灰鸽子（牵手 2004）使用教程

渔歌子

灰鸽子（牵手 2004）使用教程                                     作者:李红 源自:天极

反弹型木马原理

　　目前反弹型木马非常流行，这类木马与传统的远程控制软件相反，进行C/S（客户端/服务器）的反向连接。当木马服务端被种植到他人的机器中，服务端运行后，会动态分配一个端口，主动连接客户端（黑客）的80端口，如果你用“netstat -a”命令检查，将显示“TCP　本机IP:2513　远程IP：80　ESTABLISHED”类似的数据，好象是在浏览网页，因此防火墙也不会阻挡这种非法连接，给木马的防范带来了困难。
反弹型木马攻击篇

　　如今网上传播的反弹型木马以国产的最为常见，例如灰鸽子（牵手 2004）、黑洞2004、安哥等等。下面我们就以最新的木马──灰鸽子（牵手 2004）为例，介绍现在的木马都是如何生成、种植、使用、隐藏和防范的，其他的反弹型木马与之类似，我们就不展开介绍了。

　　软件小资料


运行灰鸽子，在主界面点击“配置服务程序”命令，弹出“服务端配置”画面，单击“连接类型”选项卡（如下图1），可以选择与木马服务端的连接方式。如果你想生成普通木马，可以选择“主动连接型”，这样木马运行后、就会打开别人机器上的TCP：2513端口监听，等待你的控制连接，这是传统的木马，很容易被人发现。如果你选择“自动上线型”，则生成反弹型木马，然后在“URL转向域名”、“DNS解析域名”、“网页文件”三项中任填一个，例如在“URL转向域名”栏中，填入你事先注册好的域名http://lacl.icpcn.com，这样木马服务端一上线就会连接这个地址，控制端于是便得知服务端已上线，自动与服务端连接。


接下来单击打开“安装信息”选项卡，在“安装路径”栏选择“<System DIR>”（如下图2），把木马服务端安装在他人硬盘的系统目录（WinXP为Windows\system32，WinMe/98为Windows\system）下，你也可以选择<Windows DIR>或<temp DIR>，把服务端安装在其他位置；在“安装名称”栏输入“G.jpg.exe”，给服务端程序起个名字；勾选“自动删除安装文件”。


图 2

　　单击打开“启动项目”选项卡，设置木马服务端在他人的机器上如何自启动，建议全勾选（如下图3），这样在Win9x下会写入


图 3

　　单击打开“绑定文件”选项卡，勾选“每次启动自动加载”（如下图4），单击“文件路径”右边的小按钮，选择一幅图片（例如banner.jpg），然后按“增加”按钮，把木马服务端与该图片绑定，最后选择保存路径，按“生成服务器”，木马服务端安装文件就产生了。以后只要你单击这个安装文件，就会中了木马！表现为显示刚才绑定的图片，同时木马服务端将悄悄地安装在你的硬盘中。


二、把木马植入他人的电脑中


　　现在我们要把木马服务端投到别人的电脑中。种植木马的方法有很多，例如Email夹带，把服务端作为附件寄给对方；建一个网站，伪装成XXXX软件的破解版，引诱他人下载服务端文件；通过系统漏洞入侵他人电脑，把木马服务端传过去；把服务端伪装后放到自己的共享文件夹，欺骗网友用P2P软件下载并运行之。下面我们以Email夹带为例，介绍种植木马的方法。

　　首先启动Outlook等Email软件，撰写一封新邮件，将刚才生成的木马服务端安装文件压缩成一个文件，放到邮件的附件中，编写一个诱人的主题，例如“惊天消息：大兴安岭抓住外星人，请看现场照片……”，对方收到邮件后，如果好奇打开附件、单击该木马安装文件，就会显示绑定的图片，其他什么现象也没有，重新启动系统后，木马服务端就种植成功了。

　　三、远程控制对方

　　以上投毒成功后，控制对方的电脑就很容易了，只要使用客户端即可。由于是反弹型木马，所以服务端上线后会自动连接客户端，此时你可以启动灰鸽子，操控客户端对服务端进行远程控制。在软件主界面列表中（如下图5），随便选择一台已经上线的电脑，然后单击打开选项卡对这台电脑进行分类控制，选项卡有“文件管理器”、远程控制命令、注册表模拟器、远程监控、文件传输管理、命令广播。


图 5

　　文件管理器：在该选项卡中，你可以随意的下载对方机器中的文件，而且还支持断点传输。你可以象操作“Windwos资源管理器”那样，下载、新建、重命名、删除对方电脑中的文件，还可以把对方的文件上传到FTP服务器上保存。

　　远程控制命令：在这里，你可以查看对方的系统信息、剪切板中内容；查看、终止对方的进程，例如发现有杀毒软件或防火墙，即可终止对应的进程，以便保护服务器端；你可以启动、关闭对方的服务；查看对方共享的信息；关闭或恢复对方的程序窗口；远程运行DOS命令控制对方，卸载、重新加载服务端，远程关机或重启等。

　　远程监控：这里你可以启动语音监听、或发送，如果对方有麦克风，你就可以听到他们的谈话，而且你还可以向对方发送文字信息。

渔歌子

四、木马服务端的加壳保护


　　KV2004等杀毒软件（最新的病毒库）很容易发现、查杀以上木马，为了逃避杀毒软件的查杀，你可以使用压缩软件对木马服务端进行加壳保护，目前加壳的软件有很多，例如ASPack、ASProtect、UPXShell、Petite等。下面我们就以ASPack（下载地址


http://www.fz20.com/down
图 6

　　五、灰鸽子的手工清除

　　机器里中了灰鸽子之后，如果是WinMe/9x系统，木马会修改注册表自启动项，手工清除方法：首先要禁止它开机自动运行，点开始/运行，输入msconfig点确定，在系统配置实用程序中选“启动项”，然后把SVCHOST前面的勾去掉，点确定后退出；接下来在运行中输regedit 进入注册表，查找SVCHOST（注意是大写的），删除找到的SVchost.ini、mapis32a.dll、%systemroot%F4.Jpg，关机重启；最后运行TcpView，检查你的2513端口是否开着。

　　如果是WinXP/2000系统，木马会启动灰鸽子服务（服务名称默认为Hgz_Server，可以是其他名称），因此删除该木马，首先要关闭这个服务，单击“开始”/设置/控制面板，双击“管理工具”/服务，禁止该服务；然后在该服务“属性”中查出对应的执行文件位置，删除执行文件即可。

反弹型木马防范篇


　　为了防范越来越猖獗的反弹型木马，我们为你准备了以下的措施，通过对网络自身的设置，以及软件的帮助，你能更好的防护反弹型木马对你的攻击：

　　一、关闭不用的端口

　　默认情况下Windows有很多端口是开放的，在你上网的时候，网络病毒和黑客可以通过这些端口连上你的电脑，为了让你的系统铜墙铁壁，应该封闭这些端口，主要有：TCP 139、445、593、1025 端口和 UDP123、137、138、445、1900 端口，一些流行病毒的后门端口（如 TCP 2513、2745、3127、6129 端口），以及远程服务访问端口3389。

　　137、138、139、445端口都是为共享而开的，是NetBios协议的应用，你应该禁止别人共享你的机器，所以要把这些端口全部关闭，方法是：单击“开始”/控制面板/系统/硬件/设备管理器，单击“查看”菜单下的“显示隐藏的设备”，单击“非即插即用驱动程序”，找到Netbios over Tcpip禁用该设备，重新启动后即可。

　　关闭UDP123端口：单击“开始”/设置/控制面板，双击“管理工具”/服务，停止windows time服务即可，关闭UDP 123端口，可以防范某些蠕虫病毒。

　　关闭UDP1900端口：在控制面板中双击“管理工具”/服务，停止SSDP Discovery Service 服务即可。关闭这个端口，可以防范DDoS攻击。

　　其他端口你可以用网络防火墙关闭之，或者在控制面板中，双击“管理工具”/本地安全策略，选中“IP 安全策略，在本地计算机”，创建 IP 安全策略来关闭这些端口。

　　二、安装杀毒软件

　　及时安装升级杀毒软件（例如KV2004等）及其病毒库，并及时给系统打上的安全补丁。上网时要特别注意，木马无处不在！不要随意下载来历不明的文件，只下载使用官方的升级程序；不要接收陌生人的邮件，如果有附件，也不要打开附件，更不要执行附件中的可执行程序，注意病毒程序伪装的图标，不要轻信图标为“电子表格、文本文件、文件夹”的附件。

三、使用反木马软件


　　使用专门的反木马软件，及时升级软件和病毒库，这是查杀木马最简单的方法。目前反木马软件数量众多，著名的有金山毒霸木马专杀、诺顿安全特警、木马克星、TrojanHunter、Anti-Trojan Shield、The Cleaner Professional、木马清除大师等。

　　1、金山毒霸木马专杀

　　下载地址

　　金山木马专杀既是一个木马专杀工具（可以查杀2万多种木马），又是一个木马防火墙,可以有效地保护你的QQ号码、网游以及网络支付安全，快速清除远程控制型、盗取密码型、进程注入型木马以及反弹端口型木马。

　　2、诺顿安全特警

　　下载地址

　　诺顿安全特警（NIS2004）是塞门铁克公司推出了优秀的网络安全软件，能够查杀木马病毒、进行入侵检测，具备个人防火墙等功能；软件新增加的反垃圾邮件功能非常实用，多网络环境支持、Web助手等新功能也很贴心。在网络木马和病毒越来越多的今天，有必要请一个“特警”回来护驾，不过，它体积大、资源占用过多。

　　3、木马克星（Iparmor）

　　下载地址

　　木马克星是国人开发的一款防杀木马的软件，擅长查杀国产木马、对查杀最近非常流行的网络神偷、网吧杀手、键盘幽灵以及捆绑在图片文件中的木马非常有效。它体积不大（安装文件只有3.7MB），可以用闪存随身携带，方便你在网吧电脑中安装使用。

　　4、Anti-Trojan Shield

　　下载地址

　　Anti-Trojan Shield是一款享誉欧洲的专业木马侦测、拦截及清除软件，目前可以查杀9468种木马和病毒，其特点是界面简捷，虽是英文但只要你会用杀毒软件，就能很容易操作该软件。

　　5、TrojanHunter(木马猎手)

　　下载地址

　　TrojanHunter是一款非常不错的防木马软件，可以在Win9X/NT/2000/XP系统中运行，能够发现流行的木马。

　　6、The Cleaner Professional

　　下载地址

　　The Cleaner Professional 是MooSoft公司开发的查杀木马软件，可以查杀各种木马、蠕虫、键盘记录机、间谍程序等。软件包括Cleaner、TCActive、TCMonitor等组件，其中Cleaner专门查杀木马等病毒，TCActive用来显示当前正在运行的所有进程，TCMonitor负责后台监视系统文件和注册表是否被修改，如果发现被修改即报警。

　　7、木马清除大师正式版

　　下载地址

　　木马清除大师（BeatTrojan）能查杀5800余种国际国内流行木马、网络游戏盗号工具、QQ盗密码工具、幽灵后门，查杀率在95%以上，正式版还加强了对第五代木马的查杀，更加人性化的进程管理设计，能完美的查杀各种无进程木马。


四、使用第三方防火墙


　　Win XP自带的放火墙和ADSL猫的NAT方式，只能防止从外到内的连接，不能阻挡从内到外的连接，因此这类防火墙不能阻挡反弹型木马。
防范反弹型木马，最好的办法是安装使用第三方防火墙。因为一般的防火墙，都可以设置应用程序访问网络的权限，你可以把怀疑为木马的程序，设置成不允许访问网络，这样就能阻挡木马从内到外的连接。建议你安装使用天网防火墙、诺顿防火墙等一些著名的防火墙软件，这类防火墙各大网站都有下载。

　　五、在线安全检测

　　按照上面的方法查杀木马后，如果你还不放心，可以在网上找个在线安全测试的网站，对你的系统当前安全情况进行检查，不过在线检测前，请关闭你的防火墙。目前这类测试各网站都是免费的，建议你去下面知名的网站测试：

　　1、诺顿在线安全检测

　　诺顿是网络安全的鼻祖，它的风险评估是非常及时和全面的。该网站提供了活动的木马程序扫描，利用木马常用的方法尝试与你的电脑进行Internet 通信；它还可以扫描你的网络漏洞、NetBIOS可用性，确定黑客是否能访问你机器中的信息。扫描完成后，会显示详细的分析结果。

　　2、金山木马专杀

　　著名的杀毒厂商金山公司提供的在线木马专杀服务，目前该服务完全免费。

　　.net.cn/main/view.php?cid=170" target=_blank>3、天网安全在线

　　可进行木马检测、端口扫描、信息泄漏检查、系统安全性检查。检测时会出现倒计时，在倒数时间内，如果你的电脑出现蓝屏死机，则表示你的电脑不安全，你可以下载该网站提供的个人电脑网络安全软件，来修补目前的安全漏洞。

　　4、千禧在线--在线检测

　　免费检查你的电脑有那些端口开放或关闭，是否有木马；与“北京趋势科技”合作，提供了在线按需扫描病毒服务。

　　5、蓝盾安全在线

　　蓝盾安全实验室研制、开发的在线安全检测系统，可以检查你的系统中是否有漏洞，可扫描你的端口，检查你的电脑中是否有木马和信息泄漏。

　　六、经常用Tcpview观察连接情况

　　为了防范未知的反弹型木马，你可以经常使用Tcpview检查连接情况（如下图7），这样就能随时发现哪个连接有可能是非法连接。

图 7

　　例如上图中本机的TCP 135端口正在监听，众所周知，135端口是RPC服务打开的端口，如果你把RPC服务停掉，虽然可以关闭135端口，但是计算机也就关机了。冲击波病毒利用的就是135端口，建议你使用第三方防火墙，设置外界不能连接本机的135端口。

　　注意：如果tcp协议的linsten在1025端口以上，则可能是木马，大家就要警惕了。例如上图灰鸽子打开了本机的TCP 2513端口进行监听，这是主动连接方式（非反弹连接），你可以断定这是非法连接。此时你应该右击该连接，选择连接属性，记录下执行文件的名称和位置，然后选择“End Process”结束连接，最后再删除对应的执行文件。