灰鴿子遠程病毒我想誰都不陌生吧?曾經控制著我們電腦,信息惡意傳播,妳知道灰鴿子病毒的原理和運行方式嗎?下面由我給妳做出詳細的灰鴿子病毒的原理和運行方式介紹!希望對妳有幫助!
灰鴿子病毒的原理和運行方式介紹:
灰鴿子遠程監控軟件分兩部分:客戶端和服務端。黑客(姑且這麽稱呼吧)操縱著客戶端,利用客戶端配置生成出壹個服務端程序。服務端文件的名字默認為G_Server.exe,然後黑客通過各種 渠道 傳播這個服務端(俗稱種木馬)。種木馬的手段有很多,比如,黑客可以將它與壹張圖片綁定,然後假冒成壹個羞澀的MM通過QQ把木馬傳給妳,誘騙妳運行;也可以建立壹個個人網頁,誘騙妳點擊,利用IE漏洞把木馬下載到妳的機器上並運行;還可以將文件上傳到某個軟件下載站點,冒充成壹個有趣的軟件誘騙用戶下載?,這正違背了我們開發灰鴿子的目的,所以本文適用於那些讓人非法安裝灰鴿子服務端的用戶,幫助用戶刪除灰鴿子 Vip 2005 的服務端程序。本文大部分內容摘自互聯網。
G_Server.exe運行後將自己拷貝到Windows目錄下(98/xp下為系統盤的windows目錄,2k/NT下為系統盤的Winnt目錄),然後再從體內釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個文件相互配合組成了灰鴿子服務端,有些灰鴿子會多釋放出壹個名為G_ServerKey.dll的文件用來記錄鍵盤操作。註意,G_Server.exe這個名稱並不固定,它是可以定制的,比如當定制服務端文件名為A.exe時,生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目錄下的G_Server.exe文件將自己註冊成服務(9X系統寫註冊表啟動項),每次開機都能自動運行,運行後啟動G_Server.dll和G_Server_Hook.dll並自動退出。G_Server.dll文件實現後門功能,與控制端客戶端進行通信;G_Server_Hook.dll則通過攔截API調用來隱藏病毒。因此,中毒後,我們看不到病毒文件,也看不到病毒註冊的服務項。隨著灰鴿子服務端文件的設置不同,G_Server_Hook.dll有時候附在Explorer.exe的進程空間中,有時候則是附在所有進程中。
灰鴿子病毒的手工檢測:
由於灰鴿子攔截了API調用,在正常模式下服務端程序文件和它註冊的服務項均被隱藏,也就是說妳即使設置了?顯示所有隱藏文件?也看不到它們。此外,灰鴿子服務端的文件名也是可以自定義的,這都給手工檢測帶來了壹定的困難。
但是,通過仔細觀察我們發現,對於灰鴿子的檢測仍然是有規律可循的。從上面的運行原理分析可以看出,無論自定義的服務器端文件名是什麽,壹般都會在 操作系統 的安裝目錄下生成壹個以?_hook.dll?結尾的文件。通過這壹點,我們可以較為準確手工檢測出灰鴿子 服務端。
由於正常模式下灰鴿子會隱藏自身,因此檢測灰鴿子的操作壹定要在安全模式下進行。進入安全模式的 方法 是:啟動計算機,在系統進入Windows啟動畫面前,按下F8鍵(或者在啟動計算機時按住Ctrl鍵不放),在出現的啟動選項菜單中,選擇?Safe Mode?或?安全模式?。
1、由於灰鴿子的文件本身具有隱藏屬性,因此要設置Windows顯示所有文件。打開?我的電腦?,選擇菜單?工具?》?文件夾選項?,點擊?查看?,取消?隱藏受保護的操作系統文件?前的對勾,並在?隱藏文件和文件夾?項中選擇?顯示所有文件和文件夾?,然後點擊?確定?。
2、打開Windows的?搜索文件?,文件名稱輸入?_hook.dll?,搜索位置選擇Windows的安裝目錄(默認98/xp為C:\windows,2k/NT為C:\Winnt)。
3、經過搜索,我們在Windows目錄(不包含子目錄)下發現了壹個名為Game_Hook.dll的文件。
4、根據灰鴿子原理分析我們知道,如果Game_Hook.DLL是灰鴿子的文件,則在操作系統安裝目錄下還會有Game.exe和Game.dll文件。打開Windows目錄,果然有這兩個文件,同時還有壹個用於記錄鍵盤操作的GameKey.dll文件。