(2.3)【遥控型木马-灰鸽子】原理、使用方法
目录
一、简介
概述:
机理
构成
运行过程
二、使用方法
第一步:安装管理端
第二步:注册+登录
第三步:生成服务端
第四步:kunbang文件
第五步:发送
第六步:执行相应的功能
一、简介
概述:
原本该软件适用于公司和家庭管理,其功能十分强大,不但能监视、键盘记录、监控桌面、文件操作等。还可以运行后自动删除、毫无提示安装等,因早年采用反弹链接这种缺陷设计,使得使用者拥有最高权限,一经破解即无法控制。最终导致被恶意使用。原作者的灰鸽子被误认为是一款集多种控制方式于一体的木马程序。
机理
构成
生成的服务端文件文件名为G_Server.exe(这是默认的,当然也可以改变)
然后利用一切办法使用户运行G_Server.exe程序(大多数是kun bang)
运行过程
G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端, G_Server_Hook.dll负责隐藏灰鸽子。通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项,甚至是进程中的模块名。截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。所以,有些时候用户感觉中了毒,但仔细检查却又发现不了什么异常。有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏木马。因此,中马后,我们看不到木马文件,也看不到木马注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中
.
二、使用方法
第一步:安装管理端
第二步:注册+登录
第三步:生成服务端
第四步:kunbang文件
使用exekbj将exe文件与正常程序kb在一起
第五步:发送
1.放到网页中
2.邮件发送
3. 聊天工具发送
4. 软件
第六步:执行相应的功能
截图、键盘记录、监控桌面、文件操作等
(2.3)【遥控型木马-灰鸽子】原理、使用方法相关推荐
- 木马免杀原理及方法(超全)
灰鸽子免杀 概况 免杀意为免除被杀毒 软件杀掉的软件. 灰鸽子免杀简介:本工具为纯绿色工具,软件采用独特的查杀技巧可完全查杀灰鸽子全系列(VIP2005.vip2006.免杀处理) 木马,本软件已经过 ...
- (2.3)【遥控型木马-黑洞】
目录 一.简介 概述: 下载: 二.使用: 曾经: 第一步:通过客户端生成服务端(还可生成HTM文件,点击后会自动生成" 网页版黑洞服务端") 第二步:使用EXE捆绑机(捆绑木马程序) 第三 ...
- 灰鸽子木马的原理和清除方法
灰鸽子客户端和服务端都是采用Delphi编写.黑客利用客户端程序配置出服务端程序.可配置的信息主要包括上线类型(如等待连接还是主动连接).主动连接时使用的公网IP(域名).连接密码.使用的端口.启动项 ...
- 如何快速的清除 灰鸽子 木马病毒 【附清除工具 以及 清除原理】
本文转至 灰鸽子官方网站 本文内容仅供参考 一切操作后果 本blog皆不负责 先给出清除工具地址方便大家 有两个清除工具 对应不同的版本 请注意 灰鸽子专用卸载程序 ·本程序只能卸载:灰鸽子 [辐射正 ...
- 灰鸽子病毒手工清除方法
灰鸽子病毒手工清除方法[多图] www.rising.com.cn 2005-2-1 9:50:00 信息源:瑞星公司 作者:刘明星 广告 灰鸽子(Backdoor.Huigezi)作者现在还 ...
- 金山毒霸官网遭黑客攻击 疑为灰鸽子团伙报复
CNET科技资讯网3月15日北京报道 3月14日,金山软件展开了一场全面围剿恶性木马灰鸽子的行动.当日晚间22时,金山毒霸官方网站遭遇了黑客攻击,怀疑是灰鸽子为首的恶性木马团伙开始报复,通过金山毒霸网 ...
- 灰鸽子--木马、后门实验
目录 实验目的 实验要求 实验原理 实验环境 实验步骤 实验目的 1.了解木马攻击的原理. 2. 掌握木马与后门工作机制 3. 掌握木马与后门的防范措施 实验要求 利用灰鸽子客户端配置服务器程序并生成 ...
- 如何删除taskmer.exe进程灰鸽子木马
taskmgr.exe是什么进程?taskmgr.exe进程,很多朋友可能都不知道taskmgr.exe是什么进程.但是谈到taskmer.exe进程(灰鸽子木马),大家估计会有一些了解.taskmg ...
- 远程控制---实验十:灰鸽子远控软件使用实验
目录 一.实验目的及要求 二.实验原理 三.实验环境 四.实验步骤及内容 实验步骤一 实验步骤二:灰鸽子体验 五.实验总结 六.分析与思考 一.实验目的及要求 1.掌握经典远控木马的原理 2.掌握&q ...
- 瑞星播报:3月8日需警惕“灰鸽子变种AWM”病毒
据瑞星全球反病毒监测网介绍,本周六到下周周一有3个病毒需要特别注意. 3月7日有一个病毒特别值得注意,它是:"代理蠕虫变种TH(Worm.Win32.VB.th)"病毒.该病毒是一 ...
最新文章
- 自制青蛙跳台阶小游戏~
- [小明爬坑系列]AssetBundle原理介绍
- python之33个关键字详解_Python 中的关键字 with 详解
- FPGA之道(77)静态时序分析(三)同步时序逻辑的分析原理
- 重磅!商汤港中文等将开源ECCV2018MS COCO检测比赛冠军代码库
- 在线进位制计算机,计算机基础知识进位计数制.pdf
- php中urlencode使用
- 结构数据类型的用法 值类型 c# 1231
- BGP——OSPF与BGP协议联动(出现问题+解决方案配置)
- Python 练习: 简单角色游戏程序
- C语言学习笔记—code:blocks工具debug调试异常
- PHP与前端协作模式的理解
- logrotate 不生效
- linux 6.8 多网卡绑定,Linux6.1/6.5 双网卡绑定
- 程序输出我是java小公主,我的同学英文
- 2015年阿里巴巴校招笔试题
- 数仓实时数据同步 debezium
- 数据库系统概论--第六章 关系数据理论
- docker 创建容器时指定容器ip
- free -m 详解