midi78578

複製內容到剪貼板

代碼:

灰鴿子（病毒定名為GrayBird）是國內一款著名後門。比起前輩冰河、黑洞來，灰鴿子可以說是國內後門的集大成者。其豐富而強大的功能、靈活多變的操作、良好的隱藏性使其他後門都相形見絀。客戶端簡易便捷的操作使剛入門的初學者都能充當黑客，黑客們通過給灰鴿子的客戶端加殼或者通過灰鴿子的客戶端病毒的特徵碼的修改來躲避殺毒軟體的監控和查殺。而且灰鴿子的服務端是定期自動更新的，即使殺毒軟體可以查殺現在的版本，但很快就會出現新的不可查殺的版本。這樣，就算使用者安裝了殺毒軟體，但是在灰鴿子病毒變種或其更新版本面前，還是沒辦法清除的。中了灰鴿子的使用者，就成了黑客手中的「肉雞」，不僅使用者的個人隱私暴露無遺（比如帳號密碼被盜竊等），更可怕的是黑客通過監控你的機器進行非法活動！將會造成惡劣的後果。目前，灰鴿子病毒及其變種正在互聯網上加速傳播，其危害是相當嚴重的。所以，對灰鴿子病毒加以瞭解並預防就是很有必要的了。

  

「灰鴿子病毒」簡介：

    灰鴿子客戶端和服務端都是採用Delphi編寫。黑客利用客戶端程序配置出服務端程序。可配置的資訊主要包括上線類型（如等待連接還是主動連接）、主動連接時使用的公網IP（域名）、連接密碼、使用的連接埠、啟動項名稱、服務名稱，進程隱藏方式，使用的殼，代理，圖標等等。如果你運行了其控制端，黑客就可以完全控制你的電腦，包括文件編輯、註冊表編輯、控制屏幕、視訊設備，如果加上鍵盤記錄外掛程式，還可以盜取你輸入的任何密碼，可以說你的電腦就完全掌控在黑客的手裡。

    「灰鴿子病毒」運行原理：

    灰鴿子木馬分兩部分：客戶端和服務端。攻擊者操縱著客戶端，利用客戶端配置生成出一個服務端程序。服務端文件的名字預設為G_Server.exe。G_Server.exe運行後將自己拷貝到Windows目錄下(98/xp下為系統盤的windows目錄，2k/NT下為系統盤的Winnt目錄)，然後再從體內釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個文件相互配合組成了灰鴿子服務端，有些灰鴿子會多釋放出一個名為G_ServerKey.dll的文件用來記錄鍵盤操作。注意，G_Server.exe這個名稱並不固定，它是可以定制的，比如當定制服務端文件名為A.exe時，生成的文件就是A.exe、A.dll和A_Hook.dll。

    Windows目錄下的G_Server.exe文件將自己註冊成服務（9X系統寫註冊表啟動項），每次開機都能自動運行，運行後啟動G_Server.dll和G_Server_Hook.dll並自動退出。G_Server.dll文件實現後門功能，與控制端客戶端進行通信﹔G_Server_Hook.dll則通過攔截API調用來隱藏病毒。因此，中毒後，我們看不到病毒文件，也看不到病毒註冊的服務項。隨著灰鴿子服務端文件的設置不同，G_Server_Hook.dll有時候附在Explorer.exe的進程空間中，有時候則是附在所有進程中。

    「灰鴿子病毒」的手工檢測：

    由於灰鴿子攔截了API調用，在正常模式下木馬程序文件和它註冊的服務項均被隱藏，也就是說你即使設置了「顯示所有隱藏文件」也看不到它們。此外，灰鴿子服務端的文件名也是可以自定義的，這都給手工檢測帶來了一定的困難。

    但是，通過仔細觀察可以發現，對於灰鴿子的檢測仍然是有規律可循的。從上面的運行原理分析可以看出，無論自定義的服務器端文件名是什麼，一般都會在操作系統的安裝目錄下生成一個以"_hook.dll"結尾的文件。通過這一點，我們可以較為準確地手工檢測出灰鴿子木馬。

    由於正常模式下灰鴿子會隱藏自身，因此檢測灰鴿子的操作一定要在安全模式下進行。進入安全模式的方法是：啟動電腦，在系統進入Windows啟動畫面前，按下F8鍵(或者在啟動電腦時按住Ctrl鍵不放)，在出現的啟動選項功能表中，選擇"Safe Mode"或「安全模式」。

    手工檢測步驟如下：

    1、由於灰鴿子的文件本身具有隱藏屬性，因此要設置Windows顯示所有文件。打開「我的電腦」，選擇功能表「工具」─>「文件夾選項」，點擊「查看」，取消「隱藏受保護的操作系統文件」前的對勾，並在「隱藏文件和文件夾」項中選擇「顯示所有文件和文件夾」，然後點擊「確定」。

    2、打開Windows的「搜索文件」，文件名稱輸入"_hook.dll"，搜索位置選擇Windows的安裝目錄（預設98/xp為C:\windows，2k/NT為C:\Winnt）。

    3、經過搜索，我們在Windows目錄（不包含子目錄）下發現了一個名為Game_Hook.dll的文件。

    4、根據灰鴿子原理分析我們知道，如果Game_Hook.DLL是灰鴿子的文件，則在操作系統安裝目錄下還會有Game.exe和Game.dll文件。打開Windows目錄，果然有這兩個文件，同時還有一個用於記錄鍵盤操作的GameKey.dll文件。

     經過這幾步操作我們基本就可以確定這些文件是灰鴿子木馬了，下面就可以進行手動清除了。

    關於「灰鴿子病毒」的預防：

    1、不要隨便下載網上的破解軟體或使用來路不明的程序。

    2、打開反病毒軟體的實時監控，經常更新病毒庫，留意系統的進程以及經常分析連接埠狀況，看是不是有異常。


我是好色美妹如覺得不錯請來虧我回個文吧! 謝謝

超口愛

照上面的搜索方法, 我的電腦完全找不到病毒文件夾, 安全

qq974631

看起來好像滿恐怖的病毒
感謝大大的告知