灰鴿子 [VIP 專業版]
1.只用壹個端口來傳輸所有通訊數據!普通同類軟件都用到了兩個或兩個以
上的端口來完成!
2.支持可以控制Internet連接***享、HTTP透明代理上網的電腦!軟件智能讀
取系統設定的代理服務器信息,無需用戶設置!
3.無需知道服務端IP,自動上線功能讓服務端自動上線報道!灰鴿子專用的
上線系統無需您註冊免費域名才能使用,同時也提供了備用上線方式,在我們的專
用上線系統出現故障時,您可以使用備用上線方式來使用自動上線功能。在使用
專用上線系統時,妳還可以控制遠程電腦通過Socks5代理來中轉自動上線。
4.自動上線可以在第壹次設置分組,自定義上線圖像,上線備註等,這樣都
可以讓妳輕而易舉的找到目標主機,同時設置連接密碼保證了服務主機的安全性
!同時具用牽手版的搜索符合條件主機的功能:
a.從主機窗口篩選:可以列出只有某個窗口的壹批主機,可以輕松找到哪些人
在玩某個遊戲!
b.從主機進程篩選:可以列出運行了某個程序的壹批主機,例如QQ.exe,就可
以找到打開了QQ的自動上線主機有哪些了!
5.文件管理:管理遠程電腦的文件系統,支持復制、粘貼、刪除,斷點下載、
上傳文件或文件夾,文件內容均以加密方式傳輸,確保通訊的安全性.
6.遠程控制命令:包括遠程系統信息、剪切板信息、進程管理、窗口管理、
鍵盤記錄、服務管理、管理管理、MS-DOS模擬、代理服務控制!
7.註冊表編輯器:可以像操作本機註冊表壹樣的編輯遠程註冊表。
8.常用命令廣播,讓妳控制主機眾多主機更多的方便!詳細的在線主機線表
顯示了:主機IP地址,地址位置,電腦名稱,系統版本,備註等信息,
9.除了具有語音監聽、語音發送,還有遠程視頻監控功能,只有遠程計算機
有攝像頭,且正常打開沒有被占用,那麽妳可以看到,遠程攝像頭捕獲的圖片!還
可以把遠程攝像頭捕獲的畫面存為Mpeg-1格式.遠程語音也可以錄制成Wav聲音文
件。
10.可以設置服務端開放Socks5代理服務器功能和HTTP代理服務功能!無需第
三方軟件支持!支持Windows9x/ME/2000/Xp/2003。
11.軟件附帶有四款實用工具:
a. EXE工具 : 可以修改任何EXE文件圖標,支持真彩色!
b. 內網端口映射器 : 它允許妳將局域網內的服務映射到internet上,使
妳在局域網內部也能使用自動上線功能!
c. FTP服務器 : 可以開本機FTP服務!
d. Web服務器 : 可以建立壹個簡單的Web服務器!
12.服務端程序在 Windows 2000 / xp / 2003 可以以服務啟動,支持發送多
種組合鍵,比如:Ctrl+Alt+del等等,適用於管理服務器主機!遠程屏幕捕獲還可以
錄制為Mpeg-1文件格式.
13.全中文友好操作界面,讓妳壹目了然,漂亮皮膚讓使用時也倍感親切!
功能簡單介紹:
1對遠程計算機文件管理:模枋 Windows 資源管理器,可以對文件進行復制
、粘貼、刪除,重命名、遠程運行等,可以上傳下載文件或文件夾,操作簡單易用
。
2遠程控制命令:查看遠程系統信息、剪切板查看、進程管理、服務管理、***
享管理!
3捕獲屏幕:不但可以連繼的捕獲遠程電腦屏幕,還能把本地的鼠標及鍵盤傳
動作送到遠程實現實時控制功能!
4視頻語音,可以監控遠程攝像頭,還有語音監聽和發送功能,可以和遠程主
機進行語音對話!
5telnet(超級終端).
6註冊表模擬器:遠程註冊表操作就像操作本地註冊表壹樣方便!
7命令廣播:可以對自動上線主機進行命令廣播,如關機、重啟、打開網頁,
篩選符合條件的機等,點壹個按鈕就可以讓N臺機器同時關機或進行其它操作!
8服務端以服務方式啟動,支持發送多種組合鍵,可以輕松管理遠程服務器!
9專用的自動上線系統,直接使用灰鴿子註冊ID即可實現遠程服務端自動上線
!
10多種自動上線方式:專用上線、DNS解析域名、固定IP等,用戶自由選擇!
註冊灰鴿子軟件後享有:
⒈享用軟件的所有功能,沒有任何限制!
⒉能使用對應的灰鴿子註冊版本,能得到此版後期修正的正式版本!
⒊可以使用我們的專用上線系統,無需其它域名和空間支持!
⒋得到我們更好的技術服務!
註:[VIP版] 包括 VIP2005、Version 1.2、Version 2.0 !
[企業版]用戶只能使用企業版!不能使用其它版本!
5.加入會員後,會自動加入官方論壇。享受官方技術支持
灰鴿子第二章:好馬配好鞍,服務端正確配置。
灰鴿子是壹款要交錢的軟件,也就是說,妳使用VIP版的話是要交給作者每年幾十
塊錢的使用費(不作任何評論)
因此網上也就有很多高手破解灰鴿子,讓灰鴿子可以不用到灰鴿子的官方網站進
行驗證,從而可以不用交錢就可以使用,
相關版本有:影子鷹破解專用版,愛兒破解版,以及華夏黑客聯盟的灰鴿子
sunray破解版。
今天我們就用"灰鴿子sunray破解版"來向大家詳細解析這款木馬的服務端配置方
式,只可實驗,不可做壞事,大家不喜歡請跳過這壹章。
第壹節:未雨綢繆,實驗準備。
第壹,關閉殺毒軟件,這點不用我說了吧~~~因為是木馬,下載了之後如
果殺毒軟件監控開著的話肯定會被刪除的。
第二,當然是下載灰鴿子的軟件啦~~~上網找,有很多~~~
第三,申請壹個免費的主頁空間,為什麽要呢?因為灰鴿子是可以反彈
式鏈接的,也就是說,服務端通過登陸妳的主頁的特定文件就可以主動連接到妳
的電腦讓妳控制了。(這壹點,等壹下會詳細解說)
第二節:實戰開始。
把我們剛才下來的文件解壓到某個文件夾,記住,不要改文件夾的名字,後面會
用到。
解壓的文件裏面有以下幾個文件:
H_Client.exe 這個是客戶端的主要文件,可以配置文件,生成服務端,可以遠
程控制客戶端。
這
個網站的域名本地解析到本機,而不是解析到官方網站。
vip_2005_0113.rar 這個是驗證的軟件,當我們的軟件解析到本機的時候它就會
下載這壹個到客戶端,用來驗證用的。
其它的文件還有config2005.asp,Operate.ini 還有四個文件夾,他們分別是
(dat images login sound)我也不知道什麽用的。應該是配置用的。
第壹步:在妳的電腦上新建壹個ip.txt的文本文件,內容如下:
http://huigezi212.126.131.43:8000end
其中212.126.131.43這個是我的電腦IP地址,8000是連接的端口,妳可以把它寫
成妳自己的IP地址,端口壹般不要去改動,然後把這個文件上傳到妳剛才申請的
空間,如果妳的電腦是動態IP的話,那妳就要經常更新這個文件的內容,然後上傳
到空間,它的目的是客戶端上線的話就會去這個網站讀取這個文件,然後主動和
妳取得連接。
第二步,首先運行 sunray.exe,然後運行 http.exe 點開始服務!
第三步,運行客戶端,也就是H_Client.exe這個文件,
點擊“自動上線”選項,有幾個要點要說的,
1)“備用自動上線,URL轉向域名或網頁文件,這裏呢,填寫妳剛才申
請到的網站空間地址和ip.txt,比如http://妳的網站地址/ip.txt
(當然,如果妳是固定IP的話呢,可以寫妳的IP地址,那麽前面的申請空間,上傳文件幾步可以省略)
2) “自動連接密碼”,這個是表示妳可以連接到的電腦所要用到的密
碼,如果為空的話,也沒什麽大不了的,頂多就是別人也可以用妳的“肉雞”
3)“配置說明”建議妳把“只使用備用自動上線”前的勾打上,因為我
們的軟件是破解版的,官方的那個服務器我們是用不了啦~~~
4)“用戶名稱”“用戶密碼”這兩個地方亂填些數字進去就行了,破解
版用不了正式版的服務器的,它是服務器用來驗證軟件是否“正版”用的。
“安裝選項”選項卡,建議修改壹下名字,以免被發現,其它的自己看
著辦,看著喜歡就選吧~~~^_^
“啟動項”這個很重要,建議妳修改壹下名字,它主要是服務端隨系統
自動啟動用的,也是自己看著辦。其中的“生成服務”這壹項是為了達到隱藏用
的,這也是我們經常說的手工清除木馬的關鍵。也是長期以來很多人說無法清除
灰鴿子的原因,因為它寫成了服務,這個的優先級是系統級的,所有使用這臺電
腦的用戶都會啟動木馬。
“代理服務”,嘻嘻,就是妳控制的電腦可以給我們做為壹臺代理服務
器,說不定人家公布出來的代理服~務器地址有壹部分是這些電腦的哦~~~
“高級選項”這裏主要是用來對付殺毒軟件和防火墻用的,默認是插入
IEXPLORER,啟動隱藏文件隱藏插入的IE進程,以及使用UPX壓縮,這裏就不用去
改它的,默認就行。
"服務器圖標”是用來偽裝用的,妳自己選項自己喜歡的圖標吧~~~
配置好了就點擊生成服務器,軟件會優先從官方驗證,但沒效,出錯了後就從本
地服務器驗證,這就是我們要本機建http服務器的原因。好了,到此,服務端就
生成了,不要運行它,運行了妳就會中木馬的,(不準做壞事)
軟件使用方法:當別人中了妳的木馬後,它會從妳的網站讀取ip.txt這個文件,
然後主動連接到妳的電腦,如果妳此時也打開了客戶端的話,連接建立成功,妳
可以控制這臺電腦了。具體有什麽內容妳自己摸索,
如果妳是動態IP地址的話,那麽妳要每次把新的ip.txt上傳到網站上去~~~
灰鴿子第三章:服務端工作方式:
灰鴿子是國內壹款著名後門。比起前輩冰河、黑洞來,灰鴿子可以說是國內後門
的集大成者。其豐富而強大的功能、靈活多變的操作、良好的隱藏性使其他後門
都相形見絀。客戶端簡易便捷的操作使剛入門的初學者都能充當黑客。當使用在
合法情況下時,灰鴿子是壹款優秀的遠程控制軟件。但如果拿它做壹些非法的事
,灰鴿子就成了很強大的黑客工具。這就好比火藥,用在不同的場合,給人類帶
來不同的影響。對灰鴿子完整的介紹也許只有灰鴿子作者本人能夠說清楚,在此
我們只能進行簡要介紹。
灰鴿子客戶端和服務端都是采用Delphi編寫。黑客利用客戶端程序配置出服
務端程序。可配置的信息主要包括上線類型(如等待連接還是主動連接)、主動
連接時使用的公網IP(域名)、連接密碼、使用的端口、啟動項名稱、服務名稱
,進程隱藏方式,使用的殼,代理,圖標等等。
服務端對客戶端連接方式有多種,使得處於各種網絡環境的用戶都可能中毒
,包括局域網用戶(通過代理上網)、公網用戶和ADSL撥號用戶等。
下面介紹服務端:
配置出來的服務端文件文件名為G_Server.exe(這是默認的,當然也可以改
洌?H緩蠛誑屠?靡磺邪旆ㄓ掌?沒г誦蠫_Server.exe程序。具體采用什麽辦法
,讀者可以充分發揮想象力,這裏就不贅述。
G_Server.exe運行後將自己拷貝到Windows目錄下(98/xp下為系統盤的windows目
錄,2k/NT下為系統盤的Winnt目錄),然後再從體內釋放G_Server.dll和
G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和
G_Server_Hook.dll三個文件相互配合組成了灰鴿子服務端,
G_Server_Hook.dll負責隱藏灰鴿子。通過截獲進程的API調用隱藏灰鴿子的文件
、服務的註冊表項,甚至是進程中的模塊名。截獲的函數主要是用來遍歷文件、
遍歷註冊表項和遍歷進程模塊的壹些函數。所以,有些時候用戶感覺種了毒,但
仔細檢查卻又發現不了什麽異常。有些灰鴿子會多釋放出壹個名為
G_ServerKey.dll的文件用來記錄鍵盤操作。註意,G_Server.exe這個名稱並不固
定,它是可以定制的,比如當定制服務端文件名為A.exe時,生成的文件就是
A.exe、A.dll和A_Hook.dll。
Windows目錄下的G_Server.exe文件將自己註冊成服務(9X系統寫註冊表啟
動項),每次開機都能自動運行,運行後啟動G_Server.dll和G_Server_Hook.dll
並自動退出。G_Server.dll文件實現後門功能,與控制端客戶端進行通信;
G_Server_Hook.dll則通過攔截API調用來隱藏病毒。因此,中毒後,我們看不到
病毒文件,也看不到病毒註冊的服務項。隨著灰鴿子服務端文件的設置不同,
G_Server_Hook.dll有時候附在Explorer.exe的進程空間中,有時候則是附在所有
進程中。
灰鴿子的作者對於如何逃過殺毒軟件的查殺花了很大力氣。由於壹些API函數
被截獲,正常模式下難以遍歷到灰鴿子的文件和模塊,造成查殺上的困難。要卸
載灰鴿子動態庫而且保證系統進程不崩潰也很麻煩,因此造成了近期灰鴿子在互
聯網上泛濫的局面。
灰鴿子第四章:雙管齊下,手工和軟件清除灰鴿子。
壹.灰鴿子的手工檢測
由於灰鴿子攔截了API調用,在正常模式下服務端程序文件和它註冊的服務
項均被隱藏,也就是說妳即使設置了“顯示所有隱藏文件”也看不到它們。此外
,灰鴿子服務端的文件名也是可以自定義的,這都給手工檢測帶來了壹定的困難
。
但是,通過仔細觀察我們發現,對於灰鴿子的檢測仍然是有規律可循的。從
上面的運行原理分析可以看出,無論自定義的服務器端文件名是什麽,壹般都會
在操作系統的安裝目錄下生成壹個以“_hook.dll”結尾的文件。通過這壹點,我
們可以較為準確手工檢測出灰鴿子 服務端。
由於正常模式下灰鴿子會隱藏自身,因此檢測灰鴿子的操作壹定要在安全模
式下進行。進入安全模式的方法是:啟動計算機,在系統進入Windows啟動畫面前
,按下F8鍵(或者在啟動計算機時按住Ctrl鍵不放),在出現的啟動選項菜單中,
選擇“Safe Mode”或“安全模式”。
1、由於灰鴿子的文件本身具有隱藏屬性,因此要設置Windows顯示所有文件
。打開“我的電腦”,選擇菜單“工具”—》“文件夾選項”,點擊“查看”,
取消“隱藏受保護的操作系統文件”前的對勾,並在“隱藏文件和文件夾”項中
選擇“顯示所有文件和文件夾”,然後點擊“確定”。
2、打開Windows的“搜索文件”,文件名稱輸入“_hook.dll”,搜索位置選
擇Windows的安裝目錄(默認98/xp為C:\windows,2k/NT為C:\Winnt)。
3、經過搜索,我們在Windows目錄(不包含子目錄)下發現了壹個名為
Game_Hook.dll的文件。
4、根據灰鴿子原理分析我們知道,如果Game_Hook.DLL是灰鴿子的文件,則在操
作系統安裝目錄下還會有Game.exe和Game.dll文件。打開Windows目錄,果然有這
兩個文件,同時還有壹個用於記錄鍵盤操作的GameKey.dll文件。
經過這幾步操作我們基本就可以確定這些文件是灰鴿子 服務端了,下面就
可以進行手動清除。
二、灰鴿子的手工清除
經過上面的分析,清除灰鴿子就很容易了。清除灰鴿子仍然要在安全模式下
操作,主要有兩步:1、清除灰鴿子的服務;2刪除灰鴿子程序文件。
註意:為防止誤操作,清除前壹定要做好備份。
(壹)、清除灰鴿子的服務
註意清除灰鴿子的服務壹定要在註冊表裏完成,對註冊表不熟悉的網友請找熟悉
的人幫忙操作,清除灰鴿子的服務壹定要先備份註冊表,或者到純DOS下將註冊表
文件更名,然後在去註冊表刪除灰鴿子的服務。因為病毒會和EXE文件進行關聯
2000/XP系統:
1、打開註冊表編輯器(點擊“開始”-》“運行”,輸入“Regedit.exe”
,確定。),打開 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services註
冊表項。
2、點擊菜單“編輯”-》“查找”,“查找目標”輸入“game.exe”,點擊
確定,我們就可以找到灰鴿子的服務項(此例為Game_Server,每個人這個服務項
名稱是不同的)。
3、刪除整個Game_Server項。
98/me系統:
在9X下,灰鴿子啟動項只有壹個,因此清除更為簡單。運行註冊表編輯器,
打開HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run項,
我們立即看到名為Game.exe的壹項,將Game.exe項刪除即可。
" target=_blank>
" border=0 >
(二)、刪除灰鴿子程序文件
刪除灰鴿子程序文件非常簡單,只需要在安全模式下刪除Windows目錄下的
Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然後重新啟動計算
機。至此,灰鴿子VIP 2005 服務端已經被清除幹凈。
以上介紹的方法適用於我們看到的大部分灰鴿子木馬及其變種,然而仍有極少數
變種采用此種方法無法檢測和清除。同時,隨著灰鴿子新版本的不斷推出,作者
可能會加入壹些新的隱藏方法、防刪除手段,手工檢測和清除它的難度也會越來
越大。