简介
黑暗天使是一个结合窃听密码和远程控制于一体的木马,如果把目前流行的
木马称为第四代木马,那么黑暗天使就是一个初级的第五代木马。它的隐蔽性是第四代无法比拟的,可用于
盗取密码和留后门。
特点
它有如下特点:
1、安装后在任务管理器中看不到任何新增的进程。
2、它随机替换掉一个状态为停止的系统服务,而被替换掉的系统服务属性看不出任何改变。
3、注册表中看不到任何新增的键。
4、它有强大的自我修复功能。
5、具有很强的随机性,安装后木马文件名和存放的目录都是随机的。
6、采用端口隐藏技术,平时木马不开端口,只有当用editDK.exe连接时才会开端口,只能
建立一个连接,连接建立后端口会自动关闭。
7、能够杀掉目前流行的防火墙。
8、增加了卸载功能,能很方便地升级
9、增加了逆向连接功能(端口反弹技术)。
10、即使建立连接后用fport也查不到木马开的端口,使fport完全失效。
11、增加了udp数据报连接方式,使没有独立ip 的用户也可以连接到黑暗天使服务器端。
12、记录浏览器输入时会记录当前的URL,使得记录的信息更加有用。
13、采用ICMP echo reply数据报进行通讯,增加隐蔽性。
2.5相对2.41的改变
1、全面改变客户端,使得它使用起来方便多了
2、增加Smtp服务器Email服务认证,使得能够使用像163等一些大型网站的smtp服务器进行发信,
增加发信的成功率。
3、服务器端开的端口可以根据客户端的设置而改变
一、使用环境
服务器端:Windows 2000及以上操作系统,服务器端默认文件名为DKAngel.exe
客户端:Windows 2000及以上操作系统,默认文件名为explore.exe
二、使用步骤
1、运行客户端explore.exe文件,使用菜单“高级功能->生成服务器端”来生成服务器文件,
默认文件名为DKAngel.exe
如图:
2、使用菜单“设置->服务器端文件”来设置服务器文件的一些选项
如图:
弹出的设置窗口如下图:
其中的“连接密码”项的作用十分重要,下面用客户端对中木马机器的操作成功的前提是连接密码必须正确,
只有你改了密码,你种的木马才不会给别人利用!
注意:email设置是用于把中木马机器上的按键信息发送到接收信箱的。现在好多大网站的smtp服务器都需要
服务认证,比如163,263,新浪等,如果你需要用这些大网站的smtp服务器发邮件,就必须选中‘需要email服
务认证’,同时填上你信箱的用户名和密码。设置完后,必须按“发信测试按钮”进行测试,要收到测试信才算成功。
下面举一个例子:
例如你有一个163信箱,sample@163.com,用户名为:sample,密码为:sample,你还有一个263的信箱:sample@263.net,
那么Email 设置应该如下:
SMTP服务器:smtp.163.com 发送信箱:sample@163.com 接收信箱:sample@263.net 选中‘需要Email认证服务’
用户名:sample 密码:sample ,填完后再按发信测试按键,如果能收到测试信,就可以了。以后中木马机器上
的密码就会发到sample@263.net。我已经说得很详细了,以后这类问题不要问我了。
其它的设置如果不会就使用默认值好了。
3、推荐使用Aspack等一些exe压缩软件都服务器端进行压缩
注意一定要选中“压缩资源选项(Compress resources)”,这样可以防止你设置在服务器文件里的信息被别人查看,
而且可以防止被一些杀毒软件查到。Aspack可以到http://yyt-hac.iwebland.com上下载。
如图:
4、在你要控制的机器上运行服务器端,成功后删除服务器文件。
方法有很多,比如骗别人运行,或者和其它文件捆绑在一起放在ftp服务器上,也可以先入侵机器后再运行服务器端,
在“高级->远程安装”里也介绍了一种方法。
5、把那台机器添加到客户端的中木马的机器组中
为了对中木马的机器进行操作,你必须先把那台机器添加到客户端左边树型视图任意一个计算机组中,如下图:
6、设置客户端
6.1设置连接选项,选择菜单“设置->连接选项”,弹出对话框如下图:
6.1.1在弹出窗口连接方式选项中,有三个选项:ICMP数据包、UDP数据包和逆向连接。
ICMP数据包就是指所有的命令都以icmp reply包发送,由于一般的防火墙都不堵塞icmp reply数据报,
因此成功的机会比较大,但是由于它不能穿透代理服务器,因此没有独立ip的用户不能使用这种方式(比如
教育网内或网吧里通过sygate或windows 2000作NAT连到internet的用户就不能使用这种连接方式去连接中了
木马的机器)。
UDP数据包可以穿透代理服务器,正好弥补了icmp reply数据包的不足,如果你没有独立的ip,就只能用
这种方式连到中木马的机器上,由于这种数据包容易被防火墙堵塞,因此成功的机会比icmp reply包要小。
逆向连接就是指由中了木马的机器发出连接请求连到你机器开的端口上,由于一般防火墙不会堵塞机器
向外的连接请求,这种方式的成功机会比较大,不过只有有独立ip的用户才可以使用这种方式。这种方式
可以结合上两种方式使用。
注意:
1、用逆向连接时,运行explore.exe机器的80端口不能被占用,比如web服务器一定要关掉,不然中木马的机器
就会连到web服务器上而不是黑暗天使客户端!!!
2、用逆向连接连不上时,弹出的命令行端口不会自动关闭,请用Ctrl+C关闭窗口。
3、运行“连接到黑暗天使”菜单项弹出命令行窗口后,要按一下回车键才能登录到目标机器。
6.1.2 建立连接的方式有两种,如下:
通过黑暗天使服务器建立连接--这种方式用于中了木马的机器,通过那台机器上的黑暗天使服务器端来建立连接。
通过指定用户名和密码建立连接--这种方式用于你知道有管理员权限的用户名和密码的机器
6.1.3 其它设置中的“连接端口”是用来决定连接时服务器端开的端口,要选一个中木马的机器没有使用的端口,否则
连接不到黑客天使服务器端;“连接密码”一定要和刚才设置服务器文件时的连接密码一样,否则所有对中木马
机器的操作不会成功!
6.2设置在线探测方式,选择菜单“设置->在线探测方式”,弹出对话框如下图:
第一种方式就是通过连接所选择计算机的tcp端口来判别机器是否在线着
第二种方式就是通过ping所选择的机器来判别机器是否在线
第三种方式就是通过连接黑暗天使服务器端来判别机器是否在线
注意:用第一或第二种方式探测到机器在线只能说明那台机器连在网上,而用第三种方式探测到机器在线,就是说明
那台机器安装了黑暗天使服务器端,并且能连上,因此用这种方式时连接选项中的连接端口和连接密码必须设置好。
7、使用客户端对那台机器进行各种操作
选中那台机器,按右键弹出菜单,如下图:
下面说明弹出菜单各项的作用
7.1建立连接--该项的作用就是根据连接选项中的“建立连接的方式”来和所选择的机器建立连接,如果连接成功,
就可以想使用本地磁盘一样使用那台机器的磁盘,如下图:
7.2 连接到telnet服务器--如果你选择第一种“建立连接的方式”,该项的作用就是在中木马的机器上打开telnet服务,并且添加用户
yyt_hac,密码为yyt_hac123,使你能用telnet登录到目标机器上。如果你选择第二种“建立连接的方式”,该项的作用就是在中木马的
机器上打开telnet服务,但不添加用户名和密码,你必要用建立连接时的用户名和密码登录,下图为单击该菜单项弹出的登录
窗口:
由于这种连接方式比较容易被发现,建议只在升级黑暗天使或下一选项不成功时使用该连接。
7.2 连接到DKAngel--该项的作用就是连接到黑暗天使自带的shell命令行状态,单击该项
后,就会弹出一个命令行窗口,这时按一下回车键,如果连接成功的话就会进入如下图的命令
行窗口:
由于这种连接的命令行窗口不能即时显示程序的输出信息,建议不要用这种连接安装或卸载
黑暗天使。
7.3 停止telnet服务器--该项的作用是停止目标机器上的telnet服务,并且删除在1.11项
所添加的用户,工作完了以后不要忘了运行该选项,以清除痕迹。(该项在两种建立连接的方式下都可以使用)
7.3 删除用户--该项用于删除目标机器上的用户,(该项需要黑暗天使服务器端支持)如下图:
上图的密码框不需要填。
7.4 添加用户--该项的作用是添加一个用户到目标机器的管理员组里,(该项需要黑暗天使服务器端支持)如下图:
注意:密码必须满足目标机器的安全策略。
7.5 上传文件到目标机器--该项的作用是把你机器上的一个文件传的中木马的机器上
去,如下图:
"上传后的位置"框中如果是一个目录名,那么文件上传后文件名不改变,如果"上传后的位置"
框中是一个文件名,则上传后文件改名。
7.6 从目标机器下载文件--该项的作用是从中木马的机器上下载一个文件到你自己的机器
上,如下图:
7.7 重起目标机器--该项使目标机器重新启动
7.8 在线探测--该项作用就是根据所设的在线探测方式来探测机器是否在线
7.9 断开连接--断开建立的连接
7.10高级菜单中在线探测全部就是探测所有的机器是否在线
8、安装木马
本版本是给高手使用,高手可以先入侵到目标机器再在命令行下安装。把配置好的DKAngel.exe文件拷到目标机器上,
并运行它,只要没有出现带有三个'!'的提些信息就成功了,安装木马以后,随时都可以用explore.exe的连接选项以
LocalSystem身份登录到目标机器上,这对高手来说,还有什么不能做的呢?不过你的机器
必须要有独立的ip才能登录中木马的机器。这是一个缺点,在下一个版本中会改进。如下图:
上图是通过登录到目标机器的telnet服务器并且目标机器只有一个ip地址时安装黑暗天使的情况,
如果目标机器有两个ip地址,安装黑暗天使时会要你选择以后要连接的ip地址,实际上就是你
入侵用的ip地址。如果你在10秒钟内没有选择,它会自动选择第一个ip地址(默认是机器的第一个ip地址。如下图:
对于在通过远程溢出攻击产生的命令行窗口或黑暗天使自带的命令行窗口中安装黑暗天使,
要特别注意有多个网卡的机器。由于这种命令行窗口不能即时显示程序的输出信息而是要等程序
结束后才会输出,因此提示你选择ip地址的信息不会出现,在这种情况,你要先用ipconfig看
目标机器的ip地址配置信息,如下图:
由上图可以看出,机器的第一个ip地址是202.119.0.1,是外部连接,一般入侵用的就是这个
ip地址,机器的第二个ip地址是1.1.1.100,是属于内部连接,一般用于内部局域网,internet上的
机器是连不到这个地址上来的。由于我们以后要连接的地址是202.119.0.1,因此安装黑暗天使
时输入的ip地址序号为1,如下图:
上图中的‘1’就是输入的ip地址序号,输入‘1’以后,每隔4,5秒钟按一下回车键,直到所有的提示信息出来为止。
这种方式主要用于黑暗天使得升级安装,例如:你已经在一台机器上安装了黑暗天使2.1,现在要装2.3,如果
目标机器的telnet服务不能用,你可以先连到黑暗天使自带的服务器命令行窗口中,先用dkangel -u进行卸载,
卸载完了以后,黑暗天使2.1会在90秒钟后停止,你可以利用这90秒的时间安装2.3。关于在黑暗天使自带的服务器命令行窗口中
卸载黑暗天使得方法,请参看卸载木马部分。
9、卸载木马
通过登录到目标机器的telnet服务器上卸载很简单,只要按照提示输入在设置木马时设置的密码就行了,如下图:
对于在通过远程溢出攻击产生的命令行窗口或黑暗天使自带的命令行窗口中卸载黑暗天使,由于不会出来提示
信息,你在运转‘dkangel -u’后,等几秒钟就输入密码,每隔5、6秒钟按一下回车键,如果没反应,你再输入
一次密码,每隔5、6秒钟按一下回车键,直到所有的提示信息出来为止。卸载以后会有90秒钟让你安装更新版本的
黑暗天使。如下图:
10、参数说明
‘-u20’--卸载黑暗天使2.0,卸载完后,要重起才能安装更高版本的黑暗天使!
‘-u’---卸载黑暗天使2.0以上版本,卸载完后,不需要重起就能安装更高版本的黑暗天使!
‘-h’---显示帮助信息。
与我联系
个人主页:http://www21.brinkster.com/yythac/
Email:yyt_hac@163.com
QQ:47090005
如果有什么好的建议可以来信告诉我。
发布日期:2002.5.8