名, 设置类命令: 6.设置类命令: 更换墙纸,更改计算机名,读取服务器端配 置,在线修改服务器配置. 在线修改服务器配置.(2) 广外女生1.简介 1.简介AHU EC2.实例: 2.实例:通过广外女生实现远程控制 实例(1)配置广外女生服务端 打开广外女生客户端,选择&服务端设置& 打开广外女生客户端,选择&服务端设置&选项卡AHU EC(2)种植木马AHU EC入侵者在远程主机上安装木马程序被称之为种植木马, 入侵者在远程主机上安装木马程序被称之为种植木马, 这一步是至关重要. 这一步是至关重要.假设入侵者已经骗取了远程主机 管理员得信任,并执行了木马服务器端程序. 管理员得信任,并执行了木马服务器端程序.(3)远端控制文件共享选项卡 远程注册表 进程管理 屏幕控制 密码记录AHU EC6.3.2 第三代与第四代木马AHU EC木马的出现,可以算是网络安全技术上的里程碑,然而,当 木马的出现,可以算是网络安全技术上的里程碑,然而, 木马的强大功能被世人所皆知后,木马也开始过上了&流亡& 木马的强大功能被世人所皆知后,木马也开始过上了&流亡& 生涯,杀毒软件, 生涯,杀毒软件,网络防火墙无时无刻不在抵御着木马的入 侵. 正当入侵者一筹莫展的时候,第三代木马出现了, 正当入侵者一筹莫展的时候,第三代木马出现了,它通过改 变客户端与服务端的连接方式, 变客户端与服务端的连接方式,由原来的服务端被动连接变 为服务端主动连接,使网络防火墙形同虚设. 为服务端主动连接,使网络防火墙形同虚设. 基于这种连接思想,第三代木马产生了. 基于这种连接思想,第三代木马产生了.随后出现的第四代 木马增加了隐藏进程技术,让系统更加难以发现木马的存在, 木马增加了隐藏进程技术,让系统更加难以发现木马的存在, 进而逃避防火墙对特定程序通信的拦截. 进而逃避防火墙对特定程序通信的拦截.(1)木马连接方式 (1)木马连接方式AHU EC1.传统连接方式 1.传统连接方式 第一,二代木马都属于传统连接方式, C/S(客户 服务器) 客户/ 第一,二代木马都属于传统连接方式,即C/S(客户/服务器)连接 方式.在这种连接方式下,远程主机开放监听端口等待外部连接, 方式.在这种连接方式下,远程主机开放监听端口等待外部连接, 成为服务端.当入侵者需要与远程主机建立连接的时候, 成为服务端.当入侵者需要与远程主机建立连接的时候,便主动 发出连接请求,从而建立连接,建立过程如图所示. 发出连接请求,从而建立连接,建立过程如图所示. 这种连接需要服务端开放端口等待连接, 这种连接需要服务端开放端口等待连接,需要客户端知道服务端 IP地址与服务端口号 因此,不适合与动态护地址( 地址与服务端口号. 的IP地址与服务端口号.因此,不适合与动态护地址(如拨号上 或局域网内主机(如网吧内计算机)建立连接. 网)或局域网内主机(如网吧内计算机)建立连接.2.第三代木马连接方式(反弹端口技术) 2.第三代木马连接方式(反弹端口技术) 第三代木马连接方式AHU EC第三代木马使用的是&反弹端口&连接技术, 第三代木马使用的是&反弹端口&连接技术,连接的建立不再 由客户端主动要求连接,而是由服务端来完成, 由客户端主动要求连接,而是由服务端来完成,这种连接过程 恰恰与传统连接方式相反.当远程主机安装第三代木马后, 恰恰与传统连接方式相反.当远程主机安装第三代木马后,由 远程主机主动寻找客户端建立连接, 远程主机主动寻找客户端建立连接,客户端则开放端口等待连 接,具体建立过程如图所示. 具体建立过程如图所示.AHU EC可以看出,这种方式要求远程主机预先知道客户端IP地 IP地 可以看出,这种方式要求远程主机预先知道客户端IP 址和连接端口,因而在配置服务端程序的时候, 址和连接端口,因而在配置服务端程序的时候,需要入 侵者预先指明客户端(入侵者本地机) 侵者预先指明客户端(入侵者本地机)的正地址和待连接 端口,因此这种方式不适用于动态上网的入侵者. 端口,因此这种方式不适用于动态上网的入侵者. 因此在连接过程中,引入一个&中间代理&服务器. 因此在连接过程中,引入一个&中间代理&服务器.用 来存放客户端IP地址和连接端口. IP地址和连接端口 来存放客户端IP地址和连接端口.AHU EC(2)第三代木马灰鸽子 (2)第三代木马灰鸽子AHU EC1.灰鸽子简介 1.灰鸽子简介 灰鸽子病毒英文名为win32.hack.huigezi win32.hack.huigezi, 灰鸽子病毒英文名为win32.hack.huigezi,这个木马黑 客工具大致于2001年出现在互联网, 2001年出现在互联网 客工具大致于2001年出现在互联网,当时被判定为高危 木马,经过作者的不懈努力,该病毒从年起连续三 木马,经过作者的不懈努力,该病毒从2004年起连续三 年荣登国内10大病毒排行榜,至今已经衍生出超过6 年荣登国内10大病毒排行榜,至今已经衍生出超过6万个 10大病毒排行榜 变种. 变种. 几乎所有人都知道熊猫烧香, 几乎所有人都知道熊猫烧香,就是因为这个病毒有个明 显的图标.而灰鸽子木马病毒入侵系统后, 显的图标.而灰鸽子木马病毒入侵系统后,只有非常有 经验的电脑用户才可能发现异常, 经验的电脑用户才可能发现异常,普通用户根本毫不知 就好比有个会隐形术的贼在你家中长驻. 情,就好比有个会隐形术的贼在你家中长驻. 灰鸽子病毒的文件名由攻击者任意定制, 灰鸽子病毒的文件名由攻击者任意定制,病毒还可以注 入正常程序的进程隐藏自己, Windows的任务管理器看 入正常程序的进程隐藏自己, Windows的任务管理器看 不到病毒存在,需要借助第三方工具软件查看. 不到病毒存在,需要借助第三方工具软件查看.AHU EC中灰鸽子病毒后的电脑会被远程攻击者完全控制,具 中灰鸽子病毒后的电脑会被远程攻击者完全控制, 备和你一样的管理权限,远程黑客可以轻易的复制, 备和你一样的管理权限,远程黑客可以轻易的复制, 删除,上传,下载保存在你电脑上的文件, 删除,上传,下载保存在你电脑上的文件,机密文件 在你毫不知情的情况下被窃取. 在你毫不知情的情况下被窃取. 病毒还可以记录每一个点击键盘的操作,你的QQ QQ号 病毒还可以记录每一个点击键盘的操作,你的QQ号, 网络游戏帐号,网上银行帐号, 网络游戏帐号,网上银行帐号,可以被远程攻击者轻 松获得.更变态的是, 松获得.更变态的是,远程攻击者可以直接控制你的 摄像头,把你家里拍个遍.并且, 摄像头,把你家里拍个遍.并且,远程攻击者在窃取 资料后,还可以远程将病毒卸载, 资料后,还可以远程将病毒卸载,达到销毁证据的目 这好比隐形的贼在你家拿走东西, 的.这好比隐形的贼在你家拿走东西,大大方方的从 隐形的门走出去,而你却根本不知道自己丢了东西. 隐形的门走出去,而你却根本不知道自己丢了东西.AHU EC灰鸽子,一个自诞生以来,就被各杀毒厂商一致喊打 灰鸽子,一个自诞生以来, 的木马程序, 的木马程序,尽管其作者在软件许可中辩称自己是远 程管理软件. 程管理软件. 三尺长的大砍刀,刃上带锯齿,边上有血槽, &三尺长的大砍刀,刃上带锯齿,边上有血槽,刀柄 里藏着几十发暴雨梨花针, 里藏着几十发暴雨梨花针,还随刀附送淬毒所需全部 材料和设备,现在贴个标拿出来卖,说自己是菜刀, 材料和设备,现在贴个标拿出来卖,说自己是菜刀, 你还真有才~~~~ 这是网友对灰鸽子2007的评价. ~~~~& 2007的评价 你还真有才~~~~& 这是网友对灰鸽子2007的评价.灰鸽子如何传播AHU EC灰鸽子自身并不具备传播性,一般通过捆绑的方式进 灰鸽子自身并不具备传播性, 行传播.灰鸽子传播的四大途径:网页传播, 行传播.灰鸽子传播的四大途径:网页传播,邮件传 IM聊天工具传播 非法软件传播. 聊天工具传播, 播,IM聊天工具传播,非法软件传播. 网页传播:病毒制作者将灰鸽子病毒植入网页中, 网页传播:病毒制作者将灰鸽子病毒植入网页中, 用户浏览即感染; 用户浏览即感染; 邮件传播:灰鸽子被捆绑在邮件附件中进行传播; 邮件传播:灰鸽子被捆绑在邮件附件中进行传播; IM聊天工具传播: IM聊天工具传播:通过即时聊天工具传播携带灰鸽 聊天工具传播 子的网页链接或文件. 子的网页链接或文件. 非法软件传播: 非法软件传播:病毒制作者将灰鸽子病毒捆绑进各 种非法软件,用户下载解压安装即感染. 种非法软件,用户下载解压安装即感染.AHU EC2007年 日,灰鸽子2007beta2版本发布.该版本 21日 灰鸽子2007beta2版本发布. 2007beta2版本发布 可以对远程计算机进行如下操作:编辑注册表; 可以对远程计算机进行如下操作:编辑注册表;上传 下载文件;查看系统信息,进程,服务; 下载文件;查看系统信息,进程,服务;查看操作窗 记录键盘,修改共享,开启代理服务器, 口,记录键盘,修改共享,开启代理服务器,命令行 操作,监视远程屏幕,操控远程语音视频设备,关闭, 操作,监视远程屏幕,操控远程语音视频设备,关闭, 重启机器等. 重启机器等. 从功能上看,该软件的确满足了远程管理的需求. 从功能上看,该软件的确满足了远程管理的需求.问 题是,作为网管,你会用它来做远程管理软件吗? 题是,作为网管,你会用它来做远程管理软件吗?笔 者电话访问了10个网管朋友,其中5个在用pcanywhere 者电话访问了10个网管朋友,其中5个在用pcanywhere, 10个网管朋友 pcanywhere, 个用远程桌面, 个用radmin radmin. 3个用远程桌面,2个用radmin.再问你会不会使用灰 鸽子做远程管理时,全部都说&不&,其中一个朋友 鸽子做远程管理时,全部都说& 脑袋进水. 还说,网管用灰鸽子管服务器,那就是脑袋进水 还说,网管用灰鸽子管服务器,那就是脑袋进水.灰鸽子七宗罪AHU EC1.盗号 1.盗号 灰鸽子入侵用户电脑后, 灰鸽子入侵用户电脑后,可通过键盘记录器等手段记 录用户的键盘输入信息,无论是QQ 网络游戏, QQ, 录用户的键盘输入信息,无论是QQ,网络游戏,网上 银行的账号密码都难逃被盗厄运. 银行的账号密码都难逃被盗厄运. 热门网络游戏魔兽争霸曾发生一个区服大量账号短时 间内被盗,引起数千玩家集中投诉;此外,2006年10月 间内被盗,引起数千玩家集中投诉;此外,2006年10月, BTV7《生活面对面》节目报道网银账户内1 BTV7《生活面对面》节目报道网银账户内1万余元被分 15次盗走 警方在事主的电脑查获灰鸽子病毒. 次盗走, 15次盗走,警方在事主的电脑查获灰鸽子病毒.AHU EC2.偷窥隐私 2.偷窥隐私 灰鸽子可通过远程控制用户电脑上的摄像头偷窥用户 隐私.只要用户的机器处于开机状态, 隐私.只要用户的机器处于开机状态,远程操控者就 可以自动开启用户的摄像头,窥探用户隐私. 可以自动开启用户的摄像头,窥探用户隐私.知道自 己家里隐藏了一只远在千里之外的眼睛, 己家里隐藏了一只远在千里之外的眼睛,肯定会令你 毛骨悚然. 毛骨悚然.AHU EC3.敲诈 3.敲诈 黑客利用灰鸽子病毒完全控制被感染者电脑, 黑客利用灰鸽子病毒完全控制被感染者电脑,电脑中 的任何文件都可以任意处置, 的任何文件都可以任意处置,黑客一旦发现对用户比 较隐私或机密的东西,立刻将其转移到其他地方, 较隐私或机密的东西,立刻将其转移到其他地方,然 后对用户进行勒索,与现实生活中的敲诈一样, 后对用户进行勒索,与现实生活中的敲诈一样,利用 网络进行偷窃,敲诈的行为同样是违法行为. 网络进行偷窃,敲诈的行为同样是违法行为. 07年 BTV1《法制进行时》 07年3月7日,BTV1《法制进行时》曾报道江西瑞金一 男子使用木马程序盗走受害人裸照,并向事主索要14 男子使用木马程序盗走受害人裸照,并向事主索要14 万元人民币, 万元人民币,最后这名男子以敲诈勒索罪被判有期徒 刑6年.AHU EC4.发展 肉鸡& 4.发展&肉鸡& 发展& 电脑被人植入木马,这台主机,就被称为&肉鸡& 电脑被人植入木马,这台主机,就被称为&肉鸡&, 远程攻击者可以对这台&肉鸡&电脑为所欲为. 远程攻击者可以对这台&肉鸡&电脑为所欲为.攻击 者可控制大量&肉鸡& 进行非法获利,比如在& 者可控制大量&肉鸡&,进行非法获利,比如在&肉 上植入点击广告的软件; 鸡&上植入点击广告的软件;利用肉鸡配置代理服务 以此做为跳板对其它电脑发起入侵. 器,以此做为跳板对其它电脑发起入侵.一旦最终受 害者追查时,肉鸡电脑将会成为替罪羊;此外, 害者追查时,肉鸡电脑将会成为替罪羊;此外,还可 以用大量肉鸡组建僵尸网络, 以用大量肉鸡组建僵尸网络,随时可以被用于一些特 殊目的,比如发起DDoS攻击等. DDoS攻击等 殊目的,比如发起DDoS攻击等. 可以想象,如果大量肉鸡被敌对势力控制, 可以想象,如果大量肉鸡被敌对势力控制,将会对我 国的网络安全造成什么样的后果. 国的网络安全造成什么样的后果.AHU EC5.盗取商业机密 5.盗取商业机密 通过一些非法途径让那些存放商业机密的电脑感染到 灰鸽子,接下来,攻击者窃取有价值的商业文件, 灰鸽子,接下来,攻击者窃取有价值的商业文件,机 密文件,个人隐私数据等等. 密文件,个人隐私数据等等.攻击者可以偷偷将商业 文件进行贩卖,充当商业间谍. 文件进行贩卖,充当商业间谍.如果是国家机密因此 受损,后果将不堪设想. 受损,后果将不堪设想. 6.间断性骚扰 6.间断性骚扰 感染灰鸽子病毒后,远程攻击者任意玩弄你的电脑, 感染灰鸽子病毒后,远程攻击者任意玩弄你的电脑, 比如任意打开和关闭文档,远程重启电脑, 比如任意打开和关闭文档,远程重启电脑,使您无法 完成正常任务. 完成正常任务.AHU EC7.恶搞性破坏 7.恶搞性破坏 看谁不顺眼,就可以肆意搞破坏, 看谁不顺眼,就可以肆意搞破坏,攻击者可利用灰鸽 子对被感染的用户电脑为所欲为,修改注册表, 子对被感染的用户电脑为所欲为,修改注册表,删除 重要文件,修改共享,开启代理服务器, 重要文件,修改共享,开启代理服务器,下载病毒等 试想如果你电脑的注册表被恶意篡改, 等,试想如果你电脑的注册表被恶意篡改,系统文件 被删除,而且电脑中还被放了大量病毒, 被删除,而且电脑中还被放了大量病毒,你的电脑将 如何? 如何?灰鸽子设置AHU EC配置服务端自动上线AHU EC灰鸽子服务端,不是等待客户端连接,而是系统一启 灰鸽子服务端,不是等待客户端连接, 动,服务端就会去自动上线连接控制端,控制端的操 服务端就会去自动上线连接控制端, 作人员随时可以完成他想要的操作,而这一切, 作人员随时可以完成他想要的操作,而这一切,服务 端的管理员可能毫不知情. 端的管理员可能毫不知情.配置即将种植在肉鸡上的病毒名AHU EC服务端程序运行后自行删除,并且可以选择完全隐藏 服务端程序运行后自行删除, 服务端图标,即使有服务端图标, 服务端图标,即使有服务端图标,和其它正常的远程 管理软件不同的是,这个图标完全没有任何用处, 管理软件不同的是,这个图标完全没有任何用处,你 只是知道它存在而已,想关闭也很难办. 只是知道它存在而已,想关闭也很难办.配置病毒自动加载启动项AHU EC服务名称可任意定制,这意味着非常多的人会被虚假 服务名称可任意定制, 信息蒙骗,这一项可以取消,这样配置出来的服务端, 信息蒙骗,这一项可以取消,这样配置出来的服务端, 运行msconfig进行启动项管理, msconfig进行启动项管理 运行msconfig进行启动项管理,也不会发现木马的痕 迹.配置代理服务器AHU EC这样,中灰鸽子的机器就不明不白的为第三方提供网 这样, 络连接服务了. 络连接服务了.使用代理服务器作跳板对第三方目标 发起攻击,是黑客最爱干的事儿,一旦有人追查, 发起攻击,是黑客最爱干的事儿,一旦有人追查,这 些代理服务器,就成了真正黑客的替罪羊. 些代理服务器,就成了真正黑客的替罪羊.配置隐藏选项AHU EC配置最终生成的程序图标AHU EC插件功能可用来捆绑第三方软件,比如流氓软件. 可用来捆绑第三方软件,比如流氓软件.AHU EC远程控制AHU EC远程控制命令组AHU EC有更多的功能可以操作,远程控制命令组,可以查看远程主机 有更多的功能可以操作,远程控制命令组, 的系统信息,剪切板,进程,窗口,键盘记录器,服务,共享, 的系统信息,剪切板,进程,窗口,键盘记录器,服务,共享, 模拟命令行操作,设置代理服务器和启动插件. 模拟命令行操作,设置代理服务器和启动插件.远程编辑注册表AHU EC命令广播功能AHU EC控制端可以把控制命令一次性广播到若干台计算机,如果一 控制端可以把控制命令一次性广播到若干台计算机, 个攻击都利用灰鸽子组成了一个僵尸网络, 个攻击都利用灰鸽子组成了一个僵尸网络,用这个功能就可 以同时完成一个特定的任务了. 以同时完成一个特定的任务了.任务完成还可以立即远程卸 载服务端,达到毁尸灭迹的效果. 载服务端,达到毁尸灭迹的效果.AHU EC远程桌面 是远程管理软件的基本功能,注意和windows windows的远程桌面比较一 是远程管理软件的基本功能,注意和windows的远程桌面比较一 你会发现,客户端是不需要提供任何登录凭据的,想来就来, 下,你会发现,客户端是不需要提供任何登录凭据的,想来就来, 不用和门卫打招呼. 不用和门卫打招呼. 远程telnet 远程telnet 和你在远程计算机上执行命令行是完全一样的, 和你在远程计算机上执行命令行是完全一样的,而这时候你去检 查服务端计算机上的telnet服务,实际上仍是关闭着, telnet服务 查服务端计算机上的telnet服务,实际上仍是关闭着,灰鸽子自 己设计了一个远程命令行工具. 己设计了一个远程命令行工具.即使远程计算机的所有者禁用了 telnet仍然无忌于事 仍然无忌于事. telnet仍然无忌于事.远程控制摄像头AHU EC这是灰鸽子开发者设计的最变态的功能,完全满足了部分偷窥狂人的欲 这是灰鸽子开发者设计的最变态的功能, 可以控制远程计算机的摄像头, 望.可以控制远程计算机的摄像头,在服务端操作人员完全不知情的情 况下,控制端可以把摄像头目标中的拍摄下来. 况下,控制端可以把摄像头目标中的拍摄下来.6.3.3 第四代木马AHU EC1.广外幽灵 1.广外幽灵 (1)简介 引自自述文件) 简介( (1)简介(引自自述文件) 这是一款由广东外语大学编写的一款可以穿透防火墙 的木马,该木马可以截取到Windows Windows窗体中的星号密码 的木马,该木马可以截取到Windows窗体中的星号密码 正除外) 可以记录键盘活动.记录的内容通过E (正除外),可以记录键盘活动.记录的内容通过Email发送到指定的邮箱 可以制作邮件日志, 发送到指定的邮箱, mail发送到指定的邮箱,可以制作邮件日志,当邮件 无法发送的时候,可以查看邮件日志找回记录的内容. 无法发送的时候,可以查看邮件日志找回记录的内容.AHU EC(2)功能简介 (2)功能简介 ①读取文件或程序的密码AHU EC ②记录目标机器的键盘活动,如图所示. 记录目标机器的键盘活动,如图所示. 记录处理,记录处理功能的作用是将密码, ③记录处理,记录处理功能的作用是将密码,键盘输入等信息以 文件的形式发给黑客. 文件的形式发给黑客. 安装/卸载界面如图所示. ④安装/卸载界面如图所示.AHU EC(3)使用方法 (3)使用方法 运行SetGhost.exe进行设置:填写好攻击者收信的邮箱, 运行SetGhost.exe进行设置:填写好攻击者收信的邮箱, SetGhost.exe进行设置 对应的服务器,选择正确的服务器类型( 对应的服务器,选择正确的服务器类型(这一步非常关 直接影响到幽灵的发信能否成功) 键,直接影响到幽灵的发信能否成功),在标识处填写 攻击者为目标主机起的标识名; 攻击者为目标主机起的标识名;然后攻击者可以添加需 要进行键盘记录的程序,广外幽灵通过程序的EXE EXE文件 要进行键盘记录的程序,广外幽灵通过程序的EXE文件 名来判断是否需要进行键盘记录; 名来判断是否需要进行键盘记录;最后是设置发送邮件 的时间间隔,广外幽灵运行的实效日期, 的时间间隔,广外幽灵运行的实效日期,还有是否记 录日志文件等. 录日志文件等. 设置完成后,行这个服务程序,单击&生成幽灵!& !&按 设置完成后,行这个服务程序,单击&生成幽灵!&按 钮生成幽灵的服务程序.最后要做的, 钮生成幽灵的服务程序.最后要做的,就是让目标用 户运然后等着收取电子邮件. 户运然后等着收取电子邮件.2.广外男生 2.广外男生AHU EC(1)简介 (1)简介 同广外女生一样,它也是广东外语外贸大学的作品. 同广外女生一样,它也是广东外语外贸大学的作品. 广外男生是广外程序员网络(前广外女生网络小组) 广外男生是广外程序员网络(前广外女生网络小组)精 心制作的一款远程控制软件, 心制作的一款远程控制软件,是一个专业级的远程控 制以及网络监控工具. 制以及网络监控工具. (2)特色 引自帮助文件) 特色( (2)特色(引自帮助文件) 广外男生除了具有一般普通木马应该具有的特点以外, 广外男生除了具有一般普通木马应该具有的特点以外, 还具备以下特色. 还具备以下特色.AHU EC客户端模仿Windows资源管理器: 客户端模仿Windows资源管理器:除了全面支持访问远程服务 Windows资源管理器 端的文件系统,也同时支持通过对方的&网上邻居& 端的文件系统,也同时支持通过对方的&网上邻居&访问对 方内部网其他机器的共享资源. 方内部网其他机器的共享资源. 强大的文件操作功能:可以对远程机器进行建立文件夹, 强大的文件操作功能:可以对远程机器进行建立文件夹,整 个文件夹(包括子目录,文件)一次删除,支持多选的上传, 个文件夹(包括子目录,文件)一次删除,支持多选的上传, 下载等基本功能.同时特别支持高速远程文件查找, 下载等基本功能.同时特别支持高速远程文件查找,而且可 对查找结果进行下载和删除的操作. 对查找结果进行下载和删除的操作. 运用了&反弹端口原理& 线程插入&技术: 运用了&反弹端口原理&与&线程插入&技术:使用了目前 流行的反弹端口的木马技术,由服务端主动连接客户端, 流行的反弹端口的木马技术,由服务端主动连接客户端,因 此在因特网上可以访问到局域网里通过NAT代理(透明代理) NAT代理 此在因特网上可以访问到局域网里通过NAT代理(透明代理) 上网的电脑,轻松穿过防火墙( 上网的电脑,轻松穿过防火墙(包括包过滤型及代理型防火 墙).AHU EC使用广外程序员独创的&线程插入&技术.基于成功 使用广外程序员独创的&线程插入&技术. 广外幽灵&的先进技术,服务端运行时没有进程, 的&广外幽灵&的先进技术,服务端运行时没有进程, 所有网络操作均插入到其他应用程序的进程中完成. 所有网络操作均插入到其他应用程序的进程中完成. 也就是说,即使受控端安装的防火墙拥有& 也就是说,即使受控端安装的防火墙拥有&应用程序 访问权限&的功能, 访问权限&的功能,也不能对广外男生的服务端进行 有效的警告和拦截,使对方的防火墙形同虚设! 有效的警告和拦截,使对方的防火墙形同虚设!6.6 第五代木马AHU EC黑暗天使是一个结合窃听密码和远程控制于一体的木马, 黑暗天使是一个结合窃听密码和远程控制于一体的木马, 可以算做一个初级的第五代木马,可用于盗取密码和留后 可以算做一个初级的第五代木马, 门. 特点如下: 特点如下: ―安装后在任务管理器中看不到任何新增的进程 随机替换掉一个状态为停止的系统服务, ―随机替换掉一个状态为停止的系统服务,而被替换掉的 系统服务属性看不出任何改变 ―注册表中看不到任何新增的键 ―有强大的自我修复功能 具有很强的随机性, ―具有很强的随机性,安装后木马文件名和存放的目录都 是随机的AHU EC―采用端口隐藏技术,平时木马不开端口,只有当用 采用端口隐藏技术,平时木马不开端口, editDK.exe连接时才会开端口 只能建立一个连接, 连接时才会开端口, editDK.exe连接时才会开端口,只能建立一个连接,连 接建立后端口会自动关闭 ―能够杀掉目前流行的防火墙 增加了逆向连接功能(端口反弹技术) ―增加了逆向连接功能(端口反弹技术) 建立连接后用fport查不到木马开的端口, fport完 fport查不到木马开的端口 ―建立连接后用fport查不到木马开的端口,使fport完 全失效 增加了UDP数据报连接方式, UDP数据报连接方式 ―增加了UDP数据报连接方式,使没有独立护的用户也可 以连接到黑暗天使服务端 记录浏览器输入时会记录当前的URL. URL., ―记录浏览器输入时会记录当前的URL.,使得记录的信 息更加有用 采用ICMP reply数据报进行通信 数据报进行通信, ―采用ICMP echo reply数据报进行通信,增加隐蔽性
更多搜索：
All rights reserved Powered by
文档资料库内容来自网络，如有侵犯请联系客服。}