指令型远控 软体轻鬆谈.docxVIP

必威体育精装版整理资料 文档精选合集 指令型远控软件轻松谈 简报者 Kelp \h kelp@phate.tw 简介 了解指令型远端操控软件的基本架构 训练大纲 单元 1：何谓远控软件 单元 2：远控软件分析 单元 3：总结 单元 1：何谓远控软件 能够控制远端计算机的软件都能称为远端操控软件。 远控软件大部分透过网络进行远端计算机控制。 单元 1：何谓远控软件 木马后门VNC …… 单元 2：远控软件分析 如何连线? Server Client Socket() Socket() Bind() Listen() Accept() Read() Write() Connect() Write() Read() 单元 2：远控软件分析 如何连线? 反向连结 一般木马都使用这种连线方式。 正向连结 远端桌面就是用此方式连结。 单元 2：远控软件分析 如何连线? Master Connect (正向)Servant Connect ( Master Connect (正向) 載入物件 載入物件陣列 驗證密碼断线 驗證密碼 Pass 載入Servant資料 成功建立連線释放物件 載入Servant資料 成功建立連線 单元 2：远控软件分析 MasterServant Master Servant 一對一進行操控 Servant单元 2：远控软件分析 Servant Servant ．．．．．． Servant Servant Servant Servant ServantServant Servant Servant Master 同時控制多台電腦 Servant单元 2：远控软件分析 Servant Servant ．．．．．． Servant Servant Servant Servant ServantServant Servant Servant Relay station Relay station Master Master 单元 2：远控软件分析 遠控軟體 遠控軟體 一对多 一般遠控軟體一一对 一般遠控軟體 一 一 rootkit rootkit 遠端桌面、VNC…灰鴿子 遠端桌面 、VNC… 灰鴿子 Evis 单元 2：远控软件分析 单元 2：远控软件分析 单元 2：远控软件分析 功能不够?! 功能越多档案越大 功能越多按钮越多 设计者没有想到的功能 单元 2：远控软件分析 单元 2：远控软件分析 指令界面的优点 巨集 让使用者自行组合指令。 画面简洁 省掉一堆按钮。 指令解析系統 指令解析系統 单元 2：远控软件分析 巨集系統引數取代巨集指令替換成基本指令將英文指令替換成內碼指令並修正目標 巨集系統 引數取代 巨集指令替換成基本指令 將英文指令替換成內碼指令 並修正目標 佇列系統 佇列系統 中斷指令非中斷指令指令存放至佇列中Timer Event 中斷指令 非中斷指令 指令存放至佇列中 Timer Event 執行指令 提取佇列中的指令 執行指令 提取佇列中的指令 单元 2：远控软件分析 巨集系统 Dload \h http://test.tw/1.rar Download \h http://test.tw/1.rar|C:\test.rar|1 单元 2：远控软件分析 指令送给正确的接收端? 本地执行指令 如清除荧幕 设定控制端功能 远端执行指令 查看远端所有程序 要求远端下载档案 单元 2：远控软件分析 指令编码 Function Function MSF Code NameTo ProW Name ...... 阵列互相对应 000 Code101 Code ...... 指令解析系统 -- 001 ...... 使用者所输入的英文指令 Master与Servant沟通用的内码 使用者所输入的英文指令内码 demo 单元 2：远控软件分析 使用者輸入 Urun C:\a.exe 巨集內容 Urun ads = Send ads|C:\a.exe + RunS a.exe 引數取代 FSend C:\a.exe|C:\a.exe + RunS a.exe 替換指令 RunS a.exe FSend C:\a.exe|C:\a.exe RunS a.exe FSend C:\a.exe|C:\a.exe demo 单元 2：远控软件分析 轉換內碼 修正目標 放入佇列中 101 C:\a.exe|C:\a.exe 120 a.exe 建立另一組連線後傳輸binary資料執行指令 並傳送檔案傳輸信號 建立另一組連線後傳輸binary資料 傳輸完成後 執行佇列中下個指令 Write (020C:\a.exe) Write (020C:\a.exe) 单元 2：远控软件分析 Demo Go