灰鸽子的运行原理 0 管理提醒: 本帖被 .﹏豬頭濱っ 从 新手文章 移动到本区(2008-07-10) 讲道灰鸽子就不得不说什么是反弹木马,灰鸽子是反弹木马中的一个典型。 �
��dm\��F
反弹前提是因为黑客的地址并不是固定的IP地址,对于经常改变该怎么办?现在的防火墙普遍对外部数据访问内部数据做了限制,木马的正向连接已经失效!正好现在反弹派上了用场!就是服务端连接客户端(黑客),为了达到不被防火墙拦截和查杀,现在的木马大多都有插入正常进程和伪装服务的功能!反弹连接时的IP是黑客对木马配置时的IP。如果不是固定黑客将会配置成他的域名!只要他把新的IP更新到域名后,服务端就会反弹过来. f z�'@_4hg
Snj'�y�,p[
现在,在个人防火墙如此之流行的今天,也许有人会说:我装个防火墙,不管你用什么木马,在我系统上搞什么,防火墙设了只出不进,反正你没法连进来。同样,对于局域网内的机器,原先的木马也不能有效的进行控制(难道指望网关会给你做NAT么?)但是,城墙从来就挡不住木马: 在古希腊的特洛伊战争中,人们是推倒了城墙来恭迎木马的,而在这个互联网的时代,木马仍然以其隐蔽性和欺诈性使得防火墙被从内部攻破。其中反弹端口型的木马非常清晰的体现了这一思路。 `�'D�mDg�
; 5��*&x�z
反弹端口型木马分析了防火墙的特性后发现:防火墙对于连入的链接往往会进行非常严格的过滤,但是对于连出的链接却疏于防范。于是,与一般的木马相反,反弹端口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口,木马定时监测控制端的存在,发现控制端上线立即弹出端口主动连结控制端打开的主动端口,为了隐蔽起见,控制端的被动端口一般开在80,这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似 TCP UserIP:1026 ControllerIP:80 ESTABLISHED的情况,稍微疏忽一点你就会以为是自己在浏览网页。(防火墙也会这么认为的,我想大概没有哪个防火墙会不给用户向外连接80端口吧,嘿嘿)看到这里,有人会问:那服务端怎么能知道控制端的IP地址呢?难道控制端只能使用固定的IP地址?哈哈,那不是自己找死么?一查就查到了。另外一个原因也在于普通人使用的无论是猫还是adsl等等,都是动态ip(ip会经常变的),如果固定ip的话,那么下一次我们就找不到其它的肉鸡了,就像是狗熊掰玉米,掰一个丢一个一样。所以,这正是反弹木马出现的前提。 ik)|{%!K]H
LQ�@"Xe]5
实际上,这种反弹端口的木马常常会采用固定IP的第三方存储设备来进行IP地址的传递。举一个简单的例子:事先约定好一个个人主页的空间,在其中放置一个文本文件,木马每分钟去GET一次这个文件,如果文件内容为空,就什么都不做,如果有内容就按照文本文件中的数据计算出控制端的IP和端口,反弹一个TCP链接回去,这样每次控制者上线只需要FTP一个INI文件(灰鸽子可以是txt或者jpg等等)就可以告诉木马自己的位置,为了保险起见,这个IP地址甚至可以经过一定的加密,除了服务和控制端,其他的人就算拿到了也没有任何的意义。对于一些能够分析报文、过滤TCP/UDP的防火墙,反弹端口型木马同样有办法对付,简单的来说,控制端使用80端口的木马完全可以真的使用HTTP协议,将传送的数据包含在HTTP的报文中,难道防火墙真的精明到可以分辨通过HTTP协议传送的究竟是网页还是控制命令和数据? k$n|*�kC�h
一般使用反弹型木马,比如灰鸽子,你可以先申请一个免费主页空间,里面建立一个文件,然后配置灰鸽子读取里面的数据,你每次上线后修改这个文件,让他指向你的Ip,就可以了,你的肉鸡自动连接到你的机器。 �/T"+KU*�
a�S�>�u,=C
?e%Z��O�I
b�!+hH Hv:
“黑客”操纵着客户端,利用客户端配置生成一个服务端程序。服务端文件的名字默认为G_Server.exe(这个可以修改),然后“黑客”通过各种渠道传播这个木马(俗称种木马或者开后门)。种木马的手段有很多,比如,“黑客”可以将它与一张图片绑定,然后假冒成一个羞涩的MM通过QQ把木马传给你,诱骗你运行;也可以建立一个个人网页,诱骗你点击,利用IE漏洞把木马下载到你的机器上并运行;还可以将文件上传到某个软件下载站点,冒充成一个有趣的软件诱骗用户下载…… N:^�n('U&j
T;���4�NRC
目前主流的灰鸽子一共有2版:黑防版灰鸽子、VIP版灰鸽子(当然还有其它的修改版,比如宇鸽,甚至自己动手修改的“个人版”比如牧民战天版灰鸽子,汗~,不改动原程序,关于打造个人版灰鸽子我们会在后面涉及到~) R7%�#U`Q^A
sWhZ��by7�
VIP版灰鸽子 s9����m�x
G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。 X;�$+,&M"
然后将G_Server.dll,G_Server_Hook.dll注入到Explorer.exe、IExplorer.exe或者所有进程中执行。然后G_Server.exe退出,两个动态库继续运行。由于病毒运行的时候没有独立进程,病毒隐藏性很好。以后每次开机时,Windows目录下的G_Server.exe都会自动运行,激活动态库后退出,以免引起用户怀疑。 /l3V3��B7�
G_Server.dll实现后门功能,与控制端进行通信。灰鸽子的强大功能主要体现在这里。黑客可以对中毒机器进行的操作包括:文件管理、获取系统信息、剪贴板查看、进程管理、窗口管理、键盘记录、服务管理、共享管理,提供MS-Dos shell,提供代理服务,注册表编辑,启动telnet服务,捕获屏幕,视频监控,音频监控,发送音频,卸载灰鸽子…… 可以说,用户在本地能看到的信息,使用灰鸽子远程监控也能看到。尤其是屏幕监控和视频、音频监控比较危险。如果用户在电脑上进行网上银行交易,则远程屏幕监控容易暴露用户的帐号,在加上键盘监控,用户的密码也岌岌可危。而视频和音频监控则容易暴露用户自身的秘密,如“相貌”,“声音”。 I�{|O� "�8
G_Server_Hook.dll负责隐藏灰鸽子。通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项,甚至是进程中的模块名。截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。所以,有些时候用户感觉种了毒,但仔细检查却又发现不了什么异常。 p%ki>p )E|
��Ov@gh
kr
同时注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。 Da*?x8�sSL
ic�:zsu�Em
另外VIP版灰鸽子通常收费,如果不坚持续费的话,可能几年的辛苦都白费(灰鸽子vip版的IP貌似指向的是灰鸽子主服务器,在那里更新,另外vip版配置木马和自动上线东需要填写帐号,所以一旦到期,就不能用了,另外vip版和黑防版的客户端不能通用) [jQp�~&�nY
所以本系列教程以黑防版灰鸽子为例(其实大同小异)。 W�CZjXDiwJ
K-)]
�1B�G
黑防版灰鸽子 !/b>sN�}��
只有一个服务端(同上面的路径),本身不释放dll文件,所以说黑防版灰鸽子在以隐蔽性为代价的同时,丧失了一些附加的控制功能,比如键盘记录、真彩色视频等等。不过也可以通过加入插件来弥补。其余功能同VIP版灰鸽子。 C^�Yb\N}S�
^�oz3F]4,g
#P9�~}JB3,
Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,VIP版在运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。但是所有的灰鸽子在中毒后,我们都看不到病毒文件,也看不到病毒注册的服务项。 h�+H�%?:FX
x��j)F55e?
灰鸽子病毒其特点是“三个隐藏”——隐藏进程(插入进程)、隐藏服务(可以修改为其它任何名称)、隐藏病毒文件 .hb:s,0mP�
sE<�V5`�Z=
灰鸽子远程监控软件分两部分:客户端和服务端 �Mj3A5;��#
客户端为我们使用的灰鸽子主程序,未加壳的大约在4mb左右,服务端即为木马端,可以 | 
