详细讲解黑客常用的远程控制木马

　　一、穿透力极强的Byshell木马

　　Byshell是一个无进程、无DLL、无启动项的、集多种Rootkit技术特征的独立功能远程控制后门程序(Backdoor)。其利用线程注射DLL到系统进程，解除DLL映射并删除自身文件和启动项，关机时恢复。它是内核级的木马程序，主要部分工作在Ring0，因此有很强的隐蔽性和杀伤力。

　　1.配置Byshell木马服务端

　　要想配置Byshell木马服务端，我们首先打开下载到本地的“Byshell客户端”程序，在所弹出的“监听端口”对话框内，输入其木马想要监听的端口，默认设置为2007(如图1)。

图1

　　修改完毕后，进入到“Byshell木马客户端”界面，在顶端的工具栏内，单击“配置服务端”按钮，此时就会打开“配置服务端”的对话框(如图2)。

图2

　　在“IP通知地址”标签处，输入自己空间的访问地址，“IP或者DNS域名”标签，则输入自己的本机IP，另外客户端口输入的数字，要与此前设置的监听端口一致，否则会出现肉鸡无法上线的情况。然后在单击“生成”按钮，在弹出的“另存为”对话框内，选择好所要生成的路径，单击“确定”按钮，就可使其服务端生成完毕。

　　2.让主动防御纷纷落马

　　为了能够测试Byshell木马的威力，我们这里打开杀毒软件的所有“主动防御”选项，并且将其安全级别提高到最高，然后在运行一下刚生成好的Byshell木马服务端，此时你会发现杀毒软件竟然将它的启动视而不见，并且在客户端还可以看到中招的机器上线。如果你想对肉鸡进行控制，我们可以选择其上线的机器，然后在上方单击工具栏里的“相关”按钮，如这里单击“文件管理”按钮，就可打开被控制机器的“文件管理”对话框，从中我们可以查阅该肉鸡里的所有硬盘文件。另外最后要想卸载掉远程服务端，只要在“客户端”界面内，右击上线肉鸡IP栏，选择“远程卸载”选项，就可将其服务端从受害者系统里摘除。

　　二、上线速度超快的暗组远控木马

　　暗组远控木马，是一款体积非常小的控制软件，并且它还具备着较强的穿透防火墙和杀毒软件的主动防御能力。另外由于这款软件很偏门，一般人都不太知道，所以其所生成的最新服务端，无须进行加密就可以逃脱一些杀毒软件的查杀。

　　1. 利用客户端生成服务端

　　由于暗组远控软件功能不是很强大，所以客户端界面很简单，主要有顶端三个功能按钮，如：“生成服务端、设置、监听”按钮构成，很适合新手操作。另外暗组远控木马与其他同类软件一样，也是通过其客户端来生成服务端。这里我们依然在其客户端界面内，单击“生成服务端”按钮，此时在弹出的“生成服务端”对话框内(如图3)。

图3

　　新手只要在上线域名那里换成自己的固定IP地址，然后单击“生成”按钮，选择好保存路径就可将其生成成功了。

　　2. 偏门木马杀毒软件不易发现

　　之前笔者已经说过了，貌似这种不出名的木马，即使有时不加密也不会被查杀掉，而像灰鸽子、黑洞等名声在外的木马，即使加密也用不了多久。因此我们只要通过欺骗QQ好友看照片的手段，让他(她)运行配置好的木马服务端，然后单击“开始监听”按钮，其主机就会立刻在客户端上线了(如图4)。

图4

　　此时你只要选择该上线的肉鸡，就可以对相关肉鸡进行远程控制，而具体控制功能都集成在了右键上面，大家可以根据需要进行选择即可。

　　东南网安远程控制是由东南大学网络安全联盟，开发的一款远程控制软件，其界面友好简单，左侧有一排错落有致的功能按钮，我要想对肉鸡进行控制，只需使用这几个按钮便可完成操作(如图5)。

图5

　　1. 配置木马服务端

　　打开“客户端”程序，默认选择的是左侧“上线主机”标签，由于还有配置服务端程序，所以更谈不上有肉鸡上线。因此这里单击“配置服务端”标签，在所显示的界面内，根据标签的提示信息，将自己电脑信息输入便可，然后单击“生成”按钮，此配置的服务端，就会自动生成在该软件的同一目录下，并且默认服务端名称为SEU_server。然后以各种欺骗的手段或者其他方法让受害人运行，这样其主机才会在客户端显示上线(如图6)。

图6

　　2.远程操控肉鸡

　　我们在其上方右击，可以选择里面的快捷功能进行操控。当然像有些功能如：“文件传输、屏幕监控、DOS命令、进程管理”，左侧功能栏都有。如果你不喜欢在快捷功能里选择，可以在左侧功能标签里选择，比如单击“文件传输”标签，可以对其远程肉鸡的硬盘文件进行查阅。屏幕监控，就可非常直观的看到其肉鸡受害人的操作。DOS命令可以通过命令的形式，创建用户开启服务等等实施更进一步的入侵。进程管理可以查询当前肉鸡上，所有运行的程序进程。

　　四、远程控制航母Gh0st RAT

　　Gh0st RAT有着远程控制航母的称号，它可以最多容纳上万台肉鸡同时上线，这是很多同类软件达不到的事情，因此这个称号也并不夸张。另外该软件是一款共享免费类的软件，并且其作者为了大家着想，不保留版权可由黑客迷们自由修改。

　　打开“Gh0st RAT客户端”软件，你会发现与其他同类软件不同的是，它的功能标签都在下方，并且是以英文形式表达(如图7)。

图7

　　默认选择的是下方“Connections”标签，这里显示的是肉鸡上线界面。而后面的“Settinas”标签，则显示“服务端的配置”界面，我们切入此标签，只要把上线主机IP更改成自己的IP地址，其他选项保持默认。然后选择“Build”标签，在显示的界面上方，将“Settinas”标签里的上线字符串，复制到“域名上线字符串”标签，或者勾选“启用”按钮，在其前方输入HTTP上线网址后，单击生成“服务端”按钮，在弹出的“另存为”对话框内，选择好所要存储服务端的路径即可。

　　同样以想方设法将其服务端让受害者运行，然后你回到“Connections”标签，就可看到其运行服务端的肉鸡上线了。并且肉鸡的IP地址、计算机名、使用的操作系统，以及有无摄像头的信息，也同时会被显示出来(如图8)。

图8

　　为了操控这台肉鸡，笔者在该显示肉鸡栏的上方右击，在弹出的“快捷”菜单内，选择“文件管理”选项，可以非常直观的看到本地和外地的盘符，如果此时你想自己本地盘符的文件，上传到被控制