W
Winmillion
Unregistered / Unconfirmed
GUEST, unregistred user!
[red]最近在下都在分析黑鹰,灰鸽子,上兴,暗组,小熊的远控源码.感觉很多都是大同小异,中国人应该要创新!真的不敢想在全球中国的仿照技术!国防部的核导弹?航空母舰?等等.进入主题,灰鸽子的客户端源码分析了一个通宵就主界面有8000多行代码.还有被引用的其它单元没算呢.感觉灰鸽子的客户端生成服务端的时候,其实是调用了CServer.bat资源文件,生成出来.只是把客户端的配置信息写入服务端里.程序体积都差不多.所以以前玩鸽子的人只要把CServer.bat弄成免杀那么配置出来的木马就免杀!看了鸽子的服务端源码时是使用了加密算法生成.奇怪的是葛军竟然不是用控制台写服务端,这样木马的体积会比较大.也许是技术问题或别的原因吧! 再来说说暗组的远控,在下测试了一下.界面比较简洁.窗口也就那几个窗口.比较不占用内存.其实暗组的远控的源码是从国外进口的.源码的注释不像是英文.不知道是哪个国家的?而其在服务端的卸载代码里嵌入了汇编代码!缺点是没修复运行复制自身到系统文件夹.也没写入注册表启动加载.最主要的是连屏幕监视和视频监视也没修复.看来在下要好好修复一下.黑鹰的远控用数据库管理.用于商业.上兴的远控多了个插入进程,服务端单元文件调用了DLL单元文件生成.小熊的远控和鸽子差不多.不过在下想找"熊宝宝版的灰鸽子"就一个客户端,不用调用资源文件,因为客户端里已集成了服务端代码.真郁闷,鸽子的代码客户端和服务端用了算法加密生成, 本来想仿一下暗组的远控,没想到客户端和服务端用的是偏移地址,真郁闷! 代码以下: Const //定义全局常量WM_POP_MESSAGE=WM_USER+1; //主机上线的提示窗口WM_ICONTRAY=WM_USER+2; //托盘图标 NIF_INFO=$10; NIF_MESSAGE=1;NIF_ICON=2;NOTIFYICON_VERSION=3;NIF_TIP=4;NIM_SETVERSION=$00000004;NIM_SETFOCUS=$00000003;NIIF_INFO=$00000001;NIIF_WARNING=$00000002;NIIF_ERROR=$00000003; //偏移地址 段地址+偏移地址=物理地址 如班里的第三组(段地址)的第五个坐位(偏移地址)=物理位置(物理地址) 调试了下暗组远控,只能在本地IP:127.0.0.1上线.真郁闷!配置服务端的单元也没调用其它单元. 还有现在想找一个屏幕监控的源码.看了灰鸽子的屏幕源码加密生成.哎! 个人感觉最好的屏幕监控的算法有:3389(微软就是微软!一点都不卡!) 过来就是4899.分析了鸽子,暗组,上兴的远控各有个的优点和缺点 《鸽子》优点:功能是强大. 缺点:作者在客户端的配置生成里弄了算法加密.让我无法一个一个模块拆分.没MSN上线提示. 《暗组》优点:暗组的"控制中心"和"MSN上线提示" 缺点:只能控制本地电脑!127.0.0.1晕! 《上兴》优点:功能和鸽子差不多,虽然没加密.但是有偏移地址 缺点:调用DLL生成EXE.无法分析!最后因源码太大无法上传到BBS里.如需要源码的朋友可以联系我My Blog:http://hi.baidu.com/winmillion[/red]