Gh0st源碼分析（一）——Ghost簡介和編譯

相信很多人都聽說過Gh0st這款軟體，它和灰鴿子等軟體一樣是十多年前安全方面的代表。本人有幸拿到一款Gh0st軟體的源碼，經我的改造，修正大量bug，終於讓這款軟體能在現在的Windows操作系統上正常運行。雖然，很多做法在新的操作系統中已經過時或者沒有必要，但是其軟體的架構原理、過殺毒軟體的設計思路和許多經典的做法，非常值得我們學習，尤其是對Windows客戶端開發的朋友來說，絕對是提高內功的優秀學習資料。

好了，話不多說，先看下gh0st提供的一些功能：

主界面：

當有被控制端連上控制終端後，我們就可以對被控制端進行各種操作，包括文件管理、進程管理、窗口管理、機器控制（如重啟關機、屏幕控制），甚至可以監控被控制端的鍵盤輸入和打開被控制終端的視頻攝像頭，功能如下圖所示：

文件管理：

進程與窗口管理：

超級終端：

鍵盤監控：

屏幕監控與控制：

監控攝像頭：

代碼下載地址：

關注我的微信公眾號『easyserverdev』，然後回復『gh0st』，即可得到下載地址。

http://weixin.qq.com/r/DS_qsp3Em8DkrdnR93of (二維碼自動識別)

當然，我保證我提供的源碼一定是可以編譯和調試運行的。注意的是：這是一款類似於木馬性質的軟體，請勿作任何非法用途，否則後果自負！

下面介紹一下，Gh0st的編譯方法：

下載好代碼以後，解壓後用VS2013打開NG.sln文件，如圖所示：

然後從上到下逐個編譯工程，Client_Gh0stExe項目會生成控制端，Server_SvchostDll項目會生成被控制端。默認情況下，Server_SvchostDll可以以三種方式運行：Windows服務、注入到其他進程中的dll、獨立的exe程序。這裡我將Server_SvchostDll修改成以exe形式直接運行。全部編譯成功後，在gh0stOutputDebugin目錄下會生成Gh0st.exe和svchost.exe，先啟動Gh0st.exe，再啟動svchost.exe就可以對運行了svchost.exe的機器進行遠程控制了。

如果您在使用過程中遇到任何技術問題，都可以聯繫我解決，QQ群：49114021，也可以關注我的微信公眾號：easyserverdev。

這是《Gh0st源碼分析系列》的第一篇，從下一篇開始，我將詳細分析這款遠程控制軟體的每一個模塊實現的原理。