現在網上流行的木馬基本都是采用C/S結構(客戶端/服務器)。如果要用特洛伊馬控制對方電腦,首先需要在對方電腦中植入並運行服務器程序,然後在本地電腦中運行客戶端程序,連接對方電腦,控制對方電腦。
第二,木馬的使用
將壹個特洛伊木馬服務器成功植入他人體內後,需要耐心等待服務器上線。因為黑洞2004采用了反連接技術,服務器上線後會自動與客戶端連接。這時候我們就可以控制客戶端遠程控制服務器了。在黑洞2004下面的列表中,隨機選擇壹臺已經聯機的電腦,然後就可以通過上面的命令按鈕控制這臺電腦了。讓我們簡單介紹壹下這些命令的含義。
文件管理:服務器上線後,可以通過“文件管理”命令下載、創建、重命名和刪除服務器電腦中的文件。可以通過鼠標直接拖拽文件或文件夾到目標文件夾,支持斷點續傳。簡單吧?
流程管理:檢查、刷新、關閉對方流程。如果發現殺毒軟件或防火墻,可以關閉相應的進程來保護服務器端程序。
窗口管理:管理服務器計算機的程序窗口。妳可以在另壹個窗口中最大化、最小化和關閉程序,這比進程管理更靈活。可以玩很多惡作劇,比如最大化最小化對方的壹個窗口。
視頻監控和語音監控:如果遠程服務器電腦配有USB攝像頭,可以通過它獲取圖像,並可以直接保存為可直接通過Media Play播放的Mpeg文件;如果妳需要麥克風,妳仍然可以聽到他們的談話。這難道不可怕嗎?
除了上述功能外,還包括鍵盤記錄、重啟關機、遠程卸載、屏幕抓取和密碼檢查等。操作很簡單,懂嗎?做黑客其實很容易。
3隱藏
隨著殺毒軟件病毒庫的升級,特洛伊很快就會被殺毒軟件殺死。因此,為了讓特洛伊服務器查殺殺毒軟件,並長期隱藏在別人的電腦中,為特洛伊的黑客提供了幾種可行的方法。
1.特洛伊馬的自我保護
如前所述,當黑洞2004生成服務器時,用戶可以改變圖標,並使用軟件UPX自動壓縮和隱藏服務器。
2.捆綁服務器
用戶使用文件綁定器將特洛伊服務器與普通文件綁定,從而欺騙對方。文件活頁夾包括廣外文件活頁夾2002、通用文件活頁夾、exeBinder等。
3.制作自己的服務器
上面提到的這些方法雖然可以忽悠殺毒軟件壹段時間,但最終都逃不過殺毒軟件的查殺,所以對已有的特洛伊進行偽裝,讓殺毒軟件無法分辨,是壹種比較激進的方法。您可以使用壓縮EXE和DLL文件的壓縮軟件來保護服務器。比如1中的UPX就是這樣壹款壓縮軟件,但是默認情況下,軟件是按照自己的設置對服務器進行壓縮的,所以結果是壹樣的,很難長時間避開殺毒軟件;而如果自己壓縮服務器,可以選擇不同的選項,壓縮壹個不同的服務器,殺毒軟件很難判斷。我以冰川為例,為大家簡單解釋壹下脫殼(解壓)和脫殼(壓縮)的過程。
如果用殺毒軟件查殺冰川,肯定會發現兩個病毒,壹個是冰川的客戶端,壹個是服務器。用軟件“PEiD”檢查軟件的服務器是否被作者炮轟過,可以看到服務器被UPX壓縮過。
現在,我們需要給軟件去殼,這是壹個解壓的過程。我在這裏用了“UPXUnpack”。在選擇了需要的文件後,我點擊了“解壓”開始脫殼。
外殼移除完成後,我們需要為服務器添加壹個新的外殼。去殼的軟件有很多,比如:ASPack,ASProtect,UPXShell,Petite等等。這裏以“ASPack”為例,點擊“打開”按鈕,選擇剛剛去殼的服務器程序。選擇後,ASPack將自動外殼服務器。再次用殺毒軟件查殺這臺服務器,發現無法識別判斷。如果妳的殺毒軟件還能查殺的話,妳也可以用多個軟件對服務器進行幾次外殼。用Petite和ASPack對服務器做了兩次外殼後,嘗試了各種殺毒軟件,都沒有掃描到。現在網絡上流行的很多XX版冰川都是網友修改服務器重新加殼後制作的。
為了避免不熟悉木馬的用戶誤運行服務器,現在流行的木馬並沒有提供單獨的服務器程序,而是通過用戶自己的設置生成服務器,黑洞2004也是如此。首先運行黑洞2004,點擊“函數/生成服務器”命令,彈出“服務器配置”界面。由於黑洞2004采用了反彈技術(請參與提示),先點擊旁邊的“查看”按鈕,在彈出的窗口中設置壹個新的域名,提前輸入妳申請的空間的域名和密碼,點擊“域名註冊”,在下面的窗口中反映註冊情況。域名註冊成功後,返回“服務器配置”界面,填寫剛剛申請的域名,以及“在線顯示名稱”、“註冊表啟動名稱”等項目。為了迷惑他人,您可以單擊“更改服務器圖標”按鈕為服務器選擇壹個圖標。所有設置完成後,點擊“生成EXE服務器”生成服務器。服務器生成時,軟件會自動使用UPX對服務器進行壓縮,起到隱藏和保護服務器的作用。
服務器生成後,下壹步是把服務器植入別人的電腦?常見的方法有:通過系統或軟件的漏洞入侵他人電腦,將特洛伊馬的服務端植入自己的電腦;或者通過郵件夾帶的方式將服務器作為附件發送給對方;並把服務器偽裝起來放在自己的* * *共享文件夾中,通過P2P軟件(如PP Click、白豹等)讓網民毫無防備地下載運行服務器程序).
因為這篇文章主要是針對普通的互聯網愛好者,所以我就用簡單的郵件夾帶來給大家講解壹下。我們以經常看到的Flash動畫為例,創建壹個名為“好看的動畫”的文件夾,然後創建壹個名為“動畫”的文件夾。files”在這個文件夾中,將特洛伊服務器軟件放在這個文件夾中並假設名稱為“abc.exe”,然後在這個文件夾中創建壹個flash文件,並輸入文字“您的播放插件不完整,點擊下面的按鈕,然後點擊打開按鈕安裝插件。創建壹個新的按鈕組件,將其拖到舞臺上,打開動作面板,輸入“on (press) {getURL ("animation。files/ABC . exe ");}”,這意味著點擊按鈕時執行abc文件。創建壹個名為“動畫”的新網頁文件。htm”文件夾中的“美麗動畫”,並把剛剛制作好的動畫放到這個網頁中。看到門道了嗎?通常,您下載的網站通常是。html文件和壹個以。文件。我們這樣構造它的原因也是為了迷惑開篇者。畢竟很少有人會經歷。文件文件夾。現在我們可以寫壹封新郵件,把文件夾“美麗動畫”壓縮成壹個文件,放在郵件的附件裏,然後寫壹個吸引人的主題。只要說服對方運行它,重啟系統,服務器就種成功了。
第三,預防
預防比治療更重要。在我們的電腦被特洛伊木馬擊中之前,我們需要做很多必要的工作,比如安裝殺毒軟件和網絡防火墻;及時更新病毒庫和系統安全補丁;定期備份硬盤上的文件;不要運行未經請求的軟件和打開未經請求的電子郵件。
最後,筆者要特別提醒大家的是,特洛伊馬不僅具有強大的遙控功能,而且破壞力極強。我們學習它只是為了了解它的技術和方法,而不是為了竊取密碼之類的破壞活動。希望大家保重。
小知識:
反彈技術,解決了傳統遠程控制軟件無法通過防火墻訪問遠程電腦,控制局域網的問題。反彈端口軟件的原理是客戶端先登錄FTP服務器,在特洛伊軟件中預設的首頁空間編輯壹個文件,打開端口監視器,等待服務器的連接。服務器定期用HTTP協議讀取這個文件的內容,當發現客戶端讓自己啟動連接時,就會主動連接,這樣就可以完成連接。
所以妳可以在互聯網上通過NAT(透明代理)代理訪問局域網內的電腦,可以穿越防火墻。與傳統的遠程控制軟件相反,反彈端口軟件的服務器會主動連接客戶端,客戶端的監聽端口壹般為80(即用於網頁瀏覽的端口)。這樣,即使用戶在命令提示符下使用“netstat -a”命令檢查自己的端口,也會發現類似“TCP userip:3015 controller IP:http established”的東西,這壹點有點被忽略了。所以和壹般軟件相反,反彈端口軟件的服務器主動和客戶端連接,這樣就可以輕松突破防火墻。