4.5　使用“灰鸽子”实现远程控制

利用灰鸽子木马程序渗透入侵目标主机前，需要事先配置一个灰鸽子木马服务端程序，在被入侵的主机上运行，这样才能从远程进行控制。

4.5.1　配置灰鸽子木马

配置灰鸽子木马的具体操作步骤如下。

Step 01　下载并解压缩“灰鸽子”压缩文件，双击解压之后的可执行文件，打开灰鸽子操作主界面。

Step 02　在灰鸽子操作主界面中选择【文件】→【配置服务程序】菜单项，打开【服务器配置】对话框，在【自动上线】选项卡中可以对上线图像、上线分组、上线备注、连接密码等项目进行设置。

Step 03　选择【安装选项】选项卡，可在打开的设置界面中对安装名称、DLL文件名、文件属性以及服务端安装成功后的运行情况等进行设置。

Step 04　选择【启动选项】选项卡，可在打开的设置界面中对服务端运行时的显示名称、服务名称及描述信息等进行设置。

Step 05　选择【代理服务】选项卡，可在打开的设置界面中对开放时是否启用代理、启用哪种代理进行设置。

Step 06　选择【高级选项】选项卡，可在打开的设置界面中对是否在启动时隐藏运行后的EXE进程、是否隐藏服务端的安装文件和进程插入选项等进行设置。

Step 07　选择【图标】选项卡，可在打开的设置界面中对服务器使用的图标进行设置。

Step 08　如果想加载插件，还可以在【插件功能】选项卡中进行相应设置。一切设置完毕后，在【保存路径】文本框中输入生成服务端程序的保存路径及文件名，单击【生成服务端】按钮，生成服务端程序。

4.5.2　操作远程计算机文件

配置好灰鸽子木马服务端后，即可将木马服务端安装在“肉鸡”中（运行了木马并被黑客完全控制的远程主机，称为“肉鸡”），当成功安装后，就可以很容易地控制对方的计算机了。

木马操作远程计算机文件的具体步骤如下。

Step 01　在灰鸽子操作主界面中选择【设置】→【系统设置】菜单项，打开【系统设置】对话框，在该对话框中的【系统设置】选项卡下设置灰鸽子的自动检测和记录选项，在下方的【自动上线端口】文本框中输入自己在配置木马服务端时设置的端口号，设置完毕后，单击【应用改变】按钮。

Step 02　选择【语音提示设置】选项卡，在该选项卡下可以手工指定设置“肉鸡”上线和下线时的声音，也可以设置一些操作完成时的提示音，这样在主机上线和下线时，就可以发出提醒声音。

Step 03　启动灰鸽子客户端软件，中了灰鸽子木马的“肉鸡”就会自动上线，上线时有提示音，并在软件左侧【文件目录浏览】区的【华中帝国科技】中显示当前自动上线主机的数目。

Step 04　单击展开【华中帝国科技】组，在其中选择某台上线的主机，将会显示该主机上的硬盘驱动器列表。

Step 05　选择某个驱动器，在右侧可以看到驱动器中的文件列表信息，在文件列表框中右击某个文件，从弹出的快捷菜单中可以像在本地资源管理器中操作一样，下载、新建、重命名、删除对方计算机中的文件，还可以把对方的文件上传到FTP服务器上保存。

Step 06　在灰鸽子软件操作界面中单击【远程屏幕】按钮，打开远程桌面监视窗口，该窗口中实时显示了“肉鸡”在桌面上的运行状态图片。

Step 07　在灰鸽子软件操作界面中单击【视频语音】按钮，打开【视频语音】对话框，这样就可以很轻松地开启“肉鸡”的摄像头，并查看到摄像头拍摄的画面了。

Step 08　在【视频语音】对话框中单击【开始语音】按钮，开始监控接收声音，也可以选中【接收到的语音存为WAV文件】，将远程声音监控保存为本地音频文件。

4.5.3　控制远程计算机鼠标和键盘

有时自己的计算机中了木马后，常常会出现鼠标不受控制、乱单击程序或删除文件的现象，这是由于攻击者用木马抢夺了用户的鼠标、键盘控制权，让鼠标、键盘只听从攻击者的命令。下面介绍如何利用灰鸽子木马来远程控制计算机鼠标和键盘的操作，具体控制过程如下。

Step 01　控制了远程主机的桌面屏幕后，单击工具栏上的【传送鼠标和键盘】按钮，就可以切换到鼠标、键盘控制状态，此时在窗口中显示的桌面上单击，即可直接操作远程主机桌面，与在本地操作一样。

Step 02　在远程控制桌面窗口中单击工具栏上的【发送组合键】按钮，在其下拉菜单中选择发送各种组合键命令，如切换输入法、调出任务管理器等。

Step 03　有时远程主机会通过剪贴板复制/粘贴各种账号、密码等，攻击者可以监视控制远程主机的剪贴板，选择要监视的主机，在下方选择【剪贴板】选项卡，打开【剪贴板】设置界面。

Step 04　单击右侧的【远程剪贴板】按钮，即可发送一条读取命令，在下方显示远程剪贴板中复制的文本内容。

4.5.4　修改控制系统设置

灰鸽子木马有一个强大的系统控制能力，即可以随意地获取、修改远程主机的系统信息和设置。灰鸽子木马修改控制系统设置的操作步骤如下。

Step 01　查看远程主机信息。选择要控制的远程主机后，选择【信息】选项卡，在打开的界面中单击右侧的【系统信息】按钮，即可获得远程主机上的详细系统状态，包括CPU、内存情况、远程主机系统版本、主机名、当前用户等。

Step 02　管理系统进程。在灰鸽子下方选择【进程】选项卡，在打开的界面中单击右侧的【查看进程】按钮，可查看当前系统中所有正在运行的程序进程名称列表，如果发现危险进程，则可选中该进程后，单击右侧的【终止进程】按钮。

Step 03　管理远程主机服务。在灰鸽子下方选择【服务】选项卡，在打开的界面中单击【查看服务】按钮，可查看当前系统中所有正在运行的服务列表信息，在列表中选择某个服务后，可以设置当前服务是启动或关闭，并设置服务的属性为手动、自动或已禁用。

Step 04　在灰鸽子下方选择【插件】选项卡，在打开的界面中单击【刷新现有插件】按钮，可查看当前系统中所有正在运行的插件，在列表中选中某个插件后，可以启动、停止该插件，或查看插件的结果。

Step 05　在灰鸽子下方选择【窗口】选项卡，在打开的界面中单击【查看窗口】按钮，可查看当前系统中所有正在运行的窗口列表，在列表中选中某个窗口后，可以关闭、隐藏、显示、禁用、恢复该窗口。

Step 06　在灰鸽子下方选择【键盘记录】选项卡，在打开的界面中单击【启动键盘记录】按钮，可启动中文记录命令。

Step 07　单击【查看记录内容】按钮，在右侧的窗口中可查看当前键盘的记录。

Step 08　在灰鸽子下方选择【代理】选项卡，在打开的界面中可以看到灰鸽子为用户提供了两个代理，即Socks5和Http代理，单击Socks5代理设置区域中的【开始服务】按钮，即可启动Socks5代理。

Step 09　在灰鸽子下方选择【共享】选项卡，在打开的界面中单击【查看共享信息】按钮，可启动共享管理命令，并在左侧的窗格中列出了共享的信息，同时还可以新建共享、删除共享。

Step 10　在灰鸽子下方选择【DOS】选项卡，在打开的界面中的“Dos命令”文本框中输入相应的命令，然后单击【远程运行】按钮，启动MS-DOS模拟命令。

Step 11　在灰鸽子下方选择【注册表】选项卡，在打开的界面中单击【远程计算机】前面的【+】号按钮，展开注册表相应的键值列表，可查看远程主机的注册表信息。

Step 12　如果想修改远程主机的注册表信息，则选中某个注册表信息后右击，从弹出的快捷菜单中根据需要选择相应的命令，对注册表信息进行修改、新建、删除和重命名等操作。

Step 13　在灰鸽子下方选择【命令】选项卡，在打开的界面中显示当前主机的IP地址、地理位置、系统版本、CPU、内存、计算机名称、上线时间、安装日期、插入进程、服务端版本、备注等信息。

Step 14　灰鸽子还为用户提供了Telnet远程命令控制，单击灰鸽子工具栏上的【超级终端】按钮，可打开【Telnet命令】窗口，在该窗口中可以执行各种命令。

Step 15　【Telnet命令】窗口与本地命令窗口一样，只不过生效的是远程主机，命令将会被发送到远程主机上执行。另外，在【常用DOS命令】下拉列表框中显示有许多常用的入侵攻击命令，直接选择命令，即可在该窗口中自动输入相关的命令。

Step 16　另外，在灰鸽子操作界面中选择【工具】→【内网端口映射】菜单项，可打开【内网端口映射】对话框，在其中可以查看连接参数、映射设置、VPort服务端配置等信息。

Step 17　在灰鸽子操作界面中选择【工具】→【本地FTP服务器】菜单项，可打开【本地FTP服务器】对话框，在其中可以查看FTP主目录、服务端口、用户名、密码等信息。

Step 18　在灰鸽子操作界面中选择【工具】→【本地Web服务器】菜单项，打开【本地Web服务器】对话框，在其中可以查看Web主目录、服务端口等信息。