购买
下载掌阅APP,畅读海量书库
立即打开
畅读海量书库
扫码下载掌阅APP

第22招 用灰鸽子实现远程管理

灰鸽子作为一款国产优秀的远程控制软件,它有着强大的远程控制功能,“灰鸽子”远程控制软件使用“反弹端口”技术与客户端进行连接,则解决了这一问题,同时也解决了无法了解主机动态IP地址的问题,使得局域网内部的计算机也可以进行远程控制。

1.生成木马的服务端

“灰鸽子”分为“客户端”和“服务端”两个部分,它与“冰河”不同的是其“服务端”需要在使用前通过“客户端”来配置生成。具体的操作步骤如下。

步骤1:将下载的压缩包解压后,双击“灰鸽子2008.exe”程序,即可进入其操作界面,如图3-52所示。

图 3-52 “灰鸽子2008”主窗口

步骤2:单击【配置服务程序】按钮,即可打开【服务器配置】对话框。在“自动上线设置”标签中输入IP, IP通知URL地址和网页、DNS解析域名或固定IP,如图3-53所示。

图 3-53 【服务器配置】对话框

步骤3:在“安装选项”标签中可选择运行服务器程序后的有关选项,如图3-54所示。

图 3-54 “安装选项”标签页

步骤4:在“启动选项”标签中可选择是否将服务端程序信息写入系统注册表等选项中,如图3-55所示。在“保存路径”文本框中输入生成服务端的保存位置,单击【生成服务器】按钮,即可生成灰鸽子的服务端程序,如图3-56所示。

图 3-55 “启动选项”标签页
图 3-56 提示信息

步骤5:将生成的服务器程序复制到被控端计算机中并运行。如果在“安装选项”标签中选取相关的复选框,则安装成功后会给出提示,如图3-57所示。

图 3-57 安装成功提示

2.查看控制效果

将这个程序在要控制的计算机上运行,当这台计算机与Internet连接或通过局域网中其他计算机与Internet连接时,就会自动与“客户端”连接,就可以看到远程计算机的IP地址已经显示在了“自动上线主机”下了,如图3-58所示。

图 3-58 与被控端连接

连接成功后可以在远程主机上执行命令,对远程主机进行文件管理,上传、下载文件,修改远程主机的注册表等操作了,如图3-59所示。显然,如果将灰鸽子用于远程管理,功能将十分强大,可以很好地满足远程管理的需要。由于“灰鸽子”强大的远程管理功能,加上“服务端”运行过于隐蔽,使得许多人将它用于非法控制别人计算机了。

图 3-59 对文件进行管理

3.禁止灰鸽子服务

灰鸽子服务器端在运行后将会自动在系统服务中生成一个名为"Hgzserver"的服务,如果将其关闭则会中止灰鸽子的运行。禁止灰鸽子服务的具体操作步骤如下。

步骤1:在【运行】对话框的运行栏中输入"Services.msc"命令,即可打开“服务”窗口,在其中将会看到灰鸽子服务,如图3-60所示。

图 3-60 “服务”窗口

步骤2:双击该服务项后,在属性对话框中单击【停止】按钮,再将“启动类型”设置为“已禁用”项即可,如图3-61所示。

图 3-61 【属性】对话框

4.灰鸽子的手工清除

灰鸽子远程监控软件分为客户端和服务端两部分,黑客通过在客户端进行配置,生成一个服务端程序之后,再通过多种渠道来传播这个服务端(俗称种植木马),下面介绍两种清除灰鸽子的方法。

(1)手工检测

因为灰鸽子拦截了API调用,在正常模式下服务端程序文件和其注册的服务项均被隐藏,也就是说,用户即使设置了“显示所有隐藏文件”也看不到它们。此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定困难。

其实,无论自定义的服务器端文件名是什么,一般都会在系统安装目录下生成一个以"_hook.dll"结尾的文件。通过这一点,即可较为准确地手工检测出灰鸽子的服务端。由于正常模式下灰鸽子会隐藏自身,因此,检测灰鸽子的操作一定要在安全模式下进行。

具体的操作步骤如下。

步骤1:在系统重启并进入Windows系统启动画面之前,按"F8"键(或在启动系统时按住"Ctrl"键不放),在启动选项菜单中选择"Safe Mode"启动项或“安全模式”启动项。

步骤2:由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。在“我的电脑”窗口中选择【工具】→【文件夹选项】菜单项,即可打开【文件夹选项】对话框,在“查看”选项卡中取消勾选“隐藏受保护的操作系统文件”复选框,如图3-62所示。

图 3-62 【文件夹选项】对话框

步骤3:选择【开始】→【搜索】→【文件或文件夹】菜单项,即可打开“搜索结果”窗口,在“文件名称”文本框中输入"*_hook.dll"后,搜索位置选择C盘,如图3-63所示。

图 3-63 【搜索结果】窗口

步骤4:单击【搜索】按钮,即可在Windows目录(不包含子目录)下发现灰鸽子的木马程序文件,如Huigezi_Hook.dll文件。

步骤5:根据灰鸽子原理分析可知,如果Hmage_Hook.dll是灰鸽子的文件,则在安装目录下还会有Huigezi.exe和Huigezi.dll文件。打开Windows系统的安装目录,果然发现这两个文件,同时还有一个用于记录键盘操作的HuigeziKey.dll文件。

经过上述操作之后,基本上均可确定这些文件是灰鸽子服务端程序,所以用户只要手动清除这些程序就可以了(为防止操作失误而引起的麻烦,清除前一定要做好备份)。

(2)手工清除

经过上面的分析,清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作,主要有两步:清除灰鸽子的服务和删除灰鸽子程序文件。

清除灰鸽子服务的具体操作步骤如下。

步骤1:在【注册表编辑器】窗口中展开HKEY_LOCAL_MACHINE\SYSTEM\Current Control Set\Services注册表项。

步骤2:选择【编辑】→【查找】菜单项,即可打开【查找】对话框,在“查找目标”文本框中输入"huigezi.exe",如图3-64所示。

图 3-64 【查找】对话框

步骤3:单击【查找下一个】按钮,即可找到“灰鸽子”木马的服务项,将其所关联的整个注册表项删除。

删除灰鸽子程序文件非常简单,只需在安全模式下,删除Windows文件夹中Huigezi.exe、Huigezi.dll、Huigezi_Hook.dll以及HuigeziKey.dll文件后重启系统即可。至此,灰鸽子服务端程序就被彻底清除干净了。

5.解除关联

“灰鸽子”可以设置4种文件关联:EXE文件关联、TXT文件关联、INI文件关联、INF文件关联、INF文件关联等。解除关联的方法如下。

1)解除EXE文件关联。启动注册表编辑器,找到HKEY_CLASSES_ROOT\Exefile\shell\Open\Command主键,查看键值是不是系统默认的“%1%*”,如被修改则改为默认值。

2)解除TXT文件关联。启动注册表编辑器,找到HKEY_CLASSES_ROOT\Txtfile\Shell\Open\Command主键,默认值应为"C:\windows\notepad.exe%1",如被修改,则改为默认值。

3)解除INI文件关联。启动注册表编辑器,找到HKEY_CLASSES_ROOT\Inifile\Shell\Open\Command主键,默认值应为"C:\windows\notepad.exe%1",如被修改,则改为默认值。

4)解除INF文件关联。启动注册表编辑器,找到HKEY_CLASSES_ROOT\Inffile\Shell\Open\Command主键,默认值应为"C:\windows\notepad.exe%1",如被修改,则改为默认值。 p6U9SP7h0382XXIKidE9EfKKWQmLhHgiKgF4Xvb9OjDp25wXovHKZt4UCzzgdjGh

点击中间区域
呼出菜单
上一章
目录
下一章
×