网络人远程控制软件6年前横空出世,宣告了中国远程控制软件行业的真正崛起,也标志着远程远程控制软件取得正规合法身份和更广泛应用于日常工作生活的机缘。虽然灰鸽子的时代已然变成了久远的故事,但小编还是整理一下关于它的文章和技术原理,跟感兴趣的朋友一起分享,同时,友情提示一下国内最好的远程控制软件网络人的免费下载地址:http://netman123.cn/download.asp 。
灰鸽子的本质是木马,它如何能够在众多木马中脱颖而出,受到众多安全爱好者的追捧,灰鸽子是如何实现各种远程控制功能的?下面我们一起跟随灰鸽子的开发者揭开灰鸽子的神秘面纱。
【灰鸽子历程】
2000 年第一个版本的灰鸽子诞生,并被各大安全厂商“关注”。
2002 年灰鸽子被安全厂商列入病毒库。
2003 年灰鸽子“牵手版”受到安全爱好者的追捧,使用人数超过冰河。
2003 年灰鸽子工作室开始进行商业运作,对用户实行会员制。
2004 年灰鸽子变种病毒泛滥,广大网友谈“灰”色变。
2005 年灰鸽子发展迅速,灰鸽子工作室网站访问量保持上升状态,论坛注册会员突破90000 人。灰鸽子功能介绍模仿Windows 资源管理器,对被控制电脑上的文件操作简单易用;监视被控制电脑的内存信息,连续捕获远程电脑屏幕;使用虚拟驱动,监控被控电脑上的摄像头,具备语音监听和发送功能;隐藏性和自我保护强,不在进程中现形。
【灰鸽子工作室简介】
葛军——安徽潜山人,灰鸽子工作室管理员,精通Delphi 、ASP 、数据库编程,2001 年首次将反弹连接应用到远程控制软件上,随后掀起了国内远程控制软件使用反弹连接的热潮,2005 年4月,将虚拟驱动技术应用到灰鸽子屏幕控制上,使灰鸽子的屏幕控制达到较高水平。
黄土平——广东茂名人,灰鸽子工作室管理员,擅长Delphi 编程,2000 年~2004 年就读广州体育学院体育教育学系,在校期间曾任学院网络维护小组成员及广州某计算机有限公司网络主管,2002 年与葛军创办了灰鸽子工作室,2004 年毕业于广州体育学院并开始从事IT软件行业工作。
反弹连接,刺穿防火墙。当灰鸽子第一次出现在我们面前时,是什么吸引了我们呢?没错,是其内置的反弹连接功能。反弹连接又是什么呢?我们曾经使用的远程控制软件,例如“冰河”,在被控制计算机上运行远程控制软件的服务端后,我们需要使用远程控制软件的客户端来连接服务端,从而控制目标计算机,这称为“主动连接”。而使用“反弹技术”的远程控制软件,在被控制计算机上运行服务端后,该计算机会主动连接客户端,无须我们再进行下一步操作。“反弹连接”是远程控制软件的一大进步,其优点:一、当被控制计算机数量较多时,无须一个一个进行连接,而被控机会主动连接客户机,方便管理。二、当被控制计算机上有防火墙存在时,使用“主动连接”的远程控制软件很有可能被拒之门外,而“反弹连接”技术则可以很轻松地刺穿防火墙,因为防火墙通常对外部连接过滤严密,而对于本机主动连接则疏于防范。
那么灰鸽子的“反弹连接’功能是如何实现的呢?其实,实现这个功能很简单,只是在“主动连接”上进行了加工而已。“灰鸽子”是使用Delphi 开发的,在客户端使用了TServerSocket 组件,在打开自动上线端口等待服务端连接部分使用了TClientSocket 组件,TServerSocket 作为服务器方使用,TClientSocket 作为客户端使用,这两个组件本身并不提供Socket 连接,但是他们都有一个Socket 属性,这个属性才提供了Socket 连接。这两个组件提供了强大的网络功能,是“灰鸽子”的核心部分。“灰鸽子”在此基础上将传统的主动连接改为了无人值守型,让服务端主动连接客户端,这样看来就是服务端自动上线反弹连接了。
编辑点评:灰鸽子是国内第一款使用反弹连接的木马。因此,“灰鸽子”在反弹连接功能上比其他反弹类木马功能更强大、更稳定。其提供“免费域名更新IP”和“FTP 更新IP”两种反弹连接方式,注册灰鸽子后还可以使用其“注册用户专用上线”功能,这使得其他反弹木马相形见绌。
虚拟驱动,监控摄像头。“灰鸽子”在进行摄像头监控时的步骤可以分为两部分。首先当客户端发出控制摄像头的命令后,服务端会在被控制计算机上检测是否存在视频设备,如果有则启动。当摄像头监控启动后,服务端会将当前的摄像头捕获的影像截屏,保存为图片,然后将该幅图片发送到客户端。如果网速很快,那么每秒传送的图片也就越多,根据电影的原理,我们看到的已经是视频而非“图像”。
编辑点评:灰鸽子在“屏幕控制”功能上率先使用了“虚拟驱动”技术,这项技术可以使“屏幕监控”更加流畅,大大提高了控制的准确性。即使在网络并不畅通的情况下仍可提供较为流畅的画面,而没有采用该项技术的木马软件在这种情况下则更像是在看幻灯片。
服务端的遁形术。“灰鸽子”的服务端运行后会将自身拷贝到系统盘的“windows”目录下(windows2000 为winnt 目录),然后再从服务端中释放G_Server.dll 和G_Server_Hook.dll 到windows 目录下。这三个文件相互配合组成了灰鸽子服务端,如果在生成服务端的时候选择了“文件运行后启用键盘记录”选项,那么就会多释放出一个名为G_ServerKey.dll 的文件用来记录键盘操作。
“灰鸽子”之所以能隐藏生成的文件和服务是因为软件编写时使用了madCollection 组件对系统API 进行了拦截过滤,在对特定的系统事件进行挂钩后,一旦发生已挂钩的事件,对该事件进行挂钩的程序就会收到系统的通知,这时程序就能在第一时间对该事件作出响应。“灰鸽子”就是利用了此原理通过挂钩系统本地调用来隐藏自己,所有通过调用Windows API 查看系统服务和文件的方法将都失去作用,因此,即使我们在“文件夹选项”中勾选“显示所有文件和文件夹”,也是无法看到灰鸽子所生成的文件的。
其实要让遁形的文件现身也不难,首先要进入系统的安全模式,因为在正常模式下我们是无法找到其踪迹的。然后我们打开“文件夹选项”,取消“隐藏受保护的操作系统文件”前面的钩,接着勾选“显示所有文件和文件夹”选项,就可以找到“灰鸽子”所释放的隐藏文件了。
编辑点评:灰鸽子的服务端一旦运行,就会和系统“融为一体”,因为服务端释放的文件会和系统挂钩,并且对系统API 进行拦截。因此在正常模式下很难清除“灰鸽子”,即使杀毒软件也很难将其查杀干净。服务端释放文件和防删除功能后来被很多木马类软件模仿。
进程插入,让进程蒸发。当我们怀疑自己中了木马病毒后,通常做的第一件事就是使用“任务管理器”查看是否有可疑进程,因此插入进程对远程控制软件隐蔽自身来说是十分有必要的。“灰鸽子”在配置服务端的时候可以选择插入“explorer.exe”或者“iexplore.exe ”进程,如果选择插入的是前者,那么当被控计算机运行服务端后,病毒进程将插入所有当前正在运行的进程中。如果选择插入的是“iexplore.exe ”进程,那么只能隐藏在IE进程中。当然,插入“iexplore.exe ”进程有其优点,就是更容易穿透防火墙。如果防火墙开启有应用程序规则,当服务端连接客户端时,防火墙显示的将是“是否允许‘Internet Explorer’访问网络”,相信很多人都会毫不犹豫地点击“允许”。
进程插入功能的实现需要通过系统的挂钩机制来插入进程,调用SetWindowsHookEx 函数来完成这一过程。当“灰鸽子”的DLL 文件进入另一个进程的地址空间后,就可以完全控制该进程,例如服务端利用“iexplore.exe ”进程刺穿防火墙。
编辑点评:可以说,进程插入是隐藏服务端进程和刺穿防火墙的最好形式,只要使进程从“任务管理器”中消失,一般的用户是根本不知道自己已经“中招”的。因此该项功能危害很大。但是该项技术实现难度较高,很少有木马软件能掌握该项技术。
灰鸽子的免杀绝技。给文件加壳是现在用得最多的免杀技术,壳能够将文件包住,然后在文件被运行时,首先运行文件外面的壳,然后释放并运行包裹着的文件体。给文件加上壳后不仅可以大幅度减少文件的体积,还能给文件加上一层保护的外衣,防止文件被非法修改。目前使用最为广泛的壳包括:aspack 、upx 、nspack 、PECompact 等。对于一个已经能被杀毒软件查杀的文件,如果想给它换一层“外衣”,必须脱去其原有的壳,其步骤如下:首先使用language2000 或者peid 等侦壳工具查看文件所加的壳,然后使用相应的脱壳工具或者手工脱壳,最后使用其它加壳工具进行加壳即可。然而随着很多木马病毒加壳后大肆传播,杀毒软件也增加了加壳软件的查杀能力,通常会将文件的壳脱去后再进行查杀,只有使用一些罕见的加壳工具才有可能使文件逃脱杀毒软件的眼睛,这也是为什么“灰鸽子”的服务端加壳后仍被查杀的原因。
杀毒软件对一个文件是不是病毒都是根据特征码来判断的,即只要在文件中发现某一段代码,和杀毒软件病毒库中的病毒特征码对上号,那杀毒软件就将该文件宣布为病毒。因此,只要我们修改了文件的特征码,就可以彻底躲过杀毒软件。对于特征码的提取,我们可以使用“特征码定位器(ccl)”确定特征码所处的位置,然后使用WinHex 等16进制编辑器对特征码进行修改,或者使用Ollydbg 这款动态调试工具定位特征码后进行修改。找到特征码后,可以修改代码的组合,只要结果不变即可,例如2+2=4 可以修改1+1+1+1=4,其效果是一样的。但是这种方法的缺点也很明显,因为每种杀毒软件设定的特征码都是不同的,根据A杀毒软件修改特征码,逃过了A杀毒软件,但是在B杀毒软件面前就无能为力了。
编辑点评:灰鸽子的加壳更新率是当前所有木马中最高的。根据官方的资料显示,灰鸽子的特征码可以领先国内安全厂商的破译速度两个月的时间。也就是说在两个月内,国内很多杀毒软件对最新的灰鸽子版本将束手无策。这也是灰鸽子能够得到安全爱好者追捧的一大原因。
|
