远程控制技术与其原理

远程控制分类与远程协助区别


     远程控制技术是必学的技术之一。远程控制不同于远程协助，两者之间有很大的区别，所谓远程协助需要经过被控端的授权允许，并且被控端可以看到控制者的所有操作，使之控制操作透明性；例如我们的QQ远程协助，就需要对方的允许控制进行操作，并且对方也能够看到我们的操作动作，远程协助一般是用来进行远程的计算机操作协助。远程控制则不一样，远程控制只要在被控者电脑安装一个服务端，即可在不知情的情况下进行控制对方计算机以及对计算机其它操作，控制时不需要经过对方的许可就可以控制，而控制时操作的一些动作，对方也无法察觉到（除鼠标控制）。远程控制按控制类型可以分类为：（1）正向主动型远程控制 （2）反向被动型。什么是正向主动型的呢？正向主动型是需要控制着主动去连接被控端，一般情况下，控制者必须知道需要被控制者的IP和端口，然后通过某种软件来进行控制被控者，例如微软的3389远程桌面、Radmin远程控制、VNC远程控制都需要知道对方的IP（端口）然后通过客户端软件进行连接对方。反向被动型控制又可以称为反弹性控制技术，指的是在被控端下安装服务端之后，由被控端主动来寻找你的客户端监听端口软件连接来进行控制，这个好处就是不需要知道对方的IP地址和端口，被控端会自己主动来找我们的监听地址和端口，当我们发现被控端已经找到我们的监听地址和端口，我们就可以控制对方电脑，这样省去要知道对方的IP和端口的麻烦了，特别是对方是动态IP的时候。反向被动型远控在黑客界已经是主流了，黑客专门使用某些控制软件在控制对方，反弹型远控软件更是数不胜数，例如：花鸽子（灰鸽子）、白金、终结者、Ghost 等等。

远程控制软件的功能与远控木马的特性

   我们这里主要讲解的是反弹型远控，并且也有讲解到Web型的正向型远控，正向型远控还有Radmin、3389远程桌面也可以值得大家去学习，关于Radmin远控的可以参考我之前写的《深度研究Radmin远控》。 关于3389终端技术我已经写了《精通3389终端》。现在的远程控制软件（又称客户端，生成出的木马叫服务端）数不胜数，甚至很多已经是爆出，对于各种远程控制软件来说，其实基本都是具备以下功能：

【屏幕监控】：可以查看被控制者的屏幕，保存捕获的被控制屏幕的截图。并且看到对方的一切操作，可以自由选定图像位色查看，还
                        可以选择是否控制对方鼠标、键盘，若选择即可控制对方的电脑鼠标、键盘，这一控制对方是可以看到鼠标被控制。

【文件管理】：可以在后台查看被控者的各个磁盘中的文件，直接显示隐藏文件，可自由在对方的磁盘中删除文件、上传文件、下载文
                         件、重命名文件、远程显示打开文件、远程隐藏打开文件、复制文件、粘贴文件、新建文件夹等功能。

【视频监控】：如果对方有视频，即可暗中开启对方视频监控到对方人、环境等一切。

【语音监听】：如果对方已经插上麦，此功能即可通过对方的麦暗中监听到对方说话的声音。

【键盘记录】：可以记录对方键盘的一切操作，可执行离线记录，即不打开该功能也能随时记录，有些还可以IE密码记录。

【信息查看】：可以查看对方的外网IP地址，内网IP地址、系统版本、电脑配置、上线时间等。

【注册表编辑器】：可以查看对方计算机的注册表和修改对方注册表的键值等操作。

【超级终端】：又称Telnet，即远程CMD，可以使用远程主机的cmshell进行各种CMD命令的操作。

【系统管理】：可以查看对方电脑的进程管理器，可任意结束进程。也可以查看对方窗口信息，随意结束某个窗口，有些远程控制软件还
                         可以查看对方的宽带账号密码、软件信息等。

【服务管理】：可以查看对方的系统服务列表和开启状态，可随意停止和开启对方的某个服务。

【代理映射】：可以开启远程计算机IP代理，把远程主机映射到本机作为代理。使用远程计算机IP和端口进行代理上网。

【会话管理】：可以重启、注销、关机远程计算机，还可以断开远程主机的连接或者卸载远程主机的服务端。

【共享与剪贴板】：可以查看远程主机的共享文件，剪贴板功能可查看远程主机剪贴板中的文本信息。

【弹窗下载】：可以发送某段消息给远程主机，远程主机即会弹出对话框显示，下载执行可以通过后台打开对方的IE进行浏览某个
                         网站或者执行下载木马等。

【DDOS】：某些远程控制软件拥有该功能，可以随意选择在线肉鸡，以肉鸡作为流量来进行DDOS、CC攻击网站等操作。

【配置服务端】：即配置木马，每个远控软件都有，通过自己选择某些参数配置一个反弹型服务端（木马）。

以上讲解的都是远程控制软件的常见功能，可能有些远控软件有其中功能或者更多功能，这里就只讲这么多咯，下面给大家讲解下远程控制所生成的木马，远控软件生成的木马又被称为后门木马，一般它只要对方点击了该木马，木马就立即分析木马本身的IP配置等信息，向主控端发送TCP连接请求，当发现主控端在线即上线在主控端的远程控制软件上，

一般远程控制软件的木马有以下几种特点：

①：模仿系统进行运行在内存中。有的可能使用Rootkit技术隐藏进程。
②：通过DLL注入在某个正常进程中。
③：通过替换系统正常程序来运行在内存中。
④：木马会创建服务到系统服务中，并且设置为自启动类型。
⑤：木马会残留在C盘或者感染C盘某个正常DLL文件。
⑥：木马会写入自启动项，使之远程主机开机运行木马。
⑦：木马运行后每三十几秒向主控端发起连接请求。若找到对应IP和端口则建立连接。

上述所说的就是常见的远控木马特性，一般来说远控木马并不带有恶性行为，即不存在格式化磁盘、破坏电脑硬件或删除Windows重要文件等恶意操作。

灰鸽子固定IP、动态域名、FTP上线原理与方法

1.灰鸽子是一款早期很流行的远程控制软件，由安徽籍灰鸽子工作室创办人“葛军”使用Delphi编写的，后来的远程控制软件基本都是模仿灰鸽子进行编写的。所以说学会灰鸽子原理，其它远控你基本都会了。以下是改版的灰鸽子软件主界面。


  
2.灰鸽子支持固定IP上线、动态域名上线、FTP上线。我们先来简单的说下木马上线的原理。当我们的木马在A电脑上运行后，只要A电脑一旦连接网络，那么木马就会通过之前配置好的连接IP和端口向我们的主控端发起连接请求，一旦连接木马配置中的IP和端口成功，主控端就可以看到肉鸡上线了，此时就可以进行远程控制肉鸡了。我们举例说，比如配置了一个木马的上线地址为：188.188.188.188，那么该木马放到某台连接互联网的计算机中运行后，木马会不停地向IP为188.188.188.188的主机发起连接，只要该IP电脑上运行了灰鸽子软件，就会显示肉鸡上线了，那么就可以轻易控制被控端了！下面是我为大家画的一张木马反弹上线的原理图（看不清请点大）：



3.【固定IP的上线】：固定IP上线不适合于普通用户使用，因为大家的IP一般都是动态IP，即计算机重启后外网IP会不停地变动，特别对于宽带拨号的用户来说，一旦断开宽带连接，再重新拨号，公网IP地址又变了。这样木马就只能上线一次，什么意思呢？例如：我们配置木马的上线IP为188.188.188.188，那么木马就会始终向IP为：188.188.188.188的计算机发起连接请求，假设我们这一次电脑是这个IP，下一次我们电脑重启了的话IP发生变化，变成122.122.122.122，那么木马又如何能向我们现在的IP发起连接请求呢？所以固定IP一般不适用于普通用户，而它却适用某些服务器上线，因为很多服务器的IP都是固定IP，向ISP运营商申请的固定IP，无论重启多少次，IP始终保持不变，那么我们在该固定IP的服务器上配置木马，由于服务器IP始终是不变，我们下次重启计算机再在该服务器上打开灰鸽子软件也能看到肉鸡的上线。固定IP上线原理就是这么简单，仅仅适用于固定IP的用户，配置方法是：先打开灰鸽子的——配置服务端。上线地址中填写我们的固定IP，可以通过百度“IP”得到我们的外网IP.如果端口修改后必须添加端口，形式为〈IP地址：端口〉，灰鸽子默认端口是8000端口，我们如果不修改就直接填写固定IP，其它的进行隐藏、选择木马图标、自动删除、上线备注、连接密码可按需设置。最后选择“生成服务端”木马就生成出来了。这里我就假设我现在的外网IP为固定IP。因为只有外网IP才有连接因特网的通讯能力。



4.将生成的木马放入到做测试，发现能够成功上线，当然假如我们非固定IP电脑重启了之后，IP变了，那么我们再打开灰鸽子就无法看到肉鸡上线了，因为木马不知道我们的新IP，所以固定IP上线适用于有固定IP的用户来配置木马。



5.此时我们可以在虚拟机中CMD下输入netstat -ano 查看TCP连接，就能看到本机正在与182.101. 185.***的8000端口进行连接着。肉鸡是随机启动用一个未使用的端口来对我们的182.101.185.***的8000端口来连接。并且模仿IE进程。



6：【动态域名上线】：动态域名又叫DDNS，动态域名上线适用于所有使用动态IP用户。为什么呢？对于广大动态IP用户来说，我们每次重启或断开宽带连接都会更换不同的外网IP，那么我们想生成一个木马，如何让木马始终知道我们电脑更换的IP后进行发起连接呢？如何在我们计算机重启后，打开灰鸽子还能看到原来肉鸡的上线呢？那么动态域名就解决了我们这个问题了，首先我们去申请一个动态域名，可以在3322里面或者花生壳等地方申请一个域名，我申请的域名账号为：huagezi.f3322.org 。那我们首先要知道我们的域名地址是永远不变的，好比百度的域名永远不会变，但是我们的电脑IP地址是不停变的。我们就可以使用动态域名来解析IP，我们每次电脑重启更换IP后，进去3322域名，将我们的IP地址更新到域名，比如我现在的IP是：182.101.185.203，那我就将该IP更新到域名：huagezi.f3322.org ，那么我们这个域名对应的IP就是我们现在的IP，我们可以使用Ping域名看我们现在的域名是否与现在的IP对应。检测为对应，即所谓的：huagezi.f3322.org =182.101.185.203。如果下次我们重启电脑换成了188.155.155.155，那么我们就再上去3322域名，将变化了的IP 188.155.155.155更新到域名huagezi.f3322.org ，那么域名huagezi.f3322.org ==188.155.155.155。



7.通过我们IP会变，但是域名始终不变的原理，我们配置木马的时候填写我们的动态域名地址，然后生成一个由域名配置的木马，当木马在某电脑运行后，木马会自动地去解析域名的IP是多少，即所谓的ping 域名得到IP地址，例如我们将自己最新的IP：182.101.185.203更新到了域名，那么木马就通过解析域名出来的IP进行一个反弹连接。如果我们计算机重启IP变成188.155.155.155，那么我们将IP更新到域名后，对方电脑木马就会继续解析我们的域名，当发现我们的域名huagezi.f3322.org IP又是188.155.155.155了，那么木马就会向这个IP发起连接请求。



8.这里我依然为大家画一张原理图进行讲解动态域名上线的原理。木马其实只是在悄悄地Ping我们的域名，看我们的域名的IP是多少，如果该IP在线并且打开了灰鸽子客户端，那么马上灰鸽子客户端就上线。我们可以试着这样想，假如我们重启IP换了，但是原来之前我们使用过的IP假如是111.111.111.111，而这个IP现在是某个地方的某个同志在使用，那么木马端就会向使用111.111.111.111的计算机发起连接请求，但是很可惜这位同志不知道玩灰鸽子，所以看不到上线，但是还是会向他发起连接请求。哈哈！明白不？



9.【FTP上线】：当我们了解了固定IP上线、域名上线，FTP上线对大家的理解原理就更简单了，FTP上线最适合动态IP用户使用，因为域名经常更新IP很慢，不稳定。灰鸽子有带有自动更新FTP空间的功能。我这里先申请一个免费FTP空间为unisserver.svfree.net，大家可以去3V或者5944等地方申请免费FTP空间，可能免费FTP空间不是很稳定，有钱的可以申请收费的。申请好的FTP空间有空间地址、登录账号、登录密码，默认21端口。此时我们打开我们的灰鸽子。点击我们的自动上线，让FTP服务器中填写：我们的FTP空间地址，我这里是unisserver.svfree.net。FTP登录账号和密码也填写，连接类型如果你是内网用户（路由上网）则选择PASV，如果你是公网（上网猫拨号）的就选择PORT，我这里是公网IP就选择PORT连接类型。然后存放IP的文件我们默认为ip.txt，你也可以改其它名字或者该为ip.html类型，IP文件内容要注意：这里必须是我们的公网IP：端口。然后点击更新，提示更新成功即可。



10.此时我们可以通过网页浏览(FTP://你的虚拟空间FTP域名)或者FTP软件来查看下IP.txt到底存不存在我们的网页中，并且查看IP.txt的内容是什么。我这里就使用8UFTP软件吧。然后内容就右击来看！



查看下该IP.txt查看下内容是什么，发现是我们的IP和端口，一般形式是http://www.lhsxpumps.com/_IP:port/wwwroot/



11.当我们更新成功后并且发现ip.txt里面的内容为正确为我们的现在IP地址，那么我们就用FTP空间的ip.txt内容来上线，点击灰鸽子的“配置服务端”，此时填写：unisserver.svfree.net/ip.txt。表示读取我们FTP空间里面的ip.txt。



12.此时我们将木马放入到虚拟机测试发现可以正常上线。看到这里大家都明白原理了吧，用FTP空间生成的木马，当被控端运行了该木马，木马就会在后台打开IE去读取FTP空间里面ip.txt文档的内容，只读取里面的IP和端口，当我们把最近IP更新到IP.txt里面的时候，木马读取到了我们的最新IP和端口，那么木马就向该IP发起连接请求。其实灰鸽子里面还可以用本机的某个目录作为FTP空间，在灰鸽子里——工具——FTP服务器里面搭建本地FTP服务器，当然不推荐使用，因为本机IP是动态的，搭建出来的FTP空间地址也是动态的咯！其实还支持Web上线，原理和FTP空间是一样，都是读取文件里面的IP地址。好了下面用一张原理图解释下FTP上线的原理。（看不清请放大）



13.明白了固定IP、动态域名、FTP上线原理与方法，那么你对任何一款的远程控制软件如何去配置服务端都已经很清楚了，只要让我们的木马能读取到我们的IP就可以，对于服务器的用户可以用固定IP，对于普通用户那么就用动态域名和FTP空间上线方法来上线吧。下面说下内网如何使用灰鸽子上线：

      1.关于内网上线如何上线，需要到做端口映射，那么先请你到我的日志《高级端口映射》找到路由器工作原理你就会明白为什么内网需要做映射。
      2.需要映射哪些端口？一般需要映射灰鸽子监听端口，默认8000，假如你还需要外网用户能主动连接我们内网某计算机B端口，那么请做B端口映射。
      3.内网上线，FTP的IP.txt内容应该更新我们的公网IP地址。
                                      
                                             

灰鸽子无法上线的常见问题

1、问：为什么我在虚拟机使用灰鸽子，总是不会上线呢？      

答：某些黑防灰鸽子软件通过PEiD查壳可能会发现加了PElock的壳导致在虚拟机上线的限制，可使用牧民战天或者黑客手册的灰鸽子

2、问：为什么我的灰鸽子做了端口映射还是不上线呢？   

答：你的灰鸽子确定做了监听端口的映射？你换端口了记得做多少端口映射，做端口映射填写的是你本地内网IP，如果正确那么请你停
     止你的防火墙，因为有时即使做了映射防火墙也会拦截你映射端口的的数据包。

3、问：为什么我的灰鸽子打开后提示端口监听失败？     

答：这很明显就是你的监听端口被占用了，可以使用netstat -ano查看下是哪个ID占用了灰鸽子的监听端口，如果占用了那么就更换
    一个未使用的监听端口，更换后内网需要映射的映射的端口也要记得改。

4、问：为什么我用FTP上线总是上线不呢？     

答：可以在虚拟机测试，看看点击配置为FTP上线木马的连接请求是不是先与你的FTP连接，如果是断开状态，很明显你的免费FTP空
    间不稳定，建议更换美国空间或者收费的FTP空间。或者仔细查看下你FTP空间IP.txt的内容。

5、问：为什么我的域名更新了，配置的灰鸽子还是不上线？   

  答：还是域名的问题，你看上去好像是更新了，你一定用的是免费域名，那么请你先确定你现在的公网IP，然后再通过Ping命令Ping
         一下你的域名，看看得到的IP是不是你公网的IP，如果不是说明域名不稳定，更新IP速度太慢了，请不断去更新，直到Ping出的
      IP是你现在的公网IP。

6、问：为什么我配置出的灰鸽子总是上不了线？     

答：请尝试是否做了端口筛选，然后就是防火墙是否停止，还有就是如果是内网用户看看是否内网其它用户也在使用8000端口，如果
    是则更换监听端口，并且不与局域网的映射端口冲突就可！

7、问：为什么我换了监听端口生成出来的灰鸽子木马不能上线？   

答：换了端口当你填写上线地址时，要在后面添加：端口，如：huagezi.f3322.org:1999

精简版Ghost字串上线方法

（提示：免费FTP空间基本不稳定，可通过空间地址/ip.txt查看是否能够正常查看）

1.精简版的Ghost只有一个Ghost.exe程序，它的上线原理当然和其它远控一样，稍微不一样的就是它是通过字串上线，简单的来说通过配置的上线参数形成一个随机的字串再通过字串生成服务端程序，那么我们先来看下我们的精简版的Ghost界面，当然也有非精简版的另一种Ghost。图为：精简原版Ghost远程控制。
其中Connections是查看当前连接主机状态、Settings是设置上线参数、Build是生成服务端的选项卡。



2.打开Ghost之后首先进入Settings选项卡进行配置，它支持固定IP上线、域名上线、FTP/Web上线。这里我们先用域名，这里我就先把我的现在的本机IP解析到我的动态域名，解析完成后Ping一下域名是否是本机IP。端口可以修改，由于80端口用的太多大家可以更换别的不常用端口，我这里默认吧。首先我们在上线主机上填域名（也可固定IP），然后单击测试，提示连接成功后，会发现下面生成了一段字串，你域名修改一个字母，字串就会改动，可知字串是根据上线域名来生成的.此时我们复制这段字串。



3.复制了字串之后，选择Build选项卡，然后在域名上线字串中粘贴你刚才生成的字串，再生成服务端即可。



4.这里直接用本机测试，发现能成功上线！（貌似这个Ghost有点问题，Wan地址错了）



5.我们在将下HTTP上线，也就是跟我们FTP上线一个原理。首先根据上面第二步一样，在上线主机中填写我们的域名或者固定IP。然后生成字符串后复制。创建一个文本为IP.txt，将字符串复制到里面去。然后将我们的IP.txt上传到FTP空间里面，上传后确保IP.txt内容正确。



6.此时进入Build选项卡，然后勾选“启用”HTTP上线网址。勾选后在HTTP上线地址上填写：FTP空间地址/ip.txt，其实推荐大家使用收费的FTP空间地址，否则你会发现总是上不了线。此时我们再去生成服务端。再测试上线看看，此时原理是这样的：木马去读取我们：FTP空间地址/ip.txt内容，然后再读取里面的字符串，然后木马去分析这个字符串，解析字符串的含义，解析出是域名之后，然后ping域名得到主控端IP后就去与该IP发起连接请求。

Web型远控rmts上线法与功能介绍

1.rmtsvc是一款Web型的远程控制软件，它的全称是“Remote Service（远程服务）” ，是一款正向型远程控制程序，需要通过命令安装到被控端，然后知道被控端IP和默认端口之后再进入对应的网页里面进行查看对方！该远控使用一个程序“rmtSvc.exe”，在CMD下运行，其中有很多参数，我们这里就先把它放到虚拟机的C盘下，然后打开CMD切换到C盘输入“rmtsvc -i “安装该服务！安装后然后使用"rmtsvc -s"来启动该服务。这样就完成了我们的安装服务端程序。

rmtsvc参数：                          

                           rmtsvc.exe -i 安装服务
                           rmtsvc.exe -i test 测试服务
                           rmtsvc.exe -u 卸载服务
                           rmtsvc.exe -s 启动服务
                           rmtsvc.exe -e 停止服务


  
2.安装服务并且成功启动服务后，当我们知道被控端IP也就是我虚拟机的IP之后我们就打开我们本机的，在浏览器上面输入“http://www.lhsxpumps.com/_被控端的IP地址：7778 ”，该软件的默认端口是7778端口。然后输入密码，密码默认是“123456”，然后输入验证码，点击OK就可以进入了。



3.【Piew】登录进去后，里面都是英文的，所以我们都给大家讲解下每个按钮的功能，进去之后首先点击最上面的第一个按钮“Pview” 其实会此时显示中为“进程查看”。首先最上面的被控端的电脑名称、系统信息、登录用户、Rmtsvc的进程PID值，下面就是全部进程，右边的“Kill it” 是结束进程，结束进程的方法是：先点击某个进程，然后按下“Kill it” 就可以结束，手动刷新下网页发现进程就被结束了！



4.【Spy++】该功能是用来远程控制，其中最下面很多设置，Quailty是设置图像质量，stretch设置屏幕伸张百分比，Sen是手工发动鼠标动作，start 可以选择里面的一些功能，其中有关机、注销、重启等功能，Auto Refresh是设置自动刷新页面和刷新时间的。



5.【Proxy】是开启代理的，可以开启HTTP代理或者是Socks代理，可开启代理端口、代理用户名、代理密码。Socks下关联IP和端口，以及过滤规则等，要开启代理之后点击Run进行启动代理。



6.【FTP&Telnet】主要对被控制开启FTP或者Telnet服务，可以设置FTP端口、FTP账号密码。和Telnet端口和登录用户名密码。“Run”和“stoped”是开启该服务或者停止该服务。



7.【Vidc】这个是端口映射功能，必须配合端口映射Vidc工具使用，至于这个工具，我前面的日志有讲解到端口映射。这里是把被控制当场服务端进行映射，将被控者XX端口映射到本机。这个功能就不多说，前面的高级端口映射有讲解到！



8.【Option】第一次登录进去最好先使用功能，可对登录rmtsvc的密码和端口设置，以及启动模式设置以及更新rmtsvc等等，如图解释：




9.【Logoff】注销当前页面，退出登录。

    远程控制技术ｕｎｉｓ就带你认识到这里，其实了解了远程控制软件的工作原理，当你使用任何一款反弹远控都知道怎么去配置服务端，以及出现上不了线的情况你都可以通过去考虑原理来想想为什么上不了线，现在的远程控制软件数不胜数，大家各选其喜欢的即可，包括这款Web型的远控都可以熟悉下。好了吧！要睡觉了，就说到这里！！

如对本文有疑问， 点击进行留言回复！！