導航:首頁 > 安裝方法 > 灰鴿子的安裝方法

灰鴿子的安裝方法

發布時間:2022-07-01 17:31:20

㈠ 誰仔細給我介紹下灰鴿子怎麼用``

灰鴿子.由葛軍製造於2003年..它的主要功能就是遠程的控制.遠程注冊表遠程桌面遠程CMD 他是利用IE的漏洞上線的. 你可以去申請個FTP空間.來配置. 一般鴿子不免殺的話什麼殺毒都查得到的..
有什麼問題就說吧,.!
灰鴿子是國內一款著名後門。比起前輩冰河、黑洞來,灰鴿子可以說是國內後門的集大成者。其豐富而強大的功能、靈活多變的操作、良好的隱藏性使其他後門都相形見絀。客戶端簡易便捷的操作使剛入門的初學者都能充當黑客。當使用在合法情況下時,灰鴿子是一款優秀的遠程式控制制軟體。但如果拿它做一些非法的事,灰鴿子就成了很強大的黑客工具。這就好比火葯,用在不同的場合,給人類帶來不同的影響。對灰鴿子完整的介紹也許只有灰鴿子作者本人能夠說清楚,在此我們只能進行簡要介紹。
灰鴿子客戶端和服務端都是採用Delphi編寫。黑客利用客戶端程序配置出服務端程序。可配置的信息主要包括上線類型(如等待連接還是主動連接)、主動連接時使用的公網IP(域名)、連接密碼、使用的埠、啟動項名稱、服務名稱,進程隱藏方式,使用的殼,代理,圖標等等。
服務端對客戶端連接方式有多種,使得處於各種網路環境的用戶都可能中毒,包括區域網用戶(通過代理上網)、公網用戶和ADSL撥號用戶等。
下面介紹服務端:
配置出來的服務端文件文件名為G_Server.exe(這是默認的,當然也可以改變)。然後黑客利用一切辦法誘騙用戶運行G_Server.exe程序。
G_Server.exe運行後將自己拷貝到Windows目錄下(98/xp下為系統盤的windows目錄,2k/NT下為系統盤的Winnt目錄),然後再從體內釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個文件相互配合組成了灰鴿子服務端, G_Server_Hook.dll負責隱藏灰鴿子。通過截獲進程的API調用隱藏灰鴿子的文件、服務的注冊表項,甚至是進程中的模塊名。截獲的函數主要是用來遍歷文件、遍歷注冊表項和遍歷進程模塊的一些函數。所以,有些時候用戶感覺種了毒,但仔細檢查卻又發現不了什麼異常。有些灰鴿子會多釋放出一個名為G_ServerKey.dll的文件用來記錄鍵盤操作。注意,G_Server.exe這個名稱並不固定,它是可以定製的,比如當定製服務端文件名為A.exe時,生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目錄下的G_Server.exe文件將自己注冊成服務(9X系統寫注冊表啟動項),每次開機都能自動運行,運行後啟動G_Server.dll和G_Server_Hook.dll並自動退出。G_Server.dll文件實現後門功能,與控制端客戶端進行通信;G_Server_Hook.dll則通過攔截API調用來隱藏病毒。因此,中毒後,我們看不到病毒文件,也看不到病毒注冊的服務項。隨著灰鴿子服務端文件的設置不同,G_Server_Hook.dll有時候附在Explorer.exe的進程空間中,有時候則是附在所有進程中。
灰鴿子的作者對於如何逃過殺毒軟體的查殺花了很大力氣。由於一些API函數被截獲,正常模式下難以遍歷到灰鴿子的文件和模塊,造成查殺上的困難。要卸載灰鴿子動態庫而且保證系統進程不崩潰也很麻煩,因此造成了近期灰鴿子在互聯網上泛濫的局面。

二、灰鴿子的手工檢測
由於灰鴿子攔截了API調用,在正常模式下服務端程序文件和它注冊的服務項均被隱藏,也就是說你即使設置了「顯示所有隱藏文件」也看不到它們。此外,灰鴿子服務端的文件名也是可以自定義的,這都給手工檢測帶來了一定的困難。
但是,通過仔細觀察我們發現,對於灰鴿子的檢測仍然是有規律可循的。從上面的運行原理分析可以看出,無論自定義的伺服器端文件名是什麼,一般都會在操作系統的安裝目錄下生成一個以「_hook.dll」結尾的文件。通過這一點,我們可以較為准確手工檢測出灰鴿子 服務端。
由於正常模式下灰鴿子會隱藏自身,因此檢測灰鴿子的操作一定要在安全模式下進行。進入安全模式的方法是:啟動計算機,在系統進入Windows啟動畫面前,按下F8鍵(或者在啟動計算機時按住Ctrl鍵不放),在出現的啟動選項菜單中,選擇「Safe Mode」或「安全模式」。

1、由於灰鴿子的文件本身具有隱藏屬性,因此要設置Windows顯示所有文件。打開「我的電腦」,選擇菜單「工具」—》「文件夾選項」,點擊「查看」,取消「隱藏受保護的操作系統文件」前的對勾,並在「隱藏文件和文件夾」項中選擇「 顯示所有文件和文件夾」,然後點擊「確定」。

2、打開Windows的「搜索文件」,文件名稱輸入「_hook.dll」,搜索位置選擇Windows的安裝目錄(默認98/xp為C:\windows,2k/NT為C:\Winnt)。

3、經過搜索,我們在Windows目錄(不包含子目錄)下發現了一個名為Game_Hook.dll的文件。

4、根據灰鴿子原理分析我們知道,如果Game_Hook.DLL是灰鴿子的文件,則在操作系統安裝目錄下還會有Game.exe和Game.dll文件。打開Windows目錄,果然有這兩個文件,同時還有一個用於記錄鍵盤操作的GameKey.dll文件。

經過這幾步操作我們基本就可以確定這些文件是灰鴿子 服務端了,下面就可以進行手動清除。

三、灰鴿子的手工清除

經過上面的分析,清除灰鴿子就很容易了。清除灰鴿子仍然要在安全模式下操作,主要有兩步:
1、清除灰鴿子的服務;
2、刪除灰鴿子程序文件。

注意:為防止誤操作,清除前一定要做好備份。

(一)、清除灰鴿子的服務

注意清除灰鴿子的服務一定要在注冊表裡完成,對注冊表不熟悉的網友請找熟悉的人幫忙操作,清除灰鴿子的服務一定要先備份注冊表,或者到純DOS下將注冊表文件更名,然後在去注冊表刪除灰鴿子的服務。因為病毒會和EXE文件進行關聯

2000/XP系統:

1、打開注冊表編輯器(點擊「開始」-》「運行」,輸入「Regedit.exe」,確定。),打開 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注冊表項。

2、點擊菜單「編輯」-》「查找」,「查找目標」輸入「game.exe」,點擊確定,我們就可以找到灰鴿子的服務項(此例為Game_Server,每個人這個服務項名稱是不同的)。

3、刪除整個Game_Server項。

98/me系統:

在9X下,灰鴿子啟動項只有一個,因此清除更為簡單。運行注冊表編輯器,打開HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run項,我們立即看到名為Game.exe的一項,將Game.exe項刪除即可。

(二)、刪除灰鴿子程序文件

刪除灰鴿子程序文件非常簡單,只需要在安全模式下刪除Windows目錄下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然後重新啟動計算機。至此,灰鴿子VIP 2005 服務端已經被清除干凈。

以上介紹的方法適用於我們看到的大部分灰鴿子木馬及其變種,然而仍有極少數變種採用此種方法無法檢測和清除。同時,隨著灰鴿子新版本的不斷推出,作者可能會加入一些新的隱藏方法、防刪除手段,手工檢測和清除它的難度也會越來越大。

四、防止中灰鴿子病毒需要注意的事項

1. 給系統安裝補丁程序。通過Windows Update安裝好系統補丁程序(關鍵更新、安全更新和Service pack),其中MS04-011、MS04-012、MS04-013、MS03-001、MS03-007、MS03-049、MS04-032等都被病毒廣泛利用,是非常必要的補丁程序

2. 給系統管理員帳戶設置足夠復雜足夠強壯的密碼,最好能是10位以上,字母+數字+其它符號的組合;也可以禁用/刪除一些不使用的帳戶

3. 經常更新殺毒軟體(病毒庫),設置允許的可設置為每天定時自動更新。安裝並合理使用網路防火牆軟體,網路防火牆在防病毒過程中也可以起到至關重要的作用,能有效地阻擋自來網路的攻擊和病毒的入侵。部分盜版Windows用戶不能正常安裝補丁,這點也比較無奈,這部分用戶不妨通過使用網路防火牆來進行一定防護

4. 關閉一些不需要的服務,條件允許的可關閉沒有必要的共享,也包括C$、D$等管理共享。完全單機的用戶可直接關閉Server服務。

. 下載HijackThis掃描系統

四、灰鴿子的下載地址

http://www.skycn.com/soft/15753.html zww3008漢化版

http://www.merijn.org/files/hijackthis.zip 英文版

2. 從HijackThis日誌的 O23項可以發現灰鴿子自的服務項

如最近流行的:

O23 - Service: SYSTEM$ (SYSTEM$Server) - Unknown owner - C:\WINDOWS\setemy.bat

O23 - Service: Network Connections Manager (NetConMan) - Unknown owner - C:\WINDOWS\uinstall.exe

O23 - Service: winServer - Unknown owner - C:\WINDOWS\winserver.exe

O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\G_Server.exe

用HijackThis選中上面的O23項,然後選擇"修復該項"或"Fix checked"

3. 用Killbox刪除灰鴿子對應的木馬文件 可以從這里下載Killbox

「灰鴿子」殺傷力是「熊貓燒香」10倍

與「熊貓燒香」病毒的「張揚」不同,「灰鴿子」更像一個隱形的賊,潛伏在用戶「家」中,監視用戶的一舉一動,甚至用戶與MSN、QQ好友聊天的每一句話都難逃「鴿」眼。專家稱,「熊貓燒香」還停留在對電腦自身的破壞,而「灰鴿子」已經發展到對「人」的控制,而被控者卻毫不知情。從某種意義上講,「灰鴿子」的危害超出「熊貓燒香」10倍。

「灰鴿子」如何控制電腦牟利

「黑客培訓班」教網民通過「灰鴿子」控制別人電腦,「學費」最高200元,最低需要50元,學時一周到一個月不等。

黑客通過程序控制他人電腦後,將「肉雞」倒賣給廣告商,「肉雞」的價格在1角到1元不等。資深販子一個月內可以販賣10萬個「肉雞」。

被控制電腦被隨意投放廣告,或者乾脆控制電腦點擊某網站廣告,一舉一動都能被監視。

http://yncnc.onlinedown.net/soft/37257.htm
直接把文件的路徑復制到 Killbox里刪除

通常都是下面這樣的文件 "服務名"具體通過HijackThis判斷

C:\windows\服務名.dll

C:\windows\服務名.exe

C:\windows\服務名.bat

C:\windows\服務名key.dll

C:\windows\服務名_hook.dll

C:\windows\服務名_hook2.dll

舉例說明:

C:\WINDOWS\setemykey.dll

C:\WINDOWS\setemy.dll

C:\WINDOWS\setemy.exe

C:\WINDOWS\setemy_hook.dll

C:\WINDOWS\setemy_hook2.dll

用Killbox刪除那些木馬文件,由於文件具有隱藏屬性,可能無法直接看到,但Killbox能直接刪除. 上面的文件不一定全部存在,如果Killbox提示文件不存在或已經刪除就沒關系了

以上他們做了命名規則解釋 去下載一個木馬殺客灰鴿子專殺 下載地址 http://down911.com/SoftView/SoftView_3014.html 瑞星版本的專殺 下載地址 http://down911.com/SoftView/SoftView_3668.html 清理完後 需要重新啟動計算機 服務停止 然後去找那些殘留文件 參見 上面回答者

軟體名稱: 灰鴿子(Huigezi、Gpigeon)專用檢測清除工具

界面語言: 簡體中文

軟體類型: 國產軟體

運行環境: /Win9X/Me/WinNT/2000/XP/2003

授權方式: 免費軟體

軟體大小: 414KB

軟體簡介: 由灰鴿子工作室開發的,針對灰鴿子專用清除器!可以清除VIP2005版灰鴿子服務端程序(包括殺毒軟體殺不到的灰鴿子服務端)和灰鴿子 [輻射正式版] 和 DLL版服務端 牽手版服務端

運行DelHgzvip2005Server.exe文件清除VIP2005版灰鴿子服務端程序,運行un_hgzserver.exe文件清除灰鴿子 [輻射正式版] 和 DLL版服務端 牽手版服務

五、灰鴿子的公告聲明

灰鴿子工作室於2003年初成立,定位於遠程式控制制、遠程管理、遠程監控軟體開發,主要產品為灰鴿子遠程式控制制系列軟體產品。灰鴿子工作室的軟體產品,均為商業化的遠程式控制制軟體,主要提供給網吧、企業及個人用戶進行電腦軟體管理使用;灰鴿子軟體已獲得國家頒布的計算機軟體著作權登記證書,受著作權法保護。

然而,我們痛心的看到,目前互聯網上出現了利用灰鴿子遠程管理軟體以及惡意破解和篡改灰鴿子遠程管理軟體為工具的不法行為,這些行為嚴重影響了灰鴿子遠程管理軟體的聲譽,同時也擾亂了網路秩序。這完全違背了灰鴿子工作室的宗旨和開發灰鴿子遠程管理軟體的初衷。在此我們呼籲、勸告那些利用遠程式控制制技術進行非法行為的不法分子應立即停止此類非法活動。

應該表明的是,灰鴿子工作室自成立以來恪守國家法律和有關網路管理的規定,具有高度的社會責任感。為有效制止不法分子非法利用灰鴿子遠程管理軟體從事危害社會的非法活動,在此,我們鄭重聲明,自即日起決定全面停止對灰鴿子遠程管理軟體的開發、更新和注冊,以實際行動和堅定的態度來抵制這種非法利用灰鴿子遠程管理軟體的不法行為,並誠懇接受廣大網民的監督。

灰鴿子工作室譴責那些非法利用遠程式控制制技術實現非法目的的行為,對於此類行為,灰鴿子工作室發布了灰鴿子服務端卸載程序,以便於廣大網民方便卸載那些被非法安裝於自己計算機的灰鴿子服務端。卸載程序下載頁面。

六、灰鴿子工作室
灰鴿子工作室於2003年 初成立,定位於遠程式控制制,遠程管理,遠程監控軟體開發,主要產品為灰鴿子遠程式控制制系列,2005年6月,正式推出使用驅動技術捕獲屏幕的遠程式控制制軟體,捕獲屏幕速度開始超越國外遠程式控制制軟體,灰鴿子開始被喻為遠程式控制制的代名詞。我們希望,用我們的技術和經驗,打造出最好的遠程式控制制軟體,推動遠程式控制制技術的發展!

2007年3月21日
http://www.huigezi.net/uninstall/
卸載頁面
七、灰鴿子官方網站
http;//www.huigezi.net
八、 灰鴿子工作室成員介紹
葛軍:2003年初,與好友黃土平創建了灰鴿子工作室。2001年挺進版率先在遠程式控制制軟體上開發和使用了反彈連接技術。
黃土平:2003年初,與好友葛軍創建了灰鴿子工作室。
灰鴿子是同類軟體的祖先

㈡ 灰鴿子怎麼用

灰鴿子是國內一款著名後門。比起前輩冰河、黑洞來,灰鴿子可以說是國內後門的集大成者。其豐富而強大的功能、靈活多變的操作、良好的隱藏性使其他後門都相形見絀。客戶端簡易便捷的操作使剛入門的初學者都能充當黑客。當使用在合法情況下時,灰鴿子是一款優秀的遠程式控制制軟體。但如果拿它做一些非法的事,灰鴿子就成了很強大的黑客工具。這就好比火葯,用在不同的場合,給人類帶來不同的影響。對灰鴿子完整的介紹也許只有灰鴿子作者本人能夠說清楚,在此我們只能進行簡要介紹。

灰鴿子客戶端和服務端都是採用Delphi編寫。黑客利用客戶端程序配置出服務端程序。可配置的信息主要包括上線類型(如等待連接還是主動連接)、主動連接時使用的公網IP(域名)、連接密碼、使用的埠、啟動項名稱、服務名稱,進程隱藏方式,使用的殼,代理,圖標等等。

連接密碼的設定使得灰鴿子服務端程序只能被配置它的黑客控制,避免了黑客之間的競爭。

服務端對客戶端連接方式有多種,使得處於各種網路環境的用戶都可能中毒,包括區域網用戶(通過代理上網)、公網用戶和ADSL撥號用戶等。

只用一個埠來傳輸所有通訊數據!普通同類軟體都用到了兩個或兩個以上的埠來完成。

支持可以控制Internet連接共享、HTTP透明代理上網的電腦!軟體智能讀取系統設定的代理伺服器信息,無需用戶設置!

可以設置服務端開放Socks5代理伺服器功能和HTTP代理服務功能!無需第三方軟體支持!支持Windows9x/ME/2000/Xp/2003。便於黑客進行跳板攻擊。

除了具有語音監聽、語音發送,還有遠程視頻監控功能,只有遠程計算機有攝像頭,且正常打開沒有被佔用,那麼你可以看到,遠程攝像頭捕獲的圖片!還可以把遠程攝像頭捕獲的畫面存為Mpeg-1格式.遠程語音也可以錄製成Wav聲音文件。

其他後門具有的功能,你幾乎都可以在灰鴿子里找到。而且每個功能都做的非常細致,非常人性化。整體界面比較清爽,容易上手,對每一個小細節的考慮都很到位,所有能想到的Ideal幾乎都實現了。不過黑客的方便,對於廣大用戶來說可不是好事。

下面介紹服務端:

配置出來的服務端文件文件名為G_Server.exe(這是默認的,當然也可以改變)。然後黑客利用一切辦法誘騙用戶運行G_Server.exe程序。具體採用什麼辦法,讀者可以充分發揮想像力,這里就不贅述。

G_Server.exe第一次運行時自己拷貝到Windows目錄下(98/XP操作系統為系統盤windows目錄,2K/NT為系統盤winnt目錄),並將它注冊為服務(服務名稱在上面已經配置好了),然後從體內釋放2個文件到Windows目錄下:G_Server.dll,G_Server_Hook.dll(近期灰鴿子版本會釋放3個文件,多了一個G_ServerKey.exe,主要用來記錄鍵盤操作)。然後將G_Server.dll,G_Server_Hook.dll注入到Explorer.exe、IExplorer.exe或者所有進程中執行。然後G_Server.exe退出,兩個動態庫繼續運行。由於病毒運行的時候沒有獨立進程,病毒隱藏性很好。以後每次開機時,Windows目錄下的G_Server.exe都會自動運行,激活動態庫後退出,以免引起用戶懷疑。

G_Server.dll實現後門功能,與控制端進行通信。灰鴿子的強大功能主要體現在這里。黑客可以對中毒機器進行的操作包括:文件管理、獲取系統信息、剪貼板查看、進程管理、窗口管理、鍵盤記錄、服務管理、共享管理,提供MS-Dos shell,提供代理服務,注冊表編輯,啟動telnet服務,捕獲屏幕,視頻監控,音頻監控,發送音頻,卸載灰鴿子…… 可以說,用戶在本地能看到的信息,使用灰鴿子遠程監控也能看到。尤其是屏幕監控和視頻、音頻監控比較危險。如果用戶在電腦上進行網上銀行交易,則遠程屏幕監控容易暴露用戶的帳號,在加上鍵盤監控,用戶的密碼也岌岌可危。而視頻和音頻監控則容易暴露用戶自身的秘密,如「相貌」,「聲音」。

G_Server_Hook.dll負責隱藏灰鴿子。通過截獲進程的API調用隱藏灰鴿子的文件、服務的注冊表項,甚至是進程中的模塊名。截獲的函數主要是用來遍歷文件、遍歷注冊表項和遍歷進程模塊的一些函數。所以,有些時候用戶感覺種了毒,但仔細檢查卻又發現不了什麼異常。

灰鴿子的作者對於如何逃過殺毒軟體的查殺花了很大力氣。由於一些API函數被截獲,正常模式下難以遍歷到灰鴿子的文件和模塊,造成查殺上的困難。要卸載灰鴿子動態庫而且保證系統進程不崩潰也很麻煩,因此造成了近期灰鴿子在互聯網上泛濫的局面。
灰鴿子2005病毒的特點是:1、運行後,病毒進程插入所有當前正在運行的進程中;2、隱藏病毒自身進程;3、隱藏病毒文件;4、將自身注冊為系統服務,實現啟動載入。因此,染毒後很難在WINDOWS下將病毒殺凈。
手工查殺灰鴿子2005的關鍵一步是找到病毒注冊的系統服務名,將其從注冊表HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES分支中刪除。然而,由於黑客配置灰鴿子2005服務端時命名的系統服務名五花八門,沒有一定規律可循,因而使不少人中招後難以下手清除病毒。
其實,灰鴿子2005有一個弱點,可供手工殺毒時利用。這個弱點就是——用HijackThis1.99.1掃系統日誌,O23項可以顯示灰鴿子注冊的系統服務名(例:WindowsPowerServer)和可執行文件名(例: D:\WINDOWS\spoolvs.exe)。(註:NT系統的HiajckThis日誌中才有O23項;WIN98等非NT系統不可能有此項。)
因此,建議因感染灰鴿子2005的發帖求助的網友按以下步驟操作:
1、用HijackThis1.99.1(本帖附件中的一個小工具)掃系統日誌,在O23項中尋找灰鴿子2005注冊的系統服務名(例:WindowsPowerServer)。如果自己看不懂HijackThis日誌,可以將日誌貼在帖子中,請別人幫助辨認。
2、確認灰鴿子2005注冊的系統服務名後,打開注冊表編輯器,定位到HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES分支,刪除左欄中的病毒服務名(例: WindowsPowerServer)。
3、重啟系統,在「文件夾選項」的「查看」面板中勾選「顯示系統文件」、「顯示所有的文件和文件夾」兩項,點擊「確定」按鈕。然後在%windows%下尋找病毒文件名(例: D:\WINDOWS\spoolvs.exe),找到後刪除之。需要注意的是:灰鴿子2005生成的病毒文件為一組,3-4個。病毒文件命名有一定規律,即:X.exe、X.dll、X_hook.dll以及XKey.dll,其中「X」指病毒文件名的可變部分。例如,你的系統感染灰鴿子2005後,在HijackThis1.99.1日誌中看到「O23 - Service: RSVPS (QoS RSVPS) - Unknown owner - D:\WINDOWS\spoolvs.exe」這樣的信息,那麼,這個日誌提示:這個灰鴿子2005服務端注冊的系統服務名是「 RSVPS 」;生成的病毒文件是spoolvs.exe、spoolvs.dll、spoolvs_hook.dll,可能還有一個spoolvsKey.dll。這一組3-4個病毒文件位於D:\WINDOWS\文件夾中。
附:HijackThis日誌中見到的灰鴿子2005注冊的系統服務名與病毒文件名(供手工殺毒參考)
O23 - Service: WINL0G0N - Unknown - C:\WINDOWS\WINL0G0N.EXE

O23 - Service: Windows_Helper - Unknown - C:\WINDOWS\3721.exe

O23 - Service: ray-pigeon-sorver-unknwn-c:/windows/lerver.exe

O23 - Service: Remotee - Unknown - C:\WINNT\explercr.exe

O23 - Service: Gerver - Unknown - C:\WINDOWS\smcsc.exe

O23 - Service: Intelnet - Unknown - C:\WINDOWS\system.exe

O23 - Service: ssvn - Unknown - C:\WINNT\Servers.exe

O23 - Service: Distributed Coordi - Unknown - C:\WINNT\cmmon32.com

O23 - Service: Contact Information - Unknown - C:\WINDOWS\svchost.exe

O23 - Service: DNS Pigeon Server - Unknown - C:\WINDOWS\Rver.exe

O23 - Service: system Management Instrumenta - Unknown - C:\WINDOWS\comines.exe

O23 - Service: Plug and Play . - Unknown - C:\WINDOWS\crsss.exe

023- Service: Pigeon_Server-Unknown-C:\WINDOWS\Server.exe

O23 - Service: Windows Update Servers - Unknown - C:\WINDOWS\winupdate.exe

O23 - Service: Windows Management Player - Unknown - C:\WINNT\system.exe

O23 - Service: Application Performance Explor - Unknown - C:\WINDOWS\svchost.exe

O23 - Service: Windows Management Drivers - Unknown - C:\WINNT\win32help.exe

O23 - Service: WindowsPowerServer - Unknown - C:\WINNT\Server.exe

O23 - Service: RSVPS (QoS RSVPS) - Unknown owner - D:\WINDOWS\spoolvs.exe

灰鴿子(Backdoor.Huigezi)作者現在還沒有停止對灰鴿子的開發,再加上有些人為了避開殺毒軟體的查殺故意給灰鴿子加上各種不同的殼,造成現在網路上不斷有新的灰鴿子變種出現。盡管瑞星公司一直在不遺餘力地收集最新的灰鴿子樣本,但由於變種繁多,還會有一些「漏網之魚」。如果您的機器出現灰鴿子症狀但用瑞星殺毒軟體查不到,那很可能是中了還沒有被截獲的新變種。這個時候,就需要手工殺掉灰鴿子。

手工清除灰鴿子並不難,重要的是我們必須懂得它的運行原理。

灰鴿子的運行原理

灰鴿子木馬分兩部分:客戶端和服務端。黑客(姑且這么稱呼吧)操縱著客戶端,利用客戶端配置生成出一個服務端程序。服務端文件的名字默認為G_Server.exe,然後黑客通過各種渠道傳播這個木馬(俗稱種木馬或者開後門)。種木馬的手段有很多,比如,黑客可以將它與一張圖片綁定,然後假冒成一個羞澀的MM通過QQ把木馬傳給你,誘騙你運行;也可以建立一個個人網頁,誘騙你點擊,利用IE漏洞把木馬下載到你的機器上並運行;還可以將文件上傳到某個軟體下載站點,冒充成一個有趣的軟體誘騙用戶下載……

G_Server.exe運行後將自己拷貝到Windows目錄下(98/xp下為系統盤的windows目錄,2k/NT下為系統盤的Winnt目錄),然後再從體內釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個文件相互配合組成了灰鴿子服務端,有些灰鴿子會多釋放出一個名為G_ServerKey.dll的文件用來記錄鍵盤操作。注意,G_Server.exe這個名稱並不固定,它是可以定製的,比如當定製服務端文件名為A.exe時,生成的文件就是A.exe、A.dll和A_Hook.dll。

Windows目錄下的G_Server.exe文件將自己注冊成服務(9X系統寫注冊表啟動項),每次開機都能自動運行,運行後啟動G_Server.dll和G_Server_Hook.dll並自動退出。G_Server.dll文件實現後門功能,與控制端客戶端進行通信;G_Server_Hook.dll則通過攔截API調用來隱藏病毒。因此,中毒後,我們看不到病毒文件,也看不到病毒注冊的服務項。隨著灰鴿子服務端文件的設置不同,G_Server_Hook.dll有時候附在Explorer.exe的進程空間中,有時候則是附在所有進程中。

灰鴿子的手工檢測

由於灰鴿子攔截了API調用,在正常模式下木馬程序文件和它注冊的服務項均被隱藏,也就是說你即使設置了「顯示所有隱藏文件」也看不到它們。此外,灰鴿子服務端的文件名也是可以自定義的,這都給手工檢測帶來了一定的困難。

但是,通過仔細觀察我們發現,對於灰鴿子的檢測仍然是有規律可循的。從上面的運行原理分析可以看出,無論自定義的伺服器端文件名是什麼,一般都會在操作系統的安裝目錄下生成一個以「_hook.dll」結尾的文件。通過這一點,我們可以較為准確手工檢測出灰鴿子木馬。

由於正常模式下灰鴿子會隱藏自身,因此檢測灰鴿子的操作一定要在安全模式下進行。進入安全模式的方法是:啟動計算機,在系統進入Windows啟動畫面前,按下F8鍵(或者在啟動計算機時按住Ctrl鍵不放),在出現的啟動選項菜單中,選擇「Safe Mode」或「安全模式」。

1、由於灰鴿子的文件本身具有隱藏屬性,因此要設置Windows顯示所有文件。打開「我的電腦」,選擇菜單「工具」—》「文件夾選項」,點擊「查看」,取消「隱藏受保護的操作系統文件」前的對勾,並在「隱藏文件和文件夾」項中選擇「顯示所有文件和文件夾」,然後點擊「確定」。

2、打開Windows的「搜索文件」,文件名稱輸入「_hook.dll」,搜索位置選擇Windows的安裝目錄(默認98/xp為C:\windows,2k/NT為C:\Winnt)。

3、經過搜索,我們在Windows目錄(不包含子目錄)下發現了一個名為Game_Hook.dll的文件。

4、根據灰鴿子原理分析我們知道,如果Game_Hook.DLL是灰鴿子的文件,則在操作系統安裝目錄下還會有Game.exe和Game.dll文件。打開Windows目錄,果然有這兩個文件,同時還有一個用於記錄鍵盤操作的GameKey.dll文件。

經過這幾步操作我們基本就可以確定這些文件是灰鴿子木馬了,下面就可以進行手動清除。

灰鴿子的手工清除

經過上面的分析,清除灰鴿子就很容易了。清除灰鴿子仍然要在安全模式下操作,主要有兩步:1、清除灰鴿子的服務;2刪除灰鴿子程序文件。

注意:為防止誤操作,清除前一定要做好備份。

一、清除灰鴿子的服務

2000/XP系統:

1、打開注冊表編輯器(點擊「開始」-》「運行」,輸入「Regedit.exe」,確定。),打開 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注冊表項。

2、點擊菜單「編輯」-》「查找」,「查找目標」輸入「game.exe」,點擊確定,我們就可以找到灰鴿子的服務項(此例為Game_Server)。

3、刪除整個Game_Server項。

98/me系統:

在9X下,灰鴿子啟動項只有一個,因此清除更為簡單。運行注冊表編輯器,打開HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run項,我們立即看到名為Game.exe的一項,將Game.exe項刪除即可。

二、刪除灰鴿子程序文件

刪除灰鴿子程序文件非常簡單,只需要在安全模式下刪除Windows目錄下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然後重新啟動計算機。至此,灰鴿子已經被清除干凈。

小結

本文給出了一個手工檢測和清除灰鴿子的通用方法,適用於我們看到的大部分灰鴿子木馬及其變種,然而仍有極少數變種採用此種方法無法檢測和清除。同時,隨著灰鴿子新版本的不斷推出,作者可能會加入一些新的隱藏方法、防刪除手段,手工檢測和清除它的難度也會越來越大。當你確定機器中了灰鴿子木馬而用本文所述的方法又檢測不到時,最好找有經驗的朋友幫忙解決。

同時隨著瑞星殺毒軟體2005版產品發布,殺毒軟體查殺未知病毒的能力得到了進一步提高。經過瑞星公司研發部門的不斷努力,灰鴿子病毒可以被安全有效地自動清除,需要用戶手動刪除它的機會也將越來越少。

病毒注冊的服務項。隨著灰鴿子服務端文件的設置不同,G_Server_Hook.dll有時候附在Explorer.exe的進程空間中,有時候則是附在所有進程中。
灰鴿子的手動清除方法
手工清除灰鴿子並不難,重要的是我們必須懂得它的運行原理。

灰鴿子的運行原理

灰鴿子遠程監控軟體分兩部分:客戶端和服務端。黑客(姑且這么稱呼吧)操縱著客戶端,利用客戶端配置生成出一個服務端程序。服務端文件的名字默認為G_Server.exe,然後黑客通過各種渠道傳播這個服務端(俗稱種木馬)。種木馬的手段有很多,比如,黑客可以將它與一張圖片綁定,然後假冒成一個羞澀的MM通過QQ把木馬傳給你,誘騙你運行;也可以建立一個個人網頁,誘騙你點擊,利用IE漏洞把木馬下載到你的機器上並運行;還可以將文件上傳到某個軟體下載站點,冒充成一個有趣的軟體誘騙用戶下載……,這正違背了我們開發灰鴿子的目的,所以本文適用於那些讓人非法安裝灰鴿子服務端的用戶,幫助用戶刪除灰鴿子 Vip 2005 的服務端程序。本文大部分內容摘自互聯網。
如果你沒有興趣讀下面的文章,請直接下載我們提供的清除器使用

http://kuku888.okok8.net/DelHgzvip20050105.exe

G_Server.exe運行後將自己拷貝到Windows目錄下(98/xp下為系統盤的windows目錄,2k/NT下為系統盤的Winnt目錄),然後再從體內釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個文件相互配合組成了灰鴿子服務端,有些灰鴿子會多釋放出一個名為G_ServerKey.dll的文件用來記錄鍵盤操作。注意,G_Server.exe這個名稱並不固定,它是可以定製的,比如當定製服務端文件名為A.exe時,生成的文件就是A.exe、A.dll和A_Hook.dll。

Windows目錄下的G_Server.exe文件將自己注冊成服務(9X系統寫注冊表啟動項),每次開機都能自動運行,運行後啟動G_Server.dll和G_Server_Hook.dll並自動退出。G_Server.dll文件實現後門功能,與控制端客戶端進行通信;G_Server_Hook.dll則通過攔截API調用來隱藏病毒。因此,中毒後,我們看不到病毒文件,也看不到病毒注冊的服務項。隨著灰鴿子服務端文件的設置不同,G_Server_Hook.dll有時候附在Explorer.exe的進程空間中,有時候則是附在所有進程中。

灰鴿子的手工檢測

由於灰鴿子攔截了API調用,在正常模式下服務端程序文件和它注冊的服務項均被隱藏,也就是說你即使設置了「顯示所有隱藏文件」也看不到它們。此外,灰鴿子服務端的文件名也是可以自定義的,這都給手工檢測帶來了一定的困難。

但是,通過仔細觀察我們發現,對於灰鴿子的檢測仍然是有規律可循的。從上面的運行原理分析可以看出,無論自定義的伺服器端文件名是什麼,一般都會在操作系統的安裝目錄下生成一個以「_hook.dll」結尾的文件。通過這一點,我們可以較為准確手工檢測出灰鴿子 服務端。

由於正常模式下灰鴿子會隱藏自身,因此檢測灰鴿子的操作一定要在安全模式下進行。進入安全模式的方法是:啟動計算機,在系統進入Windows啟動畫面前,按下F8鍵(或者在啟動計算機時按住Ctrl鍵不放),在出現的啟動選項菜單中,選擇「Safe Mode」或「安全模式」。

1、由於灰鴿子的文件本身具有隱藏屬性,因此要設置Windows顯示所有文件。打開「我的電腦」,選擇菜單「工具」—》「文件夾選項」,點擊「查看」,取消「隱藏受保護的操作系統文件」前的對勾,並在「隱藏文件和文件夾」項中選擇「顯示所有文件和文件夾」,然後點擊「確定」。
2、打開Windows的「搜索文件」,文件名稱輸入「_hook.dll」,搜索位置選擇Windows的安裝目錄(默認98/xp為C:\windows,2k/NT為C:\Winnt)。

3、經過搜索,我們在Windows目錄(不包含子目錄)下發現了一個名為Game_Hook.dll的文件。

手工清除灰鴿子並不難,重要的是我們必須懂得它的運行原理。

灰鴿子的運行原理

灰鴿子遠程監控軟體分兩部分:客戶端和服務端。黑客(姑且這么稱呼吧)操縱著客戶端,利用客戶端配置生成出一個服務端程序。服務端文件的名字默認為G_Server.exe,然後黑客通過各種渠道傳播這個服務端(俗稱種木馬)。種木馬的手段有很多,比如,黑客可以將它與一張圖片綁定,然後假冒成一個羞澀的MM通過QQ把木馬傳給你,誘騙你運行;也可以建立一個個人網頁,誘騙你點擊,利用IE漏洞把木馬下載到你的機器上並運行;還可以將文件上傳到某個軟體下載站點,冒充成一個有趣的軟體誘騙用戶下載……,這正違背了我們開發灰鴿子的目的,所以本文適用於那些讓人非法安裝灰鴿子服務端的用戶,幫助用戶刪除灰鴿子 Vip 2005 的服務端程序。本文大部分內容摘自互聯網。
如果你沒有興趣讀下面的文章,請直接下載我們提供的清除器使用:點擊這里下載

G_Server.exe運行後將自己拷貝到Windows目錄下(98/xp下為系統盤的windows目錄,2k/NT下為系統盤的Winnt目錄),然後再從體內釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個文件相互配合組成了灰鴿子服務端,有些灰鴿子會多釋放出一個名為G_ServerKey.dll的文件用來記錄鍵盤操作。注意,G_Server.exe這個名稱並不固定,它是可以定製的,比如當定製服務端文件名為A.exe時,生成的文件就是A.exe、A.dll和A_Hook.dll。

Windows目錄下的G_Server.exe文件將自己注冊成服務(9X系統寫注冊表啟動項),每次開機都能自動運行,運行後啟動G_Server.dll和G_Server_Hook.dll並自動退出。G_Server.dll文件實現後門功能,與控制端客戶端進行通信;G_Server_Hook.dll則通過攔截API調用來隱藏病毒。因此,中毒後,我們看不到病毒文件,也看不到病毒注冊的服務項。隨著灰鴿子服務端文件的設置不同,G_Server_Hook.dll有時候附在Explorer.exe的進程空間中,有時候則是附在所有進程中。

灰鴿子的手工檢測

由於灰鴿子攔截了API調用,在正常模式下服務端程序文件和它注冊的服務項均被隱藏,也就是說你即使設置了「顯示所有隱藏文件」也看不到它們。此外,灰鴿子服務端的文件名也是可以自定義的,這都給手工檢測帶來了一定的困難。

但是,通過仔細觀察我們發現,對於灰鴿子的檢測仍然是有規律可循的。從上面的運行原理分析可以看出,無論自定義的伺服器端文件名是什麼,一般都會在操作系統的安裝目錄下生成一個以「_hook.dll」結尾的文件。通過這一點,我們可以較為准確手工檢測出灰鴿子 服務端。

由於正常模式下灰鴿子會隱藏自身,因此檢測灰鴿子的操作一定要在安全模式下進行。進入安全模式的方法是:啟動計算機,在系統進入Windows啟動畫面前,按下F8鍵(或者在啟動計算機時按住Ctrl鍵不放),在出現的啟動選項菜單中,選擇「Safe Mode」或「安全模式」。

1、由於灰鴿子的文件本身具有隱藏屬性,因此要設置Windows顯示所有文件。打開「我的電腦」,選擇菜單「工具」—》「文件夾選項」,點擊「查看」,取消「隱藏受保護的操作系統文件」前的對勾,並在「隱藏文件和文件夾」項中選擇「顯示所有文件和文件夾」,然後點擊「確定」。

2、打開Windows的「搜索文件」,文件名稱輸入「_hook.dll」,搜索位置選擇Windows的安裝目錄(默認98/xp為C:\windows,2k/NT為C:\Winnt)。

3、經過搜索,我們在Windows目錄(不包含子目錄)下發現了一個名為Game_Hook.dll的文件。

4、根據灰鴿子原理分析我們知道,如果Game_Hook.DLL是灰鴿子的文件,則在操作系統安裝目錄下還會有Game.exe和Game.dll文件。打開Windows目錄,果然有這兩個文件,同時還有一個用於記錄鍵盤操作的GameKey.dll文件

經過這幾步操作我們基本就可以確定這些文件是灰鴿子 服務端了,下面就可以進行手動清除。

灰鴿子的手工清除

經過上面的分析,清除灰鴿子就很容易了。清除灰鴿子仍然要在安全模式下操作,主要有兩步:1、清除灰鴿子的服務;2刪除灰鴿子程序文件。

注意:為防止誤操作,清除前一定要做好備份。

一、清除灰鴿子的服務

2000/XP系統:

1、打開注冊表編輯器(點擊「開始」-》「運行」,輸入「Regedit.exe」,確定。),打開 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注冊表項。

2、點擊菜單「編輯」-》「查找」,「查找目標」輸入「game.exe」,點擊確定,我們就可以找到灰鴿子的服務項(此例為Game_Server)。

3、刪除整個Game_Server項。

98/me系統:

在9X下,灰鴿子啟動項只有一個,因此清除更為簡單。運行注冊表編輯器,打開HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run項,我們立即看到名為Game.exe的一項,將Game.exe項刪除即可。

二、刪除灰鴿子程序文件

刪除灰鴿子程序文件非常簡單,只需要在安全模式下刪除Windows目錄下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然後重新啟動計算機。至此,灰鴿子VIP 2005 服務端已經被清除干凈。

㈢ 怎樣安裝灰鴿子

如果有灰鴿子的程序,直接雙擊就可以運行了
不過必須在區域網中用!把你要傳的東西用滑鼠拖放到運行後的灰鴿子的空白區,在點上面你要傳送的電腦上的用戶名,在點傳送就可以了,那邊點打開,在找個路徑存放就ok了!

㈣ 如何安裝灰鴿子

把電腦打開 然後把灰色的鴿子裝進去 然後在把電腦裝上就可以了 !! 你的懸賞分都沒有 就想知道你還真吝嗇啊 !·!!!

㈤ 跪求灰鴿子使用方法.. 如果好的下載地址也可以。。

灰鴿子使用方法詳細說明

灰鴿子第一章:軟體相關介紹:

灰鴿子 [VIP 專業版]

1.只用一個埠來傳輸所有通訊數據!普通同類軟體都用到了兩個或兩個以上的埠來完成!

2.支持可以控制Internet連接共享、HTTP透明代理上網的電腦!軟體智能讀取系統設定的代理伺服器信息,無需用戶設置!

3.無需知道服務端IP,自動上線功能讓服務端自動上線報道!灰鴿子專用的上線系統無需您注冊免費域名才能使用,同時也提供了備用上線方式,在我們的專用上線系統出現故障時,您可以使用備用上線方式來使用自動上線功能。在使用專用上線系統時,你還可以控制遠程電腦通過Socks5代理來中轉自動上線。

4.自動上線可以在第一次設置分組,自定義上線圖像,上線備注等,這樣都可以讓你輕而易舉的找到目標主機,同時設置連接密碼保證了服務主機的安全性!同時具用牽手版的搜索符合條件主機的功能:
a.從主機窗口篩選:可以列出只有某個窗口的一批主機,可以輕松找到哪些人在玩某個游戲!
b.從主機進程篩選:可以列出運行了某個程序的一批主機,例如QQ.exe,就可以找到打開了QQ的自動上線主機有哪些了!

5.文件管理:管理遠程電腦的文件系統,支持復制、粘貼、刪除,斷點下載、上傳文件或文件夾,文件內容均以加密方式傳輸,確保通訊的安全性.

6.遠程式控制制命令:包括遠程系統信息、剪切板信息、進程管理、窗口管理、鍵盤記錄、服務管理、管理管理、MS-DOS模擬、代理服務控制!

7.注冊表編輯器:可以像操作本機注冊表一樣的編輯遠程注冊表。

8.常用命令廣播,讓你控制主機眾多主機更多的方便!詳細的在線主機線表顯示了:主機IP地址,地址位置,電腦名稱,系統版本,備注等信息,

9.除了具有語音監聽、語音發送,還有遠程視頻監控功能,只有遠程計算機有攝像頭,且正常打開沒有被佔用,那麼你可以看到,遠程攝像頭捕獲的圖片!還可以把遠程攝像頭捕獲的畫面存為Mpeg-1格式.遠程語音也可以錄製成Wav聲音文件。

10.可以設置服務端開放Socks5代理伺服器功能和HTTP代理服務功能!無需第三方軟體支持!支持Windows9x/ME/2000/Xp/2003。

11.軟體附帶有四款實用工具:

a. EXE工具 : 可以修改任何EXE文件圖標,支持真彩色!
b. 內網埠映射器 : 它允許你將區域網內的服務映射到internet上,使你在區域網內部也能使用自動上線功能!
c. FTP伺服器 : 可以開本機FTP服務!
d. Web伺服器 : 可以建立一個簡單的Web伺服器!

12.服務端程序在 Windows 2000 / xp / 2003 可以以服務啟動,支持發送多種組合鍵,比如:Ctrl+Alt+del等等,適用於管理伺服器主機!遠程屏幕捕獲還可以錄制為Mpeg-1文件格式.

13.全中文友好操作界面,讓你一目瞭然,漂亮皮膚讓使用時也倍感親切!

功能簡單介紹:

【1】對遠程計算機文件管理:模枋 Windows 資源管理器,可以對文件進行復制、粘貼、刪除,重命名、遠程運行等,可以上傳下載文件或文件夾,操作簡單易用。
【2】遠程式控制制命令:查看遠程系統信息、剪切板查看、進程管理、服務管理、共享管理!
【3】捕獲屏幕:不但可以連繼的捕獲遠程電腦屏幕,還能把本地的滑鼠及鍵盤傳動作送到遠程實現實時控制功能!
【4】視頻語音,可以監控遠程攝像頭,還有語音監聽和發送功能,可以和遠程主機進行語音對話!
【5】telnet(超級終端).
【6】注冊表模擬器:遠程注冊表操作就像操作本地注冊表一樣方便!
【7】命令廣播:可以對自動上線主機進行命令廣播,如關機、重啟、打開網頁,篩選符合條件的機等,點一個按鈕就可以讓N台機器同時關機或進行其它操作!
【8】服務端以服務方式啟動,支持發送多種組合鍵,可以輕松管理遠程伺服器!
【9】專用的自動上線系統,直接使用灰鴿子注冊ID即可實現遠程服務端自動上線!
【10】多種自動上線方式:專用上線、DNS解析域名、固定IP等,用戶自由選擇!

注冊灰鴿子軟體後享有:

⒈享用軟體的所有功能,沒有任何限制!
⒉能使用對應的灰鴿子注冊版本,能得到此版後期修正的正式版本!
⒊可以使用我們的專用上線系統,無需其它域名和空間支持!
⒋得到我們更好的技術服務!

註:[VIP版] 包括 VIP2005、Version 1.2、Version 2.0 !
[企業版]用戶只能使用企業版!不能使用其它版本!
5.加入會員後,會自動加入官方論壇。享受官方技術支持

灰鴿子第二章:好馬配好鞍,服務端正確配置。

灰鴿子是一款要交錢的軟體,也就是說,你使用VIP版的話是要交給作者每年幾十塊錢的使用費(不作任何評論)因此網上也就有很多高手破解灰鴿子,讓灰鴿子可以不用到灰鴿子的官方網站進行驗證,從而可以不用交錢就可以使用,相關版本有:影子鷹破解專用版,愛兒破解版,以及華夏黑客聯盟的灰鴿子

sunray破解版。

今天我們就用"灰鴿子sunray破解版"來向大家詳細解析這款木馬的服務端配置方式,只可實驗,不可做壞事,大家不喜歡請跳過這一章。

第一節:未雨綢繆,實驗准備。

第一,關閉殺毒軟體,這點不用我說了吧~~~因為是木馬,下載了之後如果殺毒軟體監控開著的話肯定會被刪除的。

第二,當然是下載灰鴿子的軟體啦~~~上網找,有很多~~~

第三,申請一個免費的主頁空間,為什麼要呢?因為灰鴿子是可以反彈式鏈接的,也就是說,服務端通過登陸你的主頁的特定文件就可以主動連接到你的電腦讓你控制了。(這一點,等一下會詳細解說)

第二節:實戰開始。

把我們剛才下來的文件解壓到某個文件夾,記住,不要改文件夾的名字,後面會用到。解壓的文件裡面有以下幾個文件:
H_Client.exe 這個是客戶端的主要文件,可以配置文件,生成服務端,可以遠程式控制制客戶端。
http.exe 這個是本地http伺服器,因為我們的灰鴿子是破解版的,通常正式版的灰鴿子會到官方的伺服器上去驗證你的軟體是否正版,所以這個軟體就是用來在本機子上建一個伺服器,騙過軟體的,從而達到破解的目的。
sunray.exe 這個裡面其實也就只是一個host,它把http://www.huigezi.com這個網站的域名本地解析到本機,而不是解析到官方網站。
vip_2005_0113.rar 這個是驗證的軟體,當我們的軟體解析到本機的時候它就會下載這一個到客戶端,用來驗證用的。
其它的文件還有config2005.asp,Operate.ini 還有四個文件夾,他們分別是(dat images login sound)我也不知道什麼用的。應該是配置用的。

第一步:在你的電腦上新建一個ip.txt的文本文件,內容如下:

http://huigezi212.126.131.43:8000end
其中212.126.131.43這個是我的電腦IP地址,8000是連接的埠,你可以把它寫成你自己的IP地址,埠一般不要去改動,然後把這個文件上傳到你剛才申請的空間,如果你的電腦是動態IP的話,那你就要經常更新這個文件的內容,然後上傳到空間,它的目的是客戶端上線的話就會去這個網站讀取這個文件,然後主動和你取得連接。
第二步,首先運行 sunray.exe,然後運行 http.exe 點開始服務!
第三步,運行客戶端,也就是H_Client.exe這個文件,

點擊「自動上線」選項,有幾個要點要說的,

1)「備用自動上線,URL轉向域名或網頁文件,這里呢,填寫你剛才申請到的網站空間地址和ip.txt,比如http://你的網站地址/ip.txt(當然,如果你是固定IP的話呢,可以寫你的IP地址,那麼前面的申請空間,上傳文件幾步可以省略)

2) 「自動連接密碼」,這個是表示你可以連接到的電腦所要用到的密碼,如果為空的話,也沒什麼大不了的,頂多就是別人也可以用你的「肉雞」

3)「配置說明」建議你把「只使用備用自動上線」前的勾打上,因為我們的軟體是破解版的,官方的那個伺服器我們是用不了啦~~~

4)「用戶名稱」「用戶密碼」這兩個地方亂填些數字進去就行了,破解版用不了正式版的伺服器的,它是伺服器用來驗證軟體是否「正版」用的。

「安裝選項」選項卡,建議修改一下名字,以免被發現,其它的自己看著辦,看著喜歡就選吧,「啟動項」這個很重要,建議你修改一下名字,它主要是服務端隨系統自動啟動用的,也是自己看著辦。其中的「生成服務」這一項是為了達到隱藏用的,這也是我們經常說的手工清除木馬的關鍵。也是長期以來很多人說無法清除灰鴿子的原因,因為它寫成了服務,這個的優先順序是系統級的,所有使用這台電腦的用戶都會啟動木馬。

「代理服務」,就是你控制的電腦可以給我們做為一台代理伺服器,說不定人家公布出來的代理服~務器地址有一部分是這些電腦的哦。

「高級選項」這里主要是用來對付殺毒軟體和防火牆用的,默認是插入IEXPLORER,啟動隱藏文件隱藏插入的IE進程,以及使用UPX壓縮,這里就不用去改它的,默認就行。

"伺服器圖標」是用來偽裝用的,你自己選項自己喜歡的圖標吧~~~

配置好了就點擊生成伺服器,軟體會優先從官方驗證,但沒效,出錯了後就從本地伺服器驗證,這就是我們要本機建http伺服器的原因。好了,到此,服務端就生成了,不要運行它,運行了你就會中木馬的,(不準做壞事)軟體使用方法:當別人中了你的木馬後,它會從你的網站讀取ip.txt這個文件,
然後主動連接到你的電腦,如果你此時也打開了客戶端的話,連接建立成功,你可以控制這台電腦了。具體有什麼內容你自己摸索,如果你是動態IP地址的話,那麼你要每次把新的ip.txt上傳到網站上去~~~

灰鴿子第三章:服務端工作方式:

灰鴿子是國內一款著名後門。比起前輩冰河、黑洞來,灰鴿子可以說是國內後門的集大成者。其豐富而強大的功能、靈活多變的操作、良好的隱藏性使其他後門都相形見絀。客戶端簡易便捷的操作使剛入門的初學者都能充當黑客。當使用在合法情況下時,灰鴿子是一款優秀的遠程式控制制軟體。但如果拿它做一些非法的事,灰鴿子就成了很強大的黑客工具。這就好比火葯,用在不同的場合,給人類帶來不同的影響。對灰鴿子完整的介紹也許只有灰鴿子作者本人能夠說清楚,在此我們只能進行簡要介紹。

灰鴿子客戶端和服務端都是採用Delphi編寫。黑客利用客戶端程序配置出服務端程序。可配置的信息主要包括上線類型(如等待連接還是主動連接)、主動連接時使用的公網IP(域名)、連接密碼、使用的埠、啟動項名稱、服務名稱,進程隱藏方式,使用的殼,代理,圖標等等。
服務端對客戶端連接方式有多種,使得處於各種網路環境的用戶都可能中毒,包括區域網用戶(通過代理上網)、公網用戶和ADSL撥號用戶等。

下面介紹服務端:

配置出來的服務端文件文件名為G_Server.exe(這是默認的,當然也可以改洌?H緩蠛誑屠?靡磺邪旆ㄓ掌?沒г誦蠫_Server.exe程序。具體採用什麼辦法,讀者可以充分發揮想像力,這里就不贅述。
G_Server.exe運行後將自己拷貝到Windows目錄下(98/xp下為系統盤的windows目錄,2k/NT下為系統盤的Winnt目錄),然後再從體內釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個文件相互配合組成了灰鴿子服務端, G_Server_Hook.dll負責隱藏灰鴿子。通過截獲進程的API調用隱藏灰鴿子的文件、服務的注冊表項,甚至是進程中的模塊名。截獲的函數主要是用來遍歷文件、遍歷注冊表項和遍歷進程模塊的一些函數。所以,有些時候用戶感覺種了毒,但仔細檢查卻又發現不了什麼異常。有些灰鴿子會多釋放出一個名為G_ServerKey.dll的文件用來記錄鍵盤操作。注意,G_Server.exe這個名稱並不固定,它是可以定製的,比如當定製服務端文件名為A.exe時,生成的文件就是A.exe、A.dll和A_Hook.dll。

Windows目錄下的G_Server.exe文件將自己注冊成服務(9X系統寫注冊表啟動項),每次開機都能自動運行,運行後啟動G_Server.dll和G_Server_Hook.dll並自動退出。G_Server.dll文件實現後門功能,與控制端客戶端進行通信;G_Server_Hook.dll則通過攔截API調用來隱藏病毒。因此,中毒後,我們看不到病毒文件,也看不到病毒注冊的服務項。隨著灰鴿子服務端文件的設置不同,G_Server_Hook.dll有時候附在Explorer.exe的進程空間中,有時候則是附在所有進程中。

灰鴿子的作者對於如何逃過殺毒軟體的查殺花了很大力氣。由於一些API函數被截獲,正常模式下難以遍歷到灰鴿子的文件和模塊,造成查殺上的困難。要卸載灰鴿子動態庫而且保證系統進程不崩潰也很麻煩,因此造成了近期灰鴿子在互聯網上泛濫的局面。

灰鴿子第四章:雙管齊下,手工和軟體清除灰鴿子。

一.灰鴿子的手工檢測

由於灰鴿子攔截了API調用,在正常模式下服務端程序文件和它注冊的服務項均被隱藏,也就是說你即使設置了「顯示所有隱藏文件」也看不到它們。此外,灰鴿子服務端的文件名也是可以自定義的,這都給手工檢測帶來了一定的困難。

但是,通過仔細觀察我們發現,對於灰鴿子的檢測仍然是有規律可循的。從上面的運行原理分析可以看出,無論自定義的伺服器端文件名是什麼,一般都會在操作系統的安裝目錄下生成一個以「_hook.dll」結尾的文件。通過這一點,我們可以較為准確手工檢測出灰鴿子 服務端。

由於正常模式下灰鴿子會隱藏自身,因此檢測灰鴿子的操作一定要在安全模式下進行。進入安全模式的方法是:啟動計算機,在系統進入Windows啟動畫面前,按下F8鍵(或者在啟動計算機時按住Ctrl鍵不放),在出現的啟動選項菜單中,選擇「Safe Mode」或「安全模式」。

1、由於灰鴿子的文件本身具有隱藏屬性,因此要設置Windows顯示所有文件。打開「我的電腦」,選擇菜單「工具」—》「文件夾選項」,點擊「查看」,取消「隱藏受保護的操作系統文件」前的對勾,並在「隱藏文件和文件夾」項中選擇「顯示所有文件和文件夾」,然後點擊「確定」。

2、打開Windows的「搜索文件」,文件名稱輸入「_hook.dll」,搜索位置選擇Windows的安裝目錄(默認98/xp為C:\windows,2k/NT為C:\Winnt)。

3、經過搜索,我們在Windows目錄(不包含子目錄)下發現了一個名為Game_Hook.dll的文件。

4、根據灰鴿子原理分析我們知道,如果Game_Hook.DLL是灰鴿子的文件,則在操作系統安裝目錄下還會有Game.exe和Game.dll文件。打開Windows目錄,果然有這兩個文件,同時還有一個用於記錄鍵盤操作的GameKey.dll文件。

經過這幾步操作我們基本就可以確定這些文件是灰鴿子 服務端了,下面就可以進行手動清除。

二、灰鴿子的手工清除

經過上面的分析,清除灰鴿子就很容易了。清除灰鴿子仍然要在安全模式下操作,主要有兩步:1、清除灰鴿子的服務;2刪除灰鴿子程序文件。

注意:為防止誤操作,清除前一定要做好備份。

(一)、清除灰鴿子的服務

注意清除灰鴿子的服務一定要在注冊表裡完成,對注冊表不熟悉的網友請找熟悉的人幫忙操作,清除灰鴿子的服務一定要先備份注冊表,或者到純DOS下將注冊表文件更名,然後在去注冊表刪除灰鴿子的服務。因為病毒會和EXE文件進行關聯2000/XP系統:
1、打開注冊表編輯器(點擊「開始」-》「運行」,輸入「Regedit.exe」,確定。),打開 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注冊表項。

2、點擊菜單「編輯」-》「查找」,「查找目標」輸入「game.exe」,點擊確定,我們就可以找到灰鴿子的服務項(此例為Game_Server,每個人這個服務項名稱是不同的)。

3、刪除整個Game_Server項。
98/me系統:
在9X下,灰鴿子啟動項只有一個,因此清除更為簡單。運行注冊表編輯器,打開HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run項,我們立即看到名為Game.exe的一項,將Game.exe項刪除即可。

" target=_blank>

" border=0 >

(二)、刪除灰鴿子程序文件

刪除灰鴿子程序文件非常簡單,只需要在安全模式下刪除Windows目錄下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然後重新啟動計算機。至此,灰鴿子VIP 2005 服務端已經被清除干凈。

以上介紹的方法適用於我們看到的大部分灰鴿子木馬及其變種,然而仍有極少數變種採用此種方法無法檢測和清除。同時,隨著灰鴿子新版本的不斷推出,作者可能會加入一些新的隱藏方法、防刪除手段,手工檢測和清除它的難度也會越來越大。

三、防止中灰鴿子病毒需要注意的事項

1. 給系統安裝補丁程序。通過Windows Update安裝好系統補丁程序(關鍵更新、安全更新和Service pack),其中MS04-011、MS04-012、MS04-013、MS03-001、MS03-007、MS03-049、MS04-032等都被病毒廣泛利用,是非常必要的補丁程序

2. 給系統管理員帳戶設置足夠復雜足夠強壯的密碼,最好能是10位以上,字母+數字+其它符號的組合;也可以禁用/刪除一些不使用的帳戶

3. 經常更新殺毒軟體(病毒庫),設置允許的可設置為每天定時自動更新。
安裝並合理使用網路防火牆軟體,網路防火牆在防病毒過程中也可以起到至關重要的作用,能有效地阻擋自來網路的攻擊和病毒的入侵。部分盜版Windows用戶不能正常安裝補丁,這點也比較無奈,這部分用戶不妨通過使用網路防火牆來進行一定防護

4. 關閉一些不需要的服務,條件允許的可關閉沒有必要的共享,也包括C$、D$等管理共享。完全單機的用戶可直接關閉Server服務。這些都可以用winxp總管等優化軟體關閉。

5. 不要隨便打開或運行陌生、可疑文件和程序,如郵件中的奇怪附件,外掛程序等。

㈥ 叫我如何使用灰鴿子

灰鴿子遠程監控軟體分兩部分:客戶端和服務端。黑客(姑且這么稱呼吧)操縱著客戶端,利用客戶端配置生成出一個服務端程序。服務端文件的名字默認為G_Server.exe,然後黑客通過各種渠道傳播這個服務端(俗稱種木馬)。種木馬的手段有很多,比如,黑客可以將它與一張圖片綁定,然後假冒成一個羞澀的MM通過QQ把木馬傳給你,誘騙你運行;也可以建立一個個人網頁,誘騙你點擊,利用IE漏洞把木馬下載到你的機器上並運行;還可以將文件上傳到某個軟體下載站點,冒充成一個有趣的軟體誘騙用戶下載……,這正違背了我們開發灰鴿子的目的,所以本文適用於那些讓人非法安裝灰鴿子服務端的用戶,幫助用戶刪除灰鴿子 Vip 2005 的服務端程序。本文大部分內容摘自互聯網。
G_Server.exe運行後將自己拷貝到Windows目錄下(98/xp下為系統盤的windows目錄,2k/NT下為系統盤的Winnt目錄),然後再從體內釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個文件相互配合組成了灰鴿子服務端,有些灰鴿子會多釋放出一個名為G_ServerKey.dll的文件用來記錄鍵盤操作。注意,G_Server.exe這個名稱並不固定,它是可以定製的,比如當定製服務端文件名為A.exe時,生成的文件就是A.exe、A.dll和A_Hook.dll。

Windows目錄下的G_Server.exe文件將自己注冊成服務(9X系統寫注冊表啟動項),每次開機都能自動運行,運行後啟動G_Server.dll和G_Server_Hook.dll並自動退出。G_Server.dll文件實現後門功能,與控制端客戶端進行通信;G_Server_Hook.dll則通過攔截API調用來隱藏病毒。因此,中毒後,我們看不到病毒文件,也看不到病毒注冊的服務項。隨著灰鴿子服務端文件的設置不同,G_Server_Hook.dll有時候附在Explorer.exe的進程空間中,有時候則是附在所有進程中。

灰鴿子的手工檢測

由於灰鴿子攔截了API調用,在正常模式下服務端程序文件和它注冊的服務項均被隱藏,也就是說你即使設置了「顯示所有隱藏文件」也看不到它們。此外,灰鴿子服務端的文件名也是可以自定義的,這都給手工檢測帶來了一定的困難。

但是,通過仔細觀察我們發現,對於灰鴿子的檢測仍然是有規律可循的。從上面的運行原理分析可以看出,無論自定義的伺服器端文件名是什麼,一般都會在操作系統的安裝目錄下生成一個以「_hook.dll」結尾的文件。通過這一點,我們可以較為准確手工檢測出灰鴿子 服務端。

由於正常模式下灰鴿子會隱藏自身,因此檢測灰鴿子的操作一定要在安全模式下進行。進入安全模式的方法是:啟動計算機,在系統進入Windows啟動畫面前,按下F8鍵(或者在啟動計算機時按住Ctrl鍵不放),在出現的啟動選項菜單中,選擇「Safe Mode」或「安全模式」。

1、由於灰鴿子的文件本身具有隱藏屬性,因此要設置Windows顯示所有文件。打開「我的電腦」,選擇菜單「工具」—》「文件夾選項」,點擊「查看」,取消「隱藏受保護的操作系統文件」前的對勾,並在「隱藏文件和文件夾」項中選擇「顯示所有文件和文件夾」,然後點擊「確定」。

2、打開Windows的「搜索文件」,文件名稱輸入「_hook.dll」,搜索位置選擇Windows的安裝目錄(默認98/xp為C:\windows,2k/NT為C:\Winnt)。

3、經過搜索,我們在Windows目錄(不包含子目錄)下發現了一個名為Game_Hook.dll的文件

4、根據灰鴿子原理分析我們知道,如果Game_Hook.DLL是灰鴿子的文件,則在操作系統安裝目錄下還會有Game.exe和Game.dll文件。打開Windows目錄,果然有這兩個文件,同時還有一個用於記錄鍵盤操作的GameKey.dll文件。

經過這幾步操作我們基本就可以確定這些文件是灰鴿子 服務端了,下面就可以進行手動清除。
灰鴿子的手工清除

經過上面的分析,清除灰鴿子就很容易了。清除灰鴿子仍然要在安全模式下操作,主要有兩步:1、清除灰鴿子的服務;2刪除灰鴿子程序文件。

注意:為防止誤操作,清除前一定要做好備份。

一、清除灰鴿子的服務

2000/XP系統:

1、打開注冊表編輯器(點擊「開始」-》「運行」,輸入「Regedit.exe」,確定。),打開 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注冊表項。

2、點擊菜單「編輯」-》「查找」,「查找目標」輸入「game.exe」,點擊確定,我們就可以找到灰鴿子的服務項(此例為Game_Server)。

3、刪除整個Game_Server項。

98/me系統:

在9X下,灰鴿子啟動項只有一個,因此清除更為簡單。運行注冊表編輯器,打開HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run項,我們立即看到名為Game.exe的一項,將Game.exe項刪除即可。

二、刪除灰鴿子程序文件

刪除灰鴿子程序文件非常簡單,只需要在安全模式下刪除Windows目錄下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然後重新啟動計算機。至此,灰鴿子VIP 2005 服務端已經被清除干凈。

㈦ 灰鴿子怎麼用啊

為什麼只叫大哥不叫大姐呀,瞧不起女性嗎?學是可以的,不過不可以做壞事哈。不過先申明哈,自己一不小心就會中了哈,請三思喲!要不到時可別怪我哈。其方法如下:
首先下載「灰鴿子sunray破解版"
第一,關閉殺毒軟體,因為是木馬,下載了之後如果殺毒軟體監控開著的話肯定會被刪除的。
第二,申請一個免費的主頁空間,因為灰鴿子是可以反彈式鏈接的,也就是說,服務端通過登陸你的主頁的特定文件就可以主動連接到你的電腦讓你控制了。 (此步可有可無,後面有說明。)

其次是安裝此軟體
把我們剛才下來的文件解壓到某個文件夾,記住,不要改文件夾的名字,後面會用到。
解壓後的文件夾裡面有以下幾個文件:
H_Client.exe 這個是客戶端的主要文件,可以配置文件,生成服務端,可以遠程式控制制客戶端。
http.exe 這個是本地http伺服器,因為我們的灰鴿子是破解版的,通常正式版的灰鴿子會到官方的伺服器上去驗證你的軟體是否正版,所以這個軟體就是用來在本機子上建一個伺服器,騙過軟體的,從而達到破解的目的。
sunray.exe 這個裡面其實也就只是一個host,它把http://www.huigezi.com這個網站的域名本地解析到本機,而不是解析到官方網站。
vip_2005_0113.rar 這個是驗證的軟體,當我們的軟體解析到本機的時候它就會下載這一個到客戶端,用來驗證用的。
其它的文件還有config2005.asp,Operate.ini 還有四個文件夾,他們分別是(dat images login sound)我也不知道什麼用的。應該是配置用的。

第一步:在你的電腦上新建一個ip.txt的文本文件,內容如下:
http://huigezi212.126.131.43:8000end其中212.126.131.43這個是我的電腦IP地址,8000是連接的埠,你可以把它寫成你自己的IP地址,埠一般不要去改動,然後把這個文件上傳到你剛才申請的空間,如果你的電腦是動態IP的話,那你就要經常更新這個文件的內容,然後上傳到空間,它的目的是客戶端上線的話就會去這個網站讀取這個文件,然後主動和你取得連接。(此步可有可無,後面有說明。)
第二步,首先運行 sunray.exe,然後運行 http.exe 點開始服務!
第三步,運行客戶端,也就是H_Client.exe這個文件點擊「自動上線」選項,有幾個要點要說的,

1)「備用自動上線,URL轉向域名或網頁文件,這里呢,填寫你剛才申請到的網站空間地址和ip.txt,比如http://你的網站地址/ip.txt(當然,如果你是固定IP的話呢,可以寫你的IP地址,那麼前面的申請空間,上傳文件幾步可以省略)
2) 「自動連接密碼」,這個是表示你可以連接到的電腦所要用到的密碼,如果為空的話,也沒什麼大不了的,頂多就是別人也可以用你的「肉雞」
3)「配置說明」建議你把「只使用備用自動上線」前的勾打上,因為我們的軟體是破解版的,官方的那個伺服器我們是用不了啦
4)「用戶名稱」「用戶密碼」這兩個地方亂填些數字進去就行了,破解版用不了正式版的伺服器的,它是伺服器用來驗證軟體是否「正版」用的。

「安裝選項」選項卡,建議修改一下名字,以免被發現,其它的自己看著辦,看著喜歡就選吧
「啟動項」這個很重要,建議你修改一下名字,它主要是服務端隨系統自動啟動用的,也是自己看著辦。其中的「生成服務」這一項是為了達到隱藏用的,這也是我們經常說的手工清除木馬的關鍵。也是長期以來很多人說無法清除灰鴿子的原因,因為它寫成了服務,這個的優先順序是系統級的,所有使用這台電腦的用戶都會啟動木馬。「代理服務」,嘻嘻,就是你控制的電腦可以給我們做為一台代理伺服器,說不定人家公布出來的代理服~務器地址有一部分是這些電腦的哦
「高級選項」這里主要是用來對付殺毒軟體和防火牆用的,默認是插入IEXPLORER,啟動隱藏文件隱藏插入的IE進程,以及使用UPX壓縮,這里就不用去改它的,默認就行。
"伺服器圖標」是用來偽裝用的,你自己選項自己喜歡的圖標吧,配置好了就點擊生成伺服器,軟體會優先從官方驗證,但沒效,出錯了後就從本地伺服器驗證,這就是我們要本機建http伺服器的原因。好了,到此,服務端就生成了,不要運行它,運行了你就會中木馬的,(不準做壞事)
軟體使用方法:當別人中了你的木馬後,它會從你的網站讀取ip.txt這個文件,然後主動連接到你的電腦,如果你此時也打開了客戶端的話,連接建立成功,你可以控制這台電腦了。具體有什麼內容你自己摸索, 如果你是動態IP地址的話,那麼你要每次把新的ip.txt上傳到網站上去

㈧ 怎樣安裝灰鴿子軟體

安裝灰鴿子軟體之前關閉你的殺毒軟體關閉你自身的防火牆

否則安裝過程中會出現錯誤。殺軟被把灰鴿子作為病毒處理...

㈨ 灰鴿子如何使用

一、灰鴿子病毒簡介

灰鴿子是國內一款著名後門。比起前輩冰河、黑洞來,灰鴿子可以說是國內後門的集大成者。其豐富而強大的功能、靈活多變的操作、良好的隱藏性使其他後門都相形見絀。客戶端簡易便捷的操作使剛入門的初學者都能充當黑客。當使用在合法情況下時,灰鴿子是一款優秀的遠程式控制制軟體。但如果拿它做一些非法的事,灰鴿子就成了很強大的黑客工具。這就好比火葯,用在不同的場合,給人類帶來不同的影響。對灰鴿子完整的介紹也許只有灰鴿子作者本人能夠說清楚,在此我們只能進行簡要介紹。
灰鴿子客戶端和服務端都是採用Delphi編寫。黑客利用客戶端程序配置出服務端程序。可配置的信息主要包括上線類型(如等待連接還是主動連接)、主動連接時使用的公網IP(域名)、連接密碼、使用的埠、啟動項名稱、服務名稱,進程隱藏方式,使用的殼,代理,圖標等等。
服務端對客戶端連接方式有多種,使得處於各種網路環境的用戶都可能中毒,包括區域網用戶(通過代理上網)、公網用戶和ADSL撥號用戶等。
下面介紹服務端:
配置出來的服務端文件文件名為G_Server.exe(這是默認的,當然也可以改變)。然後黑客利用一切辦法誘騙用戶運行G_Server.exe程序。
G_Server.exe運行後將自己拷貝到Windows目錄下(98/xp下為系統盤的windows目錄,2k/NT下為系統盤的Winnt目錄),然後再從體內釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個文件相互配合組成了灰鴿子服務端, G_Server_Hook.dll負責隱藏灰鴿子。通過截獲進程的API調用隱藏灰鴿子的文件、服務的注冊表項,甚至是進程中的模塊名。截獲的函數主要是用來遍歷文件、遍歷注冊表項和遍歷進程模塊的一些函數。所以,有些時候用戶感覺種了毒,但仔細檢查卻又發現不了什麼異常。有些灰鴿子會多釋放出一個名為G_ServerKey.dll的文件用來記錄鍵盤操作。注意,G_Server.exe這個名稱並不固定,它是可以定製的,比如當定製服務端文件名為A.exe時,生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目錄下的G_Server.exe文件將自己注冊成服務(9X系統寫注冊表啟動項),每次開機都能自動運行,運行後啟動G_Server.dll和G_Server_Hook.dll並自動退出。G_Server.dll文件實現後門功能,與控制端客戶端進行通信;G_Server_Hook.dll則通過攔截API調用來隱藏病毒。因此,中毒後,我們看不到病毒文件,也看不到病毒注冊的服務項。隨著灰鴿子服務端文件的設置不同,G_Server_Hook.dll有時候附在Explorer.exe的進程空間中,有時候則是附在所有進程中。
灰鴿子的作者對於如何逃過殺毒軟體的查殺花了很大力氣。由於一些API函數被截獲,正常模式下難以遍歷到灰鴿子的文件和模塊,造成查殺上的困難。要卸載灰鴿子動態庫而且保證系統進程不崩潰也很麻煩,因此造成了近期灰鴿子在互聯網上泛濫的局面。

二、灰鴿子的手工檢測
由於灰鴿子攔截了API調用,在正常模式下服務端程序文件和它注冊的服務項均被隱藏,也就是說你即使設置了「顯示所有隱藏文件」也看不到它們。此外,灰鴿子服務端的文件名也是可以自定義的,這都給手工檢測帶來了一定的困難。
但是,通過仔細觀察我們發現,對於灰鴿子的檢測仍然是有規律可循的。從上面的運行原理分析可以看出,無論自定義的伺服器端文件名是什麼,一般都會在操作系統的安裝目錄下生成一個以「_hook.dll」結尾的文件。通過這一點,我們可以較為准確手工檢測出灰鴿子 服務端。
由於正常模式下灰鴿子會隱藏自身,因此檢測灰鴿子的操作一定要在安全模式下進行。進入安全模式的方法是:啟動計算機,在系統進入Windows啟動畫面前,按下F8鍵(或者在啟動計算機時按住Ctrl鍵不放),在出現的啟動選項菜單中,選擇「Safe Mode」或「安全模式」。

1、由於灰鴿子的文件本身具有隱藏屬性,因此要設置Windows顯示所有文件。打開「我的電腦」,選擇菜單「工具」—》「文件夾選項」,點擊「查看」,取消「隱藏受保護的操作系統文件」前的對勾,並在「隱藏文件和文件夾」項中選擇「 顯示所有文件和文件夾」,然後點擊「確定」。

2、打開Windows的「搜索文件」,文件名稱輸入「_hook.dll」,搜索位置選擇Windows的安裝目錄(默認98/xp為C:\windows,2k/NT為C:\Winnt)。

3、經過搜索,我們在Windows目錄(不包含子目錄)下發現了一個名為Game_Hook.dll的文件。

4、根據灰鴿子原理分析我們知道,如果Game_Hook.DLL是灰鴿子的文件,則在操作系統安裝目錄下還會有Game.exe和Game.dll文件。打開Windows目錄,果然有這兩個文件,同時還有一個用於記錄鍵盤操作的GameKey.dll文件。

經過這幾步操作我們基本就可以確定這些文件是灰鴿子 服務端了,下面就可以進行手動清除。

三、灰鴿子的手工清除

經過上面的分析,清除灰鴿子就很容易了。清除灰鴿子仍然要在安全模式下操作,主要有兩步:
1、清除灰鴿子的服務;
2、刪除灰鴿子程序文件。

注意:為防止誤操作,清除前一定要做好備份。

(一)、清除灰鴿子的服務

注意清除灰鴿子的服務一定要在注冊表裡完成,對注冊表不熟悉的網友請找熟悉的人幫忙操作,清除灰鴿子的服務一定要先備份注冊表,或者到純DOS下將注冊表文件更名,然後在去注冊表刪除灰鴿子的服務。因為病毒會和EXE文件進行關聯

2000/XP系統:

1、打開注冊表編輯器(點擊「開始」-》「運行」,輸入「Regedit.exe」,確定。),打開 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注冊表項。

2、點擊菜單「編輯」-》「查找」,「查找目標」輸入「game.exe」,點擊確定,我們就可以找到灰鴿子的服務項(此例為Game_Server,每個人這個服務項名稱是不同的)。

3、刪除整個Game_Server項。

98/me系統:

在9X下,灰鴿子啟動項只有一個,因此清除更為簡單。運行注冊表編輯器,打開HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run項,我們立即看到名為Game.exe的一項,將Game.exe項刪除即可。

(二)、刪除灰鴿子程序文件

刪除灰鴿子程序文件非常簡單,只需要在安全模式下刪除Windows目錄下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然後重新啟動計算機。至此,灰鴿子VIP 2005 服務端已經被清除干凈。

以上介紹的方法適用於我們看到的大部分灰鴿子木馬及其變種,然而仍有極少數變種採用此種方法無法檢測和清除。同時,隨著灰鴿子新版本的不斷推出,作者可能會加入一些新的隱藏方法、防刪除手段,手工檢測和清除它的難度也會越來越大。

四、防止中灰鴿子病毒需要注意的事項

1. 給系統安裝補丁程序。通過Windows Update安裝好系統補丁程序(關鍵更新、安全更新和Service pack),其中MS04-011、MS04-012、MS04-013、MS03-001、MS03-007、MS03-049、MS04-032等都被病毒廣泛利用,是非常必要的補丁程序

2. 給系統管理員帳戶設置足夠復雜足夠強壯的密碼,最好能是10位以上,字母+數字+其它符號的組合;也可以禁用/刪除一些不使用的帳戶

3. 經常更新殺毒軟體(病毒庫),設置允許的可設置為每天定時自動更新。安裝並合理使用網路防火牆軟體,網路防火牆在防病毒過程中也可以起到至關重要的作用,能有效地阻擋自來網路的攻擊和病毒的入侵。部分盜版Windows用戶不能正常安裝補丁,這點也比較無奈,這部分用戶不妨通過使用網路防火牆來進行一定防護

4. 關閉一些不需要的服務,條件允許的可關閉沒有必要的共享,也包括C$、D$等管理共享。完全單機的用戶可直接關閉Server服務。

. 下載HijackThis掃描系統

四、灰鴿子的下載地址

http://www.skycn.com/soft/15753.html zww3008漢化版

http://www.merijn.org/files/hijackthis.zip 英文版

2. 從HijackThis日誌的 O23項可以發現灰鴿子自的服務項

如最近流行的:

O23 - Service: SYSTEM$ (SYSTEM$Server) - Unknown owner - C:\WINDOWS\setemy.bat

O23 - Service: Network Connections Manager (NetConMan) - Unknown owner - C:\WINDOWS\uinstall.exe

O23 - Service: winServer - Unknown owner - C:\WINDOWS\winserver.exe

O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\G_Server.exe

用HijackThis選中上面的O23項,然後選擇"修復該項"或"Fix checked"

3. 用Killbox刪除灰鴿子對應的木馬文件 可以從這里下載Killbox

「灰鴿子」殺傷力是「熊貓燒香」10倍

與「熊貓燒香」病毒的「張揚」不同,「灰鴿子」更像一個隱形的賊,潛伏在用戶「家」中,監視用戶的一舉一動,甚至用戶與MSN、QQ好友聊天的每一句話都難逃「鴿」眼。專家稱,「熊貓燒香」還停留在對電腦自身的破壞,而「灰鴿子」已經發展到對「人」的控制,而被控者卻毫不知情。從某種意義上講,「灰鴿子」的危害超出「熊貓燒香」10倍。

「灰鴿子」如何控制電腦牟利

「黑客培訓班」教網民通過「灰鴿子」控制別人電腦,「學費」最高200元,最低需要50元,學時一周到一個月不等。

黑客通過程序控制他人電腦後,將「肉雞」倒賣給廣告商,「肉雞」的價格在1角到1元不等。資深販子一個月內可以販賣10萬個「肉雞」。

被控制電腦被隨意投放廣告,或者乾脆控制電腦點擊某網站廣告,一舉一動都能被監視。

http://yncnc.onlinedown.net/soft/37257.htm
直接把文件的路徑復制到 Killbox里刪除

通常都是下面這樣的文件 "服務名"具體通過HijackThis判斷

C:\windows\服務名.dll

C:\windows\服務名.exe

C:\windows\服務名.bat

C:\windows\服務名key.dll

C:\windows\服務名_hook.dll

C:\windows\服務名_hook2.dll

舉例說明:

C:\WINDOWS\setemykey.dll

C:\WINDOWS\setemy.dll

C:\WINDOWS\setemy.exe

C:\WINDOWS\setemy_hook.dll

C:\WINDOWS\setemy_hook2.dll

用Killbox刪除那些木馬文件,由於文件具有隱藏屬性,可能無法直接看到,但Killbox能直接刪除. 上面的文件不一定全部存在,如果Killbox提示文件不存在或已經刪除就沒關系了

以上他們做了命名規則解釋 去下載一個木馬殺客灰鴿子專殺 下載地址 http://down911.com/SoftView/SoftView_3014.html 瑞星版本的專殺 下載地址 http://down911.com/SoftView/SoftView_3668.html 清理完後 需要重新啟動計算機 服務停止 然後去找那些殘留文件 參見 上面回答者

軟體名稱: 灰鴿子(Huigezi、Gpigeon)專用檢測清除工具

界面語言: 簡體中文

軟體類型: 國產軟體

運行環境: /Win9X/Me/WinNT/2000/XP/2003

授權方式: 免費軟體

軟體大小: 414KB

軟體簡介: 由灰鴿子工作室開發的,針對灰鴿子專用清除器!可以清除VIP2005版灰鴿子服務端程序(包括殺毒軟體殺不到的灰鴿子服務端)和灰鴿子 [輻射正式版] 和 DLL版服務端 牽手版服務端

運行DelHgzvip2005Server.exe文件清除VIP2005版灰鴿子服務端程序,運行un_hgzserver.exe文件清除灰鴿子 [輻射正式版] 和 DLL版服務端 牽手版服務

五、灰鴿子的公告聲明

灰鴿子工作室於2003年初成立,定位於遠程式控制制、遠程管理、遠程監控軟體開發,主要產品為灰鴿子遠程式控制制系列軟體產品。灰鴿子工作室的軟體產品,均為商業化的遠程式控制制軟體,主要提供給網吧、企業及個人用戶進行電腦軟體管理使用;灰鴿子軟體已獲得國家頒布的計算機軟體著作權登記證書,受著作權法保護。

然而,我們痛心的看到,目前互聯網上出現了利用灰鴿子遠程管理軟體以及惡意破解和篡改灰鴿子遠程管理軟體為工具的不法行為,這些行為嚴重影響了灰鴿子遠程管理軟體的聲譽,同時也擾亂了網路秩序。這完全違背了灰鴿子工作室的宗旨和開發灰鴿子遠程管理軟體的初衷。在此我們呼籲、勸告那些利用遠程式控制制技術進行非法行為的不法分子應立即停止此類非法活動。

應該表明的是,灰鴿子工作室自成立以來恪守國家法律和有關網路管理的規定,具有高度的社會責任感。為有效制止不法分子非法利用灰鴿子遠程管理軟體從事危害社會的非法活動,在此,我們鄭重聲明,自即日起決定全面停止對灰鴿子遠程管理軟體的開發、更新和注冊,以實際行動和堅定的態度來抵制這種非法利用灰鴿子遠程管理軟體的不法行為,並誠懇接受廣大網民的監督。

灰鴿子工作室譴責那些非法利用遠程式控制制技術實現非法目的的行為,對於此類行為,灰鴿子工作室發布了灰鴿子服務端卸載程序,以便於廣大網民方便卸載那些被非法安裝於自己計算機的灰鴿子服務端。卸載程序下載頁面。

六、灰鴿子工作室
灰鴿子工作室於2003年 初成立,定位於遠程式控制制,遠程管理,遠程監控軟體開發,主要產品為灰鴿子遠程式控制制系列,2005年6月,正式推出使用驅動技術捕獲屏幕的遠程式控制制軟體,捕獲屏幕速度開始超越國外遠程式控制制軟體,灰鴿子開始被喻為遠程式控制制的代名詞。我們希望,用我們的技術和經驗,打造出最好的遠程式控制制軟體,推動遠程式控制制技術的發展!

2007年3月21日
http://www.huigezi.net/uninstall/
卸載頁面
七、灰鴿子官方網站
http;//www.huigezi.net
八、 灰鴿子工作室成員介紹
葛軍:2003年初,與好友黃土平創建了灰鴿子工作室。2001年挺進版率先在遠程式控制制軟體上開發和使用了反彈連接技術。
黃土平:2003年初,與好友葛軍創建了灰鴿子工作室。
灰鴿子是同類軟體的祖先

閱讀全文

與灰鴿子的安裝方法相關的資料

熱點內容
小米5s藍牙哪裡設置方法 瀏覽:710
急迫性尿失禁的治療方法 瀏覽:353
如何遠離失眠的方法 瀏覽:134
黑頭棒使用方法 瀏覽:736
拼多多日發5000單的方法技巧 瀏覽:182
都保吸入劑使用方法 瀏覽:836
苦蕎麥喂牛的正確方法 瀏覽:829
足踝鍛煉方法圖片 瀏覽:923
古詩詞背誦方法研究 瀏覽:731
拆空調銅管的方法與步驟 瀏覽:308
從車內起步正確方法 瀏覽:90
沒想到這才是正確刷牙方法 瀏覽:100
機油量檢測正確方法 瀏覽:724
綠釉水盂瓷器鑒別的方法 瀏覽:376
羽毛快速摳出方法 瀏覽:183
spss常用的聚類分析方法 瀏覽:885
手機音效卡怎麼安裝使用方法 瀏覽:920
梳子線連接方法 瀏覽:672
手機泡水後發燙處理方法 瀏覽:50
短發無橡皮筋盤頭發的簡單方法 瀏覽:204