文章总结： 本文详细介绍了HVNC技术的原理与实现，通过创建隐藏虚拟桌面实现无感知远程控制，对比了HVNC与普通VNC的关键差异，并演示了EasyShell工具对该技术的集成应用。文章还提供了终端检测特征和防御方案等可操作安全建议，强调该技术主要用于学习研究。 综合评分： 80 文章分类： 渗透测试,红队,内网渗透,恶意软件,安全工具

【思路学习】HVNC 隐藏桌面连接，无感桌面操作，EasyShell已实现并集成

原创

沐寒 沐寒

渗透云记

2026年6月23日 21:17 甘肃

在小说阅读器读本章

去阅读

免责声明

由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！

欢迎关注本公众号，长期推送技术文章

前言

感谢各位师傅们分享的诸多优秀项目，经过几天的折腾研究，挑其中感兴趣的hvnc进行分享一下学习，做一篇备忘录

一、HVNC

什么是HVNC技术呢？

HVNC = Hidden Virtual Network Computing，隐藏式虚拟网络计算，是基于标准 VNC 改造、依托系统多桌面机制实现无感知隐蔽远程控制的技术，主流运行在 Windows，也有 macOS 变种。

普通 VNC 直接操作用户正在使用的可见桌面，鼠标、窗口、弹窗都会被受害者看见；HVNC 单独开辟一套独立、不可见虚拟桌面，攻击者操作全程隔离，终端使用者完全无法察觉。

二、核心实现原理（Windows）

1. 创建隐藏桌面  调用 Windows 原生 API，新建独立虚拟桌面，系统默认只有可见桌面，新建桌面后台静默存在，显示器不输出画面。
2. 进程绑定隐藏桌面   将恶意 / 运维线程挂载到新建隐藏桌面，所有绘图、键鼠输入仅作用于该桌面，不会同步到用户前台。
3. 跨进程消息转发  通过窗口子类化、钩子劫持键鼠消息，把隐藏桌面的点击、输入映射到系统全局输入子系统，实现后台操控文件、浏览器、注册表等程序。
4. VNC 画面单独回传  攻击者客户端只接收隐藏桌面的帧缓冲画面，受害者显示器始终显示自己正常桌面，无任何异常光标、弹窗。

三、HVNC vs 普通 VNC 关键区别

| 对比项 | 标准 VNC | HVNC 隐藏 VNC | | — | — | — | | 操作桌面 | 用户前台可见桌面 | 独立后台隐形桌面 | | 可见痕迹 | 光标移动、弹窗、窗口全部可见 | 前台无任何画面、光标变化 | | 察觉难度 | 极易被发现 | 普通用户完全无感 | | 系统依赖 | 通用图形会话 | 依赖 Windows 多桌面 API | | 典型用途 | 公开远程协助 | 静默运维、恶意隐蔽操控 |

四、技术研究学习

目前EasyShell已实现HVNC插件的调用与展示，不过仅限用于学习演示，不会外发。

登录EasyShell,点击屏幕截屏模块，可以发现存在物理桌面与HVNC两种方式

物理桌面就是传统的方案，所有操作客户端均会实时同步

为了对比研究，这里用双屏的方式进行桌面查看

具体演示，可以查看以下视频

已关注

关注

重播 分享 赞

关闭

观看更多

更多

退出全屏

切换到竖屏全屏退出全屏

渗透云记已关注

分享视频

，时长00:51

0/0

00:00/00:51

切换到横屏模式

继续播放

[ ]

进度条，百分之0

播放

00:00

/

00:51

00:51

倍速

全屏

倍速播放中

0.5倍 0.75倍 1.0倍 1.5倍 2.0倍

超清 流畅

继续观看

【思路学习】HVNC 隐藏桌面连接，无感桌面操作，EasyShell已实现并集成

观看更多

原创

,

【思路学习】HVNC 隐藏桌面连接，无感桌面操作，EasyShell已实现并集成

渗透云记已关注

分享点赞在看

已同步到看一看写下你的评论

视频详情

测试过程中还发现一个有趣的情况，即目标主机已锁屏，然后点击下发HVNC，惊奇的发现，可以直接进行控制，无需解锁桌面

五、安全检测与防御手段

1. 终端检测特征

1. 枚举系统所有桌面：EnumDesktops 发现非默认陌生隐藏桌面；
2. 检索进程线程绑定异常桌面（SetThreadDesktop 行为）；
3. 排查窗口钩子、全局键鼠消息劫持程序；
4. 流量监控：陌生出站 VNC/RFB 协议流量、非常规端口远程画面传输。

2. 防御方案

1. EDR 终端检测：监控CreateDesktop、SetThreadDesktop敏感 API 调用并告警；
2. 组策略限制非授权程序创建新桌面；
3. 禁用未授权全局钩子、远程画面传输出站；
4. 定期查杀 RAT、银行木马类恶意样本；
5. 服务器禁用 Session 0 交互，阻断后台隐蔽会话。

总结

最好的学习就是看各种开源项目，站在巨人的肩膀上，看清前行的路，然后一步一步走过去。

往期精彩：

【工具更新】EasyShell v2.1 版本更新，新增https与doh协议上线，新增键盘监听小功能，修复分组分页切换错误等诸多bug

EasyShell Extensions 脚本菜单 — 用户使用手册

【工具更新】EasyShell v2.0 版本更新，新增网络拓扑探索，优化内网多级网络上线，修复shellcode无法加载等诸多bug

【工具更新】EasyShell v1.9版本更新，修复存在的bug，提高程序稳定性与免杀能力

新型社工钓鱼伪装技术之WinGet配置文件+Lnk文件

默连(morelian) 简简单单的webshell管理工具(支持常规的代码执行，文件管理等，默认支持http与socks代理，支持gui与浏览器两种运行方式)

EasyTools渗透测试工具箱V2.2.2更新(1.新增云上安全，支持oss存储桶扫描、云存储管理与云服务管理;2. 修复数据库连接bug )

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：渗透云记 沐寒 沐寒《【思路学习】HVNC 隐藏桌面连接，无感桌面操作，EasyShell已实现并集成》