开始使用
STEP 01下载客户端
从本站下载被控端和控制端,并核对 SHA-256 校验值。
STEP 02被控端授权
设备所有者登录后选择本次允许的能力与工作目录。
STEP 03建立会话
把本次会话信息交给可信控制方,结束后立即断开。
服务地址
API: https://test.gpt-cloud.cn/remote/
Relay: wss://test.gpt-cloud.cn/remote/ws
权限边界
文件与目录只允许客户选择的工作目录,系统目录硬拒绝。
白名单打开目标只允许 HTTP/HTTPS URL 或白名单内本地文件。
独立授权
系统隔离
应用层目录策略可保护文件传输与打开目标,但无法把“完整键盘鼠标控制”变成操作系统级沙箱。需要严格禁止访问 C、D、E 盘或系统资源时,请在客户电脑上增加系统级隔离:
- 创建不具备管理员权限的独立 Windows 用户。
- 通过 NTFS ACL 只授予指定工作目录权限。
- 使用 AppLocker 或 Windows Defender Application Control 限制可启动程序。
- 敏感场景运行在 Windows Sandbox、Hyper-V 或其他虚拟机中。
不要以管理员身份常驻运行被控端。不要关闭杀毒软件或系统安全功能来换取连接便利。
文件校验
下载后使用系统工具核对校验值。校验相同只能证明文件完整,不等于代码签名。
Windows PowerShell:
Get-FileHash .\ccfrp-controlled-windows-amd64.exe -Algorithm SHA256
macOS:
shasum -a 256 ./ccfrp-controlled-darwin-arm64
网络要求
- 允许访问 `test.gpt-cloud.cn` 的 TCP 443 端口。
- 代理、防火墙和网关需要支持 WebSocket Upgrade。
- 客户端必须校验证书,不提供跳过 TLS 校验的开关。
- 企业网络可只放行正式域名,不需要开放 Relay 原始端口。