危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2306 浏览20613306

纯汇编打造的Hellfire远控

世界杯期间生活规律被颠倒,正好和传说中的黑客一模一样。既然是热爱黑客的人,玩玩木马是必不可少的。正好今天在暗组论坛发现了,一款名为“Hellfire远程控制”的木马。虽说这款木马的操作界面非常熟悉,但是冲着它由纯汇编编写完成,危险漫步还是决定来试一试它的威力。

一,配置服务靖程序

首先从网上下载Hellfire远控的最新版本,解压运行后可以看到该木马的操作界面,和大名鼎鼎的灰鸽子木马非常相似。其实这个也非常好理解,因为任何一个木马都是从模仿开始的,而且Hellfire远控和灰鸽子木马也有本质的区别。现在来配置一个服务端程序,点击工具栏中的“配置服务端”按钮。在弹出的“服务端配置”窗口中,第一步设置服务端的连接方式,用户可以使用lP地址、网页链接、域名解析等多。如果用户不知道如何进行设置,可以点击输入榧后面的“说明”按钮。

接下来分别在“安装路径”和“安装名称”中,选择服务端程序存放的目录以及文件名称,同时设置服务端程序的连接密码、上线分组、上线备注等信息。虽然点击“选择图标”按钮可以为服务端添加一个图标,但是我觉得尽量还是不要进行图标的设置为好,因为这样可以避免服务端程序的体积变大。由于“Hellfire运控”只可以使用服务来启动,所以需要设置“显示名称”、“服务名称”和“描述信息”等。然后选择服务端程序的隐藏方式+Hellfire远控默认使用的是IE浏览器。但是用户也可以选择注入到其它的系统进程中,比如资源管理器、系统启动项等。另外,还需要设置是否自动删除安装文件,以及设置服务端文件的属性。

除此外,在“互斥标记”选项中输入相关的信息,这样就会禁止其他木马的安装和运行操作。所有的配置都完成以后,点击“生成服务端”按钮就可以了。生成的服务端程序只有28k大小,这是由于程序完全采用汇编编写完成的。

二,远程控翩服务端

现在将刚刚配置成功的服务端,上传到虚拟机里面进行运行,发现其很快就连接到客户端程序。不过现在还不能进行控制操作,因为需要在“连接密码”中设置相应的密码,该木马默认的连接密码是1234。设置完成后,点击“在线主机”列表中的主机信息,就可以开始进行服务端程序的控制操作呢。

1,磁盘文件管理

Hellfire远控既然已经是主要功能,通过功能标签的形式显示在窗口中,所以首先我们就来看看“文件管理”功能。点击上线主机前面的加号,就可以看到远程计算机的磁盘列表。任意选择一个磁盘进行点击,就可阻在窗口看到对应的文件。由于文件管理模拟了资源管理器,所以操作控制起来非常的简单方便,通过工具栏或者右键菜单中的命令,可以进行复制、粘贴、删除、文件传输等操作。如果要进行文件下载操作的话,首先选择要进行下载的文件或文件夹,接着点击右键

菜单中的“文件(夹)下载至”命令。这辟Hellfire远控会弹出一个窗口,让用户设置下载文件存放的文件夹目录。设置完成以后切换到传输管理标签,就可以看到下载文件的传输进度情况。文件下载速度也是非常的快速,并且文件的传输支持断点续传。同时还可以随意的暂停正在传输的文件,而且续传还可以选择“断点续传”或“覆盖模式”。

2,注册表的管理

现在点击客户端中的“往册表编辑器”标签,这样就可以对本地和远程的注册表进行管理。在窗口左侧的列表中展开到需要的键值,比如和系统服务相关的链值内容,这样就可以修改或新建启动服务。当然通过鼠标右键中的控制命令,可以对注册表内容的修改、新建、删除等操作。

3,进程窗口管理

点击客户端中的“进程管理”标签,就可以查看到远程系统的进程。点击窗口中的“查看进程”按钮获得最新的进程信息,可惜对于那些被隐藏的进程信息就无法看到,最后点击“终止进程”按钮就可以结束不需要的进程。再点击客户端真的“窗口管理”标签,首先点击“查看窗口”按钮就可以获得最新的窗口信息。接下来通过“关闭窗口”、“隐藏窗口”、“显示窗口”等,就可以对这些窗口进行相应的控制操作。

4,系统服务管理

点击客户端中的“服务管理”标签后,需要首先点击“查看服务”命令按钮,这样就可以在列表中看到全部的服务。Hellfire:q!控通过不同的颜色图标,对系统服务的当前状态进行标注。用户选择需要进行管理的系统服务后,可以对这些服务进行启动、停止、删除等操作,另外通过列表中的选项还可以修改指定服务的启动方式,如果将这个功能和注腮表管理配台起来,可以更加有效的对系统服务进行管理操作。

5,远程桌面查看

最后点击工具栏中的“屏幕监控”按钮,在弹出的“屏幕监控”窗口中不需任何操作,木马程序就可以自动开始进行捕捉操作。“Hellfire远程控制”默认使用的是S位色,所以显示的效果实在是非常的一般。不过用户可以通过颜色下拉菜单,就可以选择其他清晰的颜包但是当选择效果比较好的色彩时,捕捉的速度又好像是慢了下来。点击工具栏中的“开始”命令,可以通过在捕捉的屏幕上进行鼠标键盘的操作。另外,点击工具栏中的“保存”按钮,可以籽当前的桌面信息保存到图片格式。

6,集群控制操作

现在的木马都有集群控制操作,这样可以利用它进行刷票等操作,当然Hellfire远控也不可缺少。客户端程序中曲“命令广播”标签,其中除了常见的重启计算机、关闭计算机等,还包括开启远程桌面、远程信息发送等内容。这里我们选择“压力测试”这个选项,接着分别在“域名”和“页面地址”选项中,输人要进行传输的网站和网页地址。然后通过鼠标调节“线程”和“持续时间”的滑杆到合适的位置,设置完成毕后点击“开始”按钮就可以开始测试了。

三,小结

通过测试我们可以发现,Hellfire远控在功能上和灰鸽子其实差不多,也没有什么特别亮眼的控制功能。但是它采用纯汇编来编写,所以不但可以让服务端变的非常小,而且运行速度也更加的快速和高效。不过He12fire远控现在最大的问题就是,还有几个功能运行时不太稳定,所以希望作者能在以后的版本中进行修复,并且增加一些其它的远程控制功能。

相关推荐