灰鸽子技术
灰鸽子是国内一款著名后门。
比起前辈冰河、
黑洞来,
灰鸽子可以说是国内后门的集大成者。
其丰富而强大的功能、
灵活多变的操作、
良好的隐藏性使其他后门都相形见绌。
客户端简易
便捷的操作使刚入门的初学者都能充当黑客。
当使用在合法情况下时,
灰鸽子是一款优秀的
远程控制软件。但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。
灰鸽子远程监控软件分两部分:客户端和服务端。黑客(姑且这么称呼吧)操纵着客户端,
利用客户端配置生成出一个服务端程序。服务端文件的名字默认为
G_Server.exe
,然后黑
客通过各种渠道传播这个服务端(俗称种木马)。种木马的手段有很多,比如,黑客可以将
它与一张图片绑定,然后假冒成一个羞涩的
MM
通过
QQ
把木马传给你,诱骗你运行;也
可以建立一个个人网页,诱骗你点击,利用
IE
漏洞把木马下载到你的机器上并运行;还可
以将文件上传到某个软件下载站点,
冒充成一个有趣的软件诱骗用户下载
……
,
这正违背了
我们开发灰鸽子的目的,
所以本文适用于那些让人非法安装灰鸽子服务端的用户,
帮助用户
删除灰鸽子
Vip 2005
的服务端程序。本文大部分内容摘自互联网。
G_Server.exe
运行后将自己拷贝到
Windows
目录下
(98/xp
下为系统盘的
windows
目
录,
2k/NT
下为系统盘的
Winnt
目录
)
,
然后再从体内释放
G_Server.dll
和
G_Server_Hook.dll
到
windows
目录下。
G_Server.exe
、
G_Server.dll
和
G_Server_Hook.dll
三个文件相互配
合组成了灰鸽子服务端,
有些灰鸽子会多释放出一个名为
G_ServerKey.dll
的文件用来记录
键盘操作。注意,
G_Server.exe
这个名称并不固定,它是可以定制的,比如当定制服务端
文件名为
A.exe
时,生成的文件就是
A.exe
、
A.dll
和
A_Hook.dll
。
Windows
目录下的
G_Server.exe
文件将自己注册成服务
(
9X
系统写注册表启动项)
,
每次开机都能自动运行,运行后启动
G_Server.dll
和
G_Server_Hook.dll
并自动退出。
G_Server.dll
文件实现后门功能,与控制端客户端进行通信;
G_Server_Hook.dll
则通过拦
截
API
调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务
项。
随着灰鸽子服务端文件的设置不同,
G_Server_Hook.dll
有时候附在
Explorer.exe
的进
程空间中,有时候则是附在所有进程中。
灰鸽子的手工检测
由于灰鸽子拦截了
API
调用,在正常模式下服务端程序文件和它注册的服务项均被隐
藏,也就是说你即使设置了
“
显示所有隐藏文件
”
也看不到它们。此外,灰鸽子服务端的文件
名也是可以自定义的,这都给手工检测带来了一定的困难。
但是,
通过仔细观察我们发现,
对于灰鸽子的检测仍然是有规律可循的。
从上面的运行
原理分析可以看出,
无论自定义的服务器端文件名是什么,
一般都会在操作系统的安装目录
下生成一个以
“_hook.dll”
结尾的文件。
通过这一点,
我们可以较为准确手工检测出灰鸽子
服
务端。
由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。
进入安全模式的方法是:启动计算机,在系统进入
Windows
启动画面前,按下
F8
键
(
或者
灰鸽子是国内一款著名后门。
比起前辈冰河、
黑洞来,
灰鸽子可以说是国内后门的集大成者。
其丰富而强大的功能、
灵活多变的操作、
良好的隐藏性使其他后门都相形见绌。
客户端简易
便捷的操作使刚入门的初学者都能充当黑客。
当使用在合法情况下时,
灰鸽子是一款优秀的
远程控制软件。但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。
灰鸽子远程监控软件分两部分:客户端和服务端。黑客(姑且这么称呼吧)操纵着客户端,
利用客户端配置生成出一个服务端程序。服务端文件的名字默认为
G_Server.exe
,然后黑
客通过各种渠道传播这个服务端(俗称种木马)。种木马的手段有很多,比如,黑客可以将
它与一张图片绑定,然后假冒成一个羞涩的
MM
通过
把木马传给你,诱骗你运行;也
可以建立一个个人网页,诱骗你点击,利用
IE
漏洞把木马下载到你的机器上并运行;还可
以将文件上传到某个软件下载站点,
冒充成一个有趣的软件诱骗用户下载
……
,
这正违背了
我们开发灰鸽子的目的,
所以本文适用于那些让人非法安装灰鸽子服务端的用户,
帮助用户
删除灰鸽子
Vip 2005
的服务端程序。本文大部分内容摘自互联网。
G_Server.exe
运行后将自己拷贝到
Windows
目录下
(98/xp
下为系统盘的
windows
目
录,
2k/NT
下为系统盘的
Winnt
目录
)
,
然后再从体内释放
G_Server.dll
和
G_Server_Hook.dll
到
windows
目录下。
G_Server.exe
、
G_Server.dll
和
G_Server_Hook.dll
三个文件相互配
合组成了灰鸽子服务端,
有些灰鸽子会多释放出一个名为
G_ServerKey.dll
的文件用来记录
键盘操作。注意,
G_Server.exe
这个名称并不固定,它是可以定制的,比如当定制服务端
文件名为
A.exe
时,生成的文件就是
A.exe
、
A.dll
和
A_Hook.dll
。
Windows
目录下的
G_Server.exe
文件将自己注册成服务
(
9X
系统写注册表启动项)
,
每次开机都能自动运行,运行后启动
G_Server.dll
和
G_Server_Hook.dll
并自动退出。
G_Server.dll
文件实现后门功能,与控制端客户端进行通信;
G_Server_Hook.dll
则通过拦
截
API
调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务
项。
随着灰鸽子服务端文件的设置不同,
G_Server_Hook.dll
有时候附在
Explorer.exe
的进
程空间中,有时候则是附在所有进程中。
灰鸽子的手工检测
由于灰鸽子拦截了
API
调用,在正常模式下服务端程序文件和它注册的服务项均被隐
藏,也就是说你即使设置了
“
显示所有隐藏文件
”
也看不到它们。此外,灰鸽子服务端的文件
名也是可以自定义的,这都给手工检测带来了一定的困难。
但是,
通过仔细观察我们发现,
对于灰鸽子的检测仍然是有规律可循的。
从上面的运行
原理分析可以看出,
无论自定义的服务器端文件名是什么,
一般都会在操作系统的安装目录
下生成一个以
“_hook.dll”
结尾的文件。
通过这一点,
我们可以较为准确手工检测出灰鸽子
服
务端。
由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。
进入安全模式的方法是:启动计算机,在系统进入
Windows
启动画面前,按下
F8
键
(
或者
