灰鸽子原理及上线方法剖析

原创作者ｕｎｉｓ
远程控制分类与远程协助区别
远程控制技术是黑客必学的技术之一。

远程控制不同于远程协助，两者之间有很大的区别，所谓远程协助需要经过被控端的授权允许，并且被控端可以看到控制者的所有操作，使之控制操作透明性；例如我们的QQ远程协助，就需要对方的允许控制进行操作，并且对方也能够看到我们的操作动作，远程协助一般是用来进行远程的计算机操作协助。

远程控制则不一样，远程控制只要在被控者电脑安装一个服务端，即可在不知情的情况下进行控制对方计算机以及对计算机其它操作，控制时不需要经过对方的许可就可以控制，而控制时操作的一些动作，对方也无法察觉到（除鼠标控制）。

远程控制按控制类型可以分类为：（1）正向主动型远程控制（2）反向被动型。

什么是正向主动型的呢？正向主动型是需要控制着主动去连接被控端，一般情况下，控制者必须知道需要被控制者的IP和端口，然后通过某种软件来进行控制被控者，例如微软的3389远程桌面、Radmin远程控制、VNC远程控制都需要知道对方的IP（端口）然后通过客户端软件进行连接对方。

反向被动型控制又可以称为反弹性控制技术，指的是在被控端下安装服务端之后，由被控端主动来寻找你的客户端监听端口软件连接来进行控制，这个好处就是不需要知道对方的IP地址和端口，被控端会自己主动来找我们的监听地址和端口，当我们发现被控端已经找到我们的监听地址和端口，我们就可以控制对方电脑，这样省去要知道对方的IP和端口的麻烦了，特别是对方是动态IP
的时候。

反向被动型远控在黑客界已经是主流了，黑客专门使用某些控制软件在控制对方，反弹型远控软件更是数不胜数，例如：花鸽子（灰鸽子）、白金、终结者、Ghost 等等。

远程控制软件的功能与远控木马的特性
我们这里主要讲解的是反弹型远控，并且也有讲解到Web型的正向型远控，正向型远控还有Radmin、3389远程桌面也可以值得大家去学习，关于Radmin远控的可以参考我之前写的《深度研究Radmin远控》。

关于3389终端技术我已经写了《精通3389终端》。

现在的远程控制软件（又称客户端，生成出的木马叫服务端）数不胜数，甚至很多已经是源码爆出，对于各种远程控制软件来说，其实基本都是具备以下功能：
【屏幕监控】：可以查看被控制者的屏幕，保存捕获的被控制屏幕的截图。

并且看到对方的一切操作，可以自由选定图像位色查看，还
可以选择是否控制对方鼠标、键盘，若选择即可控制对方的电脑鼠标、键盘，这一控制对方是可以看到鼠标被控制。

【文件管理】：可以在后台查看被控者的各个磁盘中的文件，直接显示隐藏文件，可自由在对方的磁盘中删除文件、上传文件、下载文
件、重命名文件、远程显示打开文件、远程
隐藏打开文件、复制文件、粘贴文件、新建文件夹等功能。

【视频监控】：如果对方有视频，即可暗中开启对方视频监控到对方人、环境等一切。

【语音监听】：如果对方已经插上麦，此功能即可通过对方的麦暗中监听到对方说话的声音。

【键盘记录】：可以记录对方键盘的一切操作，可执行离线记录，即不打开该功能也能随时记录，有些还可以IE密码记录。

【系统信息查看】：可以查看对方的外网IP地址，内网IP地址、系统版本、电脑配置、上线时间等。

【注册表编辑器】：可以查看对方计算机的注册表和修改对方注册表的键值等操作。

【超级终端】：又称Telnet，即远程CMD，可以使用远程主机的cmshell进行各种CMD命令的操作。

【系统管理】：可以查看对方电脑的进程管理器，可任意结束进程。

也可以查看对方窗口信息，随意结束某个窗口，有些远程控制软件还
可以查看对方的宽带账号密码、软件信息等。

【服务管理】：可以查看对方的系统服务列表和开启状态，可随意停止和开启对方的某个服务。

【代理映射】：可以开启远程计算机IP代理，把远程主机映射到本机作为代理。

使用远程计算机IP和端口进行代理上网。

【会话管理】：可以重启、注销、关机远程计算机，还可以断开远程主机的连接或者卸载远程主机的服务端。

【共享与剪贴板】：可以查看远程主机的共享文件，剪贴板功能可查看远程主机剪贴板中的文本信息。

【弹窗下载】：可以发送某段消息给远程主机，远程主机即会弹出对话框显示，下载执行可以通过后台打开对方的IE进行浏览某个
网站或者执行下载木马等。

【DDOS】：某些远程控制软件拥有该功能，可以随意选择在线肉鸡，以肉鸡作为流量来进行DDOS、CC攻击网站等操作。

【配置服务端】：即配置木马，每个远控软件都有，通过自己选择某些参数配置一个反弹型服务端（木马）。

以上讲解的都是远程控制软件的常见功能，可能有些远控软件有其中功能或者更多功能，
这里就只讲这么多咯，下面给大家讲解下远程控制所生成的木马，远控软件生成的木马又被称为后门木马，一般它只要对方点击了该木马，木马就立即分析木马本身的IP配置等信息，向主控端发送TCP连接请求，当发现主控端在线即上线在主控端的远程控制软件上，
一般远程控制软件的木马有以下几种特点：
①：模仿系统进行运行在内存中。

有的可能使用Rootkit技术隐藏进程。

②：通过DLL注入在某个正常进程中。

③：通过替换系统正常程序来运行在内存中。

④：木马会创建服务到系统服务中，并且设置为自启动类型。

⑤：木马会残留在C盘或者感染C盘某个正常DLL文件。

⑥：木马会写入自启动项，使之远程主机开机运行木马。

⑦：木马运行后每三十几秒向主控端发起连接请求。

若找到对应IP和端口则建立连接。

上述所说的就是常见的远控木马特性，一般来说远控木马并不带有恶性行为，即不存在格式化磁盘、破坏电脑硬件或删除Windows重要文件等恶意操作。

灰鸽子固定IP、动态域名、FTP上线原理与方法
1.灰鸽子是一款早期很流行的远程控制软件，由安徽籍灰鸽子工作室创办人“葛军”使用Delphi编写的，后来的远程控制软件基本都是模仿灰鸽子进行编写的。

所以说学会灰鸽子原理，其它远控你基本都会了。

2.灰鸽子支持固定IP上线、动态域名上线、FTP上线。

我们先来简单的说下木马上线的原理。

当我们的木马在A电脑上运行后，只要A电脑一旦连接网络，那么木马就会通过之前配
置好的连接IP和端口向我们的主控端发起连接请求，一旦连接木马配置中的IP和端口成功，主控端就可以看到肉鸡上线了，此时就可以进行远程控制肉鸡了。

我们举例说，比如配置了一个木马的上线地址为：188.188.188.188，那么该木马放到某台连接互联网的计算机中运行后，木马会不停地向IP为188.188.188.188的主机发起连接，只要该IP电脑上运行了灰鸽子软件，就会显示肉鸡上线了，那么就可以轻易控制被控端了！
3.【固定IP的上线】：固定IP上线不适合于普通用户使用，因为大家的IP一般都是动态IP，即计算机重启后外网IP会不停地变动，特别对于宽带拨号的用户来说，一旦断开宽带连接，再重新拨号，公网IP地址又变了。

这样木马就只能上线一次，什么意思呢？例如：我在内网做测试，配置木马的上线IP为我虚拟机的IP192.168.1.121，那么木马就会始终向IP为：192.168.1.121的计算机发起连接请求。

假设在外网，我们一般是拨号上网，这一次电脑是这个IP，下一次我们电脑重启了的话IP
发生变化，那么木马又如何能向我们现在的IP发起连接请求呢？所以固定IP一般不适用于普通用户，而它却适用某些服务器上线，因为很多服务器的IP都是固定IP，向ISP运营商申请的固定IP，无论重启多少次，IP始终保持不变，那么我们在该固定IP的服务器上配置木马，由于服务器IP始终是不变，我们下次重启计算机再在该服务器上打开灰鸽子软件也能看到肉鸡的上线。

固定IP上线原理就是这么简单，仅仅适用于固定IP的用户，配置方法是：先打开灰鸽子的——配置服务端。

上线地址中填写我们的固定IP，可以通过百度“IP”得到我们的外网IP.如果端口修改后必须添加端口，形式为〈IP地址：端口〉，灰鸽子默认端口是8000端口，我们如果不修改就直接填写固定IP，其它的进行隐藏、选择木马图标、自动删除、上线备注、连接密码可按需设置。

最后选择“生成服务端”木马就生成出来了。

这里我就假设我现在的外网IP为固定IP。

因为只有外网IP才有连接因特网的通讯能力。

4.将生成的木马放入到虚拟机做测试，发现能够成功上线，当然假如我们非固定IP电脑重启了之后，IP变了，那么我们再打开灰鸽子就无法看到肉鸡上线了，因为木马不知道我们的新IP，所以固定IP上线适用于有固定IP的用户来配置木马。

5.此时我们可以在虚拟机中CMD下输入netstat -ano 查看TCP连接，就能看到本机正在与182.101. 185.***的8000端口进行连接着。

肉鸡是随机启动用一个未使用的端口来对我们的182.101.185.***的8000端口来连接。

并且模仿IE进程。

6：【动态域名上线】：动态域名又叫DDNS，动态域名上线适用于所有使用动态IP用户。

为什么呢？对于广大动态IP用户来说，我们每次重启或断开宽带连接都会更换不同的外网IP，那么我们想生成一个木马，如何让木马始终知道我们电脑更换的IP后进行发起连接呢？如何在我们计算机重启后，打开灰鸽子还能看到原来肉鸡的上线呢？那么动态域名就解决了我们这个问题了，首先我们去申请一个动态域名，可以在3322里面或者花生壳等地方申请一个域名，比如我申请的域名账号为： 。

那我们首先要知道我们的域名地址是永远不变的，好比百度的域名永远不会变，但是我们的电脑IP地址是
不停变的。

我们就可以使用动态域名来解析IP，我们每次电脑重启更换IP后，进去3322域名，将我们的IP地址更新到域名，比如我现在的IP是：95.95.95.95，那我就将该IP 更新到域名： ，那么我们这个域名对应的IP就是我们现在的IP，我们可以使用Ping域名看我们现在的域名是否与现在的IP对应。

检测为对应，即所谓的：
=95.95.95.95。

如果下次我们重启电脑换成了155.155.155.155，那么我们就再上去3322域名，将变化了的IP 155.155.155.155更新到域名 ，那么域名 =155.155.155.155。

7.通过我们IP会变，但是域名始终不变的原理，我们配置木马的时候填写我们的动态域名地址，然后生成一个由域名配置的木马，当木马在某电脑运行后，木马会自动地去解析域名的IP是多少，即所谓的ping 域名得到IP地址，例如我们将自己最新的IP：95.95.95.95更新到了域名，那么木马就通过解析域名出来的IP进行一个反弹连接。

如果我们计算机重启IP变成155.155.155.155，那么我们将IP更新到域名后，对方电脑木马就会继续解析我们的域名，当发现我们的域名,IP变成了155.155.155.155了，那么木马就会向这个IP发起连接请求。

8.【FTP上线】：当我们了解了固定IP上线、域名上线，FTP上线对大家的理解原理就更简单了，FTP上线最适合动态IP用户使用，因为域名经常更新IP很慢，不稳定。

灰鸽子有带有自动更新FTP空间的功能。

我这里先申请一个免费FTP空间为，大家可以去3V或者5944等地方申请免费FTP空间，可能免费FTP空间不是很稳定，有钱的可以申请收费的。

申请好的FTP空间有空间地址、登录账号、登录密码，默认21端口。

此时我们打开我们的灰鸽子。

点击我们的自动上线，让FTP服务器中填写：我们的FTP空间地址，我这里是。

FTP登录账号和密码也填写，连接类型如果你是内网用户（路由交换机上网）则选择PASV，如果你是公网（上网猫拨号）的就选择PORT，我这里是公网IP就选择PORT连接类型。

然后存放IP的文件我们默认为ip.txt，你也可以改其它名字或者该为ip.html类型，IP文件内容要注意：这里必须是我们的公网IP：端口。

然后点击更新，提示更新成功即可。

9.此时我们可以通过网页浏览(FTP://你的虚拟空间FTP域名)或者FTP软件来查看下
IP.txt到底存不存在我们的网页中，并且查看IP.txt的内容是什么。

当我们更新成功后并且发现ip.txt里面的内容为正确为我们的现在IP地址，那么我们就用FTP空间的ip.txt 内容来上线，点击灰鸽子的“配置服务端”，此时填写：/ip.txt。

表示读取我们FTP空间里面的ip.txt。

此时我们将木马放入到虚拟机测试发现可以正常上线。

看到这里大家都明白原理了吧，用FTP空间生成的木马，当被控端运行了该木马，木马就会在后台打开IE去读取FTP空间里面ip.txt文档的内容，只读取里面的IP和端口，当我们把最近IP更新到IP.txt里面的时候，木马读取到了我们的最新IP和端口，那么木马就向该IP发起连接请求。

其实灰鸽子里面还可以用本机的某个目录作为FTP空间，在灰鸽子里——工具——FTP服务器里面搭建本地FTP服务器，当然不推荐使用，因为本机IP是动态的，搭建出来的FTP空间地址也是动态的咯！其实还支持Web上线，原理和FTP空间是一样，都是读取文件里面的IP地址。

10.明白了固定IP、动态域名、FTP上线原理与方法，那么你对任何一款的远程控制软件如何去配置服务端都已经很清楚了，只要让我们的木马能读取到我们的IP就可以，对于服务器的用户可以用固定IP，对于普通用户那么就用动态域名和FTP空间上线方法来上线吧。

下面说下内网如何使用灰鸽子上线：
1.关于内网上线如何上线，需要到路由器做端口映射。

这个大家可以看我们论坛的教程，有很多。

2.需要映射哪些端口？一般需要映射灰鸽子监听端口，默认8000，假如你还需
要外网用户能主动连接我们内网某计算机B端口，那么请做B端口映射。

3.内网上线，FTP的IP.txt内容应该更新我们的公网IP地址。

灰鸽子无法上线的常见问题
1、问：为什么我在虚拟机使用灰鸽子，总是不会上线呢？
答：某些黑防灰鸽子软件通过PEiD查壳可能会发现加了PElock的壳导致在虚拟机上线的限制，可使用牧民战天或者黑客手册的灰鸽子
2、问：为什么我的灰鸽子做了端口映射还是不上线呢？
答：你的灰鸽子确定做了监听端口的映射？你换端口了记得做多少端口映射，做端口映射填写的是你本地内网IP，如果正确那么请你停
止你的防火墙，因为有时即使做了映射防火墙也会拦截你映射端口的的数据包。

3、问：为什么我的灰鸽子打开后提示端口监听失败？
答：这很明显就是你的监听端口被占用了，可以使用netstat -ano查看下是哪个ID占用了灰鸽子的监听端口，如果占用了那么就更换
一个未使用的监听端口，更换后内网需要映射的映射的端口也要记得改。

4、问：为什么我用FTP上线总是上线不呢？
答：可以在虚拟机测试，看看点击配置为FTP上线木马的连接请求是不是先与你的FTP连接，如果是断开状态，很明显你的免费FTP空
间不稳定，建议更换美国空间或者收费的FTP空间。

或者仔细查看下你FTP空间IP.txt的内容。

5、问：为什么我的域名更新了，配置的灰鸽子还是不上线？
答：还是域名的问题，你看上去好像是更新了，你一定用的是免费域名，那么请你先确定你现在的公网IP，然后再通过Ping命令Ping
一下你的域名，看看得到的IP是不是你公网的IP，如果不是说明域名不稳定，更新IP速度太慢了，请不断去更新，直到Ping出的
IP是你现在的公网IP。

6、问：为什么我配置出的灰鸽子总是上不了线？
答：请尝试是否做了端口筛选，然后就是防火墙是否停止，还有就是如果是内网用户看看是否内网其它用户也在使用8000端口，如果
是则更换监听端口，并且不与局域网的映射端口冲突就可！
7、问：为什么我换了监听端口生成出来的灰鸽子木马不能上线？
答：换了端口1999,当你填写上线地址时，要在后面添加：端口，如：:1999。