灰鸽子是海内一款出名后门。
比起先辈冰河、黑洞来,灰鸽子能够说是海内后门的集大成者。其丰厚而强盛的功用、灵敏多变的操纵、精良的暗藏性使其余后门都相形见绌。
客户端浅易便利的操纵使刚入门的初学者都能充任黑客。当运用在正当状况下时,灰鸽子是一款优良的长途把持软件。
但若拿它做一些不法的事,灰鸽子就成为了很强盛的黑客工具。这就比如炸药,用在差别的场所,给人类带来差别的影响。
对于灰鸽子完好的介绍大概只有灰鸽子作者自己可以说明白,在此我们只能举行扼要介绍。 灰鸽子客户端和效劳端都是采纳Delphi编写。
黑客应用客户端顺序配置出效劳端顺序。可配置的信息首要包含上线范例(如等候衔接仍是积极衔接)、积极衔接时运用的公网IP(域名)、衔接暗码、运用的端口、启动项称号、效劳称号,过程暗藏方法,运用的壳,署理,图标等等。
效劳端对于客户端衔接方法有多种,使得处于各类网络环境的用户均可能中毒,包含局域网用户(经过署理上彀)、公网用户和ADSL拨号用户等。 下面介绍效劳端: 配置出来的效劳端文件文件名为G_Server.exe(这是默许的,固然也能够改动)。
然后黑客应用统统方法拐骗用户运转G_Server.exe顺序。 G_Server.exe运转后将本人拷贝到Windows目次下(98/xp下为体系盘的windows目次,2k/NT下为体系盘的Winnt目次),然后再从体内开释G_Server.dll和G_Server_Hook.dll到windows目次下。
G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件互相合营构成了灰鸽子效劳端, G_Server_Hook.dll担任暗藏灰鸽子。经过截获过程的API挪用暗藏灰鸽子的文件、效劳的注册表项,乃至是过程中的模块名。
截获的函数首要是用来遍历文件、遍历注册表项和遍历过程模块的一些函数。所以,有些时分用户觉得种了毒,但细心反省却又发明不了甚么异样。
有些灰鸽子会多开释出一个名为G_ServerKey.dll的文件用来记载键盘操纵。留意,G_Server.exe这个称号其实不牢固,它是能够定制的,比方当定礼服务端文件名为A.exe时,生成的文件便是A.exe、A.dll和A_Hook.dll。
Windows目次下的G_Server.exe文件将本人注册成效劳(9X体系写注册表启动项),每次开机都能主动运转,运转后启动G_Server.dll和G_Server_Hook.dll并主动退出。G_Server.dll文件完成后门功用,与把持端客户端举行通讯;G_Server_Hook.dll则经过阻拦API挪用来暗藏病毒。
因而,中毒后,我们看不到病毒文件,也看不到病毒注册的效劳项。跟着灰鸽子效劳端文件的配置差别,G_Server_Hook.dll偶然候附在Explorer.exe的过程空间中,偶然候则是附在一切过程中。
灰鸽子的作者对若何逃过杀毒软件的查杀花了很鼎力气。因为一些API函数被截获,正常形式下难以遍历到灰鸽子的文件和模块,形成查杀上的坚苦。
要卸载灰鸽子动态库并且包管体系过程不溃散也很费事,因而形成了近期灰鸽子在互联网上泛滥的场面。
救命救命,解灰鸽子病毒
灰鸽子病毒!只有手动肃清才干杀的洁净 灰鸽子的手动肃清办法 手工肃清灰鸽子其实不难,主要的是我们必需理解它的运转道理。
灰鸽子的运转道理 灰鸽子长途监控软件分两部份:客户端和效劳端。黑客(权且这么称谓吧)把持着客户端,应用客户端配置生成出一个效劳端顺序。
效劳端文件的名字默许为G_Server.exe,然后黑客经过各类渠道传达这个效劳端(俗称种木马)。种木马的本领有良多,比方,黑客能够将它与一张图片绑定,然后冒充成一个羞怯的MM经过QQ把木马传给你,拐骗你运转;也能够树立一个小我网页,拐骗你点击,应用IE破绽把木马下载到你的机械上并运转;还能够将文件上传到某个软件下载站点,假充成一个风趣的软件拐骗用户下载……,这正违犯了我们开辟灰鸽子的目的,所以本文合用于那些让人不法装置灰鸽子效劳真个用户,协助用户删除了灰鸽子 Vip 2005 的效劳端顺序。
本文大部份内容摘自互联网。 假如你没有爱好读下面的文章,请直接下载我们供给的肃清器运用 /DelHgzvip20050105.exe G_Server.exe运转后将本人拷贝到Windows目次下(98/xp下为体系盘的windows目次,2k/NT下为体系盘的Winnt目次),然后再从体内开释G_Server.dll和G_Server_Hook.dll到windows目次下。
G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件互相合营构成了灰鸽子效劳端,有些灰鸽子会多开释出一个名为G_ServerKey.dll的文件用来记载键盘操纵。留意,G_Server.exe这个称号其实不牢固,它是能够定制的,比方当定礼服务端文件名为A.exe时,生成的文件便是A.exe、A.dll和A_Hook.dll。
Windows目次下的G_Server.exe文件将本人注册成效劳(9X体系写注册表启动项),每次开机都能主动运转,运转后启动G_Server.dll和G_Server_Hook.dll并主动退出。G_Server.dll文件完成后门功用,与把持端客户端举行通讯;G_Server_Hook.dll则经过阻拦API挪用来暗藏病毒。
因而,中毒后,我们看不到病毒文件,也看不到病毒注册的效劳项。跟着灰鸽子效劳端文件的配置差别,G_Server_Hook.dll偶然候附在Explorer.exe的过程空间中,偶然候则是附在一切过程中。
灰鸽子的手工检测 因为灰鸽子阻拦了API挪用,在正常形式下效劳端顺序文件和它注册的效劳项均被暗藏,也便是说你即便配置了“表现一切暗藏文件”也看不到它们。别的,灰鸽子效劳真个文件名也是能够自界说的,这都给手工检测带来了必定的坚苦。
可是,经过细心察看我们发明,对灰鸽子的检测依然是有法则可循的。从上面的运转道理剖析能够看出,不管自界说的效劳器端文件名是甚么,普通城市在操纵体系的装置目次下生成一个以“_hook.dll”结尾的文件。
经过这一点,我们能够较为精确手工检测出灰鸽子 效劳端。 因为正常形式下灰鸽子会暗藏本身,因而检测灰鸽子的操纵必定要在平安形式下举行。
进入平安形式的办法是:启动盘算机,在体系进入Windows启动画眼前,按下F8键(或在启动盘算机时按住Ctrl键不放),在呈现的启动选项菜单中,挑选“Safe Mode”或者“平安形式”。 一、因为灰鸽子的文件自身具备暗藏属性,因而要配置Windows表现一切文件。
翻开“我的电脑”,挑选菜单“工具”—》“文件夹选项”,点击“检查”,撤消“暗藏受维护的操纵体系文件”前的对于勾,并在“暗藏文件和文件夹”项当选择“表现一切文件和文件夹”,然后点击“断定”。 二、翻开Windows的“搜刮文件”,文件称号输入“_hook.dll”,搜刮地位挑选Windows的装置目次(默许98/xp为C:\windows,2k/NT为C:\Winnt)。
三、经由搜刮,我们在Windows目次(不包括子目次)下发明了一个名为Game_Hook.dll的文件。 手工肃清灰鸽子其实不难,主要的是我们必需理解它的运转道理。
灰鸽子的运转道理 灰鸽子长途监控软件分两部份:客户端和效劳端。黑客(权且这么称谓吧)把持着客户端,应用客户端配置生成出一个效劳端顺序。
效劳端文件的名字默许为G_Server.exe,然后黑客经过各类渠道传达这个效劳端(俗称种木马)。种木马的本领有良多,比方,黑客能够将它与一张图片绑定,然后冒充成一个羞怯的MM经过QQ把木马传给你,拐骗你运转;也能够树立一个小我网页,拐骗你点击,应用IE破绽把木马下载到你的机械上并运转;还能够将文件上传到某个软件下载站点,假充成一个风趣的软件拐骗用户下载……,这正违犯了我们开辟灰鸽子的目的,所以本文合用于那些让人不法装置灰鸽子效劳真个用户,协助用户删除了灰鸽子 Vip 2005 的效劳端顺序。
本文大部份内容摘自互联网。 假如你没有爱好读下面的文章,请直接下载我们供给的肃清器运用:点击这里下载 G_Server.exe运转后将本人拷贝到Windows目次下(98/xp下为体系盘的windows目次,2k/NT下为体系盘的Winnt目次),然后再从体内开释G_Server.dll和G_Server_Hook.dll到windows目次下。
G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件互相合营构成了灰鸽子效劳端,有些灰鸽子会多开释出一个名为G_ServerKey.dll的文件用来记载键盘操纵。留意,G_Server.exe这个称号其实不牢固,。
文章《无杠灰信鸽特点 三线灰信鸽属什么品系,灰鸽子属于什么类的木马》内容系作者个人观点,不代表本站对观点赞同或支持。