求助！怎樣對付“灰鴿子”？

事，灰鴿子就成了很強大的黑客工具。這就好比火藥，用在不同的場合，給人類帶來不同的影響。對灰鴿子完整的介紹也許只有灰鴿子作者本人能夠說清楚，在此我們只能進行簡要介紹。

  灰鴿子客戶端和服務端都是采用delphi編寫。黑客利用客戶端程序配置出服務端程序。可配置的信息主要包括上線類型（如等待連接還是主動連接）、主動連接時使用的公網ip（域名）、連接密碼、使用的端口、啟動項名稱、服務名稱，進程隱藏方式，使用的殼，代理，圖標等等。

  服務端對客戶端連接方式有多種，使得處於各種網絡環境的用戶都可能中毒，包括局域網用戶（通過代理上網）、公網用戶和adsl撥號用戶等。

  下面介紹服務端：

  配置出來的服務端文件文件名為g_server.exe（這是默認的，當然也可以改變）。然後黑客利用一切辦法誘騙用戶運行g_server.exe程序。具體采用什麼辦法，讀者可以充分發揮想象力，這裡就不贅述。

g_server.exe運行後將自己拷貝到windows目錄下(98/xp下為系統盤的windows目錄，2k/nt下為系統盤的winnt目錄)，然後再從體內釋放g_server.dll和g_server_hook.dll到windows目錄下。g_server.exe、g_server.dll和g_server_hook.dll三個文件相互配合組成了灰鴿子服務端， g_server_hook.dll負責隱藏灰鴿子。通過截獲進程的api調用隱藏灰鴿子的文件、服務的注冊表項，甚至是進程中的模塊名。截獲的函數主要是用來遍歷文件、遍歷注冊表項和遍歷進程模塊的一些函數。所以，有些時候用戶感覺種了毒，但仔細檢查卻又發現不了什麼異常。有些灰鴿子會多釋放出一個名為g_serverkey.dll的文件用來記錄鍵盤操作。注意，g_server.exe這個名稱並不固定，它是可以定制的，比如當定制服務端文件名為a.exe時，生成的文件就是a.exe、a.dll和a_hook.dll。

  windows目錄下的g_server.exe文件將自己注冊成服務（9x系統寫注冊表啟動項），每次開機都能自動運行，運行後啟動g_server.dll和g_server_hook.dll並自動退出。g_server.dll文件實現後門功能，與控制端客戶端進行通信；g_server_hook.dll則通過攔截api調用來隱藏病毒。因此，中毒後，我們看不到病毒文件，也看不到病毒注冊的服務項。隨著灰鴿子服務端文件的設置不同，g_server_hook.dll有時候附在explorer.exe的進程空間中，有時候則是附在所有進程中。

  灰鴿子的作者對於如何逃過殺毒軟件的查殺花了很大力氣。由於一些api函數被截獲，正常模式下難以遍歷到灰鴿子的文件和模塊，造成查殺上的困難。要卸載灰鴿子動態庫而且保證系統進程不崩潰也很麻煩，因此造成了近期灰鴿子在互聯網上泛濫的局面。

二、灰鴿子的手工檢測

  由於灰鴿子攔截了api調用，在正常模式下服務端程序文件和它注冊的服務項均被隱藏，也就是說你即使設置了“顯示所有隱藏文件”也看不到它們。此外，灰鴿子服務端的文件名也是可以自定義的，這都給手工檢測帶來了一定的困難。

  但是，通過仔細觀察我們發現，對於灰鴿子的檢測仍然是有規律可循的。從上面的運行原理分析可以看出，無論自定義的服務器端文件名是什麼，一般都會在操作系統的安裝目錄下生成一個以“_hook.dll”結尾的文件。通過這一點，我們可以較為准確手工檢測出灰鴿子服務端。

  由於正常模式下灰鴿子會隱藏自身，因此檢測灰鴿子的操作一定要在安全模式下進行。進入安全模式的方法是：啟動計算機，在系統進入windows啟動畫面前，按下f8鍵(或者在啟動計算機時按住ctrl鍵不放)，在出現的啟動選項菜單中，選擇“safemode”或“安全模式”。

  1、由於灰鴿子的文件本身具有隱藏屬性，因此要設置windows顯示所有文件。打開“我的電腦”，選擇菜單“工具”—》“文件夾選項”，點擊“查看”，取消“隱藏受保護的操作系統文件”前的對勾，並在“隱藏文件和文件夾”項中選擇“顯示所有文件和文件夾”，然後點擊“確定”。
[img][/img]

  2、打開windows的“搜索文件”，文件名稱輸入“_hook.dll”，搜索位置選擇windows的安裝目錄（默認98/xp為c:\windows，2k/nt為c:\winnt）。

3、經過搜索，我們在windows目錄（不包含子目錄）下發現了一個名為game_hook.dll的文件。

4、根據灰鴿子原理分析我們知道，如果game_hook.dll是灰鴿子的文件，則在操作系統安裝目錄下還會有game.exe和game.dll文件。打開windows目錄，果然有這兩個文件，同時還有一個用於記錄鍵盤操作的gamekey.dll文件。

[img][/img]

  經過這幾步操作我們基本就可以確定這些文件是灰鴿子服務端了，下面就可以進行手動清除。

三、灰鴿子的手工清除

  經過上面的分析，清除灰鴿子就很容易了。清除灰鴿子仍然要在安全模式下操作，主要有兩步：1、清除灰鴿子的服務；2刪除灰鴿子程序文件。

  注意：為防止誤操作，清除前一定要做好備份。

  （一）、清除灰鴿子的服務

注意清除灰鴿子的服務一定要在注冊表裡完成，對注冊表不熟悉的網友請找熟悉的人幫忙操作，清除灰鴿子的服務一定要先備份注冊表，或者到純dos下將注冊表文件更名，然後在去注冊表刪除灰鴿子的服務。因為病毒會和exe文件進行關聯

  2000／xp系統：

  1、打開注冊表編輯器（點擊“開始”－》“運行”，輸入“regedit.exe”，確定。），打開hkey_local_machine\system\currentcontrolset\services注冊表項。

  2、點擊菜單“編輯”－》“查找”，“查找目標”輸入“game.exe”，點擊確定，我們就可以找到灰鴿子的服務項（此例為game_server，每個人這個服務項名稱是不同的）。

[img][/img]

  3、刪除整個game_server項。

  98／me系統：

  在9x下，灰鴿子啟動項只有一個，因此清除更為簡單。運行注冊表編輯器，打開hkey_current_user\software\microsoft\windows\currentversion\run項，我們立即看到名為game.exe的一項，將game.exe項刪除即可。

[img][/img]

  （二）、刪除灰鴿子程序文件

  刪除灰鴿子程序文件非常簡單，只需要在安全模式下刪除windows目錄下的game.exe、game.dll、game_hook.dll以及gamekey.dll文件，然後重新啟動計算機。至此，灰鴿子vip2005服務端已經被清除干淨。

以上介紹的方法適用於我們看到的大部分灰鴿子木馬及其變種，然而仍有極少數變種采用此種方法無法檢測和清除。同時，隨著灰鴿子新版本的不斷推出，作者可能會加入一些新的隱藏方法、防刪除手段，手工檢測和清除它的難度也會越來越大。

四、防止中灰鴿子病毒需要注意的事項

1.給系統安裝補丁程序。通過windowsupdate安裝好系統補丁程序(關鍵更新、安全更新和servicepack)，其中ms04-011、ms04-012、ms04-013、ms03-001、ms03-007、ms03-049、ms04-032等都被病毒廣泛利用，是非常必要的補丁程序

2.給系統管理員帳戶設置足夠復雜足夠強壯的密碼，最好能是10位以上，字母+數字+其它符號的組合；也可以禁用/刪除一些不使用的帳戶

3.經常更新殺毒軟件（病毒庫），設置允許的可設置為每天定時自動更新。安裝並合理使用網絡防火牆軟件，網絡防火牆在防病毒過程中也可以起到至關重要的作用，能有效地阻擋自來網絡的攻擊和病毒的入侵。部分盜版windows用戶不能正常安裝補丁，這點也比較無奈，這部分用戶不妨通過使用網絡防火牆來進行一定防護

4.關閉一些不需要的服務，條件允許的可關閉沒有必要的共享，也包括c$、d$等管理共享。完全單機的用戶可直接關閉server服務。這些都可以用winxp總管等優化軟件關閉。
winxp總管v4.9.3中文注冊版
ahref=".366tian/soft/data/soft/219.html"target="_blank".366tian/soft/data/soft/219.html/a

5.不要隨便打開或運行陌生、可疑文件和程序，如中的奇怪附件，外掛程序等。

五、灰鴿子（huigezi、gpigeon）專用檢測清除工具
軟件名稱：灰鴿子（huigezi、gpigeon）專用檢測清除工具
界面語言：簡體中文
軟件類型：國產軟件
運行環境：/win9x/me/winnt/2000/xp/2003
授權方式：免費軟件
軟件大小：414kb
軟件簡介：由灰鴿子工作室開發的,針對灰鴿子專用清除器!可以清除vip2005版灰鴿子服務端程序(包括殺毒軟件殺不到的灰鴿子服務端)和灰鴿子[輻射正式版]和dll版服務端牽手版服務端
運行delhgzvip2005server.exe文件清除vip2005版灰鴿子服務端程序，運行un_hgzserver.exe文件清除灰鴿子[輻射正式版]和dll版服務端牽手版服務端
這裡有
www.ipa123.com
綠盟影視
http://www.ipa123.com

上一页 [1] [2]