一次灰鴿子內網入侵實例解析

摘要:灰鴿子是一款優秀的遠程控制軟件。我們通過灰鴿子就可以生成一個木馬程序，將此木馬程序發送到遠程計算機，一旦對方運行該文件就可以實現對它的遠程控制。該文就詳細介紹灰鴿子是如何實現遠程控制的。

關鍵詞:病毒;灰鴿子;內網;外網;自動上線;遠程控制

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)33-9392-02

灰鴿子是國內一款著名后門。比起前輩冰河、黑洞來，灰鴿子可以說是國內后門的集大成者。其豐富而強大的功能、靈活多變的操作、良好的隱藏性使其他后門都相形見絀。客戶端簡易便捷的操作使剛入門的初學者都能充當黑客。

1 灰鴿子病毒的簡介

為了讓大家更好的理解這款病毒，先說一下幾個概念。

1) 網絡病毒

計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。

2) 網絡木馬

木馬病毒源自古希臘特洛伊戰爭中著名的“木馬計”而得名，顧名思義就是一種偽裝潛伏的網絡病毒。

傳染方式:通過電子郵件附件發出，捆綁在其他的程序中。

病毒特性:會修改注冊表、駐留內存、在系統中安裝后門程序、開機加載附帶的木馬。

木馬病毒的破壞性:木馬病毒的發作要在用戶的機器里運行客戶端程序，一旦發作，就可設置后門，定時地發送該用戶的隱私到木馬程序指定的地址，一般同時內置可進入該用戶電腦的端口，并可任意控制此計算機，進行文件刪除、拷貝、改密碼等非法操作。

3) 外網和內網

外網:通過ISP連接到INTERNET，擁有固定的公網IP，稱之為外網。

內網:內網就是局域網，網吧、校園網、單位辦公網都屬于此類。另外光纖到樓、小區寬帶、教育網、有線電視Cable Modem上網雖然地域范圍比較大但本質上還是基于以太網技術，所以仍然屬于內網。

內網也叫私網地址如下:

IP等級 IP位置

Class A 10.0.0.0-10.255.255.255

Class B 172.16.0.0-172.31.255.255

Class C 192.168.0.0-192.168.255.255

子網掩碼一般設為:255.255.255.0

內網是可以上網的，內網需要一臺服務器或路由器做網關，通過它來上網。

4) 端口

計算機\"端口\"是英文port的譯義，可以認為是計算機與外界通訊交流的出口。端口可以分為三類:(1)公認端口(WellKnownPorts):從0到1023，它們緊密綁定(binding)于一些服務。通常這些端口的通訊明確表明了某種服務的協議。例如:80端口實際上總是HTTP通訊。(2)注冊端口(RegisteredPorts):從1024到49151。它們松散地綁定于一些服務。也就是說有許多服務綁定于這些端口，這些端口同樣用于許多其它目的。例如:許多系統處理動態端口從1024左右開始。(3)動態和/或私有端口(Dynamicand/orPrivatePorts):從49152到65535。理論上，不應為服務分配這些端口。實際上，機器通常從1024起分配動態端口。但也有例外:SUN的RPC端口從32768開始。

5) FTP(文件傳輸協議)

FTP(File Transfer Protocol)，是文件傳輸協議的簡稱。用于Internet上的控制文件的雙向傳輸。同時，它也是一個應用程序(Application)。用戶可以通過它把自己的PC機與世界各地所有運行FTP協議的服務器相連，訪問服務器上的大量程序和信息。FTP的主要作用，就是讓用戶連接上一個遠程計算機(這些計算機上運行著FTP服務器程序)，察看遠程計算機有哪些文件，然后把文件從遠程計算機上拷到本地計算機，或把本地計算機的文件送到遠程計算機去。

灰鴿子客戶端和服務端都是采用Delphi編寫。用戶利用客戶端程序配置出服務端程序。可配置的信息主要包括上線類型(如等待連接還是主動連接)、主動連接時使用的公網IP(域名)、連接密碼、使用的端口、啟動項名稱、服務名稱，進程隱藏方式，使用的殼，代理，圖標等。服務端對客戶端連接方式有多種，使得處于各種網絡環境的用戶都可能中毒，包括局域網用戶(通過代理上網)、公網用戶和ADSL撥號用戶等。

2 灰鴿子上線的原理

灰鴿子分為服務端——肉雞，控制端——我們的電腦，為例。

服務端是以8000端口上線的，所以我們的電腦——控制端要打開8000端口。

當我們打開控制端時，8000端口也就隨之打開，等待肉雞的連接。服務端(肉雞)并不是看到哪臺電腦開放8000端口，就連接哪臺電腦的，它只會連接指定IP 的8000端口，而這個IP 就是我們給服務端事先設好的。我們通過灰鴿子這個軟件可以生成一種木馬，然后通過各種手段(如論壇、QQ、博客等)傳播給其他的網絡用戶，只要他打開這個木馬程序，同時他又開放了8000端口，那么他就成為我們的服務端，我們的木馬，也可以稱為鴿子就會按照我們所配置的信息找到我們電腦的IP地址，同時同我們的電腦相連接，從而完成遠程控制。

以上就是我們入侵所必須了解的幾個重要概念和灰鴿子遠程入侵的原理，下面我們就以一次遠程入侵實例來了解一下灰鴿子。

3 灰鴿子內網上線實例

3.1 需要的工具

1) fpt 空間，flashFTP軟件;

2) 一個動態域名;

3) 灰鴿子遠程控制軟件;

4) 快樂行網絡加速器。

3.2 實際操作

第一步，因為我們所處的是內網，一般情況下內網是不可以直接上線的。內網上線的方法有兩種，第一種是通過路由做端口映射，但通常情況下我們并沒有路由權限。所以我們只有用第二種，通過第三方的軟件獲取一個公網IP，這種軟件可以是蘋果茶等，這里我們所用的是快樂行網絡加速器。下面我們打開網絡加速器，并且登錄，如圖1所示。

大家可以看到，我們現在有了一個公網IP:123.130.241.182，我們本機的內網IP是192.168.0.15.

第二步，我們登錄希網去更新一下目前的IP，打開瀏覽器，輸入WWW.3322.org，打開希網的主頁，選擇域名管理，選取自己的動態域名，將自己的內網IP填好后點確定完成更新。如圖2所示。

第三步，前面提到過，我們現在有了一個公網的IP，現在我們就將我們這個地址想辦法告訴我們即將配置生成的鴿子，我用的方法是，將自己的公網IP上傳到FTP空間中。下面就來設置一下“自動上線”，點灰鴿子面板上的自動上線，將自己的FTP賬號和密碼輸入進去，FTP的默認端口號為21，因為為灰鴿子服務的端口號為8000端口，所以在“IP文件內容”中輸入“123.130.241.182:8000”如圖3所示。

第四步，打開灰鴿子遠程控制軟件，點“配置服務程序”在自動上線設置中輸入動態域名”www.wfwyc123@3322.org”因為我們是采用動態域名來上線的，在其他的幾個項中，我們可以根據自己喜歡的設置來進行填寫。如圖4所示。

第五步，點擊生成服務器，這樣在桌面上就生成了一個木馬程序，就是我們俗稱的鴿子。我們將它通過qq發給我的好友來驗證一下。

好了，通過上面的幾步，我想結果出來了，肉雞上線了:如圖5。

這樣我們就可以監控肉雞的屏幕、視頻監控、修改注冊表、記錄對方鍵盤等等，從而實現對對方電腦的遠程控制。

4 結論

我們通過對灰鴿子內網入侵實例的分析，讓大家對這款軟件的工作原理有了初步的了解，從而在一定程度上幫助大家預防計算機病毒。

參考文獻:

[1] 陳立新.計算機病毒防治百事通[M].北京:清華大學出版社，2001.

[2] 電腦報.2003合訂本[M].北京:電子工業出版社，2003.

[3] 韓莜卿.計算機病毒分析與防范大全[M].北京:電子工業出版社，2006.