YAI究竟是工具还是病毒,曾经为此争议颇多。但是笔者认为:就跟刀这个工具一样,落到不同人的手中将产生不同的后果。我们主要取积极的一面。
YAI是You And I的缩写,一个中国人自己编写的远程控制工具,它的开发者是重庆邮电学院计算机专业的博士生杜江。
YAI的功能非常强大,它提供了30多种远程监视、管理及控制命令,使用者可在本地方便地操作远端目标计算机,包括获取目标计算机屏幕图象、窗口及进程列表,记录并提取远端键盘事件(击键序列),打开、关闭目标计算机任意目录的资源共享,提取拨号网络及普通程序口令、密码,激活、终止远端进程,打开、关闭、移动远端窗口,控制目标计算机鼠标的移动与动作,交换远端鼠标的左右键,在目标计算机模拟键盘输入,浏览目标计算机文件目录,下载、上传文件,远程执行程序,强制关闭Windows、关闭系统(包括电源)、重启系统,提取、创建、修改、删除目标计算机系统注册表关键字,在远端屏幕上显示消息,启动目标计算机外设进行捕获、播放多媒体(视频/音频)文件,控制远端录、放音设备音量,远程版本升级更新,等等……
1、认识YAI的操作界面
YAI的安装包括两个部分:客户端和服务器端。服务端的安装执行YAIver.exe就OK了,客户端则直接运行YAIgent.exe。
运行YAIgent.exe后将出现如下图所示的操作界面。
YAI的控制界面采用图形化设计,有很多的快捷按钮,当把鼠标移到相应的按钮上时,将会出现命令提示,操作起来非常容易。
左上角的文本框(默认IP为127.0.0.1)是用来输入远程服务器端的IP地址的,这里输入要控制的计算机的IP地址,与远程计算机连接后就可以进行控制了。
IP地址框旁的复选框及数字则表示当我们对远程计算机进行控制时,每隔多长时间给服务器端发一次联系命令,如果不选中“keep it”复选框,将只发一次命令罗。例如可以设置每隔10秒钟发一次命令,试想,若将时间间隔设置为0,那我们不就可以随时监视远程计算机的一举一动啦?
在时间间隔设置框的旁边有一个很隐蔽的按钮,它的作用是停止向远程计算机发送连续的命令。
中间左边很大一块是服务器端显示区域,当客户端跟踪服务器端时,此区域可以用来显示服务器端的屏幕状况以实现远程监视。当未监视服务器端时,此区域显示的是YAI的徽标图片。
在屏幕显示区域的下方是Windows命令列表区域(如下图),它记录了服务器端正在进行的Windows操作的类别、标题、任务的进程及进程ID。通过它可以对远程计算机的进程实行控制。
中间屏幕显示区域的右边是操作信息显示区域,这里显示了对远程计算机进行的操作以及从服务器端获得的信息。
在服务器端信息显示区域下面的一排按钮(如下图)是用来对登陆文件进行操作的。从左到右各个按钮的具体能如下:
Show Hosts List:显示所有曾连接过的主机的IP地址。这个按钮可以用来在显示主机列表和显示服务器端信息之间切换。
Save LogMessages As:保存登陆信息,将文件保存为Log File、Captured Image File、ScrSpy Server Excutable File等格式。
RealTime LogFile:显示实时的LogFile信息。
Clear Logfile:删除选中的LogFile文件。
Search in Log Window:在登陆信息窗口中查找内容。
Repaint Log Window:重新刷新登陆信息窗口。
Clear Log Window:删除登陆信息窗口中的所有内容。
在YAIgent操作界面底部的系列按钮是用来远程登陆的命令,如下图所示。
从左到右各个按钮的功能如下:
Ping Remote Host:Ping远程主机,给远端的主机发个数据包看它能否被访问,即是说看远程计算机是否执行了YAIver程序。如果没有,则远程控制无法进行。
Find the Right Port:寻找合适的控制端口。
Connect YAIver:在对远程计算机进行控制之前,必须先使用这个命令来连接远程服务器。
Disconnect:当不再需要控制远程计算机时,使用这个命令断开与服务器端的连接。
Record Mouse Action:记录下鼠标所有的操作。
Full Screen View:以全屏幕方式在客户端监视服务器端的屏幕。
Save Caputured Picture:保存抓取的服务器端的屏幕图像。
About This Program:作者关于本软件的一点声明。
Show Logo Picture:显示本软件的徽标。
Configure Scragent:对服务器端进行配置,以及提供在线帮助。如图5所示。YAI的默认连接端口是1024,可以对它进行更改,另外还可以设置连接密码。
File Name For UPGRADE Command:导入命令更新文件,YAI允许导入一些外部的命令文件。
File Name For GETFILE Command:导入远程获取文件的命令。
File Name For PUTFILE Command:导入远程上传文件的命令。
End Mission:关闭本程序。
在命令编辑框的右边还有两个按钮(如下图),一个是向远程计算机发送命令,另一个是点击复选框后,将自动按顺序保存从远程计算机抓取的屏幕图像(以bmp格式存储)。
2、YAI命令详解
50多条远程控制命令是YAI的精华,下面详细介绍。
单击图6命令编辑框右边的下拉列表,将弹出命令列表,用户可以用鼠标选择执行的命令。
·CODE>:显示服务器端的YAIver是否是加密。
·VER>:显示服务器端的YAIver的版本信息。
SCRF、SCRS和SCRG:获取服务器端屏幕的显示信息。该系列命令后面的参数为:WIDTH表示抓取图像的宽度,HEIGHT表示抓取图像的高度,QOS表示抓取图像的质量,数值越大质量越高。
说明:如果我们设置图像的大小为800*600(与显示分辨率相同),质量为100%,抓取的时间间隔为1秒,以全屏方式显示,那么我们就远程监视服务器端计算机的操作了,看看对方是不是在干坏事!哈哈,是不是有点成就感!
·BEEP、PLAY和CAPTURE:BEEP可以使远程计算机的小喇叭发出声音;PLAY可以使远程计算机播放多媒体文件;CAPTURE可以启动目标计算机外设进行捕获、播放多媒体(视频/音频)文件。
参数设置:PLAY的参数MMFILE必须指定多媒体文件的路径以及格式;CAPTUAL参数MMTYPE表示从目标计算机捕获的多媒体是音频(AUDIO)还是视频(VIDEO);参数MMFILE设定捕获的文件的保存格式;参数TIME设定抓取音频或视频的时间。
·MSGS和MSGH:用来向远程计算机发送消息框。
参数设置:它的格式为MSGS>X=30;Y=100;WIDTH=400;HEIGHT=50;STRING=YAIgent Connected !;X和Y是设定所发送的消息框在目标计算机屏幕上的位置的。WIDTH和HEIGHT设定消息框的大小,然后在STRING里填上你所要发送的信息就可以了。
·GETDIR和GETDSKLST:GETDIR查看远程计算机上的文件目录;GETDSKLST获取磁盘目录。
参数设置:GETDIR的参数格式为GETDIR>PATH=C:\*.*;PATH表示路径,即显示某个路径下的所有文件目录情况。如:GETDIR>PATH=C:\WINDOWS\*.*;表示显示被监视计算机的C盘WINDOWS目录下的所有文件和子目录。
GETDSKLST不需任何参数,用于显示远程计算机的磁盘情况。 ·ELFILE、PUTFILE、GETFILE和CPYFILE
DELFILE删除文件,PUTFILE在目标计算机上新建一个文件,GETFILE获取目标计算机上的指定文件,CPYFILE将目标计算机上的文件换名或换盘拷贝。
参数设置:DELFILE>FILE=C:\SS.EXE,参数FILE= 设定须删除的文件所在的路径及文件名。即删除什么目录下的什么文件。
PUTFILE>FILE=C:\SS.EXE;与DELFILE一样参数FILE设定了新建文件的路径、文件名和文件格式。即在什么地方新建一个什么类型的文件。
GETFILE>FILE=C:\AUTOEXEC.BAT;参数FILE指定了获取文件的路径及名称。 CPYFILE>SRC=C:\SS.EXE;DES=C:\SSS.EXE;参数SCR设定源文件所在的目录及文件名,参数DES设定了目标文件的目录和文件名。
·EXE、EXEDOS和EXESHELL
EXE执行WINDOWS下的程序,EXEDOS执行DOS下的可执行程序,EXESHELL直接调用WINDOWS下的运行程序。
参数设置:EXE>CMD=C:\WINDOWS\NOTEPAD.EXE;OPTION=C:\AUTOEXEC.BAT;CMD= 表示使用什么可执行程序,OPTION= 表示程序执行的对象,这个命令所执行的操作就是用WINDOWS目录下的记事本程序来打开C盘根目录下的AUTOEXEC.BAT文件。OPTION这个参数是可有可无的。
EXEDOS>CMD=C:\MYBAT.BAT;参数CMD= 用来指定所要执行的DOS命令。这个命令所执行的操作就是运行C盘根目录下的MYBAT.BAT这个程序。
EXESHELL>CMD=c:\;参数CMD= 用来指定所要运行的程序、文件夹、文档或Internet资源。这个命令所执行的操作就是浏览C盘的文件。同样EXESHELL>CMD=http://phy.cnu.edu.cn就是浏览这个网站。
·WINLIST:显示目标计算机的WINDOWS进程列表。
其中Window Class表示各任务所属的类,Window Title表示各个任务的标题,Task ID表示各任务的ID号是多少。
·REBOOTSYS、POWEROFF、SHUTDOWNWINS
REBOOTSYS命令是将远程计算机重新启动,POWEROFF是将远程计算机的电源关闭,SHUTDOWNWINS是关闭服务器端计算机的Windows系统。
·MSSWAP:交换鼠标的左右键
参数:SWAP,当SWAP=TRUE时,鼠标的左右键互换,将鼠标改为左手习惯的,当SWAP=FALSE时,鼠标的左右键不互换。
·CLEANYAI和UPGRADE
CLEANYAI命令可以在客户端删除服务器端的YAIver的程序。
UPGRADE在客户端对服务器端的YAIver的程序进行远程版本升级和更新,以便能够更好地对远程计算机进行控制。
·ETVOLUME:设系统音量的大小。
参数:参数VOL用来设定系统音量的大小,最小值为0,最大不能超过65535。
·SKINFO:显示磁盘信息
参数:用参数DISKNAME来指定具体盘符。例如DSKINFO>DISKNAME=C,表示查看关于C的一些信息。DiskName表示磁盘的名称,DiskSpace表示磁盘空间大小,DiskType说明该盘为不可移动的固定磁盘,freeSpace表示剩余磁盘空间大小,SerialNo表示硬盘出厂序列号,VolumeLab为卷标。
3、发现并清除YAI
当计算机被人用YAI控制时,在屏幕的左下角会有一颗漂亮的红心不停地跳动,当把鼠标放在上面的时候,将显示YAI控制端的IP。
具有寄生能力的YAI能够感染可执行文件,使可执行文件失去作用。检查文件是否已经被感染的方法为:只要检查文件的大小就可以了。因为文件被感染后,大小会增加200K至300K个字节。另一方法是检查系统中是否含扩展名为“~.yai”和“~tmp.yai”的文件。另外,被YAI感染的可执行文件的图标会变得模糊。
文件被感染后,最简单的方法是拷贝一个未被感染的同名文件覆盖它。另外一种方法是使用专用的程序YAIcleaner,YAI的作者为了对付病毒在网上的大肆传播,开发出了一个用来检测并删除YAIver的小程序YAIcleaner(你可以到本网站上下载)。该软件使用非常简单,不在此介绍。