冰河、黑洞、灰鸽子这些耳熟能详的木马都是国内木马的优秀代表,可是国外的木马无论从性能、界面、功能等都不比国内的木马差。今天,笔者就为大家推荐一款国外的优秀木马的代表——Theef,大家可以从笔者的介绍中感受到这款木马的强大功能。 配置服务端
我们首先从网上下载Theef 最新版本2.10的压缩包到硬盘,然后解压运行文件夹中的Theef 的服务端配置程序Editserver210.exe。国外的很多木马和国内的木马配置程序都不一样,它们的服务端配置程序和木马的客户端程序是分开的,很多有名的木马程序都是采用的这种形式,例如大名鼎鼎的Back Orifice2000、SubSeven7等,不像国内的很多木马都是将服务端的配置程序嵌入到木马的客户端程序中,配置服务端和控制服务端使用一个程序就完成了。
运行Editserver210.exe后,弹出服务端程序的配置窗口。 首先点击“Load”按钮,从弹出的窗口中选择木马默认的服务端程序Server210.exe,在木马的服务端配置程序我们看到木马服务端已经经过一些配置。下面,我们就是要将这些配置改成我们需要的内容。
和服务端有关的配置按钮有7个,它们从上到下排为一列,我们就按照这些按钮的顺序来对服务端进行配置。首先点击“Setup”按钮,这里是配置一些和服务端安装有关的内容,例如服务端的安装目录、服务端程序的名称等。“Installation Directory”选项设置服务端的安装目录,用户可以通过选择将服务端安装到“Windows Directory”或者“System Directory”目录下,“Installed Filename”设置木马安装到远程系统中的名称,这里我们可以将服务端的名称设置为一些常见的进程的名字,例如IE浏览器的进程iexplore.exe等,这样做可以起到一种迷惑对方的目的。如果选中“Create Visible Server”选项,可以使我们设置的服务端在用户的系统显现出来,所以为了更好的保护我们的服务端,一般情况下不要选中该选项。该选项的配置让我想到了年初刚刚发布的灰鸽子2005版,灰鸽子2005版在配置服务端的时候也有一个新增加的“启动 隐藏文件、隐藏插入的IE进程、隐藏服务启动项”功能。而“Melt After Install”选项则是在服务端程序成功运行后,删除服务端程序本身,以免给人一种此地无银三百两的结果。而“Main Port”和“FTP Port”则是分别代表木马进行通讯使用的端口以及打开FTP服务使用的端口,“FTP Port”可以在此不设置,等到服务端安装到远程计算机中再进行远程配置。下面的“Open Ports Only When Online”选项则是表示只有在连接到网络的时候才打开上面设置的这些端口。 点击“Setup”按钮下的“Registry”按钮,设置木马的启动选项。Theef 还是采用了传统的利用注册表启动项来激活木马本身的设置。通过“Registry Name”来设置服务端的启动名称,而“Startup Key”则是设置将服务端的启动项加入到那个启动项中,木马有3个选项供用户选择,包括RUN、RunService、RunOnce。 再点击“Fake Error”按钮,当用户选择“Enable Fake Error on installation”选项后,用户再运行服务端后就会弹出一个错误提示窗口。首先选择你提示所需要的图标,然后在“Caption”和“Text”中输入提示窗口的标题和内容,例如:“程序缺少DLL文件”等,设置完成后点击“Test”按钮进行测试。 点击“General”按钮,这里设置的是服务端的一些基本内容,例如当我们配置完成后生成的服务端的名称;是否通过UPX对生成的服务端程序进行压缩加壳处理;更换服务端程序的图标等设置选项。 点击“Password”按钮可以对木马的服务端设置密码,这样可以避免你的肉鸡被别人进行控制。选中“Change Password Settings”选项,设置服务端和客户端进行连接时使用的密码以及服务端的密码。 “Notification”按钮的设置是对服务端的上线方式进行设置,Theef这里为用户提供呢2种连接方式——CGI和ICQ,用户根据自己的需要选择合式的连接方式。不过这俩种方式都是属于传统的正向连接的方式,如果用户选择使用CGI的方式,就选择设置面板中的“Enable CGI Notification”选项,在下面的“CGI Address”和“CGI Parameter”中分别设置CGI地址和CGI参。
用户也可以选择ICQ的连接方式,这种连接方式比CGI要简单很多。选中“Enable ICQ Notification”选项,在“ICQ Number”中输入自己的icq号码就可以了。 当然用户可以同时使用两种方式。
“Events”按钮和“Commands”按钮中的配置内容,我觉得作用不是很大,通过“Events”按钮可以对服务端的一些事件进行处理。
例如当客户端和服务端链接成功后,向远程计算机发送信息等。点击工具栏的加号按钮,弹出一个事件配置窗口。
在这用户可以根据自己的需要配置各种事件的内容;而通过“Commands”按钮用户可以在这里设置需要使用的命令,点击“Commands”命令可以查看到能够使用的命令名称。 点击“Keylogger”按钮,这里可以对远程计算机的键盘输入进行设置。选中“Max Keylog Filesize”和“Enable Logging by Window Caption”两个选项。在“Max Keylog Filesize”选项后面设置键盘记录文件的大小,而在“Enable Logging by Window Caption”下面设置需要记录键盘输入的文件窗口名称,例如QQ,当木马服务端发现有QQ标题的文件窗口时,就开始自动记录键盘的输入情况。如果你需要对多个窗口进行记录的话,用英文的分号将不同的标题分开就可以了。 点击“Exe Killer”按钮,该按钮可以对启动的程序进行必要的关闭,比如关闭杀毒软件、防火墙、注册表编辑器等,这样就可以更好的保护我们的服务端程序。选中“Kill exe'on server startup”选项后,当服务端程序启动的时候就会自动的删除设置好的程序,而在“Kill exe'on interval”选项后面可以设置每间隔一段时间就关闭设置好的程序,这样可以防范那些已经被自动关闭的程序被用户再次手工启动。下面则是设置的需要关闭的程序的名称,名称之间同样使用英文的分号进行分隔。
所有的设置都完成之后,点击配置窗口的“Save”按钮,就可以将刚刚设置的信息写入默认的服务端程序。新的服务端程序生成以后,用户可以通过网页木马或者最新的微软的系统漏洞将服务端植入远程用户的电脑中。 服务端控制
当我们成功的将服务端植入远程计算机后,现在就可以着手准备开始控制服务端的事了。运行客户端程序Client210.exe,弹出Theef的客户端控制面板,在控制面板的下方是一排命令按钮,而上方则是实际操作的控制区域。首先我们通过ICQ或者CGI得到远程服务端的IP地址以及连接端口,然后点击下面的第一个控制按钮,它就是用来进行客户端和服务端连接操作的。在出现的“Connect”界面下,分别在“IP”、“Port”以及“FTP”处输入得到的IP地址和连接端口,再点击“Connect”按钮进行连接,在下面的提示窗口则会出现连接的状况的提示语句。 而“Disconnect”按钮则是断开当前的连接。当客户端程序和服务端连接成功以后,我们就可以进行进一步的操作。点击第二个工具按钮“Computer information”,在出现的“Computer information”操作界面中,我们可以通过“PC Details”、“OS Info”、“Home”和“Network”四个按钮分别查看关于远程计算机的硬件信息、操作系统、网络等各种信息情况。
样我们就可以更加了解我们的肉鸡情况。
从第三个“Spy”按钮开始,每个按钮都包括多个子命令,这样我们可以实现更多的功能,也可以更加方便的对远程计算机进行控制操作。“Spy”按钮下的命令都和远程控制有关,“Screen Capture”命令大家一看就明白,是对远程计算机的屏幕进行捕捉,这也是最基本的木马功能了。在弹出的“Screen Capture”窗口中,“Continuous”选项可以使木马连续的捕捉远程计算机的屏幕画面,并且通过“Save Captures”选项将捕捉的图像自动的保存。 “Task Manager”命令就是我们常说的窗口管理功能,通过它我们可以对远程桌面的窗口进行刷新、关闭、最大化、最小化等一系列操作,而且还可以通过键盘发送命令对窗口进行操作。
而“Process Viewer”就是我们常说的进程管理功能,操作和“Task Manager”差不多,这里就不多说了。
“Service”按钮可以对系统的服务项进行管理,可以轻松的开启或关闭某个服务选项。
“Keylogger”命令可以用来监控对方的键盘记录,你既可以即时的通过开始按钮记录当前的键盘记录,也可以通过下载按钮把客户端没有连接前的键盘记录下载下来。
当然前提是你在配置服务端时选择了“Max Keylog Filesize”和“Enable Logging by Window Caption”两个选项。用户通过“Webcam”命令,可以远程监控对方的摄像头并且将捕捉的内容自动的进行保存,这可是现在流行的木马必备的一个功能啊。 “Passwords”命令可以对网络的登录密码、缓存中的密码以及聊天软件的密码进行探查。
“Remote Prompt”命令看上去怪怪的,实际上就是一个执行远程终端命令的窗口。
“IM Chat Spy”按钮可以对远程用户使用即时通讯软件的情况进行记录,Theef设置的即时通讯软件包括国外常见的MSN、Yahoo、ICQ等。
“Microphone”命令则可以对远程计算机的麦克风接收到的声音进行记录。
“Control”按钮下的命令按钮和远程控制关系不大,但更像是一个远程计算机的控制面板,这里可以执行控制面板有关的命令,这样我们就可以按照自己的意愿对远程计算机进行配置。“Regedit”按钮可以对远程计算机的注册表进行管理,用户通过客户端的右键命令可以新建、删除或者更改注册表的各个键值等注册表操作命令。
“Power”命令是远程计算机的电源管理命令,在这你可以进行主机的关机、开机、注销、重启等系统操作,除了对主机的操作外,还可以对光驱进行开启关闭、软驱格式化等操作。“Resolution”命令可以对远程桌面进行管理,我们可以轻松的查看到对方的桌面壁纸,还可以方便的更换掉对方桌面壁纸。“Uninstall”按钮可以查看对方已经安装的程序,你也可以删除已经安装的任意的程序。“Date/Time”就是控制面板里的区域时间设置,这里用户可以得到远程电脑当前的系统时间,并根据自己的喜欢进行时间的更改。“Clipboard”命令可以对剪贴板进行查看、更改、删除、锁住等操作。“Mouse”按钮当然和鼠标有关,比如进行交换左右键什么的、改变鼠标指针等功能。“Keyboard”是键盘设置的功能。“Desktop Icons”可以对桌面图标进行管理。“System Colour”命令可以进行系统颜色的更改。“Batch Script”命令是一个批处理文件的编写窗口,如果你是一个编写批处理文件的高手,一定会喜欢这个功能。而且当批处理文件编写完成后,可以设置为隐藏执行。
笔者觉得,“Fun”按钮下面的每个命令按钮都有一些恶作剧的成分在里面。通过“Visual”按钮用户可以进行制作屏幕保护程序等。
而“Audio”命令可以将你编写的内容通过系统自带的TTL引擎进行朗读,点击“Speak”按钮就可以轻松实。
通过“Chat”命令,你可以和远程用户实现聊天的功能,在不知道对方的QQ号码的时候,这个功能就显得更加的实用。在“Desktop”按钮下,我们可以对开始菜单、开始按钮、桌面图标进行隐藏或显示的操作。“Printer”命令可以将你编写的内容通过远程打印机打印出来,你完全可以通过该功能给自己的GF打印一封热情洋溢的情书。
“Start Button”这个功能很特殊,它可以更改远程电脑的开始按钮。一般情况下,我们使用的操作系统默认的是微软的Windows标志和单调的开始文字,用这个功能就可以轻易的进行修改。不过设置的图片要是尺寸为18×55的图片,文字当然就可以设备设置了。
“Internet Option”按钮的功能都和网络有关。提供“Option”面板,我们可以使远程系统的IE浏览器或者电子邮件打开我们设置的网页地址,同时我们可以查看和更改对方的IE主页。“Port Redirect”就是我们常说的端口映射功能,可以将客户端的某个端口映射到远程的服务端电脑中,这个功能在跳板入侵或者内网映射时非常的管用。
提供“Web Download”命令,我们可以让服务端自动的下载我们设置的文件链接,我们还能对文件的下载保存地址进行设置,并对下载的文件是否下载完成后马上运行进行设置。“IP Scanner”命令可以对某一段IP地址的某个端口进行扫描,也可以用它来扫描代理服务器。“Typed URL's”可以查看对方浏览过那些网站,和IE浏览器的历史按钮差不多。“Favourites”当然是查看对方的收藏夹情况啦。
Theef作为一款功能全面的木马程序,文件管理功能当然是不可或缺的。从笔者的使用情况来看,Theef的文件管理功能是非常强大的,提供“File explorer”按钮下的命令就可以轻松的实现。在“File Manager”窗口中,我们可以通过按钮命令对远程主机中的文件进行查看、下载、删除、运行等操作。
还有文件传输设置、支持断点续传。当有文件上传或者进行下载时,用户可以通过“Transfers”命令进行文件状态的查看。
通过“File Search”命令,我们可以对远程主机中的文件进行搜索,这样就可以很方便的找到用户需要的文件。 除了一般的文件管理和查找功能以外,Theef还提供了一个文件编辑功能“File Editor”,通过它用户可以编写或更改文件。
从名称中就可以看出,“Plugin options”按钮下的三个命令都和插件有关,支持插件是Theef木马的优点之一,现在支持插件的木马可不是很多的。点击“Installed”命令,用户可以看到已经安装过的插件名称,我们可以刷新或者删除已经安装的插件,也可以安装用户需要的新的插件。Theef木马不但为用户提供了插件,还为一些有编程能力的用户提供了编写插件的平台。通过“Controller”命令,你可以编写和设置自己的DLL 插件了。
而“Upload”命令就是将本地的插件上传到远程用户的电脑中。“Server Options”下的命令都是对远程的服务端程序进行设置的。“Server Option”是服务端的标准设置,用户可以查看到已有的服务端设置、关闭服务、重启服务或者卸载服务端的操作等,而“Update Server”按钮则是当用户更改了服务端的设置后,将新的设置更新到远程的服务端程序。“Edit Settings”命令则是设置一些特殊的功能,例如设置开启FTP服务器、开启进程杀手、启用键盘记录等,如果你在配置服务端的时候已经设置过了,这里就不用在设置了。
“Local Options”按钮下的命令都是一些特殊功能的设置。“Client Settings”命令下功能非常的多,这也可以从另一个侧面反映出该木马功能的强大。当客户端和服务端连接成功后,客户端可以自动开启或运行某些功能,例如开启远程终端命令行控制、开启键盘记录功能、自动刷新文件管理列表等;“Command Console”远程终端命令行控制;“Connection Stats”网络流量查看,你可以查看到远程计算机的IP地址、连接时间、数据流量等情况;“IP Tool”可以嗅探对方开启了那些网络服务;“Address Book”远程端口查看,和“netstat -an”命令的结果是一样的,只是这个是图形化的操作而已。 小结
从上面的介绍中,我们的确了解到了Theef的强大功能,而且该木马对每项功能都分得很细、很全面。笔者也只是对这些功能做了一些简单的介绍,Theef的其他功能还需要用户自己使用后才能完全的了解。 | 
发表于 2006-5-23 20:51
| 
