实验五
1、实验背景
灰鸽子远程控制
灰鸽子远程监控软件分两部分：客户端和服务端。黑客操纵着客户端，利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Serverexe，然后黑客通过各种渠道传播这个服务端俗称种木马。种木马的手段有很多，比如，黑客可以将它与一张图片绑定，然后假冒成一个羞涩的MM通过QQ把木马传给你，诱骗你运行；也可以建立一个个人网页，诱骗你点击，利用IE漏洞把木马下载到你的机器上并运行；还可以将文件上传到某个软件下载站点，冒充成一个有趣的软件诱骗用户下载……。G_Serverexe运行后将自己拷贝到Wi
dows目录下98xp下为系统盘的wi
dows目录，2kNT下为系统盘的Wi
t目录，然后再从体内释放G_Serverdll和G_Server_Hookdll到wi
dows目录下。G_Serverexe、G_Serverdll和G_Server_Hookdll三个文件相互配合组成了灰鸽子服务端，有些灰鸽子会多释放出一个名为G_ServerKeydll的文件用来记录键盘操作。值得注意的是，G_Serverexe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为Aexe时，生成的文件就是Aexe、Adll和A_Hookdll。Wi
dows目录下的G_Serverexe文件将自己注册成服务9X系统写注册表启动项，每次开机都能自动运行，运行后启动G_Serverdll和G_Server_Hookdll并自动退出。G_Serverdll文件实现后门功能，与控制端客户端进行通信；G_Server_Hookdll则通过拦截API调用来隐藏病毒。因此，中毒后，我们看不到病毒文件，也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G_Server_Hookdll有时候附在Explorerexe的进程空间中，有时候则是附在所有进程中。
2、实验目的
1、课前预习灰鸽子病毒原理及其远程控制基本原理。2、掌握远程控制攻击技术的原理。3、学会使用常见的远程控制工具。4、学习掌握远程文件控制、远程进程查看、远程系统信息查看、远程注册表信息查看、远程监控、远程捕获屏幕、远程屏幕控制。
3、实验所需设备
◆◆◇◇◆网络：局域网环境。远程计算机操作系统：Wi
dowsXPServer软件：运行了灰鸽子牵手2004服务器端程序（setupexe）。本地计算机
f《计算机网络安全》实验指导书◇操作系统：Wi
dowsXP主机◇软件：灰鸽子牵手2004。
4、实验拓扑
无
5、实验步骤
1、远程主机上的服务端配置
运行实验工具目录下的。

点击
按钮，或者选择