灰鸽(灰鸽 浅藏春秋)

灰鸽子病毒

灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来，灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时，灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事，灰鸽子就成了很强大的黑客工具。这就好比火药，用在不同的场合，给人类带来不同的影响。对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚，在此我们只能进行简要介绍。

灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型（如等待连接还是主动连接）、主动连接时使用的公网IP（域名）、连接密码、使用的端口、启动项名称、服务名称，进程隐藏方式，使用的壳，代理，图标等等。

下面介绍一下客户端：

连接密码的设定使得灰鸽子服务端程序只能被配置它的黑客控制，避免了黑客之间的竞争。

服务端对客户端连接方式有多种，使得处于各种网络环境的用户都可能中毒，包括局域网用户（通过代理上网）、公网用户和ADSL拨号用户等。

只用一个端口来传输所有通讯数据！普通同类软件都用到了两个或两个以上的端口来完成。

支持可以控制Internet连接共享、HTTP透明代理上网的电脑！软件智能读取系统设定的代理服务器信息，无需用户设置！

可以设置服务端开放Socks5代理服务器功能和HTTP代理服务功能！无需第三方软件支持！支持Windows9x/ME/2000/Xp/2003。便于黑客进行跳板攻击。

除了具有语音监听、语音发送，还有远程视频监控功能，只有远程计算机有摄像头，且正常打开没有被占用，那么你可以看到,远程摄像头捕获的图片！还可以把远程摄像头捕获的画面存为Mpeg-1格式.远程语音也可以录制成Wav声音文件。

其他后门具有的功能，你几乎都可以在灰鸽子里找到。而且每个功能都做的非常细致，非常人性化。整体界面比较清爽，容易上手，对每一个小细节的考虑都很到位，所有能想到的Ideal几乎都实现了。不过黑客的方便，对于广大用户来说可不是好事。

下面介绍服务端：

配置出来的服务端文件文件名为G_Server.exe（这是默认的，当然也可以改变）。然后黑客利用一切办法诱骗用户运行G_Server.exe程序。具体采用什么办法，读者可以充分发挥想象力，这里就不赘述。

G_Server.exe第一次运行时自己拷贝到Windows目录下（98/XP操作系统为系统盘windows目录，2K/NT为系统盘winnt目录），并将它注册为服务（服务名称在上面已经配置好了），然后从体内释放2个文件到Windows目录下：G_Server.dll，G_Server_Hook.dll（近期灰鸽子版本会释放3个文件，多了一个G_ServerKey.exe，主要用来记录键盘操作）。然后将G_Server.dll，G_Server_Hook.dll注入到Explorer.exe、IExplorer.exe或者所有进程中执行。然后G_Server.exe退出，两个动态库继续运行。由于病毒运行的时候没有独立进程，病毒隐藏性很好。以后每次开机时，Windows目录下的G_Server.exe都会自动运行，激活动态库后退出，以免引起用户怀疑。

G_Server.dll实现后门功能，与控制端进行通信。灰鸽子的强大功能主要体现在这里。黑客可以对中毒机器进行的操作包括：文件管理、获取系统信息、剪贴板查看、进程管理、窗口管理、键盘记录、服务管理、共享管理，提供MS-Dosshell，提供代理服务,注册表编辑，启动telnet服务，捕获屏幕，视频监控，音频监控，发送音频，卸载灰鸽子……可以说，用户在本地能看到的信息，使用灰鸽子远程监控也能看到。尤其是屏幕监控和视频、音频监控比较危险。如果用户在电脑上进行网上银行交易，则远程屏幕监控容易暴露用户的帐号，在加上键盘监控，用户的密码也岌岌可危。而视频和音频监控则容易暴露用户自身的秘密，如“相貌”，“声音”。

G_Server_Hook.dll负责隐藏灰鸽子。通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项，甚至是进程中的模块名。截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。所以，有些时候用户感觉种了毒，但仔细检查却又发现不了什么异常。

灰鸽子的作者对于如何逃过杀毒软件的查杀花了很大力气。由于一些API函数被截获，正常模式下难以遍历到灰鸽子的文件和模块，造成查杀上的困难。要卸载灰鸽子动态库而且保证系统进程不崩溃也很麻烦，因此造成了近期灰鸽子在互联网上泛滥的局面。

怎样预防灰鸽病毒:

灰鸽子自身并不具备传播性，一般通过网页、邮件、IM聊天工具、非法软件四种途径进行传播。

预防灰鸽子：

1.安装IE浏览器的补丁程序。2.及时升级杀毒软件。

3.对朋友或陌生人发送来的可疑程序不要运行。4.关闭所有磁盘的自动播放功能。

一：检查系统

1.由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”---“文件夹选项”----“查看”----“隐藏受保护的操作系统文件”前的勾去掉，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。(我建议一个：把"隐藏文件类型的扩展名"的钩这个也去掉，方便识别灰鸽子文件)

2、打开Windows的“搜索文件”，文件名称输入“_Hook.dll”(搜索C盘就可以了)

3、经过搜索，我们在Windows目录(不包含子目录)*_Hook.dll的文件。(*号代表任意文件名)

4、如果*_Hook.DLL是灰鸽子的文件，则在操作系统安装目录下还会有*.exe和*.dll文件。打开Windows目录，看是否有这个两个文件，同时还有一个用于记录键盘操作的*Key.dll

5.那些文件名用笔记下来吧

二：清除灰鸽子(在安全模式下操作)

1、清除灰鸽子的服务；

2、删除灰鸽子程序文件。

注意：为防止误操作，清除前一定要做好备份。(简单的可以这样做：利用系统还原功能：开始---附件---系统工具---系统还原---创建一个系统还原点----命名为“备份防止删错文件”其实这个随便拉)要是等会删错了，同样方法进来，选“恢复我的计算机到一个较早的时间”选你刚才弄的还原点，还原就好了

(1)清除灰鸽子的服务

2000／XP系统：

1、打开注册表编辑器：开始----运行Regedit

打开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。

2、点击菜单---编辑---查找-----查找目标-----输入“*.exe”(就是刚才找的文件名)---确定-----找到灰鸽子的服务项(为*_Server)。

3、删除整个*_Server项。

4.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下面关于灰鸽子的开机启动项删除掉，或者到“运行msconfig----启动，把对应灰鸽子的启动项前面的钩去掉

(2)删除灰鸽子程序文件

删在安全模式下删除Windows目录下的*.exe、*.dll、*_Hook.dll以及*key.dll文件，然后重新启动计算机。至此，灰鸽子已经被清除干净。

三、照手工清除法执行后，最好是安装一个专杀软件查查看

http://www.hf110.com/Soft/aq/zs/200509/653.html官方专杀工具下载

灰鸽子远程管理系统

灰鸽子是国内一款著名后门软件。比起前辈冰河、黑洞来，灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时，灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事，灰鸽子就成了很强大的黑客工具。

灰鸽子图片

一、灰鸽子病毒简介灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来，灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时，灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事，灰鸽子就成了很强大的黑客工具。这就好比火药，用在不同的场合，给人类带来不同的影响。对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚，在此我们只能进行简要介绍。灰鸽子客户端和服务端都是采用delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型（如等待连接还是主动连接）、主动连接时使用的公网ip（域名）、连接密码、使用的端口、启动项名称、服务名称，进程隐藏方式，使用的壳，代理，图标等等。服务端对客户端连接方式有多种，使得处于各种网络环境的用户都可能中毒，包括局域网用户（通过代理上网）、公网用户和adsl拨号用户等。下面介绍服务端：配置出来的服务端文件文件名为g_server.exe（这是默认的，当然也可以改变）。然后黑客利用一切办法诱骗用户运行g_server.exe程序。具体采用什么办法，读者可以充分发挥想象力，这里就不赘述。g_server.exe运行后将自己拷贝到windows目录下(98/xp下为系统盘的windows目录，2k/nt下为系统盘的winnt目录)，然后再从体内释放g_server.dll和g_server_hook.dll到windows目录下。g_server.exe、g_server.dll和g_server_hook.dll三个文件相互配合组成了灰鸽子服务端，g_server_hook.dll负责隐藏灰鸽子。通过截获进程的api调用隐藏灰鸽子的文件、服务的注册表项，甚至是进程中的模块名。截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。所以，有些时候用户感觉种了毒，但仔细检查却又发现不了什么异常。有些灰鸽子会多释放出一个名为g_serverkey.dll的文件用来记录键盘操作。注意，g_server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为a.exe时，生成的文件就是a.exe、a.dll和a_hook.dll。windows目录下的g_server.exe文件将自己注册成服务（9x系统写注册表启动项），每次开机都能自动运行，运行后启动g_server.dll和g_server_hook.dll并自动退出。g_server.dll文件实现后门功能，与控制端客户端进行通信；g_server_hook.dll则通过拦截api调用来隐藏病毒。因此，中毒后，我们看不到病毒文件，也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同，g_server_hook.dll有时候附在explorer.exe的进程空间中，有时候则是附在所有进程中。灰鸽子的作者对于如何逃过杀毒软件的查杀花了很大力气。由于一些api函数被截获，正常模式下难以遍历到灰鸽子的文件和模块，造成查杀上的困难。要卸载灰鸽子动态库而且保证系统进程不崩溃也很麻烦，因此造成了近期灰鸽子在互联网上泛滥的局面。二、灰鸽子的手工检测由于灰鸽子拦截了api调用，在正常模式下服务端程序文件和它注册的服务项均被隐藏，也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外，灰鸽子服务端的文件名也是可以自定义的，这都给手工检测带来了一定的困难。但是，通过仔细观察我们发现，对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出，无论自定义的服务器端文件名是什么，一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点，我们可以较为准确手工检测出灰鸽子服务端。由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是：启动计算机，在系统进入windows启动画面前，按下f8键(或者在启动计算机时按住ctrl键不放)，在出现的启动选项菜单中，选择“safemode”或“安全模式”。1、由于灰鸽子的文件本身具有隐藏属性，因此要设置windows显示所有文件。打开“我的电脑”，选择菜单“工具”—》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。2、打开windows的“搜索文件”，文件名称输入“_hook.dll”，搜索位置选择windows的安装目录（默认98/xp为c:\windows，2k/nt为c:\winnt）。3、经过搜索，我们在windows目录（不包含子目录）下发现了一个名为game_hook.dll的文件。4、根据灰鸽子原理分析我们知道，如果game_hook.dll是灰鸽子的文件，则在操作系统安装目录下还会有game.exe和game.dll文件。打开windows目录，果然有这两个文件，同时还有一个用于记录键盘操作的gamekey.dll文件。经过这几步操作我们基本就可以确定这些文件是灰鸽子服务端了，下面就可以进行手动清除。三、灰鸽子的手工清除经过上面的分析，清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作，主要有两步：1、清除灰鸽子的服务；2删除灰鸽子程序文件。注意：为防止误操作，清除前一定要做好备份

灰鸽子和白鸽子哪个营养价值高

鸽子营养不在灰白而在鸽子的健康还有年龄来算的。。。

灰鸽子木马

鸽子是最好删除的了，用360就杀了。其实隐藏比较深的是云远程控制软件，必须控制面板才能删除否则都删不掉。360还不报毒。

pe

以上就是关于灰鸽的相关介绍，。内容来源于互联网，信息真伪需自行辨别。如有侵权请联系删除。