前几天大概读了下gh0st的框架 并且编译完成 着手调试 花了两天时间成功搭建好局域网利用虚拟机作为实验目标的调试环境

1.vm 6.5 绿色版 随便下一个 装上vmtool 可以顺便开个IIS测试http上线

2.找了个2000 adv server来做虚拟机 网络模式选最简单的桥接 懒得配 做好之后建立快照以便驱动崩溃后恢复

3.打开编译好的gh0st控制端生成服务端一个 选择DNS上线 ip就填控制端主机的局域网ip即可

4.将服务端文件拖到vm机上运行 ok 能够上线了

下面来配调试环境：

1.可以就用源码里的release编译 懒得新建了 改一点参数 禁用/02优化 改为/0d 调试信息格式/Zi或/ZI均可 打开调试信息输出/DEBUG 3个工程都改好后重新编译 就能断住了

2.复制重新编译生成的服务端文件和VC8远程调试工具服务端文件(remote debugger目录)到vm机 打开x86目录下的msvsmon文件 依次选择菜单栏工具->选项->无身份验证 复选允许任何用户调试 端口默认即可

3.打开vc8 gh0st解决方案 把svchost设为默认启动项目 随便下个断点（我是搜索“文件管理” ，于是断点下到了服务端处理文件管理消息的地方）

4.vc8工具栏 依次选择->调试->附加到进程->远程->输入ip地址->回车即看到目标vm机进程

5.gh0st服务端的代码是注入svchost的 由于进程列表中有多个不好确定 可以通过控制端发送一个比较大的文件 服务端打开taskmgr 被注入代码的svchost进程CPU占用率会飙升 记住pid号 回到vc8环境中 attach上去

6.断点打好 服务端随便执行点命令 ok 断住了 慢慢爽吧：）