◉主控端界面添加右键弹出菜单的功能为Onlie_List区域添加右键弹出菜单项的功能：3个视图：类视图、解决方案视图、资源视图在资源视图下添加一个Menu：更改Menu的ID为IDR_MENU_ONLINE：为各控件添加便于区分的ID：在类视图下，点击CPCRemoteDlg类，选择事件，为IDC_ONLINE添加消息处理函数补充知识点：事件：我们自定义的控件产生的消息消息：系统定义的消息重写：重

本节任务点◉为所有菜单项添加测试响应函数◉添加删除列表指定条目的功能为所有菜单项添加测试响应函数：添加菜单响应函数：voidCPCRemoteDlg::OnOnlineCmd(){if(TEST_MODE){MessageBox("终端管理界面");}}voidCPCRemoteDlg::OnOnlineDesktop(){if(TEST_MODE){MessageBox("桌面管理界面");}}

1、新建一个基于对话框的MFC程序ghost内核对unicode支持不好，所以不要勾选在静态库使用MFC有助于我们的代码供别人使用2、设置窗口可最大最小化对话框》右键属性3、为对话框添加列表一个代表列表框架，一个代表日志框架分别为2个控件添加唯一的ID值：但是这里有个问题就是列表框的大小不会随着对话框的大小而变化：那么应该如何使二者同步伸缩呢？4、使列表框随着对话框的大小同步伸缩分别为2个对话框添

●补充小知识：枚举类型的使用每个控件（比如列表）都对应一个自己的唯一的变量使用枚举类型可以将变量名与编号进行绑定，以后程序需要扩展的时候，只需要在定义枚举变量的位置重新修改编号就可以了，这样全局的所有变量的编号就都跟着修改了由于列表这个数据结构在本项目中十分重要，所有需要放在一个每一个文件都能访问到的文件当中，比如"pcb.h"示例1：默认是012345这样和数组一样递增的enumDay{Mond

最近闲着无聊，研究了一下Gh0st的源码，这个源码现在也很难白嫖到了，花了200多积分从CSDN下了好几个版本。在VC2019下都编译不了。

360安全卫士·2015/10/2013:51提起远控木马，灰鸽子、Gh0st等等都是臭名昭著。

四个工程，gh0st，install，loadmr，svchost。分别是控制端，安装程序，xxx，被控端。一。install工程，安装程序.1.WinMain函数。

原文链接：http://blog.renren.com/blog/bp/Q78RzCJjOx从被控端主动去连接主控端开始谈起。世间万事万物有始有终，宇宙环宇的动力起点就是上帝的那一推之力。当然，主控端与被控端的交互总是从被控端主动连接到主控端开始的，让我们从发起连接这个引爆点谈起……**********************************************************

原文链接：http://blog.renren.com/blog/bp/Q782_Jqytx当顺利的连接到主控端之后，按照程序的一个执行逻辑，被控端会将本机上的一些反映本机状态的一个信息发送到主控端，这个过程其实涉及到了被控端与主控端间信息的交互过程。**************************************************************************

//缓冲器类classBuffer{public:Buffer(void);virtual~Buffer(void);/*函数说明：功能：清空缓冲区参数：返回值：时间：2014/01/26*/voidClearBuffer();/*函数说明：功能：删除缓冲区数据参数：1.nSize:删除的长度返回值：返回删除后的数据长度时间：2014/01/26*/UINTDelete(UINTnSize);/*

使用方法1.运行编译后bin目录下的gh0st.exe文件，Settinas为设置监听选项，Build为创建木马。2.设置监听端口和攻击机ip,并记录上线字段。3.复制之前的上线字段，点击生成服务器即可生成木马。4.等待受害者靶机运行木马即可。检测方案1.检测心跳包，时间间隔为3分钟。2.上行流量大于下行流量上行数据包统计下行数据包统计3.检测Magic字段在一些变种中常见为F1X6B和FLYNN

Gh0st通信协议解析（1）正所谓蛇打七寸，今天我们对gh0st的通信协议进行一个完整的解析，看看gh0st这款远控的核心技术的来龙去脉。********************

远程主机流程图：客户机流程图：CGh0stApptheApp;唯一的实例在初始化中调用了主框架的Activate函数：BOOLCGh0stApp::InitInstance(){((CMainFrame*)m_pMainWnd)->Activate(nPort,nMaxConnection);}Activate函数构造了一个CIOCPServer对象，然后调用Initialize函数初始化：voi

远控软件gh0st源码免杀远控软件gh0st3.6开源了，开源意味着我们可以在此基础上进行二次开发，同时也意味着杀软可以较容易的查杀该款远控木马，既然要利用，我们就做好源码基础上的木马免杀工作。

当顺利的连接到主控端之后，按照程序的一个执行逻辑，被控端会将本机上的一些反映本机状态的一个信息发送到主控端，这个过程其实涉及到了被控端与主控端间信息的交互过程。*******************************************************************************我们需要从sendLoginInfo这个函数讲起。先看看这个函数的实现过程讲解这个

Gh0st通信协议解析（1）正所谓蛇打七寸，今天我们对gh0st的通信协议进行一个完整的解析，看看gh0st这款远控的核心技术的来龙去脉。

Gh0st通信协议解析（2）从被控端主动去连接主控端开始谈起。世间万事万物有始有终，宇宙环宇的动力起点就是上帝的那一推之力。

所需工具：VC++6.0下载地址-http://115.com/file/aqzyw8oePlatformSDK：SoftwareDevelopmentKit软件开发工具包下载地址-http://www.ctdisk.com/file/770607WindowsDDK：DeviceDevelopmentKit设备开发工具包下载地址-http://www.ctdisk.com/file/770549

Gh0st的编译与使用方法相信很多人应该或多或少地听说过gh0st的大名，正如上面所说，它是一款远程控制软件，其原始版本的代码和作者已经无从考证，笔者手里这一份也来源于网络，我修正一些bug并作了一些优化

源码免杀实战QQ1285575001WechatM010527技术交流QQ群599020441纪年科技aming#1看一下今天的马子Gh0st改良版开始搞事免杀原理病毒样本内存地址/段分析师定位原始特征码

(一)在gh0st中，得到server.dll之后，我使用了这两种加载dll的方式。

用Vs编译Gh0st修改的工作量还是挺大的，毕竟从VC6.0移植到VS2010平台，已经是一个很大的跨越了，VS2010相对于VC6.0也改进了不止一点了。

Vs编译Gh0st修改的工作量还是挺大的，毕竟从VC6.0移植到VS2010平台，已经是一个很大的跨越了，VS2010相对于VC6.0也改进了不止一点了。

但由于之前并未接触类似知识，得一高人指路，自此得gh0st源码。开始学习之路。从互联网上多方搜索，并对学习方案进行比对，最终选用“老狼”的gh0st课程

最近在看老狼的gh0st内核编程，想了很久要不要写文章，最后还是觉得很有必要，原因过一会讲。

嗯,看起来是个游戏程序,执行起来也是:不过有点不对劲,开玩游戏的同时竟然触发了我们基于网络的木马检测告警,使用了Gh0st/大灰狼的通信协议结构。

四个工程，gh0st，install，loadmr，svchost。分别是控制端，安装程序，xxx，被控端。一。install工程，安装程序.1.WinMain函数。 

最近也在学着修改Gh0st远控的源代码，源代码免杀起来还是方便、简单、有效和简单点。针对于输入输出表盯的比较紧的杀毒软件，最有效的还是进行函数动态调用。

这两天一直看gh0st源码，看得也是一头雾水，下面就分析一下屏幕监控的通信过程，对屏幕扫描算法以及绘图方面就不分析了，因为我也不懂。写的有点乱，就当作个笔记了。

这次涉及的技术有，Android软件开发，驱动开发，单片机程序设计，C语言设计，木马查杀技术，gh0st远控制术现在我一一列出Android

，d ...是共享的，那样就会对你的系统安全构成威胁，特别是在同一个局域网里，如果有个好事的想进来溜达溜达是很方便的（大部分的私人场合的私人电脑貌似都没设置密码，即使设置了，也是很简单的密码，如果是用gh0st

与大家分享下gh0st通信的全过程解析。了解gh0st的通信上线发包全过程，网上有很多相关资料，自己在总结了下。希望对初学者有帮助少走弯路，gh0st的内核是个不错的经典值得学习。

读了几天gh0st代码，终于读得差不多了。 不愧是老鸟写的，代码很优雅，读起来也很舒服哈。 

题首Gh0st是一款开源的远程控制软件。界面友好，性能高效。网上流传很多版本，比如红狼，饭客，败笔，大灰狼版本以及多如牛毛的个人修改的如外星人，Drat等个人修改版本。

网络安全：手动清除gh0st远控服务端（2）服务名称6to4(xp|windows200|windows2003)Ism(win7)显示名称MicrosoftDeviceManagerHKEY_LOCAL_MACHINE

手动清除gh0st远控服务端为什么我们要手动清除木马呢？我们在做免杀或者在对gh0st大的修改的时候或者后门被意外破坏，不能用客户端自带的清除，这个时候就需要手动来清除。

 转自Rover12421‘sBlog三．解决连接错误      到现在为止，所以代码已经没有任何错误了，但在Gh0st还是编译不成功，而错误全部是在连接错误上。下面来解决掉这些链接错误。

 转自Rover12421‘sBlog二．编译Gh0st成功编译CJ60Lib界面库之后，就可以开始编译Gh0st了。

转自Rover12421‘sBlog用Vs编译Gh0st修改的工作量还是挺大的，毕竟从VC6.0移植到VS2010平台，已经是一个很大的跨越了，VS2010相对于VC6.0也改进了不止一点了。

第十三课、创建服务端，并从Gh0st服务端中分离出Socket数据传输的内核3.2 创建服务端1.新建一个MainDll工程，工程为dll2.复制svchost工程下ClientSocket.h ClientSocket.cpp

 第十一课、加入Socket数据传输的内核  2.4 加入端口监听功能  1.分析gh0st监听端口的函数:             Activate(UINT nPort, UINT nMaxConnections

第十课、加入Socket数据传输的内核2.3 加入gh0st的socket内核文件(IOCPServer类)并编译  1.复制gh0st主控端的include文件夹到我们的工程下(其中的IOCPServer

  Gh0st是一款非常优秀的开源远程控制软件。网上很多木马软件都是基于Gh0st内核开发而出的。

这个是gh0st里用的IOCP类，但是客户端不是使用IOCP的，只有服务器端是使用的IOCP类，他的这个IOCP有几点是很值得我们学习的，首先就是自定义协议，通过自定义协议我们可以知道发送端发送的包的确切大小和其他的一些信息

看到这里大家对gh0st的iocp通讯有一定的了解吧当顺利的连接到主控端之后，按照程序的一个执行逻辑，被控端会将本机上的一些反映本机状态的一个信息发送到主控端，这个过程其实涉及到了被控端与主控端间信息的交互过程

原文链接：http://blog.renren.com/blog/bp/Q78RzCJjOx从被控端主动去连接主控端开始谈起。世间万事万物有始有终，宇宙环宇的动力起点就是上帝的那一推之力。当然，主控端与被控端的交互总是从被控端主动连接到主控端开始的，让我们从发起连接这个引爆点谈起……**********************************************************

Gh0st通信协议解析（1）正所谓蛇打七寸，今天我们对gh0st的通信协议进行一个完整的解析，看看gh0st这款远控的核心技术的来龙去脉。

VS2010编译Gh0st3.6(二)二．编译Gh0st成功编译CJ60Lib界面库之后，就可以开始编译Gh0st了。

   这几天闲来无事，下载了个gh0st源码，由于刚开始没有仔细看是否去了硬盘锁，差点整个硬盘都费了。

这几天闲来无事，下载了个gh0st源码，由于刚开始没有仔细看是否去了硬盘锁，差点整个硬盘都费了。