灰鸽子木马的原理和清除方法
灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型(如等待连接还是主动连接)、主动连接时使用的公网IP(域名)、连接密码、使用的端口、启动项名称、服务名称,进程隐藏方式,使用的壳,代理,图标等等。
连接密码的设定使得灰鸽子服务端程序只能被配置它的黑客控制,避免了黑客之间的竞争。
服务端对客户端连接方式有多种,使得处于各种网络环境的用户都可能中毒,包括局域网用户(通过代理上网)、公网用户和ADSL拨号用户等。
只用一个端口来传输所有通讯数据!普通同类软件都用到了两个或两个以上的端口来完成。
支持可以控制Internet连接共享、HTTP透明代理上网的电脑!软件智能读取系统设定的代理服务器信息,无需用户设置!
可以设置服务端开放Socks5代理服务器功能和HTTP代理服务功能!无需第三方软件支持!支持Windows9x/ME/2000/Xp/2003。便于黑客进行跳板攻击。
除了具有语音监听、语音发送,还有远程视频监控功能,只有远程计算机有摄像头,且正常打开没有被占用,那么你可以看到,远程摄像头捕获的图片!还可以把远程摄像头捕获的画面存为Mpeg-1格式.远程语音也可以录制成Wav声音文件。
其他后门具有的功能,你几乎都可以在灰鸽子里找到。而且每个功能都做的非常细致,非常人性化。整体界面比较清爽,容易上手,对每一个小细节的考虑都很到位,所有能想到的Ideal几乎都实现了。不过黑客的方便,对于广大用户来说可不是好事。
下面介绍服务端:
配置出来的服务端文件文件名为G_Server.exe(这是默认的,当然也可以改变)。然后黑客利用一切办法诱骗用户运行G_Server.exe程序。具体采用什么办法,读者可以充分发挥想象力,这里就不赘述。
G_Server.exe第一次运行时自己拷贝到Windows目录下(98/XP操作系统为系统盘windows目录,2K/NT为系统盘winnt目录),并将它注册为服务(服务名称在上面已经配置好了),然后从体内释放2个文件到Windows目录下:G_Server.dll,G_Server_Hook.dll(近期灰鸽子版本会释放3个文件,多了一个G_ServerKey.exe,主要用来记录键盘操作)。然后将G_Server.dll,G_Server_Hook.dll注入到Explorer.exe、IExplorer.exe或者所有进程中执行。然后G_Server.exe退出,两个动态库继续运行。由于病毒运行的时候没有独立进程,病毒隐藏性很好。以后每次开机时,Windows目录下的G_Server.exe都会自动运行,激活动态库后退出,以免引起用户怀疑。
G_Server.dll实现后门功能,与控制端进行通信。灰鸽子的强大功能主要体现在这里。黑客可以对中毒机器进行的操作包括:文件管理、获取系统信息、剪贴板查看、进程管理、窗口管理、键盘记录、服务管理、共享管理,提供MS-Dos shell,提供代理服务,注册表编辑,启动telnet服务,捕获屏幕,视频监控,音频监控,发送音频,卸载灰鸽子…… 可以说,用户在本地能看到的信息,使用灰鸽子远程监控也能看到。尤其是屏幕监控和视频、音频监控比较危险。如果用户在电脑上进行网上银行交易,则远程屏幕监控容易暴露用户的帐号,在加上键盘监控,用户的密码也岌岌可危。而视频和音频监控则容易暴露用户自身的秘密,如“相貌”,“声音”。
G_Server_Hook.dll负责隐藏灰鸽子。通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项,甚至是进程中的模块名。截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。所以,有些时候用户感觉种了毒,但仔细检查却又发现不了什么异常。
灰鸽子的作者对于如何逃过杀毒软件的查杀花了很大力气。由于一些API函数被截获,正常模式下难以遍历到灰鸽子的文件和模块,造成查杀上的困难。要卸载灰鸽子动态库而且保证系统进程不崩溃也很麻烦,因此造成了近期灰鸽子在互联网上泛滥的局面。
灰鸽子的运行原理
灰鸽子木马分两部分:客户端和服务端。攻击者操纵着客户端,利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe。G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。
灰鸽子的手工检测
由于灰鸽子拦截了API调用,在正常模式下木马程序文件和它注册的服务项均被隐藏,也就是说你即使设置了"显示所有隐藏文件"也看不到它们。此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。
但是,通过仔细观察我们发现,对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以"_hook.dll"结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子木马。
由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择"Safe Mode"或"安全模式"。
1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开"我的电脑",选择菜单"工具"—》"文件夹选项",点击"查看",取消"隐藏受保护的操作系统文件"前的对勾,并在"隐藏文件和文件夹"项中选择"显示所有文件和文件夹",然后点击"确定"。
2、打开Windows的"搜索文件",文件名称输入"_hook.dll",搜索位置选择Windows的安装目录(默认98/xp为C:/windows,2k/NT为C:/Winnt)。
3、经过搜索,我们在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。
4、根据灰鸽子原理分析我们知道,如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录,果然有这两个文件,同时还有一个用于记录键盘操作的GameKey.dll文件。
经过这几步操作我们基本就可以确定这些文件是灰鸽子木马了,下面就可以进行手动清除。
灰鸽子的手工清除
经过上面的分析,清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作,主要有两步:1、清除灰鸽子的服务;2删除灰鸽子程序文件。
⒁猓何乐刮蟛僮鳎宄耙欢ㄒ龊帽阜荨?br />
一、清除灰鸽子的服务
2000/XP系统:
1、打开注册表编辑器(点击"开始"-》"运行",输入"Regedit.exe",确定。),打开 HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services注册表项。
2、点击菜单"编辑"->"查找","查找目标"输入"G_Server.exe",点击确定,我们就可以找到灰鸽子的服务项。
3、删除整个G_Server项。
98/me系统:
在9X下,灰鸽子启动项只有一个,因此清除更为简单。运行注册表编辑器,打开HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion
/Run项,我们立即看到名为G_Server.exe的一项,将G_Server.exe项删除即可。
二、删除灰鸽子程序文件
删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的G_Server.exe、G_Server.dll、G_Server_Hook.dll以及G_Serverkey.dll文件,然后重新启动计算机。至此,灰鸽子已经被清除干净。
灰鸽子木马的原理和清除方法相关推荐
- 如何快速的清除 灰鸽子 木马病毒 【附清除工具 以及 清除原理】
本文转至 灰鸽子官方网站 本文内容仅供参考 一切操作后果 本blog皆不负责 先给出清除工具地址方便大家 有两个清除工具 对应不同的版本 请注意 灰鸽子专用卸载程序 ·本程序只能卸载:灰鸽子 [辐射正 ...
- 如何删除taskmer.exe进程灰鸽子木马
taskmgr.exe是什么进程?taskmgr.exe进程,很多朋友可能都不知道taskmgr.exe是什么进程.但是谈到taskmer.exe进程(灰鸽子木马),大家估计会有一些了解.taskmg ...
- 灰鸽子--木马、后门实验
目录 实验目的 实验要求 实验原理 实验环境 实验步骤 实验目的 1.了解木马攻击的原理. 2. 掌握木马与后门工作机制 3. 掌握木马与后门的防范措施 实验要求 利用灰鸽子客户端配置服务器程序并生成 ...
- 灰鸽子病毒手工清除方法
灰鸽子病毒手工清除方法[多图] www.rising.com.cn 2005-2-1 9:50:00 信息源:瑞星公司 作者:刘明星 广告 灰鸽子(Backdoor.Huigezi)作者现在还 ...
- 11种流行的木马清除方法
今天在网上闲逛,发现一篇帖子对于查杀木马病毒很有帮助,对于象我这样经常受木马病毒感染的用户带来了极大的帮助,现整理下来: 一.木马ShareQQ 这是一款QQ密码窃取软件.清除方法如下: 1.删除文件 ...
- 远程控制---实验十:灰鸽子远控软件使用实验
目录 一.实验目的及要求 二.实验原理 三.实验环境 四.实验步骤及内容 实验步骤一 实验步骤二:灰鸽子体验 五.实验总结 六.分析与思考 一.实验目的及要求 1.掌握经典远控木马的原理 2.掌握&q ...
- 恶意软件样本行为分析——灰鸽子为例
第一阶段:熟悉Process Moniter的使用 利用Process Moniter监视WinRAR的解压缩过程. 设置过滤器:进程名称 包含 winrar.exe.应用. 打开Process ...
- 金山毒霸官网遭黑客攻击 疑为灰鸽子团伙报复
CNET科技资讯网3月15日北京报道 3月14日,金山软件展开了一场全面围剿恶性木马灰鸽子的行动.当日晚间22时,金山毒霸官方网站遭遇了黑客攻击,怀疑是灰鸽子为首的恶性木马团伙开始报复,通过金山毒霸网 ...
- 如何清除木马--104种木马手工清除方法
这段时间,服务器被病毒折腾得要死要活,本人安全问题了解的不多,通过这次整理了一些关于清除木马的方法,希望对大家有些帮助,很宝贵的资料哦.虽然现在有很多的清除特洛伊木马的软件,可以自动清除木马.但你不知 ...
最新文章
- 儿子转眼就长大:Hinton、LeCun、Bengio 口述神经网络简史
- 事物(Jdbc) 例子
- php+mysqli,php+mysqli数据库连接的两种方式
- 从事件和DDD入手来构建微服务
- (vue基础试炼_07)Vue实例生命周期函数
- Google大数据三论文
- 【华为云技术分享】技术干货丨通过wrap malloc定位C/C++的内存泄漏问题
- 蓝桥杯 ALGO-79 算法训练 删除数组零元素
- python零基础自学教材-零基础的小白怎么学python?
- Uploading SSH public key ... failed!
- ska测试软件怎么用,wow伤害测试软件SIMC怎么用?SIMC使用详细攻略
- 几本开关电源书籍 pdf格式 (来源中国电子开发网)
- 2D转换及相关案例实现
- Eclipse Android Junit Test 测试实例
- iso shell vg220齿轮油_CLP220齿轮油性能
- kubernetes部署nfs持久存储(静态和动态)
- html2canvas页面滚动时截图不全空白问题
- 复旦学子《可解释机器学习》中文版火了,完整PDF开发下载!
- 人类一败涂地做图教程_人类一败涂地怎么捏人?自定义人物PS制作教程
- 清华大学计算机系2015分数线,清华大学2015年计算机系GCT成绩复试分数线及复试安排...