一次性进群,长期免费索取教程,没有付费教程。
ID:Computer-network
通过对目标计算机进行远程控制,黑客可以获取目标计算机上的所有信息,包括账户密码和个人隐私信息等,远程入侵和远程监控都是利用系统本身存在的一些漏洞,借助第三方软件来实现的,用户需对此采取相应的防范措施。
一、远程控制概述
远程控制是指在网络中由一台计算机(主控端)远距离地去控制另一台计算机(被控端)的技术,这里的远程不是字面意思的远距离,一般指的是通过网络控制远端计算机。当攻击者使用主控端计算机控制被控端计算机时,就如同坐在被控端计算机面前一样,可以启动被控端计算机的应用程序,查阅被控端的文件资料等。
1、远程控制的原理是什么?
远程控制原理是客户端程序向远程主机发送身份验证信息和连接请求,通过验证后建立远程连接,从而实现远程控制。
远程控制的原理是:用户连网后,通过远程访问的客户端程序发送客户身份验证信息和要与远程主机连接的要求,远程主机的服务器端程序验证客户身份,如果验证通过,那么就与客户建立连接,并向用户发送验证通过和已建立连接的信息。那么此时,用户便可以通过客户端程序监控或向远程主机发送要执行的指令,而服务器端程序则执行这些指令,并把键盘、鼠标和屏幕刷新数据传给客户端程序,客户端程序通过运算把主机的屏幕等信息显示给用户,就像用户亲自在远程主机上进行操作一样。如果没有通过身份验证,就不能与用户建立连接,用户也不能实现远程控制。
2、常见的远程控制类别有哪些?
Internet中常见的远程控制类别有两种:第一种是点对点的远程控制,第二种是点对多的远程控制。
点对点的远程控制
点对点的远程控制指的是一个客户端程序在同一时间内只能控制一台远程计算机。点对点的远程控制的程序设计主要是客户端控制服务器端方式,即客户/服务器模式。这也是远程访问控制中应用最广泛的,点对点的访问控制主要应用于对远程主机进行具体的控制和监控。
点对多的远程控制
点对多的远程控制是指可以在同一时间内控制多台远程计算机,点对多的远程控制并不会比点对点的访问控制功能强大。点对多的远程控制方式与点对点的远程控制方式相反,首先由每个客户端程序向服务器端程序发出连接请求,建立连接后,服务端就可以对多台远程计算机的客户端程序发出指令并由客户端程序执行指令。点对多的访问控制主要应用于对大面积的计算机进行操作,如简单控制、定时、收费、监督等。
二、远程入侵和远程监控
远程控制是一把双刃剑,它既为用户带来了方便,又为黑客入侵目标计算机提供了条件。在Windows系统中,黑客既可以利用IPC$和Telnet实现远程入侵,又可以利用远程控制任我行及网络执法官来实现远程监控。
1、能否利用IPC$实现远程入侵?
能!首先设法获取目标计算机的管理员账户名和密码,然后利用net use命令实现入侵。
IPC$是共享“命名管道”的资源,它在远程管理计算机和查看计算机的共享资源时使用,利用IPC$用户可以与目标主机建立一个空的连接,而利用这个空的连接还可以得到目标主机上的用户列表。对于入侵者来说,利用IPC$可以查找其他用户的列表,并使用一些字典工具对其主机进行攻击。
步骤1:单击“运行”命令,单击桌面左下角的“开始”按钮,在弹出的“开始”菜单中单击“运行”命令。
步骤2:输入cmd命令,弹出“运行”对话框,在“打开”文本框中输入cmd命令,然后单击“确定”按钮。
步骤3:输入”cd\”命令,打开命令提示符窗口,在光标闪烁的位置处输入”cd\”命令,然后按【Enter】键。
步骤5:建立映射,建立映射的命令格式为:net use z:\\IP\c$”Passwd”/user:”Admin”。其中\\IP\d$表示目标主机上的D盘,符号“$”表示隐藏的共享,”z:”表示将远程主机的D盘映射为本地磁盘的盘符。
步骤6:查看映射的目标主机盘符,映射成功后打开“计算机”窗口,可在该窗口中看到“ssmissnn(192.168.1.100)上的D$”盘符,该磁盘就是目标主机上的D盘。
步骤7:查看所有的远程连接,在“命令提示符”窗口中输入net use*/del命令,然后按【Enter】键。
步骤8:取消远程连接,在光标闪烁的位置输入y,然后按【Enter】键即可断开这些远程连接。
IPC$空连接漏洞
IPC$连接本来要求客户端计算机需要有足够的权限才能连接到主机,然而IPC$连接漏洞允许客户端计算机只使用空用户名和空密码就可以与目标主机成功地建立连接。比如输入net use\\192.168.1.66\ipc$””/user:””命令。在这种情况下,入侵者利用这个漏洞可以与目标主机进行连接,但是无法执行管理类操作,即不能进行映射网络驱动器,上传文件、执行脚本等命令,但是却可以用来探测目标主机中的一些信息。
2、能否使用Telnet实现远程入侵?
能!首先在建立IPC$的基础上开启目标计算机的Telnet服务,然后利用Telnet命令即可实现远程入侵。
IPC$入侵只是与远程主机建立了连接,还未达到夺取远程主机控制权的目的。实际上黑客的最终目的是夺取远程主机的控制权,然后进行登录操作。Windows操作系统中的Telnet功能为黑客的入侵提供了可能,黑客可以通过这种方式夺取目标计算机的控制权,然后登录目标计算机。
Telnet是传输控制协议/因特网协议(TCP/IP)网络(如Internet)的登录和仿真程序。它最初是由ARPANET开发的,但是现在主要用于Internet会话。它的基本功能是允许用户登录远程主机系统。
步骤1:建立IPC$连接,使用Telnet入侵首先需要建立IPC$连接,打开“命令提示符”窗口,在光标处输入cd\并按【Enter】键,然后再输入net use\\IP\ipc$”Passwd”/user:”Admin”命令建立连接。
步骤2:单击“管理”命令,在桌面上右击“计算机”图标,然后在弹出的快捷菜单中单击“管理”命令。
步骤3:单击“连接到另一台计算机”命令,在“计算机管理”窗口的菜单栏中依次单击“操作>连接到另一台计算机”命令。
步骤6:双击Telnet选项,在“计算机管理”窗口的左边窗格中依次单击“服务和应用程序>服务”选项,然后在右侧双击Telnet选项。
步骤7:启动Telnet服务,在弹出对话框中将“启动类型”设置为“自动”后单击“应用”按钮,然后单击“启动”按钮即可启动Telnet服务。
步骤8:删除IPC$连接,在“命令提示符”窗口的光标处输入net use\\IP\ipc$/del命令来断开IPC$连接,例如输入net use\\192.168.1.100\ipc$/del。
步骤9:去掉NTLM验证,在“命令提示符”窗口中输入tlntadmn config sec=-ntlm命令并按【Enter】键。
步骤10:建立账号和密码,在“命令提示符”窗口中,输入net user john 123/add命令并按【Enter】键。
步骤11:加入工作组,在“命令提示符”窗口中,输入net localgroup administrators john/add命令,然后按【Enter】键。
步骤12:进行Telnet登录, 在“命令提示符”窗口中输入cd\并按【Enter】键,然后再输入telnet 192.168.1.100命令后按【Enter】键,进行Telnet登录。
步骤13:发送密码并登录,跳转至新的界面,在界面中键入y,表示发送密码并登录,然后按【Enter】键。
步骤14:成功登录远程计算机,进入新的界面,此时看到的界面就是远程主机为Telnet终端用户打开的命令提示符窗口,在该窗口中输入的命令将会直接在远程计算机上执行。
3、如何利用注册表实现远程监控?
利用注册表的“连接网络注册表”功能连接目标计算机,然后开启Remote Registry服务即可实现远程监控。
步骤1:输入regedit命令,打开“运行”对话框,在“打开”右侧的文本框中输入regedit命令,单击“确定”按钮。
步骤3:单击“高级”按钮,弹出“选择计算机”对话框,单击“高级”按钮。
步骤4:单击“立即查找”按钮,在“选择计算机”对话框中单击“立即查找”按钮。
步骤5:选择目标计算机,在搜索结果中选择目标计算机,并单击“确定”按钮。
步骤6:单击“确定”按钮,将远程计算机名称添加进“输入要选择的对象名称”文本框后,再单击“确定”按钮即可连接目标计算机。
步骤8:建立IPC$连接,打开“命令提示符”窗口中,输入net use\\192.168.1.100\ipc$123/user:john命令,然后按【Enter】键。
步骤9:单击“连接到另一台计算机”命令,打开“计算机管理”窗口,在菜单栏中依次单击“操作>连接到另一台计算机”命令。
步骤12:启用Remote Registry服务,在弹出的对话框中将“启动类型”设置为“手动”,单击“应用”按钮后再单击“启动”按钮,启用Remote Registry服务。
步骤13:断开IPC$连接,开启了远程注册表服务后就可以断开IPC$连接。在“命令提示符”窗口的光标处输入net use\\IP\ipc$/del命令来断开IPC$连接,例如,这里输入了net use\\192.168.1.100\ipc$/del。
4、怎样利用“远程控制任我行”监控目标计算机?
首先配置“远程控制任我行”服务端程序,待目标计算机运行该服务端程序后便可实现远程监控。
“远程控制任我行”是一款非常优秀的远程控制软件,它功能非常强大,能够让用户得心应手地监控远程计算机,就像控制自己的计算机一样方便,它包括两步操作,第一步是配置服务端程序,第二步是监视并远程控制目标计算机。
配置服务端程序
“远程控制任我行”既不是一款纯粹的木马软件,也不是一款传统意义上的远程控制软件,而是介于这两者之间。因为它既具有普通远程控制软件的特点,又有木马程序的特点,下面介绍配置服务端程序的操作方法。
步骤1:启动“远程控制任我行”程序,安装“远程控制任我行”软件后会在桌面上出现对应的快捷图标,双击该图标,启动“远程控制任我行”程序。
步骤2:单击“生成服务器”命令,打开“远程控制任我行”主界面,依次单击菜单栏中的“配置服务端>生成服务器”命令。
步骤3:单击“正向连接型”按钮,在弹出的“选择配置类型”对话框中选择配置类型,用户可在对话框中查看如何选择,例如单击“正向连接型”按钮。
步骤4:单击“更换图标”按钮,弹出“正向连接”对话框,在“基本设置”选项卡单击“更换图标”按钮。
不知道所处网络类型时的解决方法
在选择配置类型时,如果不知道双方所处的网络类型,则可以将生成后的“正向连接”和“反向连接”的服务端程序都在远程计算机上运行一下,进行“正向连接”和“反向连接”的尝试控制。
步骤5:选择服务端程序图标,弹出“打开”对话框,在列表框中选择一个图标,然后单击“打开”按钮。
步骤6:设置邮件服务,切换至“邮件设置”选项卡,勾选“开启此服务”复选框,然后分别输入发送IP信箱、登录密码和接收IP信箱及邮件主题。
步骤7:设置安装信息,切换至“安装信息”选项卡,勾选“自动隐藏安装文件”复选框,其他保持默认不变。
步骤8:设置启动选项,切换至“启动选项”选项卡,勾选“远程主机是注册为服务启动”复选框。
步骤9:设置提示信息,切换至“提示信息”选项卡,勾选“安装完成后显示的提示信息”复选框,然后设置提示内容,设置后单击“预览”按钮。
步骤10:预览提示信息,弹出“任我行工作室”对话框,此时可看见安装完成后显示的提示信息,单击“确定”按钮。
步骤11:单击“生成服务端”按钮,最后设置好生成服务端的保存路径,设置完毕后单击“生成服务端”按钮。
步骤12:单击“确定”按钮,弹出“任我行提示”对话框,提示用户生成服务端完成,单击“确定”按钮。
步骤13:查看生成的服务端程序,打开服务端程序的保存路径所在窗口,此时可看见生成的服务端程序。
监视并远程控制目标计算机
一旦服务端在远程计算机上成功运行,那么连接远程计算机并进行监控和控制的条件就成熟了,下面来看看如何使用“远程监控任我行”来连接、监控并控制远程计算机。
步骤1:单击“打开IP列表”按钮,打开“远程控制任我行”主界面窗口,单击“连接主机”文本框后面的“打开IP列表”按钮。
步骤2:单击“增加IP”按钮,弹出对话框,在对话框中单击“增加IP”按钮。
步骤5:查看扫描时间,弹出“扫描完毕”对话框,显示了扫描的开始和结束时间,单击“确定”按钮。
步骤7:成功连接目标计算机,输入“连接密码”和“连接端口”,然后单击“连接”按钮,连接成功后在状态栏中显示“远程主机192.168.1.100连接成功”。
步骤8:查看目标计算机的盘符,在“远程文件管理”选项卡的“远程电脑”目录中就可以看到该计算机所有盘符,在这里完全可以像操作自己的计算机一样操作目标计算机。
步骤9:下载目标计算机中的资料,这里可以下载目标计算机中的一些重要资料,右击要下载的文件或文件夹,在弹出的快捷菜单中单击“文件下载”命令。
步骤10:选择保存位置,弹出“浏览文件夹”对话框,在列表框中选择保存的位置,然后单击“确定”按钮。
步骤11:选择断点续传模式,弹出“下载文件”对话框,单击选中“断点续传”单选按钮,单击“开始下载”按钮。
步骤12:查看目标计算机的进程,切换至“远程进程查看”选项卡,可看到目标计算机的运行进程,如果切换后未显示进程,则在空白处右击,然后在弹出的快捷菜单中单击“刷新进程”命令。
步骤13:设置发送信息属性,切换至“远程语音视频”选项卡,在右侧设置发送信息属性,单击“预览”按钮。
步骤15:利用远程命令控制目标计算机,切换至“远程命令控制”选项卡,在这里可对远程计算机进行桌面图标控制、开关机、死机黑屏以及改变声音等操作。
步骤16:查看目标计算机的系统信息,切换至“远程系统信息”选项卡,可看到“远程系统配置信息”、“远程剪贴板信息”、“远程运行窗体信息”3个窗口。
5、怎样利用“网络执法官”监控其他活动计算机?
步骤1:双击Netrobocop快捷图标,双击桌面上的Netrobocop快捷图标,启动“网络执法官”应用程序。
步骤3:单击“报警设置”命令,打开“网络执法官”主界面,在菜单栏中依次单击“设置>报警设置”命令。
步骤4:设置发现异常用户时的报警方式,弹出”alarm setting”对话框,用户可在对话框中设置发现异常用户时的报警方式,设置后单击“确定”按钮。
步骤5:单击“口令”命令,返回“网络执法官”主界面,在菜单栏中依次单击“设置>口令”命令。
步骤6:设置口令,勾选“软件启动或从最小状态恢复窗口显示时输入口令”复选框,然后输入设置的口令,单击“确定”按钮。
步骤7:单击“默认权限”命令,返回“网络执法官”主界面,在菜单栏中依次单击“设置>默认权限”命令。
步骤8:设置用户权限,在弹出的对话框中有3个选项,一个比一个权限低,可根据实际情况设置。
步骤9:单击“关键主机组”命令,返回“网络执法官”主界面,在菜单栏中依次单击“设置>关键主机组”命令。
步骤10:设置关键主机组,弹出“关键主机组设置”对话框,首先选择主机组,然后设置组名称,最后设置组内IP,单击“全部保存”按钮。
步骤11:单击“IP保护”命令,返回“网络执法官”主界面,在菜单栏中依次单击“设置>IP保护”命令。
步骤12:设置保护的指定IP段,弹出“IP保护”对话框,设置保护的指定IP段(目的是保护一定范围内的IP不被普通权限的用户所使用),单击“确定”按钮。
步骤13:单击“远程控制”命令,返回“网络执法官”主界面,在菜单栏中依次单击“设置>远程控制”命令。
步骤15:单击“其他设定”命令,返回“网络执法官”主界面,在菜单栏中依次单击“设置>其他设定”命令。
步骤16:设置检测的灵敏度和断开方式,在该对话框中可以设置检测的灵敏度、断开方式以及其他一些参数,设置后单击“确定”按钮。
步骤17:单击“主机保护”命令,返回“网络执法官”主界面,在菜单栏中依次单击“设置>主机保护”命令。
步骤19:单击“绑定MAC与IP/机器名称”命令,右击要绑定MAC-IP的计算机,在弹出的快捷菜单中单击“绑定MAC与IP/机器名称”命令。
步骤21:单击“添加用户”命令,返回“网络执法官”主界面,在菜单栏中依次单击“用户>添加用户”命令。
步骤23:删除用户,如果想删除某个用户,那么在菜单栏中依次单击“用户>删除用户”命令,然后在后面弹出的子菜单中选择需要删除的用户即可。
三、有效防范远程入侵和远程监控
了解了黑客的常用远程入侵和监控手段后,就应当做好有效的防范措施,既可以采取有效的措施来防范Windows系统中潜存的IPC$漏洞,也可以通过关闭某些危险的服务来确保计算机的安全。
1、如何防范IPC$远程入侵?
防范IPC$远程入侵的常见方法有三种:禁用共享和NetBIOS;设置本地安全策略;修改注册表禁止共享。
禁用共享和NetBIOS
用户可通过net share命令查看本机上是否存在共享,如果存在则可能遭受IPC$漏洞的攻击,如果存在这样的情况则可以通过禁用共享和NetBIOS防范IPC$入侵。
步骤1:单击“属性”命令,右击桌面上的“网络”快捷图标,在弹出的快捷菜单中单击“属性”命令。
步骤2:单击“更改适配器设置”链接,打开“网络和共享中心”窗口,在左侧单击“更改适配器设置”链接。
步骤3:单击“属性”命令,打开“网络连接”窗口,右击“本地连接”图标,在弹出的快捷菜单中单击“属性”命令。
步骤4:不共享网络文件和打印机,弹出“本地连接属性”对话框,在“常规”选项卡中的列表框中取消勾选“Microsoft网络的文件和打印机共享”复选框。
步骤5:单击“属性”按钮,在“本地连接属性”对话框的“常规”选项卡中的列表框中选中“Internet协议版本4(TCP/IPv4)”选项,然后单击“属性”按钮。
步骤6:单击“高级”按钮,在弹出的“Internet协议版本4(TCP/IPv4)属性”对话框中单击“高级”按钮。
步骤7:禁用NetBIOS,弹出“高级TCP/IP设置”对话框,切换至WINS选项卡,单击选中“禁用TCP/IP上的NetBIOS”单选按钮即可。
设置本地安全策略
通过设置本地安全策略也可以达到防范IPC$的目的,只需启用“网络访问:不允许SAM账户和共享的匿名枚举”功能即可。
步骤1:单击“控制面板”命令,单击桌面左下角的“开始”按钮,在弹出的“开始”菜单中单击“控制面板”命令。
步骤2:单击“管理工具”链接,打开“控制面板”窗口,设置查看方式为“大图标”,单击“管理工具”链接。
步骤3:双击“本地安全策略”选项,打开“本地安全策略”窗口,双击“本地安全策略”选项。
步骤4:设置安全选项,在“本地安全设置”窗口的左侧依次单击展开“安全设置>本地策略>安全选项”分支,然后在右边窗格中双击“网络访问:不允许SAM账户和共享的匿名枚举”选项。
步骤5:单击选中“已启用”单选按钮,在弹出的“网络访问:不允许SAM账户和共享的匿名枚举属性”对话框的“本地安全设置”选项卡中,单击选中“已启用”单选按钮。
步骤6:单击“是”按钮,单击“确定”按钮弹出一个确认设置更改的对话框,单击“是”按钮确认即可。
修改注册表禁止共享
注册表中与IPC$共享有关的键值项有restrictanonymous和AutoShareServer(AutoShareWks),用户可以通过调整这些键值项的值来防范IPC$远程入侵。
步骤1:输入regedit命令,打开“运行”对话框,在“打开”文本框中输入regedit命令,然后单击“确定”按钮。
2、怎样关闭与远程控制相关的服务?
首先在“服务”窗口中关闭Remote Registry服务,然后利用“卸载程序”功能关闭Telnet服务端和客户端。
在Windows系统中,与远程控制相关的服务主要有Remote Registry服务和Telnet服务,关闭Remote Registry服务可以在“服务”窗口中设置其启动类型为“禁用”,而关闭Telnet服务则可以通过关闭Telnet服务端和客户端来实现。
步骤1:双击“服务”快捷图标,打开“管理工具”窗口,双击“服务”快捷图标。
步骤2:双击Remote Registry选项,打开“服务”窗口,向下拖动右侧窗格中的滚动条,在窗格中双击Remote Registry选项。
步骤3:设置启动类型为禁用,弹出“Remote Registry的属性(本地计算机)”对话框,在“启动类型”下拉列表中单击“禁用”选项,即禁用Remote Registry服务。
步骤4:查看禁用后的Remote Registry服务,单击“确定”按钮返回“服务”窗口,此时可看见Remote Registry的启动类型为禁用。
关闭Telnet服务
在Windows 中除了通过禁用“服务”窗口中的Telnet服务来关闭Telnet服务之外,还可以通过关闭Windows 提供的Telnet服务端和客户端来关闭Telnet服务,下面介绍具体的操作步骤。
步骤1:单击“卸载程序”链接,打开“控制面板”窗口,设置查看类型为“类别”,然后单击“程序”下方的“卸载程序”链接。
步骤2:单击“打开或关闭Windows功能”链接,打开“程序和功能”窗口,在左侧单击“打开或关闭Windows功能”链接。
步骤3:关闭Telnet服务端和客户端,弹出“Windows功能”对话框,在列表框中取消勾选“Telnet服务端”和“Telnet客户端”复选框,然后单击“确定”按钮。
步骤4:正在关闭,弹出对话框,提示Windows正在更改功能,请稍候,耐心等待即可。
ID:Computer-network
【推荐书籍】