反向连接木马的传播示例

1、��实验环境

实验环境如图5-59所示。

2、��生成木马的服务器端

第1步：下载并安装灰鸽子。

第2步：配置反向连接木马。

运行灰鸽子，主界面如图5-60所示，单击【配置服务程序】，弹出如图5-61所示的对话框，选择【自动上线设置】选项卡，在此需要强调的是，由于是配置反向连接木马，所以一定要在IP栏中输入黑客（客户端）的IP地址“192.168.10.5”，其他配置信息根据界面提示进行设置，如图5-62～躲够图5-64所示。“HKFX2008_OK.exe”是最终生成的反向连接木马服务器端。

3、��把木马服务器端植入他人的电脑

木马的传播方式主要有两种。

一种是通过电子邮件，控制端将木马程序以邮件附件的形式发出去，收信人只要打开附件，系统就会感染木马。

另一种是软件下载，一些非正规的网站以提供软件下载为名义，将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装。

本实验主要介绍黑客是如何使用木马程序来控制被入侵电脑的，所以直接将反向连接木马服务器端“HKFX2008_OK.exe”复制到了被入侵电脑（192.168.10.1，ZTG2003）中。

接下来运行HKFX2008_OK.exe，反向连接木马就会自动进行安装，首先将自身复制到C:\WINDOWS或C:\WINDOWS\SYSTEM目录下，然后在注册表、启动组、非启动组中设置好木马的触发条件，这样木马的安装就完成了。

4、��黑客进行远程控制

由于是反向连接木马，所以服务器端上线后就会自动连接客户端（黑客），在主界面中（如图5-65）可以板调看到“ZTG2003”已经与黑客电脑连接了，即被黑客控制。

在图5-65中的【文件管理器】选项卡中，可以像使用【Windwos资源管理器】一样来新建、删除、重命名、下载被入侵电脑中的文件。

在图5-66中的【远程控制命令】选项卡中，可以查看被入侵电脑的系统信息；可以查看、终止被入侵电脑的进程；可以启动、关闭被入侵电脑的服务等。

在图5-67中的【命令广播】选项卡中，可以向所有被入侵电脑发送相同的命令。

5、��手工清除灰鸽子

确认灰鸽子的服务进程名称，假如是“HKFX2008_OK”，在桌面右键单击【我的电脑】图标，在右键菜单中选择【服务孝盯棍】，在弹出的【服务】窗口中，禁止“HKFX2008_OK”服务，右键单击该服务，在右键菜单中选择【属性】，在属性对话框中得到该服务文件的位置，将其删除即可。