一次灰鴿子內(nèi)網(wǎng)入侵實例解析

摘要:灰鴿子是一款優(yōu)秀的遠程控制軟件。我們通過灰鴿子就可以生成一個木馬程序，將此木馬程序發(fā)送到遠程計算機，一旦對方運行該文件就可以實現(xiàn)對它的遠程控制。該文就詳細介紹灰鴿子是如何實現(xiàn)遠程控制的。

關鍵詞:病毒;灰鴿子;內(nèi)網(wǎng);外網(wǎng);自動上線;遠程控制

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)33-9392-02

灰鴿子是國內(nèi)一款著名后門。比起前輩冰河、黑洞來，灰鴿子可以說是國內(nèi)后門的集大成者。其豐富而強大的功能、靈活多變的操作、良好的隱藏性使其他后門都相形見絀?？蛻舳撕喴妆憬莸牟僮魇箘側腴T的初學者都能充當黑客。

1 灰鴿子病毒的簡介

為了讓大家更好的理解這款病毒，先說一下幾個概念。

1) 網(wǎng)絡病毒

計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。

2) 網(wǎng)絡木馬

木馬病毒源自古希臘特洛伊戰(zhàn)爭中著名的“木馬計”而得名，顧名思義就是一種偽裝潛伏的網(wǎng)絡病毒。

傳染方式:通過電子郵件附件發(fā)出，捆綁在其他的程序中。

病毒特性:會修改注冊表、駐留內(nèi)存、在系統(tǒng)中安裝后門程序、開機加載附帶的木馬。

木馬病毒的破壞性:木馬病毒的發(fā)作要在用戶的機器里運行客戶端程序，一旦發(fā)作，就可設置后門，定時地發(fā)送該用戶的隱私到木馬程序指定的地址，一般同時內(nèi)置可進入該用戶電腦的端口，并可任意控制此計算機，進行文件刪除、拷貝、改密碼等非法操作。

3) 外網(wǎng)和內(nèi)網(wǎng)

外網(wǎng):通過ISP連接到INTERNET，擁有固定的公網(wǎng)IP，稱之為外網(wǎng)。

內(nèi)網(wǎng):內(nèi)網(wǎng)就是局域網(wǎng)，網(wǎng)吧、校園網(wǎng)、單位辦公網(wǎng)都屬于此類。另外光纖到樓、小區(qū)寬帶、教育網(wǎng)、有線電視Cable Modem上網(wǎng)雖然地域范圍比較大但本質上還是基于以太網(wǎng)技術，所以仍然屬于內(nèi)網(wǎng)。

內(nèi)網(wǎng)也叫私網(wǎng)地址如下:

IP等級 IP位置

Class A 10.0.0.0-10.255.255.255

Class B 172.16.0.0-172.31.255.255

Class C 192.168.0.0-192.168.255.255

子網(wǎng)掩碼一般設為:255.255.255.0

內(nèi)網(wǎng)是可以上網(wǎng)的，內(nèi)網(wǎng)需要一臺服務器或路由器做網(wǎng)關，通過它來上網(wǎng)。

4) 端口

計算機\"端口\"是英文port的譯義，可以認為是計算機與外界通訊交流的出口。端口可以分為三類:(1)公認端口(WellKnownPorts):從0到1023，它們緊密綁定(binding)于一些服務。通常這些端口的通訊明確表明了某種服務的協(xié)議。例如:80端口實際上總是HTTP通訊。(2)注冊端口(RegisteredPorts):從1024到49151。它們松散地綁定于一些服務。也就是說有許多服務綁定于這些端口，這些端口同樣用于許多其它目的。例如:許多系統(tǒng)處理動態(tài)端口從1024左右開始。(3)動態(tài)和/或私有端口(Dynamicand/orPrivatePorts):從49152到65535。理論上，不應為服務分配這些端口。實際上，機器通常從1024起分配動態(tài)端口。但也有例外:SUN的RPC端口從32768開始。

5) FTP(文件傳輸協(xié)議)

FTP(File Transfer Protocol)，是文件傳輸協(xié)議的簡稱。用于Internet上的控制文件的雙向傳輸。同時，它也是一個應用程序(Application)。用戶可以通過它把自己的PC機與世界各地所有運行FTP協(xié)議的服務器相連，訪問服務器上的大量程序和信息。FTP的主要作用，就是讓用戶連接上一個遠程計算機(這些計算機上運行著FTP服務器程序)，察看遠程計算機有哪些文件，然后把文件從遠程計算機上拷到本地計算機，或把本地計算機的文件送到遠程計算機去。

灰鴿子客戶端和服務端都是采用Delphi編寫。用戶利用客戶端程序配置出服務端程序?？膳渲玫男畔⒅饕ㄉ暇€類型(如等待連接還是主動連接)、主動連接時使用的公網(wǎng)IP(域名)、連接密碼、使用的端口、啟動項名稱、服務名稱，進程隱藏方式，使用的殼，代理，圖標等。服務端對客戶端連接方式有多種，使得處于各種網(wǎng)絡環(huán)境的用戶都可能中毒，包括局域網(wǎng)用戶(通過代理上網(wǎng))、公網(wǎng)用戶和ADSL撥號用戶等。

2 灰鴿子上線的原理

灰鴿子分為服務端——肉雞，控制端——我們的電腦，為例。

服務端是以8000端口上線的，所以我們的電腦——控制端要打開8000端口。

當我們打開控制端時，8000端口也就隨之打開，等待肉雞的連接。服務端(肉雞)并不是看到哪臺電腦開放8000端口，就連接哪臺電腦的，它只會連接指定IP 的8000端口，而這個IP 就是我們給服務端事先設好的。我們通過灰鴿子這個軟件可以生成一種木馬，然后通過各種手段(如論壇、QQ、博客等)傳播給其他的網(wǎng)絡用戶，只要他打開這個木馬程序，同時他又開放了8000端口，那么他就成為我們的服務端，我們的木馬，也可以稱為鴿子就會按照我們所配置的信息找到我們電腦的IP地址，同時同我們的電腦相連接，從而完成遠程控制。

以上就是我們?nèi)肭炙仨毩私獾膸讉€重要概念和灰鴿子遠程入侵的原理，下面我們就以一次遠程入侵實例來了解一下灰鴿子。

3 灰鴿子內(nèi)網(wǎng)上線實例

3.1 需要的工具

1) fpt 空間，flashFTP軟件;

2) 一個動態(tài)域名;

3) 灰鴿子遠程控制軟件;

4) 快樂行網(wǎng)絡加速器。

3.2 實際操作

第一步，因為我們所處的是內(nèi)網(wǎng)，一般情況下內(nèi)網(wǎng)是不可以直接上線的。內(nèi)網(wǎng)上線的方法有兩種，第一種是通過路由做端口映射，但通常情況下我們并沒有路由權限。所以我們只有用第二種，通過第三方的軟件獲取一個公網(wǎng)IP，這種軟件可以是蘋果茶等，這里我們所用的是快樂行網(wǎng)絡加速器。下面我們打開網(wǎng)絡加速器，并且登錄，如圖1所示。

大家可以看到，我們現(xiàn)在有了一個公網(wǎng)IP:123.130.241.182，我們本機的內(nèi)網(wǎng)IP是192.168.0.15.

第二步，我們登錄希網(wǎng)去更新一下目前的IP，打開瀏覽器，輸入WWW.3322.org，打開希網(wǎng)的主頁，選擇域名管理，選取自己的動態(tài)域名，將自己的內(nèi)網(wǎng)IP填好后點確定完成更新。如圖2所示。

第三步，前面提到過，我們現(xiàn)在有了一個公網(wǎng)的IP，現(xiàn)在我們就將我們這個地址想辦法告訴我們即將配置生成的鴿子，我用的方法是，將自己的公網(wǎng)IP上傳到FTP空間中。下面就來設置一下“自動上線”，點灰鴿子面板上的自動上線，將自己的FTP賬號和密碼輸入進去，F(xiàn)TP的默認端口號為21，因為為灰鴿子服務的端口號為8000端口，所以在“IP文件內(nèi)容”中輸入“123.130.241.182:8000”如圖3所示。

第四步，打開灰鴿子遠程控制軟件，點“配置服務程序”在自動上線設置中輸入動態(tài)域名”www.wfwyc123@3322.org”因為我們是采用動態(tài)域名來上線的，在其他的幾個項中，我們可以根據(jù)自己喜歡的設置來進行填寫。如圖4所示。

第五步，點擊生成服務器，這樣在桌面上就生成了一個木馬程序，就是我們俗稱的鴿子。我們將它通過qq發(fā)給我的好友來驗證一下。

好了，通過上面的幾步，我想結果出來了，肉雞上線了:如圖5。

這樣我們就可以監(jiān)控肉雞的屏幕、視頻監(jiān)控、修改注冊表、記錄對方鍵盤等等，從而實現(xiàn)對對方電腦的遠程控制。

4 結論

我們通過對灰鴿子內(nèi)網(wǎng)入侵實例的分析，讓大家對這款軟件的工作原理有了初步的了解，從而在一定程度上幫助大家預防計算機病毒。

參考文獻:

[1] 陳立新.計算機病毒防治百事通[M].北京:清華大學出版社，2001.

[2] 電腦報.2003合訂本[M].北京:電子工業(yè)出版社，2003.

[3] 韓莜卿.計算機病毒分析與防范大全[M].北京:電子工業(yè)出版社，2006.