漫钰维修网
灰鸽子原理详解及防治清除方法
时间:2020-11-19 16:28浏览:

灰鸽子远程监控软件分为客户端和服务器端两部分。黑客(姑且这么说吧)操纵客户端,利用客户端配置生成服务器端程序。服务器端文件的名字默认为g_server.exe,然后黑客通过各种渠道传播服务器端(俗称木马)。植入木马的方法有很多。比如一个黑客可以把它绑定到一张图片上,然后装成一个害羞的mm,通过qq把木马传给你,骗你跑;也可以创建个人网页诱骗你点击,将木马下载到你的机器上,利用ie漏洞运行;你也可以把文件上传到软件下载网站,假装是一个有趣的软件来欺骗用户下载...,这与我们发展灰鸽子的目的背道而驰。因此,本文适用于让人们非法安装灰鸽子服务器的用户,并帮助用户删除灰鸽子vip 2005的服务器程序。本文大部分摘自互联网。

G_server.exe运行后将自身复制到windows目录(98/xp下的系统盘windows目录和2k/nt下的系统盘winnt目录),然后将g_server.dll和g_server_hook.dll从主体释放到windows目录。G_server.exe,g_server.dll和g_server_hook.dll相互配合,组成灰鸽子服务器。一些灰鸽子会发布一个名为g_serverkey.dll的文件来记录键盘操作。注意g_server.exe这个名字不是固定的,可以自定义。例如,当自定义服务器的文件名是a.exe时,生成的文件是a.exe、a.dll和a _ hook.dll。

windows目录下的文件g_server.exe把自己注册为服务(9x系统写注册表启动键),每次启动都能自动运行。运行后,启动g_server.dll和g_server_hook.dll并自动退出。G_server.dll文件实现后门功能,与控制客户端通信。G_server_hook.dll通过拦截api调用隐藏病毒。所以中毒后看不到病毒文件,也看不到病毒注册的服务项目。G_server_hook.dll有时候是依附于explorer.exe的进程空间,有时候是依附于所有的进程。

灰鸽子的人工检测

因为灰鸽子拦截api调用,所以服务器程序文件及其注册的服务项在正常模式下是隐藏的,也就是说即使设置了“显示所有隐藏文件”,也看不到。另外灰鸽子服务器的文件名可以自定义,给人工检测带来一定的困难。 然而,通过仔细观察,我们发现灰鸽子的检测仍然是有规律的。从上面的操作原理分析可以看出,无论用户定义的服务器端文件名是什么,通常都会在操作系统的安装目录中生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以用手准确地检测出灰鸽服务器。

  • 上一篇:svchost.exe是什么进程
  • 下一篇:XP安全模式下卸载驱动程序
  • 头条推荐
    相关推荐
    Copyright © 2012 - 2019 www.haiercq.com All Rights Reserved. 漫钰维修网
    蜀ICP备14029888号-1   

    您要预约的项目是

    已有人预约

  • 立即预约