为什么叫远控不叫木马,因为我对盗号没有任何兴趣,也鄙视初级黑客盗号的行为。这么多年在企业信息中心,算是负责信息安全属于白帽,是负责守卫一方,是防止信息泄露而不是窃取信息。

但也许只有你了解攻击的手段,才能知道如何防御!

初中时就爱好计算机,也羡慕顶级黑客,还没上大学就已经能够使用VB开发,并掌握C语言和C++,也可以修改木马或远控使其使用免杀。

太久远老掉牙的远控技术知识我就不分享了,比如灰鸽子,勾起陈年往事的记忆!现在灰鸽子团队出了一款免费远程协助工具,也算是帮其打个广告。

远控技术分享从Poison开始,Poison中文意思是毒药,这是一款老外的远控工具,功能非常全,分享的主要点是被控端生成时可以生成ShellCode。

Poison界面

当被控端采用ShellCode为核,自己再简单编写软件壳,使其可以做到真正的免杀,比起国内那些远控工具需反复加花加壳真是一个天上一个地下。

Poison生成被控端时选择ShellCode,并支持多种编程语言。

来个回忆杀,翻找到当年加壳代码,分享一下:简单粗糙,即实用又免杀。

时至今日,用杀毒软件杀一下,依然免杀。

虽然免杀,但Poison只能算是黑客里的小白级别,在我现在看来Poison的缺点十分明显。首先、Posion在世界范围传播太广,导致大神级别人物开发出针对Poison服务端的溢出工具,也就是说你使用Poison的后果是可能被黑吃黑!其次、被控端勉强支持Win7系统,对win10应该不支持,程序兼容性不好;最后、Poison不开源,缺少源码使其无法DIY。

分享Poison的重点是ShellCode的免杀方式。

在大学时,手动从IE浏览器进程中剥离木马模块,分离出来的木马程序让我非常惊讶,如此小巧!即可穿墙又免杀的木马!随之开始萌生自己开发远控的想法,刚开始用Delphi语言开发,觉得程序做得不是很小巧,很多从网上找的模块是被封装成控件,担心被黑吃白就放弃Delphi。

为了能够开发出小巧远控开始使用C++进行开发,在收集资料时,Gh0st大神级别远控进行我的视野,不停收集Gh0st资料,并搭建测试环境。

my God!!!Gh0st远控让那个年代的我惊呆了,Gh0st被控端程序的启动尽然是写入到系统驱动中,运行程序是注入到系统进程中,除了驱动启动也可以利用系统Svchost启动及运行,Gh0st远控可以轻松躲过普通运维人员的法眼,瞬间觉得信息技术世界很可怕。

Gh0st远控还有很多优点,比如它根据系统CPU运行状况进行自我控制,避免系统运行卡顿导致人为发现异常;网络传输的压缩算法及图像差分算法可让程序占用少量网络带宽;心跳保活及支持上万台电脑控制,让你觉得Gh0st有无限种可能。

Gh0st远控源码早已是公开的,大家可以随意从互联网获取。编译教程网上有很多,这里不赘述。

目前Gh0st衍生出远控已不计其数,所有杀毒软件都针对Gh0st及衍生版进行重点查杀,甚至达到相似行为查杀,那么如果才能使其免杀?

  1. 避免杀毒软件的特征码查杀,被控端应编译成ShellCode;
  2. 避免杀毒软件的网络通信特征查杀,改传输协议,把数据头Gh0st删掉,ZIP压缩算法改成其他压缩算法;
  3. 避免杀毒软件的行为查杀,删除摄像头、键盘记录钩子等调取系统敏感API的模块;注:违法勾当原本就不能干。
  4. 避免被杀毒软件的可疑程序查杀,需给最终被控端程序打数字证书。

以上分享的免杀方法看似简单,但非常实用。这些方法都是前些年积累的经验,现最新流行的远控程序的架构更是超出了你我的想象!被控端完全是白的,开发成完全合规的程序;运控黑的部分是按需从远程服务器即时加载,动态申请内存空间后,将加密代码放入内存,再解密执行!!!

   一个程序的免杀方法是多种多样的,但我们免杀的目的呢?做出远控又有何用呢?主要是想告诉大家杀毒软件只能杀常见病毒,不是万能杀,我们需要我们自己来进行更深度的防护。

分享Gh0st 远控不仅仅是用来远程控制,它有很多精华值得大家去深究,Gh0st的精髓我认为是程序的思想,它的传输协议、程序架构、设计思路等等都非常值得我们去学习,研究Gh0st将对你编程水平的提升会有很大帮助。

Gh0st相关免杀问题及索要免杀程序,就请免开尊口!

你的进步是需要你自己不断地研究,分享思路,但路需要终究需你自己走,并且违法乱纪的事,坚决不能做!守护信息安全是需要你我他严格律己!信息技术之路对于我们来说会越走越迷茫,但走到那都应不忘初心!虽然我们现在看到是乌云密布的信息世界,但我相信只要你能坚持不断地学习,总有一天你会站得更高,看得更远。

最后,也请大家不要利用你肤浅的专业技术弄个像熊猫烧香病毒之类的恶意程序来耀武扬威,那不是技术能力的体现,是本我自大的表现!

加油拼拼学习,感谢个人技术的分享,多年来一直学习别人的技术分享,如今才把自己的技术经验拿来分享,愧疚啊!!!感谢我创建了拼拼学习!!!