灰鸽子(Hack. Huigezi)
1.实验环境实验环境如图5-59所示。
2.生成木马的服务器端第1步:下载并安装灰鸽子。第2步:配置反向连接木马。运行灰鸽子,主界面如图5-60所示,单击【配置服务程序】,弹出如图5-61所示的对话框,选择【自动上线设置】选项卡,在此需要强调的是,由于是配置反向连接木马,所以一定要在IP栏中输入黑客(客户端)的IP地址“192.168.10.5”,其他配置信息根据界面提示进行设置,如图5-62~图5-64所示。“HKFX2008_OK.exe”是最终生成的反向连接木马服务器端。
3.把木马服务器端植入他人的电脑木马的传播方式主要有两种。一种是通过电子邮件,控制端将木马程序以邮件附件的形式发出去,收信人只要打开附件,系统就会感染木马。另一种是软件下载,一些非正规的网站以提供软件下载为名义,将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装。本实验主要介绍黑客是如何使用木马程序来控制被入侵电脑的,所以直接将反向连接木马服务器端“HKFX2008_OK.exe”复制到了被入侵电脑(192.168.10.1,ZTG2003)中。接下来运行HKFX2008_OK.exe,反向连接木马就会自动进行安装,首先将自身复制到C:\WINDOWS或C:\WINDOWS\SYSTEM目录下,然后在注册表、启动组、非启动组中设置好木马的触发条件,这样木马的安装就完成了。
4.黑客进行远程控制由于是反向连接木马,所以服务器端上线后就会自动连接客户端(黑客),在主界面中(如图5-65)可以看到“ZTG2003”已经与黑客电脑连接了,即被黑客控制。在图5-65中的【文件管理器】选项卡中,可以像使用【Windwos资源管理器】一样来新建、删除、重命名、下载被入侵电脑中的文件。在图5-66中的【远程控制命令】选项卡中,可以查看被入侵电脑的系统信息;可以查看、终止被入侵电脑的进程;可以启动、关闭被入侵电脑的服务等。在图5-67中的【命令广播】选项卡中,可以向所有被入侵电脑发送相同的命令。
5.手工清除灰鸽子确认灰鸽子的服务进程名称,假如是“HKFX2008_OK”,在桌面右键单击【我的电脑】图标,在右键菜单中选择【服务】,在弹出的【服务】窗口中,禁止“HKFX2008_OK”服务,右键单击该服务,在右键菜单中选择【属性】,在属性对话框中得到该服务文件的位置,将其删除即可。