大家常说的灰鸽子是啥呀?
分类: 电脑/网络 >> 反病毒
解析:
近来“灰鸽子病毒”传播的甚是厉害,5Q上有不少人以发布卡巴斯基杀毒软件为名,在其中暗藏病毒,尤其以自解压包的文件最为危险,其病毒程序在自解压后能够自动运行,并在生成木马程序后自动删除源文件!而灰鸽子病毒的作者至今还没有停止对灰鸽子的开发,再加上有部分人为了避开杀毒软件的查杀故意给灰鸽子加上各种不同的壳,造成现在网络上不断有新的灰鸽子变种出现。现在即使是最新版本的杀毒软件也未必可以完全进行查杀,可能在正常杀毒下显示已完全清除,但可能在你重新启动后,木马程序再次生成!!!在这里结合本人的实际经验给出一个“灰鸽子病毒”手动清除的办法!
灰鸽子的运行原理
灰鸽子木马分两部分:客户端和服务端。黑客(姑且这么称呼吧)操纵着客户端,利用客户端配置生成一个服务端程序。服务端文件的名字默认为G_Server.exe,然后黑客通过各种渠道传播这个木马(俗称种木马或者开后门)。种木马的手段有很多,比如,黑客可以将它与一张图片绑定,然后假冒成一个羞涩的MM通过QQ把木马传给你,诱骗你运行;也可以建立一个个人网页,诱骗你点击,利用IE漏洞把木马下载到你的机器上并运行;还可以将文件上传到某个软件下载站点,冒充成一个有趣的软件诱骗用户下载……
由于灰鸽子病毒变种繁多,其文件名也很多变,近来发现的以(Backdoor.GPigeon.sgr)类型居多,不易对付,在被感染的系统%Windows%目录下生成三个病毒文件,分别是 G_Server.exe,G_Server.dll,G_Server_Hook.dll。
G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。
同时注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。
灰鸽子病毒其特点是“三个隐藏”——隐藏进程、隐藏服务、隐藏病毒文件
灰鸽子的手工检测
由于灰鸽子拦截了API调用,在正常模式下木马程序文件和它注册的服务项均被隐藏,也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。
但是,通过仔细观察我们发现,对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子木马。
由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键,在出现的启动选项菜单中,选择“安全模式”。
1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。
2、打开Windows的“搜索文件”,文件名称输入“*_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\\windows,2k/NT为C:\\Winnt)。
3、经过搜索,在Windows目录(不包含子目录)下发现了一个名为G_Server_Hook.dll的文件。
4、根据灰鸽子原理分析我们知道,G_Server_Hook.dll是灰鸽子的文件,则在操作系统安装目录下还会有G_Server.exe和G_Server.dll文件。打开Windows目录,果然有这两个文件,同时还有一个用于记录键盘操作的G_ServerKey.dll文件。
[以上的我试过,但唔知系米我唔识操作,所以根本我都揾唔到,后黎我下咗个WINDOWS木马清道夫,扫描硬盘,咁就揾到晒所有嘅木马文件]
经过这几步操作基本就可以确定这些文件是灰鸽子木马了,下面就可以进行手动清除。灰鸽子的手工清除
经过上面的分析,清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作,主要有两步:1、清除灰鸽子的服务;2删除灰鸽子程序文件。
注意:此操作需在安全模式下进行,为防止误操作,清除前一定要做好备份。
一、清除灰鸽子的服务
2000/XP系统:
1、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services 注册表项。
2、点击菜单“编辑”-》“查找”,“查找目标”输入“G_server.exe”,点击确定,我们就可以找到灰鸽子的服务项.
3、删除整个G_server.exe键值所在的服务项。
[呢个都系,可能真系我唔识操作,所以根本就都揾唔到,于是我用咗一个低B嘅方法,就系照住清道夫搜出黎嘅文件名来查找,竟然俾我揾到.呵呵~~`揾唔到果D即系无注册项,所以直接入去文件删除就得了]
98/me系统:
在9X下,灰鸽子启动项只有一个,因此清除更为简单。运行注册表编辑器,打开HKEY_CURRENT_USER\\Sofare\\Microsoft\\Windows\\CurrentVersion\\Run项,立即可以看到名为G_server.exe的一项,将G_server.exe项删除即可。
二、删除灰鸽子程序文件
删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的G_server.exe、G_server.dll、G_server_Hook.dll以及G_serverkey.dll文件,然后重新启动计算机。至此,灰鸽子已经被清除干净。
附:
其实现在大部分的杀毒软件还是可以帮助查杀灰鸽子病毒的,本人使用的是瑞星杀毒软件并已经更新至最新版本,在正常模式下,瑞星查杀了除G_server.exe文件外的所有文件,其实本人并没有指望瑞星能够全部查杀,但瑞星实际上给我帮了一个大忙,就是帮我确定了所中灰鸽子病毒的类型,我在使用瑞星查杀时查杀了G_server.dll、G_server_Hook.dll和G_serverkey.dll这三个文件以及由前两个文件释放的附在其他进程下的文件,这就让我确定了剩下的那个文件必然是G_server.exe,于是重新启动计算机进入安全模式,首先要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。然后打开Windows的“搜索文件”,因为确定病毒文件为G_server.exe,但同时出于保险起见,在搜索中输入G_server*.*进行搜索,并选择所有分区,在C:\\windows目录下发现了G_server.exe,但令我惊讶的是竟然在D盘发现了这个文件的副本,其属性同样的隐藏的,所以建议大家在搜索时搜索所有分区,然后删除即可!
另外还需进入注册表删除服务键值项,本人利用注册表的查找功能搜索G_server,查找到了灰鸽子病毒的服务键值项,并发现其中由一个键值赫然写着".....灰鸽子.....",这令本人愤恨不已,于是删除整个服务键值项.至此,灰鸽子病毒清除完毕,本人重新启动电脑,又开始了自己的工作,并结合网上的一些相关资料为大家写下了这篇文章,希望对大家有帮助!!
[create_time]2022-11-13 08:30:33[/create_time]2022-11-23 04:15:18[finished_time]1[reply_count]0[alue_good]乡村西施[uname]https://himg.bdimg.com/sys/portrait/item/wise.1.d605dc31.YKuJEDG80ZS-O0AA42kB0A.jpg?time=4525&tieba_portrait_time=4525[avatar]TA获得超过1665个赞[slogan]这个人很懒,什么都没留下![intro]10[view_count]
什么是灰鸽子
分类: 电脑/网络 >> 反病毒
问题描述:
灰鸽子是做什么用的,是病毒吗?如果是病毒的话怎么可以把它给杀死?
解析:
灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。这就好比火药,用在不同的场合,给人类带来不同的影响。对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚,在此我们只能进行简要介绍。
灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型(如等待连接还是主动连接)、主动连接时使用的公网IP(域名)、连接密码、使用的端口、启动项名称、服务名称,进程隐藏方式,使用的壳,代理,图标等等。
下面介绍一下客户端:
连接密码的设定使得灰鸽子服务端程序只能被配置它的黑客控制,避免了黑客之间的竞争。
服务端对客户端连接方式有多种,使得处于各种网络环境的用户都可能中毒,包括局域网用户(通过代理上网)、公网用户和ADSL拨号用户等。
只用一个端口来传输所有通讯数据!普通同类软件都用到了两个或两个以上的端口来完成。
支持可以控制Inter连接共享、HTTP透明代理上网的电脑!软件智能读取系统设定的代理服务器信息,无需用户设置!
可以设置服务端开放Socks5代理服务器功能和HTTP代理服务功能!无需第三方软件支持!支持Windows9x/ME/2000/Xp/2003。便于黑客进行跳板攻击。
除了具有语音监听、语音发送,还有远程视频监控功能,只有远程计算机有摄像头,且正常打开没有被占用,那么你可以看到,远程摄像头捕获的图片!还可以把远程摄像头捕获的画面存为Mpeg-1格式.远程语音也可以录制成Wav声音文件。
其他后门具有的功能,你几乎都可以在灰鸽子里找到。而且每个功能都做的非常细致,非常人性化。整体界面比较清爽,容易上手,对每一个小细节的考虑都很到位,所有能想到的Ideal几乎都实现了。不过黑客的方便,对于广大用户来说可不是好事。
下面介绍服务端:
配置出来的服务端文件文件名为G_Server.exe(这是默认的,当然也可以改变)。然后黑客利用一切办法诱骗用户运行G_Server.exe程序。具体采用什么办法,读者可以充分发挥想象力,这里就不赘述。
G_Server.exe第一次运行时自己拷贝到Windows目录下(98/XP操作系统为系统盘windows目录,2K/NT为系统盘winnt目录),并将它注册为服务(服务名称在上面已经配置好了),然后从体内释放2个文件到Windows目录下:G_Server.dll,G_Server_Hook.dll(近期灰鸽子版本会释放3个文件,多了一个G_ServerKey.exe,主要用来记录键盘操作)。然后将G_Server.dll,G_Server_Hook.dll注入到Explorer.exe、IExplorer.exe或者所有进程中执行。然后G_Server.exe退出,两个动态库继续运行。由于病毒运行的时候没有独立进程,病毒隐藏性很好。以后每次开机时,Windows目录下的G_Server.exe都会自动运行,激活动态库后退出,以免引起用户怀疑。
G_Server.dll实现后门功能,与控制端进行通信。灰鸽子的强大功能主要体现在这里。黑客可以对中毒机器进行的操作包括:文件管理、获取系统信息、剪贴板查看、进程管理、窗口管理、键盘记录、服务管理、共享管理,提供MS-Dos shell,提供代理服务,注册表编辑,启动tel服务,捕获屏幕,视频监控,音频监控,发送音频,卸载灰鸽子…… 可以说,用户在本地能看到的信息,使用灰鸽子远程监控也能看到。尤其是屏幕监控和视频、音频监控比较危险。如果用户在电脑上进行网上银行交易,则远程屏幕监控容易暴露用户的帐号,在加上键盘监控,用户的密码也岌岌可危。而视频和音频监控则容易暴露用户自身的秘密,如“相貌”,“声音”。
G_Server_Hook.dll负责隐藏灰鸽子。通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项,甚至是进程中的模块名。截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。所以,有些时候用户感觉种了毒,但仔细检查却又发现不了什么异常。
灰鸽子的作者对于如何逃过杀毒软件的查杀花了很大力气。由于一些API函数被截获,正常模式下难以遍历到灰鸽子的文件和模块,造成查杀上的困难。要卸载灰鸽子动态库而且保证系统进程不崩溃也很麻烦,因此造成了近期灰鸽子在互联网上泛滥的局面。
[create_time]2022-10-09 17:23:37[/create_time]2022-10-22 01:35:02[finished_time]1[reply_count]0[alue_good]乡村西施[uname]https://himg.bdimg.com/sys/portrait/item/wise.1.d605dc31.YKuJEDG80ZS-O0AA42kB0A.jpg?time=4525&tieba_portrait_time=4525[avatar]TA获得超过1665个赞[slogan]这个人很懒,什么都没留下![intro]37[view_count]
灰鸽子服务端创建好了,却打不开,是什么原因?急急急................ 来个一针见血的!!!!!!!!
第一:灰鸽子有个互斥功能,如果有灰鸽子在运行中的话,那么再次运行就不能成功。解决方法可以是:重新配置服务端,配置的时候重新写启动项服务名,安装路径等。这样就即使不卸载以前的灰鸽子,也可以成功运行,另外一种方法就是使用杀毒软件查杀已经运行的灰鸽子服务端或者手动卸载。
第二:如果你在配置服务端的时候,没有选择运行后自删除。那么运行的时候也是跟打不开一样。虽然看起来没有打开,实际却已经运行了。
[create_time]2012-06-17 02:02:27[/create_time]2012-06-24 00:45:17[finished_time]4[reply_count]2[alue_good]badker[uname]https://himg.bdimg.com/sys/portrait/item/wise.1.685e051d.YDZPtMkVyPnPT17pyDP4ag.jpg?time=2982&tieba_portrait_time=2982[avatar]TA获得超过246个赞[slogan]这个人很懒,什么都没留下![intro]551[view_count]
用灰鸽子进行远端监控时,是不是要知道对方的IP?
用灰鸽子进行远端监控时,是不是要知道对方的IP? 不用知道别人的IP,只要别人点了你的灰鸽子服务端(你生成的木马),就会上线的。 QQ讯息是不能种马的,需要传档案! 怎么使用灰鸽子进行远端控制 先本地配置灰鸽子,先自己试下看下能不能上线,然后,通过#¥%·#¥……!·方法把你的木马做下免杀然后通过%¥……&¥%&*%¥&方法让别人中了你的木马就可以远端控制了 灰鸽子远端监控怎么使用? 灰鸽子现在都退步了,现在流行玩波尔远端控制 求灰鸽子远端监控软体 我有上兴的,如果要灰鸽子的话,建议你到华夏或者黑蚂蚁去下。 关于灰鸽子远端监控的问题 被控端要有人执行你的鸽子客户端才可以上线,而且确保已经做了免杀。你的是路由上网,做个对映。用9999埠,或者用花生壳也可以 灰鸽子远端监控软体原理 I know 刚刚以为自己的回车有无问题 嘿嘿ie 哥来跟你解释下。 FTP更新是用来让肉鸡知道你的IP,也就说让你的肉鸡知道回家的路。它只是一种上线的方式,还有动态域名解析。。。。 至于为什么可以监控别人 这个问题就比较复杂了。。 简单说下吧, 这个属于网路程式设计和 需要用到一些协议 。比如 我给你发个暗号,然后你就根据我所发的暗号来执行某项操作 。基本就这样没多大深奥的。。。 灰鸽子是不是要配合小马才能监控到对方 小马就是客户端,鸽子就是服务端! 请教灰鸽子远端监控软体问题 呵呵能~~~~你区域网是用路由上网的吗? 鸽子还是按原来的配置...主要是要到路由里面设定.. 你首先进入路由...你看下你的IP 然后把你的IP的最后位 换成 1 例如192.168.1.1这样的..然后有密码进去. 然后找到转发规则...然后把你的IP填写进去以及埠 然后打上勾..点确认就OK了... 灰鸽子远端监控是只能在内网中用吗? 内网外网都可以使用。外网上简单些,内网要对映。而且玩这个最难的是做免杀,免杀做不好,抓不到鸡的! 灰鸽子用tel工具干什么?不是已经能对远端主机进行监控了么? tel工具你可以简单理解为DOS工具~ 就如同我们个人电脑上有DOS命令提示一样,在控制中,有一些操作是必须要这个工具的~ 比如 我们想看对方的IP,看看是否是内网,在05版的是无法直接看出来的~ 这个时候用tel工具工具,输入:tasklist -all就OK了~
[create_time]2022-10-13 17:40:06[/create_time]2022-10-24 04:27:01[finished_time]1[reply_count]0[alue_good]没文化的大脑袋CU[uname]https://himg.bdimg.com/sys/portrait/item/wise.1.341cb4c5.TbLwz0k4cKnNPLTSVOIxKA.jpg?time=4654&tieba_portrait_time=4654[avatar]TA获得超过2324个赞[slogan]这个人很懒,什么都没留下![intro]2[view_count]
灰鸽子黑防灰鸽子配置问题!
对,你配置有问题(另外如果你不清楚可以不用什么专业术语,你说配置了服务器我很不理解,呵呵,楼主不要见怪)
你5944自动上线的,所以木马端每次开机运行时都要读取你生成时所写的那个网站路径来获得IP,所以在你每次开机运行鸽子的时候都要点自动上线更新IP。
[create_time]2010-01-01 16:33:34[/create_time]2010-01-21 16:31:38[finished_time]5[reply_count]0[alue_good]lh624423055[uname]https://himg.bdimg.com/sys/portrait/item/wise.1.631161c9.q9iPB8p8DM0l3QQ3KobAmw.jpg?time=2881&tieba_portrait_time=2881[avatar]TA获得超过9060个赞[slogan]这个人很懒,什么都没留下![intro]805[view_count]
粉灰鸽的饲养方法
在比赛初期有最佳的状况,会提早高峰期,而接续的比赛会失败;反之在后期才达到最佳的状况,将不会得到最高的名次。每位养鸽者都努力地想知道每羽信鸽的能力弧线(部分为遗传),然后根据其能力弧线参加比赛。如一羽信鸽善于短程赛,会在短程赛显露高峰;在另方面它的体格适合长程赛,由于在短程飞行时初期便展露高峰,所以可以确定地说这羽信鸽在长程赛中会失败,因为它的特性是比赛便呈现高峰。为了尽可能地保持好鸽的高峰水准,养鸽者应特别注意它们健康的保持。如同一位好的运动员,好的赛鸽特别容易健康退步。通常在比赛中期失败,意味着高峰期太早了,使得信鸽健康变差。尤其是赛鸽卡他,一个疾病主因。如果养鸽者太早让信鸽达到高峰又不能于比赛期间实行预防使得信鸽于比赛中严重失误。比赛准备没有任何固定准则可以用于粉灰鸽。有效的方法:饲料应均衡、充分的维他命、矿物质或适当的训练表,不要给予过多和不必要的协助,正确的疾病预防。养鸽者的敏锐鉴别能力、经验与信鸽之问的感情会带来成功。容易喂食的信鸽会在比赛前变胖,应喂食适当的营养和适当的运动使之恢复正常。而在另一方面高度敏感的信鸽吃得太少,应鼓励它们食用适当饲料添加物,如大量的维他命,平常给予较多的饲料。参加比赛前,一般而言信鸽在初期健康良好的,勿给予高刺激性的种子或突增维他命、葡萄糖、蜂蜜量这些附加物。应于比赛中或粉灰鸽身体不好或飞翔成绩不好才使用。飞翔期间的新陈代谢在飞翔中信鸽主要依靠体内的脂肪转变为能源。为了燃烧脂肪,大量的氧被吸入肺中,如此便需加速呼吸,体内不断地失去水份,于是体液变薄了,阻碍新陈代谢,产物累积。迅速地补充水份加速降解新陈代谢的产物,补充体内维他命、矿物质、电解质、营养品之储存。这可以决定下次的比赛是失败或成功。飞翔之后,好的耐力品是可以支撑新陈代谢,又避免感染疾病。比赛期间所使用的药品必须符合信鸽本身所需。如比赛的难度(运送、天气、路程等)及信鸽的状况(健康、官能的容量)都是最重要的。
[create_time]2016-06-01 10:04:43[/create_time]2016-06-16 07:39:53[finished_time]1[reply_count]0[alue_good]终极至尊SQ1994[uname]https://himg.bdimg.com/sys/portrait/item/wise.1.de5a684f.mjdMiy1ZxXLfmoAFurzkLw.jpg?time=3628&tieba_portrait_time=3628[avatar]TA获得超过140个赞[slogan]这个人很懒,什么都没留下![intro]30[view_count]