前言
感谢各位师傅们分享的诸多优秀项目,经过几天的折腾研究,挑其中感兴趣的hvnc进行分享一下学习,做一篇备忘录
一、HVNC
什么是HVNC技术呢?
HVNC = Hidden Virtual Network Computing,隐藏式虚拟网络计算,是基于标准 VNC 改造、依托系统多桌面机制实现无感知隐蔽远程控制的技术,主流运行在 Windows,也有 macOS 变种。
普通 VNC 直接操作用户正在使用的可见桌面,鼠标、窗口、弹窗都会被受害者看见;HVNC 单独开辟一套独立、不可见虚拟桌面,攻击者操作全程隔离,终端使用者完全无法察觉。
二、核心实现原理(Windows)
- 创建隐藏桌面调用 Windows 原生 API,新建独立虚拟桌面,系统默认只有可见桌面,新建桌面后台静默存在,显示器不输出画面。
- 进程绑定隐藏桌面 将恶意 / 运维线程挂载到新建隐藏桌面,所有绘图、键鼠输入仅作用于该桌面,不会同步到用户前台。
- 跨进程消息转发通过窗口子类化、钩子劫持键鼠消息,把隐藏桌面的点击、输入映射到系统全局输入子系统,实现后台操控文件、浏览器、注册表等程序。
- VNC 画面单独回传攻击者客户端只接收隐藏桌面的帧缓冲画面,受害者显示器始终显示自己正常桌面,无任何异常光标、弹窗。
三、HVNC vs 普通 VNC 关键区别
| 对比项 | 标准 VNC | HVNC 隐藏 VNC |
|---|---|---|
| 操作桌面 | 用户前台可见桌面 | 独立后台隐形桌面 |
| 可见痕迹 | 光标移动、弹窗、窗口全部可见 | 前台无任何画面、光标变化 |
| 察觉难度 | 极易被发现 | 普通用户完全无感 |
| 系统依赖 | 通用图形会话 | 依赖 Windows 多桌面 API |
| 典型用途 | 公开远程协助 | 静默运维、恶意隐蔽操控 |
四、技术研究学习
目前easyshell已实现HVNC插件的调用与展示,不过仅限用于学习演示。
登录EasyShell,点击屏幕截屏模块,可以发现存在物理桌面与HVNC两种方式
物理桌面就是传统的方案,所有操作客户端均会实时同步
为了对比研究,这里用双屏的方式进行桌面查看
![图片[1]-【思路学习】HVNC 隐藏桌面连接,无感桌面操作,EasyShell已实现并集成-渗透云记 - 专注于网络安全与技术分享](https://b.encenc.com/wp-content/uploads/2026/06/d2b5ca33bd20260623212027.png)
具体演示,可以查看以下视频
测试过程中还发现一个有趣的情况,即目标主机已锁屏,然后点击下发HVNC,惊奇的发现,可以直接进行控制,无需解锁桌面
![图片[2]-【思路学习】HVNC 隐藏桌面连接,无感桌面操作,EasyShell已实现并集成-渗透云记 - 专注于网络安全与技术分享](https://b.encenc.com/wp-content/uploads/2026/06/d2b5ca33bd20260623212041.png)
五、安全检测与防御手段
1. 终端检测特征
- 枚举系统所有桌面:
EnumDesktops发现非默认陌生隐藏桌面; - 检索进程线程绑定异常桌面(
SetThreadDesktop行为); - 排查窗口钩子、全局键鼠消息劫持程序;
- 流量监控:陌生出站 VNC/RFB 协议流量、非常规端口远程画面传输。
2. 防御方案
- EDR 终端检测:监控
CreateDesktop、SetThreadDesktop敏感 API 调用并告警; - 组策略限制非授权程序创建新桌面;
- 禁用未授权全局钩子、远程画面传输出站;
- 定期查杀 RAT、银行木马类恶意样本;
- 服务器禁用 Session 0 交互,阻断后台隐蔽会话。
总结
最好的学习就是看各种开源项目,站在巨人的肩膀上,看清前行的路,然后一步一步走过去。
© 版权声明
渗透云记的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。
渗透云记拥有对此文章的修改、删除和解释权限,如转载或传播此文章,需保证文章的完整性,未经允许,禁止转载!
本文所提供的工具仅用于学习,禁止用于其他,请在24小时内删除工具文件!!!访问本博客请务必遵守有关互联网的相关法律、规定与规则。一旦您访问本博客,即表示您已经知晓并接受了此声明通告。详情见本站的“免责声明”如果有侵权之处请第一时间联系我们删除。敬请谅解!E-mail:admin@encenc.com
THE END














请登录后查看评论内容