1、Thanks for your attendance !河南工業(yè)大學信息科學與工程學院河南工業(yè)大學信息科學與工程學院黑客攻防實戰(zhàn)從入門黑客攻防實戰(zhàn)從入門到精通（第到精通（第2 2 版）版）河南工業(yè)大學信息科學與工程學院河南工業(yè)大學信息科學與工程學院2022-3-302第第4章章 遠程控制攻擊與防范遠程控制攻擊與防范河南工業(yè)大學信息科學與工程學院河南工業(yè)大學信息科學與工程學院2022-3-303第第4章章 遠程控制的攻擊與防范遠程控制的攻擊與防范4.1 使用灰鴿子進行遠程控制使用灰鴿子進行遠程控制4.2 利用任我行軟件進行遠程控制利用任我行軟件進行遠程控制4.3 使用遠控王控制計算機使用遠控王控

2、制計算機4.4 使用網(wǎng)絡人進行遠程控制使用網(wǎng)絡人進行遠程控制4.5 用魔法控制實現(xiàn)遠程控制用魔法控制實現(xiàn)遠程控制4.6 防范遠程控制木馬防范遠程控制木馬河南工業(yè)大學信息科學與工程學院河南工業(yè)大學信息科學與工程學院2022-3-3044.1 使用灰鴿子進行遠程控制使用灰鴿子進行遠程控制4.1.1 軟件設置軟件設置4.1.2 加殼加殼4.1.3 把木馬植入他人的電腦中把木馬植入他人的電腦中4.1.4 遠程控制計算機遠程控制計算機4.1.5 禁止灰鴿子服務禁止灰鴿子服務4.1.6 手工清除灰鴿子手工清除灰鴿子4.1.7 解除關聯(lián)解除關聯(lián)河南工業(yè)大學信息科學與工程學院河南工業(yè)大學信息科學與工程學院20

3、22-3-3054.1 使用灰鴿子進行遠程控制使用灰鴿子進行遠程控制4.1.1 軟件設置軟件設置運用灰鴿子軟件之前，需要先在本地計算機上生成運用灰鴿子軟件之前，需要先在本地計算機上生成木馬的服務端，操作方法如下。木馬的服務端，操作方法如下。步驟步驟1：安裝好：安裝好“灰鴿灰鴿子子”軟件，并啟動軟件，并啟動打開其主界面打開其主界面.（這（這個界面是個界面是“灰鴿子服灰鴿子服務端務端”版本的界面）版本的界面）河南工業(yè)大學信息科學與工程學院河南工業(yè)大學信息科學與工程學院2022-3-3064.1 使用灰鴿子進行遠程控制使用灰鴿子進行遠程控制4.1.1 軟件設置軟件設置操作方法操作方法步驟步驟2：選擇

4、：選擇【文件文件】 【配置服務程序配置服務程序】菜單項，菜單項，打開打開【服務器配置服務器配置】窗口。窗口。步驟步驟3：在：在【連接類型連接類型】標簽中可以選擇服務器的連標簽中可以選擇服務器的連接類型。若選取接類型。若選取【自動上線型自動上線型: (客戶端打開端口服客戶端打開端口服務端自動連接上線務端自動連接上線)】單選按鈕，還可以設置客戶端單選按鈕，還可以設置客戶端的的IP地址；若不設置，則使用專用上線系統(tǒng)。地址；若不設置，則使用專用上線系統(tǒng)。河南工業(yè)大學信息科學與工程學院河南工業(yè)大學信息科學與工程學院2022-3-3074.1 使用灰鴿子進行遠程控制使用灰鴿子進行遠程控制4.1.1 軟件設

5、置軟件設置操作方法操作方法步驟步驟4：在：在【綜合選項綜合選項】標簽中可以設置服務端的連標簽中可以設置服務端的連接密碼、上線圖標、上線端口等選項。在接密碼、上線圖標、上線端口等選項。在【權(quán)限設權(quán)限設置置】標簽中可以選擇客戶端在該服務端上的操作權(quán)標簽中可以選擇客戶端在該服務端上的操作權(quán)限。還可以設置登錄服務器的用戶名和密碼。限。還可以設置登錄服務器的用戶名和密碼。步驟步驟5：在：在【保存路徑保存路徑】文本框中輸入生成的服務端文本框中輸入生成的服務端程序的保存路徑及文件各。單擊程序的保存路徑及文件各。單擊【生成服務器生成服務器】按按鈕，即可生成服務端程序。鈕，即可生成服務端程序。河南工業(yè)大學信息科

6、學與工程學院河南工業(yè)大學信息科學與工程學院2022-3-3084.1 使用灰鴿子進行遠程控制使用灰鴿子進行遠程控制4.1.1 軟件設置軟件設置上面介紹的是灰鴿子遠程控制企業(yè)版，灰鴿子還有上面介紹的是灰鴿子遠程控制企業(yè)版，灰鴿子還有一個服務端版本，其設置更詳細。一個服務端版本，其設置更詳細。河南工業(yè)大學信息科學與工程學院河南工業(yè)大學信息科學與工程學院2022-3-3094.1 使用灰鴿子進行遠程控制使用灰鴿子進行遠程控制4.1.1 軟件設置軟件設置4.1.2 加殼加殼4.1.3 把木馬植入他人的電腦中把木馬植入他人的電腦中4.1.4 遠程控制計算機遠程控制計算機4.1.5 禁止灰鴿子服務禁止灰鴿

7、子服務4.1.6 手工清除灰鴿子手工清除灰鴿子4.1.7 解除關聯(lián)解除關聯(lián)河南工業(yè)大學信息科學與工程學院河南工業(yè)大學信息科學與工程學院2022-3-30104.1 使用灰鴿子進行遠程控制使用灰鴿子進行遠程控制4.1.2 加殼加殼為逃避殺毒軟件的查殺，黑客經(jīng)常使用壓縮軟件對木馬為逃避殺毒軟件的查殺，黑客經(jīng)常使用壓縮軟件對木馬服務端進行加殼保護。加殼軟件有很多，如服務端進行加殼保護。加殼軟件有很多，如ASPack、ASProtect、UPXShell等，下面以等，下面以ASPack為例。為例。步驟步驟1：下載安裝下載安裝ASPack，啟動打開其主界面。啟動打開其主界面。單擊單擊Open按鈕，在按鈕

8、，在彈出的對話框中選擇彈出的對話框中選擇要加殼的木馬程序，要加殼的木馬程序，即可自動加殼。即可自動加殼。河南工業(yè)大學信息科學與工程學院河南工業(yè)大學信息科學與工程學院2022-3-30114.1 使用灰鴿子進行遠程控制使用灰鴿子進行遠程控制4.1.2 加殼加殼為逃避殺毒軟件的查殺，黑客經(jīng)常使用壓縮軟件對木馬為逃避殺毒軟件的查殺，黑客經(jīng)常使用壓縮軟件對木馬服務端進行加殼保護。加殼軟件有很多，如服務端進行加殼保護。加殼軟件有很多，如ASPack、ASProtect、UPXShell等，下面以等，下面以ASPack為例。為例。步驟步驟2：單擊單擊Test it！按鈕，即可運行加殼后的木馬程序，檢測！按

9、鈕，即可運行加殼后的木馬程序，檢測加殼效果。加殼效果。一般情況下，加殼之后，殺毒軟件就不能查殺該木馬了。一般情況下，加殼之后，殺毒軟件就不能查殺該木馬了。假如殺毒軟件依然可以查殺，可以再試試使用其它加殼軟假如殺毒軟件依然可以查殺，可以再試試使用其它加殼軟件對服務端重新加殼。件對服務端重新加殼。河南工業(yè)大學信息科學與工程學院河南工業(yè)大學信息科學與工程學院2022-3-30124.1 使用灰鴿子進行遠程控制使用灰鴿子進行遠程控制4.1.1 軟件設置軟件設置4.1.2 加殼加殼4.1.3 把木馬植入他人的電腦中把木馬植入他人的電腦中4.1.4 遠程控制計算機遠程控制計算機4.1.5 禁止灰鴿子服務禁

10、止灰鴿子服務4.1.6 手工清除灰鴿子手工清除灰鴿子4.1.7 解除關聯(lián)解除關聯(lián)河南工業(yè)大學信息科學與工程學院河南工業(yè)大學信息科學與工程學院2022-3-30134.1 使用灰鴿子進行遠程控制使用灰鴿子進行遠程控制4.1.3 把木馬他人的計算機中把木馬他人的計算機中將灰鴿子的服務端程序制作好后，就可以發(fā)送給目將灰鴿子的服務端程序制作好后，就可以發(fā)送給目標計算機了，有很多方法和途徑來實現(xiàn)這一目標。標計算機了，有很多方法和途徑來實現(xiàn)這一目標。河南工業(yè)大學信息科學與工程學院河南工業(yè)大學信息科學與工程學院2022-3-30144.1 使用灰鴿子進行遠程控制使用灰鴿子進行遠程控制4.1.1 軟件設置軟件

11、設置4.1.2 加殼加殼4.1.3 把木馬植入他人的電腦中把木馬植入他人的電腦中4.1.4 遠程控制計算機遠程控制計算機4.1.5 禁止灰鴿子服務禁止灰鴿子服務4.1.6 手工清除灰鴿子手工清除灰鴿子4.1.7 解除關聯(lián)解除關聯(lián)河南工業(yè)大學信息科學與工程學院河南工業(yè)大學信息科學與工程學院2022-3-30154.1 使用灰鴿子進行遠程控制使用灰鴿子進行遠程控制4.1.4 遠程控制計算機遠程控制計算機在灰鴿子服務端程序發(fā)送給目標計算機并成功被安裝之后，在灰鴿子服務端程序發(fā)送給目標計算機并成功被安裝之后，就可以使用客戶端遠程控制目標計算機了。就可以使用客戶端遠程控制目標計算機了。1. 與服務端建立

12、連接與服務端建立連接在灰鴿子在灰鴿子企業(yè)版企業(yè)版客戶端選客戶端選【文文件件】【添加主機添加主機】菜單項，打開菜單項，打開【添加主機添加主機】對話框，在對話框，在【主機主機IP地址地址】文本框中輸入運行了灰鴿子文本框中輸入運行了灰鴿子服務端程序的計算機服務端程序的計算機IP地址。地址。再輸入連接密碼，單擊再輸入連接密碼，單擊【添加主添加主機機】按鈕，即可在灰鴿子客戶端界按鈕，即可在灰鴿子客戶端界面中看到添加的目標主機。面中看到添加的目標主機。河南工業(yè)大學信息科學與工程學院河南工業(yè)大學信息科學與工程學院2022-3-30164.1 使用灰鴿子進行遠程控制使用灰鴿子進行遠程控制4.1.4 遠程控制計

13、算機遠程控制計算機1. 與服務端建立連接與服務端建立連接在灰鴿子在灰鴿子服務端服務端版本中，服務端程序連接方式是自動版本中，服務端程序連接方式是自動上線，選擇上線，選擇【文件文件】- 【自動上線自動上線】，即可打開，即可打開【自動上自動上線線】對話框，設置登錄用戶名和密碼等相關選項。對話框，設置登錄用戶名和密碼等相關選項。河南工業(yè)大學信息科學與工程學院河南工業(yè)大學信息科學與工程學院2022-3-30174.1 使用灰鴿子進行遠程控制使用灰鴿子進行遠程控制4.1.4 遠程控制計算機遠程控制計算機2. 文件控制文件控制當客戶端與服務端建立當客戶端與服務端建立連接以后，就可以通過遠連接以后，就可以通

14、過遠程控制服務端計算機了。程控制服務端計算機了。在灰鴿子客戶端界面中在灰鴿子客戶端界面中選擇選擇【文件管理器文件管理器】標簽，標簽，單擊需要遠程控制的計算單擊需要遠程控制的計算機名稱前的折疊按鈕，就機名稱前的折疊按鈕，就可以查看該計算機上的文可以查看該計算機上的文件，并可以實現(xiàn)文件的上件，并可以實現(xiàn)文件的上傳和下載。傳和下載。河南工業(yè)大學信息科學與工程學院河南工業(yè)大學信息科學與工程學院2022-3-30184.1 使用灰鴿子進行遠程控制使用灰鴿子進行遠程控制4.1.4 遠程控制計算機遠程控制計算機3. 遠程控制命令遠程控制命令在客戶端界面選擇在客戶端界面選擇【遠程控制命令遠程控制命令】標簽，標

15、簽，可以對遠程計算機進行可以對遠程計算機進行重啟、關機、查看系統(tǒng)重啟、關機、查看系統(tǒng)信息、查看和結(jié)束遠程信息、查看和結(jié)束遠程計算機的進程、查看和計算機的進程、查看和控制遠程計算機的服務、控制遠程計算機的服務、查看遠程或本地的剪貼查看遠程或本地的剪貼板內(nèi)容、查看遠程計算板內(nèi)容、查看遠程計算機的共享信息等。機的共享信息等。河南工業(yè)大學信息科學與工程學院河南工業(yè)大學信息科學與工程學院2022-3-30194.1 使用灰鴿子進行遠程控制使用灰鴿子進行遠程控制4.1.4 遠程控制計算機遠程控制計算機4. 編輯注冊表編輯注冊表在客戶端界面選擇在客戶端界面選擇【編輯注冊表編輯注冊表】標簽，標簽，可以查看和編

16、輯遠程計可以查看和編輯遠程計算機注冊表。算機注冊表。河南工業(yè)大學信息科學與工程學院河南工業(yè)大學信息科學與工程學院2022-3-30204.1 使用灰鴿子進行遠程控制使用灰鴿子進行遠程控制4.1.4 遠程控制計算機遠程控制計算機5. 命令廣播命令廣播在客戶端界面選擇在客戶端界面選擇【命令廣播命令廣播】標簽，可標簽，可以卸載遠程計算機中的以卸載遠程計算機中的灰鴿子服務端程序、重灰鴿子服務端程序、重啟或關閉遠程計算機，啟或關閉遠程計算機，以及通過遠程計算機打以及通過遠程計算機打開網(wǎng)頁和從遠程計算機開網(wǎng)頁和從遠程計算機下載文件。還可以向遠下載文件。還可以向遠程計算機發(fā)送消息、篩程計算機發(fā)送消息、篩選符

17、合條件的主機、批選符合條件的主機、批量修改備注等。量修改備注等。河南工業(yè)大學信息科學與工程學院河南工業(yè)大學信息科學與工程學院2022-3-30214.1 使用灰鴿子進行遠程控制使用灰鴿子進行遠程控制4.1.4 遠程控制計算機遠程控制計算機6. 屏幕控制屏幕控制單擊工具欄上的單擊工具欄上的【捕獲屏幕捕獲屏幕】按鈕，打開按鈕，打開【捕獲屏幕捕獲屏幕】窗口。單擊該窗口工具欄上的窗口。單擊該窗口工具欄上的【傳送鼠標和鍵盤操作傳送鼠標和鍵盤操作】按按鈕，客戶端即可遠程控制目標計算機的屏幕操作；單擊鈕，客戶端即可遠程控制目標計算機的屏幕操作；單擊【發(fā)送組合鍵發(fā)送組合鍵】按鈕即可從彈出的菜單中選擇需要發(fā)送的

18、按鈕即可從彈出的菜單中選擇需要發(fā)送的組合鍵命令；單擊組合鍵命令；單擊【保存保存】按鈕，即可將當前遠程計算機按鈕，即可將當前遠程計算機的屏幕顯示保存下來，還可以將遠程計算機的屏幕操作記的屏幕顯示保存下來，還可以將遠程計算機的屏幕操作記錄為錄為MPEG文件。文件。河南工業(yè)大學信息科學與工程學院河南工業(yè)大學信息科學與工程學院2022-3-30224.1 使用灰鴿子進行遠程控制使用灰鴿子進行遠程控制4.1.4 遠程控制計算機遠程控制計算機7. 視頻語音視頻語音通過視頻語音功能，用戶可通過視頻語音功能，用戶可以與遠程計算機進行語音交流，以與遠程計算機進行語音交流，并可將遠程計算機攝像頭數(shù)據(jù)并可將遠程計算

19、機攝像頭數(shù)據(jù)記錄成記錄成MPEG文件，將遠程計文件，將遠程計算機發(fā)送過來的語音記錄成算機發(fā)送過來的語音記錄成WAV文件。文件。灰鴿子遠程控制程序還具有灰鴿子遠程控制程序還具有一般遠程控制程序都具有的一般遠程控制程序都具有的Telnet功能。功能。河南工業(yè)大學信息科學與工程學院河南工業(yè)大學信息科學與工程學院2022-3-30234.1 使用灰鴿子進行遠程控制使用灰鴿子進行遠程控制4.1.1 軟件設置軟件設置4.1.2 加殼加殼4.1.3 把木馬植入他人的電腦中把木馬植入他人的電腦中4.1.4 遠程控制計算機遠程控制計算機4.1.5 禁止灰鴿子服務禁止灰鴿子服務4.1.6 手工清除灰鴿子手工清除灰

20、鴿子4.1.7 解除關聯(lián)解除關聯(lián)河南工業(yè)大學信息科學與工程學院河南工業(yè)大學信息科學與工程學院2022-3-30244.1.5 禁止灰鴿子服務禁止灰鴿子服務灰鴿子服務端在運行后會在系統(tǒng)服務中生成一個名為灰鴿子服務端在運行后會在系統(tǒng)服務中生成一個名為Hgzserver的服務，將其關閉就會終止灰鴿子程序的運行的服務，將其關閉就會終止灰鴿子程序的運行.在在【運行運行】對話框中運行對話框中運行Services.msc命令，進入命令，進入【服務服務】窗口，在其中可查窗口，在其中可查看灰鴿子服務。看灰鴿子服務。雙擊該項服務，在彈出的雙擊該項服務，在彈出的屬性對話框中單擊屬性對話框中單擊【停止停止】按鈕，再將

21、按鈕，再將【啟動類型啟動類型】設設為為“已禁用已禁用”狀態(tài)。狀態(tài)。4.1 使用灰鴿子進行遠程控制使用灰鴿子進行遠程控制GrayPigeon_HGrayPigeon_Hacke.灰鴿子服務 自動河南工業(yè)大學信息科學與工程學院河南工業(yè)大學信息科學與工程學院2022-3-30254.1 使用灰鴿子進行遠程控制使用灰鴿子進行遠程控制4.1.1 軟件設置軟件設置4.1.2 加殼加殼4.1.3 把木馬植入他人的電腦中把木馬植入他人的電腦中4.1.4 遠程控制計算機遠程控制計算機4.1.5 禁止灰鴿子服務禁止灰鴿子服務4.1.6 手工清除灰鴿子手工清除灰鴿子4.1.7 解除關聯(lián)解除關聯(lián)河南工業(yè)大學信息科學與

22、工程學院河南工業(yè)大學信息科學與工程學院2022-3-30264.1.6 手動清除灰鴿子手動清除灰鴿子1. 手工檢測灰鴿子手工檢測灰鴿子因為灰鴿子攔截了因為灰鴿子攔截了API調(diào)用，在正常模式下服務端程序調(diào)用，在正常模式下服務端程序文件和其注冊的服務項均被隱藏。此外，灰鴿子服務端的文件和其注冊的服務項均被隱藏。此外，灰鴿子服務端的文件名也是可以自定義的，也給手工檢測帶來困難。文件名也是可以自定義的，也給手工檢測帶來困難。但是，無論自定義的服務端文件名是什么，一般都會在但是，無論自定義的服務端文件名是什么，一般都會在系統(tǒng)安裝目錄下生成一個以系統(tǒng)安裝目錄下生成一個以“_hook.dll”結(jié)尾的文件，這

23、結(jié)尾的文件，這為準確地手工檢測灰鴿子服務端提供了方便。為準確地手工檢測灰鴿子服務端提供了方便。由于正常模式下灰鴿子會隱藏自己，因此檢測灰鴿子的由于正常模式下灰鴿子會隱藏自己，因此檢測灰鴿子的操作一定要在安全模式下進行，方法如下。操作一定要在安全模式下進行，方法如下。4.1 使用灰鴿子進行遠程控制使用灰鴿子進行遠程控制河南工業(yè)大學信息科學與工程學院河南工業(yè)大學信息科學與工程學院2022-3-30274.1.6 手動清除灰鴿子手動清除灰鴿子步驟步驟1：重啟系統(tǒng)進入安全：重啟系統(tǒng)進入安全模式模式(啟動系統(tǒng)時按啟動系統(tǒng)時按F8顯顯示啟動菜單示啟動菜單)。步驟步驟2：設置：設置Windows顯示顯示所有

24、文件。在所有文件。在【我的電腦我的電腦】窗口中選擇窗口中選擇【工具工具】-【文件夾選項文件夾選項】，打開，打開【文件夾選項文件夾選項】對話框，對話框，在在【查看查看】標簽中取消勾標簽中取消勾選選【隱藏受保護的操作系隱藏受保護的操作系統(tǒng)文件統(tǒng)文件(推薦推薦)】復選框。復選框。4.1 使用灰鴿子進行遠程控制使用灰鴿子進行遠程控制河南工業(yè)大學信息科學與工程學院河南工業(yè)大學信息科學與工程學院2022-3-30284.1.6 手動清除灰鴿子手動清除灰鴿子步驟步驟3：選擇：選擇【開始開始】-【搜搜索索】- 【文件或文件夾文件或文件夾】菜單項，打開菜單項，打開【搜索結(jié)果搜索結(jié)果】窗口，在窗口，在【全部或部分

25、文全部或部分文件名件名】文本框輸入文本框輸入“*_hook.dll”，將搜索位，將搜索位置選擇置選擇C盤。盤。步驟步驟4：單擊：單擊【搜索搜索】按鈕，按鈕，可在可在Windows目錄下目錄下(不不包含子目錄包含子目錄)下發(fā)現(xiàn)灰鴿子下發(fā)現(xiàn)灰鴿子的木馬程序文件，如的木馬程序文件，如Huigezi_Hook.dll文件。文件。4.1 使用灰鴿子進行遠程控制使用灰鴿子進行遠程控制河南工業(yè)大學信息科學與工程學院河南工業(yè)大學信息科學與工程學院2022-3-30294.1.6 手動清除灰鴿子手動清除灰鴿子步驟步驟5：根據(jù)灰鴿子工作原理，如果：根據(jù)灰鴿子工作原理，如果Huigezi_Hook.dll是是灰鴿子

26、的文件，那么在安裝目錄下還會有灰鴿子的文件，那么在安裝目錄下還會有Huigezi.exe和和Huigezi.dll文件。打開文件。打開Windows系統(tǒng)的安裝目錄，系統(tǒng)的安裝目錄，尋找這兩個文件，同時還有一個記錄鍵盤操作的尋找這兩個文件，同時還有一個記錄鍵盤操作的HuigeziKey.dll文件。文件。找到這些文件即可斷定系統(tǒng)被植入灰鴿子服務端程序，下找到這些文件即可斷定系統(tǒng)被植入灰鴿子服務端程序，下面手動清除這些程序就可以了。面手動清除這些程序就可以了。4.1 使用灰鴿子進行遠程控制使用灰鴿子進行遠程控制河南工業(yè)大學信息科學與工程學院河南工業(yè)大學信息科學與工程學院2022-3-30304.1

27、.6 手動清除灰鴿子手動清除灰鴿子2. 手工清除手工清除手工清除灰鴿子分兩步：手工清除灰鴿子分兩步：清除灰鴿子的服務清除灰鴿子的服務刪除灰鴿子的程序文件刪除灰鴿子的程序文件操作步驟如下。操作步驟如下。步驟步驟1：在：在【注冊表編輯器注冊表編輯器】窗口中展開窗口中展開HKEY_LOCAL_ MACHINESYSTEMCurrent Control SetServices注注冊表項。冊表項。4.1 使用灰鴿子進行遠程控制使用灰鴿子進行遠程控制河南工業(yè)大學信息科學與工程學院河南工業(yè)大學信息科學與工程學院2022-3-30314.1.6 手動清除灰鴿子手動清除灰鴿子2. 手工清除手工清除步驟步驟2：選

28、擇：選擇【編輯編輯】-【查找查找】菜單項，打開菜單項，打開【查找查找】對話框，在對話框，在【查找目標查找目標】文本框中輸入文本框中輸入huigezi，單，單擊擊【查找下一個查找下一個】按鈕，按鈕，可以找到灰鴿子木馬的服可以找到灰鴿子木馬的服務項，將其所有相關的注務項，將其所有相關的注冊表項刪除。冊表項刪除。步驟步驟3：刪除灰鴿子的程序文件。在安全模式下，刪除：刪除灰鴿子的程序文件。在安全模式下，刪除Windows文件夾中文件夾中Huigezi.exe、Huigezi.dll、Huigezi_Hook.dll、HuigeziKey.dll文件之后，重啟系文件之后，重啟系統(tǒng)即可。統(tǒng)即可。4.1 使

29、用灰鴿子進行遠程控制使用灰鴿子進行遠程控制河南工業(yè)大學信息科學與工程學院河南工業(yè)大學信息科學與工程學院2022-3-30324.1 使用灰鴿子進行遠程控制使用灰鴿子進行遠程控制4.1.1 軟件設置軟件設置4.1.2 加殼加殼4.1.3 把木馬植入他人的電腦中把木馬植入他人的電腦中4.1.4 遠程控制計算機遠程控制計算機4.1.5 禁止灰鴿子服務禁止灰鴿子服務4.1.6 手工清除灰鴿子手工清除灰鴿子4.1.7 解除關聯(lián)解除關聯(lián)河南工業(yè)大學信息科學與工程學院河南工業(yè)大學信息科學與工程學院2022-3-30334.1.7 解除關聯(lián)解除關聯(lián)灰鴿子可以設置灰鴿子可以設置4種文件關聯(lián)：種文件關聯(lián)：EXE文

30、件關聯(lián)、文件關聯(lián)、TXT文件關文件關聯(lián)、聯(lián)、INI文件關聯(lián)和文件關聯(lián)和INF文件關聯(lián)。解除方法如下：文件關聯(lián)。解除方法如下：解除解除EXE文件關聯(lián)。在注冊表中找到文件關聯(lián)。在注冊表中找到HKEY_CLASSES_ROOT ExefileShellOpenCommand主鍵，查看健值若不是系統(tǒng)默認的主鍵，查看健值若不是系統(tǒng)默認的“%”，則改回默認。，則改回默認。解除解除TXT文件關聯(lián)。在注冊表中找到文件關聯(lián)。在注冊表中找到HKEY_CLASSES_ROOT TxtfileShellOpenCommand主鍵，查看健值是不是系統(tǒng)默認的主鍵，查看健值是不是系統(tǒng)默認的“C:windowsnotepad

31、.exe %1”，若不是則改回默認。，若不是則改回默認。解除解除INI文件關聯(lián)。在注冊表中找到文件關聯(lián)。在注冊表中找到HKEY_ LASSES_ROOTInifile ShellOpenCommand主鍵，查看健值若不是系統(tǒng)默認的主鍵，查看健值若不是系統(tǒng)默認的“C: windowsnotepad.exe %1”，則改回默認。，則改回默認。解除解除INF文件關聯(lián)。在注冊表中找到文件關聯(lián)。在注冊表中找到HKEY_ CLASSES_ROOTInffileShellOpenCommand主鍵，查看健值若不是系統(tǒng)默認的主鍵，查看健值若不是系統(tǒng)默認的“C: windowsnotepad.exe %1”，則

32、改回默認。，則改回默認。4.1 使用灰鴿子進行遠程控制使用灰鴿子進行遠程控制河南工業(yè)大學信息科學與工程學院河南工業(yè)大學信息科學與工程學院2022-3-3034第第4章章 遠程控制的攻擊與防范遠程控制的攻擊與防范4.1 使用灰鴿子進行遠程控制使用灰鴿子進行遠程控制4.2 利用任我行軟件進行遠程控制利用任我行軟件進行遠程控制4.3 使用遠控王控制計算機使用遠控王控制計算機4.4 使用網(wǎng)絡人進行遠程控制使用網(wǎng)絡人進行遠程控制4.5 用魔法控制實現(xiàn)遠程控制用魔法控制實現(xiàn)遠程控制4.6 防范遠程控制木馬防范遠程控制木馬河南工業(yè)大學信息科學與工程學院河南工業(yè)大學信息科學與工程學院2022-3-30354.

33、2 利用任我行軟件進行遠程控制利用任我行軟件進行遠程控制“任我行任我行”是一款小巧的免費遠程控制軟件，具有是一款小巧的免費遠程控制軟件，具有“正向連接正向連接”和和“反向連接反向連接”功能，能夠讓黑客輕松功能，能夠讓黑客輕松控制遠程主機。該軟件主要有遠程屏幕監(jiān)控、遠程語控制遠程主機。該軟件主要有遠程屏幕監(jiān)控、遠程語音視頻、遠程文件管理、遠程注冊表操作、遠程鍵盤音視頻、遠程文件管理、遠程注冊表操作、遠程鍵盤記錄、主機上線通知、遠程命令控制和遠程信息發(fā)送記錄、主機上線通知、遠程命令控制和遠程信息發(fā)送等能力和作用。等能力和作用。河南工業(yè)大學信息科學與工程學院河南工業(yè)大學信息科學與工程學院2022-3

34、-30364.2 利用任我行軟件進行遠程控制利用任我行軟件進行遠程控制4.2.1 配置服務端配置服務端4.2.2 通過服務端程序進行遠通過服務端程序進行遠程控制程控制河南工業(yè)大學信息科學與工程學院河南工業(yè)大學信息科學與工程學院2022-3-30374.2 利用任我行軟件進行遠程控制利用任我行軟件進行遠程控制4.2.1 配置服務端配置服務端遠程控制軟件一般由客戶端程序遠程控制軟件一般由客戶端程序(Client)和服務器和服務器端程序端程序(Server)兩部分構(gòu)成?？蛻舳顺绦蛞惭b在主兩部分構(gòu)成?？蛻舳顺绦蛞惭b在主控端計算機上，服務器端程序安裝在被控端計算機上控端計算機上，服務器端程序安裝在被

35、控端計算機上.操作時，客戶端程序向被控計算機中的服務器端程序操作時，客戶端程序向被控計算機中的服務器端程序發(fā)出命令，建立一個特殊的遠程服務，通過該遠程服發(fā)出命令，建立一個特殊的遠程服務，通過該遠程服務，使用各種遠程控制功能發(fā)送遠程控制命令，即可務，使用各種遠程控制功能發(fā)送遠程控制命令，即可控制被控端計算機中各種應該程序的運行?？刂票豢囟擞嬎銠C中各種應該程序的運行?！叭挝倚腥挝倚小狈斩伺渲玫牟僮鞣椒ㄈ缦隆７斩伺渲玫牟僮鞣椒ㄈ缦?。步驟步驟1：安裝并啟動：安裝并啟動“任我行任我行”軟件，打開軟件，打開【遠程控遠程控制制任我行窗口任我行窗口】。河南工業(yè)大學信息科學與工程學院河南工業(yè)大學信息科學與工

36、程學院2022-3-30384.2 利用任我行軟件進行遠程控制利用任我行軟件進行遠程控制河南工業(yè)大學信息科學與工程學院河南工業(yè)大學信息科學與工程學院2022-3-30394.2 利用任我行軟件進行遠程控制利用任我行軟件進行遠程控制4.2.1 配置服務端配置服務端步驟步驟2：生成服務器端程序。在窗口工具欄上單擊：生成服務器端程序。在窗口工具欄上單擊【配置服務端配置服務端】按鈕，打開按鈕，打開【選擇配置類型選擇配置類型】對話對話框，其中提供了框，其中提供了“正向連接正向連接” 和和“反向連接反向連接”兩種兩種形式。如果是在局域網(wǎng)中形式。如果是在局域網(wǎng)中控制控制ADSL用戶，需要用戶，需要選擇選擇“

37、正向連接正向連接”；如果；如果是在是在ADSL連接中控制連接中控制局域網(wǎng)用戶，則需要選局域網(wǎng)用戶，則需要選擇擇“反向連接反向連接”。河南工業(yè)大學信息科學與工程學院河南工業(yè)大學信息科學與工程學院2022-3-30404.2 利用任我行軟件進行遠程控制利用任我行軟件進行遠程控制4.2.1 配置服務端配置服務端步驟步驟3：單擊：單擊【正向連接正向連接】按鈕，打開按鈕，打開【正向連接正向連接】對話框，在其中可以對服務器程序的圖標、郵件設對話框，在其中可以對服務器程序的圖標、郵件設置、安裝信息、啟動選項等信息進行修改。置、安裝信息、啟動選項等信息進行修改。河南工業(yè)大學信息科學與工程學院河南工業(yè)大學信息科

38、學與工程學院2022-3-30414.2 利用任我行軟件進行遠程控制利用任我行軟件進行遠程控制4.2.1 配置服務端配置服務端步驟步驟4：單擊：單擊【安裝信息安裝信息】標簽，在其中可以設置服務器標簽，在其中可以設置服務器端的安裝路徑、安裝名稱以及顯示狀態(tài)信息等。單擊端的安裝路徑、安裝名稱以及顯示狀態(tài)信息等。單擊【生成服務器生成服務器】按鈕，即可在程序根目錄下生成一個按鈕，即可在程序根目錄下生成一個“服務器端程序服務器端程序.exe”程序。程序。步驟步驟5：將生成的服務器端：將生成的服務器端程序植入到目標計算機中程序植入到目標計算機中并運行。植入后，并運行。植入后，“服務服務器端程序器端程序.e

39、xe”會自動刪會自動刪除，只在目標系統(tǒng)中保留除，只在目標系統(tǒng)中保留進程進程ZRundll.exe，并在，并在每次開機時自動啟動。每次開機時自動啟動。河南工業(yè)大學信息科學與工程學院河南工業(yè)大學信息科學與工程學院2022-3-30424.2 利用任我行軟件進行遠程控制利用任我行軟件進行遠程控制4.2.1 配置服務端配置服務端4.2.2 通過服務端程序進行遠通過服務端程序進行遠程控制程控制河南工業(yè)大學信息科學與工程學院河南工業(yè)大學信息科學與工程學院2022-3-30434.2 利用任我行軟件進行遠程控制利用任我行軟件進行遠程控制4.2.2 通過服務端程序進行遠程控制通過服務端程序進行遠程控制服務端程

40、序被植入目標計算機中并運行后，就可以在自己服務端程序被植入目標計算機中并運行后，就可以在自己的計算機上運行客戶端程序并對服務端進行控制。的計算機上運行客戶端程序并對服務端進行控制。步驟步驟1：啟動：啟動“遠程控制遠程控制任我行任我行”程序，在控程序，在控制界面的制界面的【連接主機連接主機】文本框中輸入被控主文本框中輸入被控主機的機的IP地址，正確填地址，正確填寫寫【連接密碼連接密碼】和和【連接端口連接端口】。河南工業(yè)大學信息科學與工程學院河南工業(yè)大學信息科學與工程學院2022-3-30444.2 利用任我行軟件進行遠程控制利用任我行軟件進行遠程控制4.2.2 通過服務端程序進行遠程控制通過服務

41、端程序進行遠程控制步驟步驟2：單擊右側(cè)的【連接】按鈕，程序開始連接對方的：單擊右側(cè)的【連接】按鈕，程序開始連接對方的服務器端程序，連接成功后，在服務器端程序，連接成功后，在“遠程電腦遠程電腦”列表中顯列表中顯示該遠程電腦的所有分區(qū)示該遠程電腦的所有分區(qū)。河南工業(yè)大學信息科學與工程學院河南工業(yè)大學信息科學與工程學院2022-3-30454.2 利用任我行軟件進行遠程控制利用任我行軟件進行遠程控制4.2.2 通過服務端程序進行遠程控制通過服務端程序進行遠程控制步驟步驟3：“遠程控制任我行遠程控制任我行”提供了豐富的選項來控制被提供了豐富的選項來控制被控電腦。單擊【屏幕監(jiān)視】按鈕，即可打開【屏幕監(jiān)控

42、控電腦。單擊【屏幕監(jiān)視】按鈕，即可打開【屏幕監(jiān)控-正向連接】窗口，在其中單擊【連接】按鈕，此時受正向連接】窗口，在其中單擊【連接】按鈕，此時受控電腦的屏幕便顯示在該窗口中控電腦的屏幕便顯示在該窗口中。步驟步驟4：單擊【鍵盤】、：單擊【鍵盤】、【鼠標】按鈕，可以【鼠標】按鈕，可以使用鍵盤和鼠標來對使用鍵盤和鼠標來對受控電腦上的程序進受控電腦上的程序進行操作。行操作。河南工業(yè)大學信息科學與工程學院河南工業(yè)大學信息科學與工程學院2022-3-30464.2 利用任我行軟件進行遠程控制利用任我行軟件進行遠程控制4.2.2 通過服務端程序進行遠程控制通過服務端程序進行遠程控制步驟步驟5：“遠程控制任我行

43、遠程控制任我行”提供了一個遠程文件管理功提供了一個遠程文件管理功能能,可在客戶端電腦和受控端電腦間傳輸文件。下載時，可在客戶端電腦和受控端電腦間傳輸文件。下載時，在在 【遠程控制任我行】窗口的【遠程文件管理】【遠程控制任我行】窗口的【遠程文件管理】標簽標簽中瀏覽到受控電腦的相應文件中瀏覽到受控電腦的相應文件夾，找到下載的文件后，夾，找到下載的文件后，該文件將顯示在程序右側(cè)該文件將顯示在程序右側(cè)窗口中。選中需要下載的窗口中。選中需要下載的文件并在右鍵菜單中選擇文件并在右鍵菜單中選擇【文件下載】菜單項，隨【文件下載】菜單項，隨后選擇保存的位置即可后選擇保存的位置即可。河南工業(yè)大學信息科學與工程學院河南工業(yè)大學信息科學與工程學院2022-3-30474.2 利用任我行軟件進行遠程控制利用任我