CCCC-FRP
DEPLOYMENT & SECURITY

部署与安全指南

从客户端下载、账号登录到本机授权和会话结束,按照下面的顺序完成。正式使用只连接 HTTPS/WSS 地址,不接受明文 WS 服务。

开始使用

STEP 01

下载客户端

从本站下载被控端和控制端,并核对 SHA-256 校验值。

STEP 02

被控端授权

设备所有者登录后选择本次允许的能力与工作目录。

STEP 03

建立会话

把本次会话信息交给可信控制方,结束后立即断开。

服务地址

API: https://test.gpt-cloud.cn/remote/ Relay: wss://test.gpt-cloud.cn/remote/ws

权限边界

屏幕查看安全默认值,用于只读协作。
默认开启
鼠标与键盘需要设备所有者在本机主动选择。
独立授权
文件与目录只允许客户选择的工作目录,系统目录硬拒绝。
白名单
打开目标只允许 HTTP/HTTPS URL 或白名单内本地文件。
独立授权
任意命令客户安全版不包含远程命令执行。
关闭

系统隔离

应用层目录策略可保护文件传输与打开目标,但无法把“完整键盘鼠标控制”变成操作系统级沙箱。需要严格禁止访问 C、D、E 盘或系统资源时,请在客户电脑上增加系统级隔离:

  1. 创建不具备管理员权限的独立 Windows 用户。
  2. 通过 NTFS ACL 只授予指定工作目录权限。
  3. 使用 AppLocker 或 Windows Defender Application Control 限制可启动程序。
  4. 敏感场景运行在 Windows Sandbox、Hyper-V 或其他虚拟机中。
不要以管理员身份常驻运行被控端。不要关闭杀毒软件或系统安全功能来换取连接便利。

文件校验

下载后使用系统工具核对校验值。校验相同只能证明文件完整,不等于代码签名。

Windows PowerShell: Get-FileHash .\ccfrp-controlled-windows-amd64.exe -Algorithm SHA256 macOS: shasum -a 256 ./ccfrp-controlled-darwin-arm64

网络要求

  • 允许访问 `test.gpt-cloud.cn` 的 TCP 443 端口。
  • 代理、防火墙和网关需要支持 WebSocket Upgrade。
  • 客户端必须校验证书,不提供跳过 TLS 校验的开关。
  • 企业网络可只放行正式域名,不需要开放 Relay 原始端口。