去年11月,瑞星全球反病毒监测网向广大网民发出警告,中国银联官方网站被黑客攻陷,其首页被植入后门程序“黑洞2005”。一时间黑洞这款国内的老牌木马再次引起了人们的关注。就在去年冬天,黑洞的作者推出了黑洞的最新版本——黑洞远程控制。不久其作者再接再励,在新春佳节之际又为我们推出了一个全新的黑洞,这个版本较过去版本最大的变化就是在服务端程序上。那么到底有什么不同之处呢?我们来一起看看吧。
客户端配置
首先从黑洞的官方网站(http://www.138soft.com/)下载最新版本的黑洞,接着运行黑洞客户端就会弹出一个“系统设置”窗口,内含设置客户端程序所需要的信息,包括监听端口、连接密码、远程屏幕等。首先在“监听端口”标签中设置监听端口,如图1所示,接着在“连接密码”中进行密码设置,主要是用于验证该服务端程序是否为合法的服务端程序。最后到“远程屏幕选项”标签中设置屏幕监控的颜色。设置完成后,点击“确定”即可启动黑洞的客户端程序。
服务端配置
现在我们来配置黑洞的服务端程序。点击“文件”菜单,其中包括了“创建EXE安装版本服务端程序”和“创建DLL插入版本服务端程序”两个服务端程序配置命令。从名称我们就可以看出它们的区别,DLL插入版本可以将服务端进程自动插入到IE浏览器进程中。这里我们选择“DLL插入”,在弹出的窗口中进行服务端程序的配置,其中包括“安装选项”、“控制选项”和“连接选项”三个功能标签。
“安装选项”主要用于设置安装时的参数,包括安装时显示提示信息、安装完毕后删除安装程序、程序安装目录、程序安装名称等内容,可以根据自己的需要进行设置。不过我看也不必要,因为下面有一个“Win NT/2000/XP/2003下隐藏服务端文件、注册表、进程和服务”的选项。如果选择该选项,那么在正常的Windows系统中将看不到这项内容,如图2所示。“控制选项”指定服务端开放哪些控制功能,拥有屏幕控制、屏幕查看、文件管理、视频监控、Telnet等功能。“连接选项”则设置服务端通过何种反弹连接方式连接客户端程序,包括目前所有的“固定连接IP和端口”、“从URL获取连接IP和端口”、“从专业上线系统获取连接IP和端口”,以及“从AQ上线系统获取连接IP和端口”等四种连接方式,如图3所示。
前面的三种大家都已经非常熟悉了,这里主要介绍第四种连接方式,这也是新版黑洞的新功能。AQ是AQ Messenger的简称,它是由黑洞的作者开发的一款P2P即时通信工具,它的操作和使用与微软的MSN十分相似。AQ最大的特点就是它无论聊天功能还是文件传输功能都是经过加密处理的,还可以随意创建聊天群,并且群的人数不受任何限制。众所周知,MSN的聊天功能是明文传输的,而QQ虽然聊天功能是经过加密处理的,但文件传输功能依然是是明文的(虽然QQ传输文件用的是443端口,但其实是明文传输,可以自行用抓包工具测试)。
有的朋友可能要问,这和我们的服务端程序连接有什么关系呢?这就是新版黑洞的一大特点。首先我们运行安装目录里面的AQ程序,接着按照向导的指引申请一个账户,然后我们将申请的账户输入到“AQ用户名称”选项后面,这样以后就可以利用这个账户进行IP地址的更新操作了。即使是没有自己的网络空间,也可以轻松实现IP地址的更新,和某些收费木马的专用上线系统非常相似,最关键的是,这一切都是免费的。
设置好服务端程序各个选项的参数后,可以点击“生成图标”按钮为服务端程序选择一个安装图标,最后点击“生成”按钮即可生成服务端程序。生成的服务端程序既可以使用UPX进行加壳也可以不加壳,不像上一个版本的服务端程序由于加了某个猛壳,服务端程序的体积足足有1.3M多。
1 2 下一页
安全中国首页 > 文章中心 > 工具应用