亮点频频的黑洞2007

去年11月，瑞星全球反病毒监测网向广大网民发出警告，中国银联官方网站被黑客攻陷，其首页被植入后门程序“黑洞2005”。一时间黑洞这款国内的老牌木马再次引起了人们的关注。就在去年冬天，黑洞的作者推出了黑洞的最新版本——黑洞远程控制。不久其作者再接再励，在新春佳节之际又为我们推出了一个全新的黑洞，这个版本较过去版本最大的变化就是在服务端程序上。那么到底有什么不同之处呢?我们来一起看看吧。

　　客户端配置

　　首先从黑洞的官方网站(http://www.138soft.com/)下载最新版本的黑洞，接着运行黑洞客户端就会弹出一个“系统设置”窗口，内含设置客户端程序所需要的信息，包括监听端口、连接密码、远程屏幕等。首先在“监听端口”标签中设置监听端口，如图1所示，接着在“连接密码”中进行密码设置，主要是用于验证该服务端程序是否为合法的服务端程序。最后到“远程屏幕选项”标签中设置屏幕监控的颜色。设置完成后，点击“确定”即可启动黑洞的客户端程序。

　　服务端配置

　　现在我们来配置黑洞的服务端程序。点击“文件”菜单，其中包括了“创建EXE安装版本服务端程序”和“创建DLL插入版本服务端程序”两个服务端程序配置命令。从名称我们就可以看出它们的区别，DLL插入版本可以将服务端进程自动插入到IE浏览器进程中。这里我们选择“DLL插入”，在弹出的窗口中进行服务端程序的配置，其中包括“安装选项”、“控制选项”和“连接选项”三个功能标签。

　　“安装选项”主要用于设置安装时的参数，包括安装时显示提示信息、安装完毕后删除安装程序、程序安装目录、程序安装名称等内容，可以根据自己的需要进行设置。不过我看也不必要，因为下面有一个“Win NT/2000/XP/2003下隐藏服务端文件、注册表、进程和服务”的选项。如果选择该选项，那么在正常的Windows系统中将看不到这项内容，如图2所示。“控制选项”指定服务端开放哪些控制功能，拥有屏幕控制、屏幕查看、文件管理、视频监控、Telnet等功能。“连接选项”则设置服务端通过何种反弹连接方式连接客户端程序，包括目前所有的“固定连接IP和端口”、“从URL获取连接IP和端口”、“从专业上线系统获取连接IP和端口”，以及“从AQ上线系统获取连接IP和端口”等四种连接方式，如图3所示。

　　前面的三种大家都已经非常熟悉了，这里主要介绍第四种连接方式，这也是新版黑洞的新功能。AQ是AQ Messenger的简称，它是由黑洞的作者开发的一款P2P即时通信工具，它的操作和使用与微软的MSN十分相似。AQ最大的特点就是它无论聊天功能还是文件传输功能都是经过加密处理的，还可以随意创建聊天群，并且群的人数不受任何限制。众所周知，MSN的聊天功能是明文传输的，而QQ虽然聊天功能是经过加密处理的，但文件传输功能依然是是明文的(虽然QQ传输文件用的是443端口，但其实是明文传输，可以自行用抓包工具测试)。

　　有的朋友可能要问，这和我们的服务端程序连接有什么关系呢?这就是新版黑洞的一大特点。首先我们运行安装目录里面的AQ程序，接着按照向导的指引申请一个账户，然后我们将申请的账户输入到“AQ用户名称”选项后面，这样以后就可以利用这个账户进行IP地址的更新操作了。即使是没有自己的网络空间，也可以轻松实现IP地址的更新，和某些收费木马的专用上线系统非常相似，最关键的是，这一切都是免费的。

　　设置好服务端程序各个选项的参数后，可以点击“生成图标”按钮为服务端程序选择一个安装图标，最后点击“生成”按钮即可生成服务端程序。生成的服务端程序既可以使用UPX进行加壳也可以不加壳，不像上一个版本的服务端程序由于加了某个猛壳，服务端程序的体积足足有1.3M多。远程控制命令

　　现在我们就来感受黑洞的全新功能，不过首先需要更新一下IP地址。点击工具栏中的“更新IP”按钮，在弹出的窗口选择“AQ上线系统更新”标签，然后设置自己的AQ用户名称和密码，以及本机IP和监听端口。最后点击“更新到服务器”按钮，不一会儿就有一台服务端程序连接到我们的客户端了，如图4所示。这里需要提醒大家，使用AQ更新前必须登录AQ Messenger通信工具才行。很快我们就可以清晰的在客户端中看到服务端电脑的上线名称、IP地址、实际地址和上线时间等信息。

　　首先点击“屏幕控制”命令，通过它就可以对这台电脑进行远程控制操作。点击该命令后，程序会弹出一个设置窗口，包括65536色、256色和16色三种颜色格式。我们选择的颜色格式数值越大，屏幕传输的内容就越清晰，同时传输的速度也越慢。如果选择“移出远程桌面壁纸”，传输速度也可以大大的增加，如图5所示。“屏幕控制”命令除了监控功能以外，还可以通过鼠标键盘对远程桌面进行控制。另外，通过在标题栏上点击邮件，还可以对监控模式进行切换，以及获得远程系统剪贴板中的内容等，如图6所示。新黑洞对桌面查看相关的功能进行了极大的优化，已经达到了世界一流的水平，并且还是在没有使用任何虚拟驱动技术的情况下完成的。

　　通过“文件管理”命令对服务端电脑中的文件以及文件夹进行管理，比如进行打开、新建、重命名和删除等操作。管理器上方是本地计算机目录，下方是远程计算机目录，文件管理器中并没有上传、下载的命令菜单，我们可以通过鼠标直接把文件或文件夹拖放到目标文件夹，并且支持断点传输，如图7所示。在上一个版本中，“视频监控”功能被作者禁止，现在也开放了。

　　如果远程服务端连接有USB摄像头，我们还可以通过该功能来获取图像，并可直接保存为Media Play可以直接播放的Mpeg文件。点击“视频监控”按钮，打开“视频监控”窗口，黑洞会自动检测对方系统中是否安装有USB摄像头，如果对方安装有USB摄像头，那么无论对方是否打开摄像头，黑洞都可以强行打开摄像头对对方进行监控，并把监视录像保存为Mpeg文