灰鸽子病毒检测及清除的手段方法

第18卷　第5期 天 中 学 刊 Vol.18　No.52003年10月 Journal of Tianzhong Oct.2003收稿日期：2003-06-30作者简介：董华亭（1976− ），男，河南上蔡人，驻马店师专物理系助教．由灰鸽子木马看木马技术董华亭1，郑光远2，刘传领3（1.驻马店师范高等专科学校，河南 驻马店 463000；2.商丘师范学院，河南 商丘 476000；3.商丘职业技术学院，河南 商丘 476000）摘　要：介绍了灰鸽子（辐射版）木马的工作原理，给出了这类木马的发现和清除方法． 关键词：木马；黑客；反弹端口；客户／服务器模式；远程控制；端口扫描 随着计算机网络的发展，网络安全问题显得日益重要．黑客的入侵对网络安全造成了极大威胁．木马技术是黑客入侵的主要手段之一，一旦这类被称为“特洛伊木马”的黑客程序被植入用户计算机，就如同《木马屠城记》中的木马一般，与黑客里应外合，可以对计算机随心所欲地进行破坏． 1　普通木马的工作原理木马是一种通过端口进行通信的网络客户(Client )／服务(Server )程序，具有强大的远程控制功能．普通木马在Server 端运行后，会在本机打开一个特定的端口（通常为7626或8255）并监听Client 端的连接．“牧马人”通过其计算机上的Client 端程序，主动去连接Server 端计算机的特定端口进行登录，并发出控制命令，进而取得对计算机的控制权限，可以任意查看或删改Server 端文件，操作Server 端的注册表，获取Server 端的系统信息，窃取口令等，就如同访问他自己的计算机一样方便．其工作过程可用面向对象的语言实现如下．Server 端：Trojan_Server.LocalPort = 7626 ／打开一个特定端口7626Trojan_Server.Listen ／监听Client 端的连接 Client 端：Trojan_Client.RemoteHost = RemoteIP ／设远端地址为Server 端IP 地址 Trojan_Client.RemotePort = 7626／设远程端口为Server 端程序起动的特定端口 Trojan_Client.Connect ／连接Server 端计算机一旦Server 端接到Client 端的连接请求ConnectionRequest 就接受连接．Private Sub Trojan_Server_ConnectionRequest (ByV al requestID As Long ) Trojan_Server.Accept requestID End SubClient 端用Trojan_Client.SendData 发送命令，而Server 端在Trojan_Server_DataArrive 事件中接受并执行命令(如修改注册表、删除文件等)．如果Client 断开连接，则Server 端关闭连接并重新监听端口：Private Sub Trojan_Server_Close () Trojan_Server.Close ／关闭连接 Trojan_Server.Listen ／再次监听 End Sub说明：程序中的Trojan_Server 和Trojan_Client 为Winsock 控件．2　灰鸽子（辐射版）木马的工作原理普通的木马在Server 端运行后，通过邮件和ICQ 等方式发出信息，通知入侵者自己所在主机的IP 地址，同时在本机打开一个网络端口监听Client 端的连接（时刻等待着Client 端的连接）．收到信息后，入侵者再运行Client 端程序向Server 的这一端口提出连接请求（Connect Request ），Server 上的守护进程就会自动运行，来应答Client 的请求．目前，大部分防火墙往往能对连入的连接和非法端口的IP 包进行非常严格的过滤，非法连接被拦在墙外，从Client 端主动连接的木马，很难穿过防中图分类号：TP393.08 文献标识码：B 文章编号：1006－5261(2003)05－0052－02 董华亭，郑光远，刘传领：由灰鸽子木马看木马技术　・53・　火墙．与一般的软件相反，灰鸽子（辐射版）木马是把Client端的信息存于有固定IP的第三方FTPServer上，Server端从FTPServer上取得信息后计算出Client端的IP和端口，然后主动连接Client 端，这种技术就是“反弹端口型技术”．另外，网络神偷的Server端与Client端是用合法端口进行通信，把数据包附在像HTTP或FTP的报文中，这就是黑客们所谓的“隧道”技术．灰鸽子（辐射版）木马的工作过程如下：Server端：Trojan_Server.RemoteHost = RemoteIP／设远端地址为从指定FTP服务器取得的Client端IP地址Trojan_Server.RemotePort = RemotePort／设远程端口为Client端程序起动的特定端口，如80，21等Trojan_Server.Connect ／连接Client端计算机Client端：Trojan_Client.LocalPort = LocalPort／打开一个特定的网络端口，如80，21等一旦Client端接到Server端的连接请求ConnectionRequest，就接受连接：Private Sub Trojan_Client_ConnectionRequest (ByV al requestID As Long)Trojan_Client.Accept requestIDEnd SubTrojan_ Client.Listen ／监听Client端的连接Client端用Trojan_Client.SendData发送命令，而Server在Trojan_Server_DataArrive事件中接受并执行命令．如果Client断开连接，则Server端关闭连接：Private Sub Trojan_Server_Close()Trojan_Server.Close ／关闭连接End Sub之后，每隔一段时间Server端就会向Client发一个连接请求：Trojan_ Server.Connect ／连接Client端计算机目前，大部分防火墙对于连入的连接往往会进行非常严格的过滤，但对于连出的连接却疏于防范．像这种采用“反弹端口”和“隧道”技术的木马，Client端的监听端口是防火墙信任的端口（如提供HTTP服务的80端口或提供FTP服务的21端口），把所有要传送的数据全部封装到合法的报文里进行传送，防火墙就不会拦截．反弹端口型木马不但可以穿过防火墙，而且可以通过HTTP，SOCKS4/5代理，甚至还能访问局域网内部，如采用NAT透明代理和HTTP的GET型代理的局域网．3　查杀灰鸽子（辐射版）木马的方法对是不是中了反弹端口型木马，我们可以做如下检查：①关掉所有的网络连接程序（如IE，FTP 服务等），转入命令行状态，用netstat -a命令查看网络连接、路由表和网络接口的信息，如发现类似“TCP local address:1026 foreign address:HTTP ESTABLISHED”的信息，则有可能中了木马．②用网络监视软件（如sniffer，IParmor等）查看所怀疑的端口是否被侦听，如发现怀疑的端口被侦听，则有可能中了木马．清除灰鸽子（辐射版）木马的方法是先删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run，HKEY_LOCAL_MA- CHINE\SOFTWARE\Microsoft\Windows\CurrentVer-sion\RunServices和HKEY_CURRENT_USER\SOF- TWARE\Microsoft\Windows\CurrentVersion\Run这3个注册表启动项中的可疑键值（键名是在生成服务端时由用户设置的）；然后检查是不是有木马程序与EXE关联，如果有，则将注册表项HKEY_ CLASSES_ROOT\exefile\shell\open\command改为默认值"%1" %*；最后，重启计算机，删除系统目录C:\Windows\System中的服务端程序(文件名是由用户设置的)．木马程序的入侵手段在不断地发生变化，防范木马的方法也应不断变化．加强计算机网络安全意识，是预防木马的关键．参考文献：　[1] 杨守君．黑客技术与网络安全[M]．北京：中国对外翻译出版公司，2000．194−221．[2] 程秉辉，John Hwake．黑客任务实战——攻略篇[M]．北京：北京希望出版社，2002．151−342．[3] 余伟建，严忠军．防守反击——黑客攻击手段分析与防范[M]．北京：人民邮电出版社，2001．132−164．　〔责任编辑　张继金〕。

实验报告实验名称灰鸽子木马实验报告课程名称网络安全院系部:信息技术系专业班级：网络101学生姓名：学号:***********一、实验目的及要求：[目的]1、了解灰鸽子是一个集多种控制方法于一体的木马病毒。

[内容及要求]1、练习软件的哪些功能，自己总结2、通过实验了解灰鸽子是一款的远程控制软件。

3、熟悉使用木马进行网络攻击的原理和方法。

[试验环境]虚拟机下安装组建一个局域网，2台安装了win2000/win2003/XP系统的电脑，灰鸽子木马软件。

二、实验方法与步骤:（1）打开虚拟机，开启windows server 2003 A 与 windows server 2003 B ，将其网络设备器设置在同一局域网内（例vmnet2）（2）打开灰鸽子，并查看本机IP地址：（3）点击配置服务程序，新建一个木马病毒：密码可设置也可不设置（3）将生产的木马病毒设法放入目标主机，并使其运行：（原始木马样子）（4）目标主机运行后，本机灰鸽子显示其登录：我们可对目标及进行，下载上传等基本运行（5）还可以进行更深层次的控制，例如屏幕捕捉与控制，广播，关机开机，注册表的编辑等（看红框标识处）：(6)灰鸽子木马的伪装，木马捆绑器：现今社会杀毒软件的辨识度已然很高，而人们的警惕度也越来越高，木马若想成功的被目标主机运行，必然要做一定的伪装生成一个可执行文件，虽然风险乜很高，但不失为一种方法！（6）木马分离器：三、使用心得（1）熟悉灰鸽子之后，我们了解了木马的强大以及危害之处，如何防范木马，是当今信息社会的一种不可不重视的问题。

计算机病毒泛滥尤以木马病毒为甚。

木马病毒是一种远程控制程序，“黑客”利用计算机系统和软件的漏洞将一段程序植入远端电脑后，可以借助其配套的控制程序来远程控制中毒电脑，肆无忌惮地查看、下载他人电脑中的内容。

掌握了它的原因，对于防护电脑避免木马入侵我们应该有一定对策！（2）如何防范木马病毒：一、检测网络连接二、禁用不明服务三、轻松检查账户四、及时修补漏洞和关闭可疑的端口五、安装杀毒软件并及时更新六、运行实时监控程序。

反病毒专家教你六大绝技彻底防范灰鸽子严循东 2007年3月28日曾经有一个网游爱好者这样形容网络游戏，“网络游戏更像是一场战争，一场玩家与盗号者之间的战争。

”由此可见，盗号已经成为网游世界中，令玩家们深恶痛绝的顽疾。

那么面对以灰鸽子为首的盗号木马，作为网络游戏玩家的你，该如何保护自己的帐号密码完好无损，不被窃取呢？首先，要给自己的电脑做一次“体检”。

因为灰鸽子木马的隐蔽性很强，入侵后根本毫无察觉，通过“体检”，检查一下自己的系统是否已经感染灰鸽子。

“体检”工具就用免费的灰鸽子木马专杀，比如金山毒霸灰鸽子专杀等。

其次，安装正版杀毒软件，保持实时监控的可靠运行，注意及时更新。

灰鸽子的变种非常多，每天都将有不同的变种出现，如果不能及时升级，杀毒软件很难具备对灰鸽子木马新变种的拦截能力。

此外，灰鸽子有个非常“厉害”的特点，黑客可以在远程将控制的所有肉鸡升级到最新版本。

新版本就是专门针对杀毒软件而进行了技术处理的版本，避免被最新的杀毒软件检测到。

因此除了技术手段防范灰鸽子之外，为了捍卫自己的网络资产，玩家还需要从以下几个方面提高警惕：1.注意升级系统补丁，可以用windows update或金山漏洞修复2007来检查修复系统漏洞。

3.游戏玩家的电脑一般在线时间比较长，要特别留意电脑无人值守时的安全问题。

最好把含有隐私信息的数据加密处理。

4.在电脑处于开启状态时，如果不使用摄像头，最好拔掉摄像头，避免被人偷窥。

5.网游玩家通常能熟练的使用线上交易，比如支付宝，网上银行等等。

强烈建议使用专业版移动证书型网上银行，完成支付立即拔掉证书，避免被人远程控制电脑支取。

灰鸽子病毒（Backdoor.Gpigeon）介绍及清除方法-电脑资料
灰鸽子的特点是“三个隐藏”——隐藏进程、隐藏服务、隐藏病毒文件，。

灰鸽子2005感染系统后，将自身注册为系统服务，并在同一目录下生成一组（3个）隐藏的病毒文件.
HijackThis是荷兰学生merijn开发系统扫描工具，能够扫描系统版本，进程，启动项，服务项等信息，对于分析解决IE浏览器问题,以及分析病毒，木马问题有很大帮助
HijackThis扫描的log可用记事本打开。

用HijackThis 1.99.1 扫描系统信息，可以帮助解决问题
下载地址:
扫描出的结果很多都是无害的甚至是正常系统必须的,如果不是非常有把握，请勿修改!
使用方法: 解压到一个文件夹，运行HijackThis“扫描系统并保存日志”，把日志文件保存到桌面，然后用记事本打开那个文件,找到病毒所在处.
复以下项目：O23 - NT 服务: pms (Portable Media Serial) - Unknown owner - C:/WINDOWS/IEXPL0RE.EXE !
修复后重启电脑，全盘杀毒，
电脑资料
《灰鸽子病毒(Backdoor.Gpigeon)介绍及清除方法》(https://www.)。

在“安全模式”下，在“文件夹选项”的“查看”面板中勾选“显示系统文件夹内容”、“显示所有文件及文件夹”两个选项，按“确定”按钮。

根据HijackThis日志中提示的病毒文件所在路径，找到病毒文件，删除之。

重启系统，手工杀毒即告完成。

实战录一次对顽固灰鸽子的查杀朋友电脑中了木马，因为在异地，所以有了这次不很方便的查杀。

她用的是卡巴，卡巴也报出了病毒GAAKEY.DLL，显示是鸽子“HUPIGON”。

不过进程里没有IE。

我记得灰鸽子是往IE里边插的，让她用卡巴查杀了一下内存，汗，好多的病毒。

插入了EXPLORER等众多进程中，而且卡巴无法删除。

也是，那些进程都用着呢。

对方是个MM，电脑小白的MM，远控总是断。

费尽九牛二虎之力让她明白了如何进入安全模式。

当时我是这么想的，肯定还有GAAHOOK.DLL，GAA.EXE这样的文件在%systemroot%下边。

所以叮嘱她进入安全模式以后找这三个东东，然后删除掉。

没想到的是她找不到，当时电话联系着。

问，你看你C盘下有没有BOOT.INI什么文件，显示颜色有点淡的（就是隐藏文件，之前已经叫她把系统那些保护和隐藏文件都显示了的）？答曰：无。

看来木马用了手段，这些看不到。

让她重启回来，QQ上给她“System Repair Engineer”。

使用“智能扫描”，按下“扫描”按钮进行扫描，扫描完成后按下“保存报告”按钮保存报告日志文件（SREng.LOG），把保存的报告日志文件给我。

我一看发现有GADMIN GADMINISTRATOR 两个服务。

把System Repair Engineer和KILLBOXE.exe给准备好，然后我把文本发给她，让她保存到桌面，进安全模式进行删除。

文本内容如下：＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝重新启动电脑, 开机检测完后, 不停按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式进入Windows，这个你应该可以操作了。

运行(双击)System Repair Engineer(就是我给你那个“SREng.exe”），点启动项目，服务，然后点“Win32服务应用程序”。

勾选“隐藏微软服务”，好了，然后要选择病毒服务了。

选中病毒服务Gadmin / GAadministrator，选择“删除服务”点“设置”选择“否”双击打开KillBox.exe，分别删除C:\WINDOWS\GAadminC:\WINDOWS\GAaKey.DLLc:\windows\gaa.dll(这个找不到或者没有删除都没有关系，等下交给杀毒软件就可以搞定的了。

电脑中了灰鸽子病毒怎么样查杀灰鸽子病毒危害甚大，那么我们的电脑中了灰鸽子病毒要怎么样查杀呢?下面由店铺给你做出详细的电脑中了灰鸽子病毒查杀方法介绍!希望对你有帮助!电脑中了灰鸽子病毒查杀方法一：你要是内网的话，装个防火墙就ok了因为内网终端他是不可能入侵到的，除非你随便看些垃圾网页和下载些垃圾软件。

要是外网的话就用x-scan扫描下你机子的漏洞然后把补丁都打上，端口全部关闭，然后防火墙开着，你的电脑就安全了，除非你的是web server那我就没办法了。

电脑中了灰鸽子病毒查杀方法二：灰鸽子病毒是一个未经授权远程访问用户计算机的后门。

以“灰鸽子”变种cm为例，该变种运行后，会自我复制到系统目录下，修改注册表开机自启，侦听黑客指令，记录键击，盗取用户机密信息。

对我们的隐私、健康有巨大影响。

清理方法：打开注册表编辑器(点击“开始”》“运行”，输入“Regedit.exe”，确定。

)，打开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。

点击菜单“编辑”-“查找”，“查找目标”输入“game.exe”，点击确定，我们就可以找到灰鸽子的服务项。

下载，只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然后重新启动计算机。

电脑中了灰鸽子病毒查杀方法三：灰鸽子其实就是一种远控程序，会根据制作者意思，生成一个任意名称的文件，然后就利用各种骗术，让您去打开这个文件，一旦打开后就会成为肉鸡，随时被黑客强控其实防治的办法很简单，您可以到腾讯电脑管家官网下载一个电脑管家电脑管家拥有16层实时防护功能，如果您电脑中有类似灰鸽子的文件运行，电脑管家独有云智能预警系统，可以在木马活动早期侦测并阻断木马的破坏行为，通过云查杀技术秒杀最新流行木马相关阅读：灰鸽子病毒机理病毒构成配置出来的服务端文件文件名为G_Server.exe(这是默认的，当然也可以改变)。

拒绝肉鸡之灰鸽子的发现与清除作者:taylor0577前言很多用户都有过被黑客控制的经历.用专业术语说就是你的计算机成了肉鸡.肉鸡又名僵尸机,是被黑客控制的计算机.换言之,黑客如同操作自己的计算机来操作你的计算机.肉鸡的利用价值肉鸡的利用价值很多,在此我随便举几个简单的例子1 通过灰鸽子的键盘记录功能可以完整地记录肉鸡上的键盘操作信息(比如QQ 密码游戏密码网银密码以及其他有用的密码).2 操纵肉鸡进行DDOS SRDOS等拒绝服务攻击.前段时间新网百度等网站瘫痪就是黑客操纵了数十万的肉鸡进行攻击导致的.3 以肉鸡为跳板进行其他非法活动等.控制肉鸡的软件灰鸽子彩虹桥上兴………..今天我们就从第一个远程控制软件开始详细讲解.今天讲解的重点是如何判断是否中了灰鸽子以及如何进行清理.我们的测试平台为不联入互联网的计算机2台分别为windows2000 SP3 和windows XP SP2一般杀毒软件报病毒名称中含有以下名称的均是灰鸽子: Gpigeon huigezi Gray Bird第一节05版的灰鸽子首先我们从05版的灰鸽子开始讲解05版的灰鸽子的主要特点是在hijackthis日志的023项中出现unknown owner 这是已知灰鸽子种类中最容易清除的一种.我们用hijackthis扫一个日志看到图中的红框了吧这个就是灰鸽子我们在前面打上勾点击修复选项即可重启以后删除对应的文件c:\WINNT\winlogon.exe如果有同名的DLL也要删除.以上是最基础的的灰鸽子的查杀根据我们的观察05版灰鸽子还有以下的变化变化一修复后还是有023项变化二023项中出现file missing项这两个变化的处理方式是一样的就是从服务上下手我们以一个服务名称为windows XP server pack2 的灰鸽子为例我们在开始运行输入services.msc 回车找到windows XP server pack2 这个服务双击这个服务出现这个界面我们把启动方式改为已禁用确定其余的做法和上面的一样.至此为05版灰鸽子的手工查杀方法.当然我需要声明一点的是并不是所有的unknown owner 都是灰鸽子,只有是不正常的项(比如)才是灰鸽子第二节06版的灰鸽子随着05版灰鸽子的查杀方法被掌握.06版的灰鸽子进行了改进.这个改进主要是躲避了hijackthis的扫描.因此对于手工的查杀我们不得不采用了另外一种扫描软件.---srengSreng是比hijackthis更为详细的扫描软件第一步运行sreng 点击智能扫描第二步扫描完成以后点击左下角的保存报告第三步打开保存的报告找到服务这一栏里面我们可以看到红框中的就是灰鸽子记下服务名称第四步关闭报告重新打开sreng 选择启动项目再点击服务再点击Win32 应用服务程序第五步勾上隐藏微软服务找到我们刚才记下的服务名称选中(鼠标单击)选中右下角的删除服务点击旁边的设置第六步在对话框中点击否删除服务重启最后一步(收尸)重启后删除灰鸽子的文件C:\winnt\.exe(以及同名(近似名称)的DLL文件) 至此06版的灰鸽子就这么被删除了.第三节非常规的灰鸽子除了05版和06版的灰鸽子以外还有一些衍生出来的非常规的灰鸽子我们以一个无进程无服务的鸽子为例.这个灰鸽子无论你用什么日志扫描软件均不可见异常的项没有服务而且在windows下面显示所有文件也看不到病毒体是一只隐藏非常巧妙的鸽子.但是正是它的隐蔽性导致了清除的方便性我们不用任何工具直接用windows命令来处理开机按F8 进入安全模式第一步开始------- 运行输入cmd 回车输入dir C:\windows回车看图中的红框就是灰鸽子winlogon.exe的正常路径在C:\WINDOWS\system32\winlogon.exe而C:\WINDOWS\ winlogon.exe 就是木马了第二步输入Del C:\WINDOWS\ winlogon.exe回车重启鸽子就被删除了.当然这只鸽子并不难杀,难的是怎么发现它.我们要记住:用dir命令查看文件夹要比windows 图形化查看要全面.至此灰鸽子的发现和清除就讲解到这里.由于灰鸽子也在不断的变化,因此这篇文章也具有一定的时效性.可以肯定的是肯定有本文没有涉及的灰鸽子的种类. 因此本文还需更新.经过慎重考虑我公布我的邮箱地址.你们也可以将日志发往以下邮箱.但我不保证能够及时回复.邮箱地址taylor0577@为了减少肉鸡的数量,让受害者更快地清除病毒,本文可以在各大论坛中转载,但必须保留文章的作者和保持文章的完整性.如报刊、杂志等盈利性组织需要转载必须经过作者本人的同意。

病毒防治实验报告学生姓名学号专业班级指导教师学院信息科学与工程学院完成时间2014年4月一．实验目的及要求目的：了解灰鸽子是一个集多种控制方法于一体的木马病毒。

二．内容及要求1.练习软件的哪些功能，自己总结2.通过实验了解灰鸽子是一款远程控制软件。

3.熟悉使用木马进行网络攻击的原理和方法。

实验环境：虚拟机下安装组建一个局域网，2台安装win2000/win2003/XP系统的电脑，灰鸽子木马软件。

二．实验方法与步骤：1）打开虚拟机通过实验室的实验平台打开网站192.168.1.1:8088/limp开始试验-选择灰鸽子木马实验打开2个虚拟机，1号机作为服务器，2号机作为客户端。

在拓扑结构上的连接2太虚拟机。

通过PING （对方的IP）验证是否连接成功。

2）打开客户端屏幕上的灰鸽子木马文件，运行EXE文件。

3）木马制作首先配置服务程序123在自动上线设置的IP通知中填写本机的IP地址可以通过-运行-cmd-ipconfig查找本机的IP地址4高级设置这是显示在进程中的描述设置然后点击生成服务器。

5木马种植--将生成的服务器转移到服务器（肉鸡）上通过漏洞或溢出得到远程主机权限，上传并运行灰鸽子木马本地对植入灰鸽子的主机进行连接，看是否能连接灰鸽子。

（若无法获得远程主机权限可将生成的服务器程序拷贝到远程主机并运行）如果成功，则会出现通过-cmd-netstat -na查看所有的连接，确定连接成功。

可以通过捕捉屏幕和视频语言对目标服务器进行监控，或者通过Telnet对其进行控制。

6查看进程启动ICESWORD检查开放进程，进程中多出了IEXPLORE.exe 进程，这个进程即是启动灰鸽子木马的进程，起到隐藏灰鸽子木马自身的程序的目的。

7感想计算机病毒很可怕，他会在不知不觉中使我们被监控，财产处于危险中。

所以要做好防治病毒的工作。

灰鸽子是国内一款著名后门程序。

其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门程序都相形见绌。

如果使用在合法的情况下，灰鸽子将是一款优秀的远程控制软件。

如果拿他去做一些非法的事，灰鸽子就成了强大的黑客工具。

1、在控制端生成灰鸽子木马服务器端程序（1）双击启动灰鸽子客户端，如图3.1所示：图3.1灰鸽子客户端（2）单击“配置服务程序”，为被控制端生成服务器安装程序。

设置通知IP（灰鸽子客户端所在计算机的IP）和保存路径。

如图3.2所示：图3.2 配置服务程序（3）单击右下角的“生成服务器”，将会生成“Server_setup.exe”文件。

2、在被控端计算机上安装灰鸽子木马服务器端程序（1）将生成的“Server_setup.exe”文件上传或复制到被控计算机中。

（2）运行服务器端安装程序“Server_setup.exe”文件。

3、在主控机上利用灰鸽子远程控制被控机（1）在主控机上运行灰鸽子程序。

（2）在“自动上线”列表中对应计算机下即可看到被控机的全部硬盘数据。

如图3.3所示：图3.3 查看被控计算机的信息（3）可以随意打开一个文件夹，随意的进行删除、移动或者复制、粘贴等操作。

（4）还可以启动或停止被控计算机的服务，或修改其注册表。

如图 3.4和图3.5所示：图3.4 启动或停止被控计算机的服务图3.5 查看被控计算机的注册表信息（5）通过单击工具栏的“屏幕控制”，打开被控端的桌面，监视被控端桌面上的任何操作。

4、手动清除灰鸽子因为灰鸽子的威力很大，如果使用不当会给公司的网络造成很大的危害。

下面具体讲解如何通过手动方式来清除灰鸽子：（1）启动计算机，在系统进入Windows启动画面前，按下“F8”键在出现的启动选项菜单中，选择“安全模式”。

（2）打开“我的电脑”，选择菜单“工具”中的“文件夹选项”命令，选择“查看”选项卡，取消“隐藏受保护的操作系统文件”复选框，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”单选按钮，然后单击“确定”按钮。

灰鸽子木马利用与防护(SEC-W06-001.1)木马，又名特洛伊木马，其名称取自古希腊神话的特洛伊木马记，它是一种基于远程控制的黑客工具，具有很强的隐蔽性和危害性。

为了达到控制服务端主机的目的，木马往往要采用各种手段达到激活自己、加载运行的目的。

本案例以国内著名的灰鸽子木马为例讲述木马的使用和防御。

实验目的●了解木马病毒对终端主机的安全威胁，以及木马病毒如何对主机进行攻击。

实验准备●准备两台电脑，一台为服务器（win2003）和一台为winxp电脑：Win2003 服务器的设置：1．设置IP地址为192.168.25.772．右击我的电脑，选择管理，选择本地用户和组---用户---administrator,设置其密码为demo 3．右击我的电脑，选择属性---远程选项卡，勾选远程桌面下的允许用户远程连接到这台计算机。

（开启了3389端口，通过netstat –an 可以查看）客户机(win xp)：设置其IP地址为192.168.25.78●请下载灰鸽子木马程序(本案例使用的是灰鸽子牵手版)到个人PC(winxp电脑)上。

（把木马程序放在winxp电脑上）如图1如图1●在个人PC上运行远程桌面客户端程序mstsc.exe，输入服务器IP地址192.168.25.77，点击“连接”，登录时用户名为“administrator”，密码为“demo”。

如图2图2●登入远程虚拟平台之后，在服务器上建立“新建文件夹”，重命名为“share”，然后右击文件夹，选择“属性”，在“共享”栏中，选择“共享该文件夹” 。

如图3图3为了通过网络共享从本地拷贝文件到虚拟平台，确认控制权限为“完全控制”。

如图4图4以上操作的目的是，为了以后把winxp上生成的服务端程序拷贝到服务器的共享文件夹share 中。

实验步骤下载使用灰鸽子木马步骤说明：下载和使用灰鸽子木马1.在winxp电脑上，打开已经下载好的灰鸽子木马所在的文件夹qs2004，双击里面的灰鸽子客户端H_client(本案例中如果碰到灰鸽子客户端无法打开的情形，请从“灰鸽子_牵手.zip”重新解压生成一个新的客户端程序再执行）。

手工清除灰鸽子有什么方法当你的电脑中了灰鸽子电脑病毒时，你会怎么办，没事不要紧的!下面由店铺给你做出详细的手工清除灰鸽子方法介绍!希望对你有帮助!手工清除灰鸽子方法介绍：当我运行那个文件时，KV杀毒软件就弹出了告警窗口木马被隔离为什么到这时才发现呢?因为这种木马采用了“组装合成法”，就是把一个合法的程序和一个木马绑定，当运行合法程序时，木马就自动加载，同时，由于绑定后木马的代码发生了变化，根据特征码扫描的杀毒软件是很难查出来的。

这也就是我中招的原因。

一波三折中了木马，就要想办法清除它。

这个木马已被KV“禁用”，无法与远程的木马客户端进行通信。

单从这个角度讲，如果不去管它，也无大碍。

可每次启动电脑KV就报告，让人整天提心吊胆，并且我的Maxthon浏览器每次关闭网页窗口，都要弹出“error”提示，这种情况以前从未发生过，显然是这个木马搞的鬼!怎么办呢?因为是实验室的电脑，光驱和软驱被拆掉了，不支持U 盘启动，也没有做过Ghost备份，所以既进入不了DOS，也无法用Ghost备份来恢复。

我决定先试试在Win2000中能否用KV将木马清除掉，可当KV查到Winserverhook.dll时，电脑就自动关机重启了，而且启动后要蓝屏查硬盘!随后通过多次试验发现，用KV2004去查，不论是杀毒状态、查毒状态还是询问状态，只要一查到winServerHook.Dll这个文件，电脑就立刻重启。

而且也无法复制、剪切、删除和修改winServerHook.Dll这个文件。

这使我愈发相信，winServerHook.Dll是个重要的、开机就要调入内存的系统动态链接库(后来的事实证明，这是这个木马最容易让人上当之处!)。

此后，我检查了注册表和几个重要的系统文件。

传统的木马会在注册表里或Win.ini、System.ini文件里留下某些痕迹，例如在注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \Run中加上可疑的键值。

实验五灰鸽子木马实验一、灰鸽子简介：灰鸽子是国内一款著名后门。

比起前辈冰河、黑洞来，灰鸽子可以说是国内后门的集大成者。

其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。

客户端简易便捷的操作使刚入门的初学者都能充当黑客。

当使用在合法情况下时，灰鸽子是一款优秀的远程控制软件。

但如果拿它做一些非法的事，灰鸽子就成了很强大的黑客工具。

灰鸽子包含客户端和服务端。

黑客利用客户端程序配置出服务端程序。

可配置的信息主要包括上线类型（如等待连接还是主动连接）、主动连接时使用的公网IP（域名）、连接密码、使用的端口、启动项名称、服务名称，进程隐藏方式，使用的壳，代理，图标等等。

二、实验分组安排本实验两人一组，一人为客户端，一人为服务器端；完成实验过程后，互相交换角色；客户端完成控制等实验，服务器端完成手动卸载木马。

三、实验操作步骤：实验前先将客户端和服务器端的瑞星监控禁用，如下图所示：点击右键，选择“禁用所有监控”。

1、客户端操作：双击文件“”,将它解压到目录“黑防灰鸽子2006企业破解版”，完成后，进入该目录，双击文件“黑防鸽子2006控制端.exe”。

灰鸽子控制端界面如图1所示：图12、在客户端生成服务器端：点击图1菜单栏中的“配置服务程序”，弹出图２界面，对服务器进行配置。

图２（1）图２中，在“IP通知http访问地址、ＤＮＳ解析域名或固定IP ”一栏填写客户端ＩＰ地址，同时可以设置上线图象，上线分组，上线备注，连接密码等内容。

（2）选择“安装选项”，“安装路径”选择如图３所示：以其中一人学号命名，同时可以选择更改图标等选项。

图３（3）下面对启动项进行配置（图４）：选上“Win2000/XP下优先安装成服务启动”；显示名称：可以任意填写（尽量是与系统有关的单词）服务名称：同上！描述信息：只要说明此项服务是系统服务，十分重要，不可停止的服务就行！这样配置具有很强的蒙蔽性，可以更好的隐藏自己。

“灰鸽子”木马手动清除“灰鸽子”（Backdoor.GPigeon.gen）是一个极具破坏力的木马病毒，它可以使中毒电脑被黑客远程控制、记录键盘操作、中止运行中的进程、强制重新启动计算机等，并且拥有多个变种，是 2005-2006 年度发作最为严重的病毒之一。

清除“灰鸽子”最好借助可以随时升级病毒库的杀毒软件，或者各大杀毒软件厂商提供的“灰鸽子”专杀工具。

但如果一时没有杀毒软件可用，则只能手动清除病毒。

从瑞星网站上转载一篇手动清除“灰鸽子”木马病毒的方法：1.删除“灰鸽子”建立的系统服务：“灰鸽子”后门程序会将其自身注册为系统服务，在通常情况下无法看到“灰鸽子”生成的文件、进程以及服务和注册表信息。

若要删除它们，首先必须删除“灰鸽子”注册的系统服务。

以安全模式启动 Windows，打开注册表编辑器，定位到：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVCH0ST.EXE（这里的SVCH0ST 是数字 0，而不是英文字母 o），在这个注册表项中找到 ImagePath 字符串值，如果其值显示为 %SystemRoot%\GServer.EXE，则为“灰鸽子”注册的系统服务。

将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVCH0ST.EXE 直接删除，即可删除“灰鸽子”注册的系统服务。

2.删除“灰鸽子”文件：修改注册表后重新启动 Windows，“灰鸽子”注册的系统服务已经被删除，因此可以直接查看到“灰鸽子”病毒文件了，即 %SystemRoot%\GServer.EXE，将其删除。

如果依然看不到此文件，可在控制面板中打开“文件夹选项”，在“查看”选项卡中选择“显示所有文件夹和文件”，并取消“隐藏受保护的系统文件（推荐）”这一项即可。

3.删除注册表中的残留信息：打开注册表编辑器定位到：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCH0ST.EXE，右键单击选择“安全”－“权限”，在“Everyone”权限设置中选择“完全控制”的权限为允许。

HijackThis日志发现灰鸽子的处理方法灰鸽子变种很多，查杀方法各异。

本文只适用于下述情形:(1)杀毒软件报告灰鸽子但杀不净;(2)HijackThis日志中发现异常O23项(如:O23 - Service: svchost (Windows Access) - Unknown owner - C:\WINDOWS\windr.exe);且(3)灰鸽子的文件在%windows% 目录下。

这类灰鸽子的手工查杀流程:1、打开注册表编辑器，展开:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services。

删除灰鸽子的服务项。

怎么确认灰鸽子服务项的名字?看HijackThis日志O23的提示。

如:O23 - Service: svchost (Windows Access)，括弧中的Windows Access就是你要删除的灰鸽子服务项。

如果HijackThis日志O23的提示中没有括弧中的内容，紧接在Service:后面的内容就是灰鸽子的服务名——删!有人可能会问:这是不是笨了点儿?在HijackThis面板中直接点击这个O23，再点击“修复”不就完了吗?是的。

我也知道有此一法。

但这种方法并不能保证你总能修复掉这个异常的O23。

最后，还是要用注册表编辑器删除它。

2、重启系统。

为什么要重启? 因为这类鸽子没有注册表监控。

删除其服务项后，重启系统，鸽子就不能运行了。

这时，鸽子的文件可以随便删。

3、显示隐藏文件，删除鸽子的文件。

这类鸽子的文件都在%windows% 目录下。

%windows%是什么意思?%windows%是个变量符号，表示“WINDOWS”目录。

因为每个人的系统不一定都安装在相同的分区，因此，只能这么表示。

如果你的系统安装在C盘，%windows%指的是C:\WINDOWS;如果你的系统安装在D盘，%windows%指D:\WINDOWS，依此类推。

中了灰鸽子怎么解决电脑中了灰鸽子病毒，首先不要惊慌，解决办法是有的，店铺来告诉你，下面由店铺给你做出详细的灰鸽子病毒解决方法介绍!希望对你有帮助!灰鸽子病毒解决方法：灰鸽子病毒解决步骤1、请下载汉化版hijackthis备用,下载汉化版killbox备用,删除文件利器HijackThis v1.99.1 首页绑架克星它能够将绑架您浏览器的程序揪出来!并且移除之!或许您只是浏览某个网站、安装了某个软件，就发现浏览器设定已经被绑架了，一般常见的绑架方式莫过于强制窜改您的浏览器首页设定、搜寻页设定，现在有了这个工具，可以将所有可疑的程序全抓出来，进行分析。

本来它只能看看浏览器绑架的问题，在众多网友的实践中发现它还能够分析的出灰鸽子的大致位置和服务项。

灰鸽子病毒解决步骤2、直接运行hijackthis.exea、选以上都不是，只是进入启动程序(进入主界面)b、然后点左下角的扫描c、再扫描出来的界面中直接查找023项目，就是服务项，如果发现有这样的023项目，那么恭喜你了，中了灰鸽子灰鸽子病毒如:O23 - NT 服务: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - C:\WINDOWS\G_Server2.0.exeO23 - NT 服务: Generic_Save_Server (Fast Double) - Unknown owner - C:\WINDOWS\Generic Hoster.exeO23 - NT 服务: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\1.exeO23 - NT 服务: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\G_Server.exeO23 - Service: Gray_Pigeon_Server (GrayPigeonServer) -Unknown owner - C:\WINDOWS\G_Server.exe等等，共同特点是在023项，Gray_Pigeon_Server+Unknown owner +C:\WINDOWS(就是直接安装在系统盘/win下面) 下面俺来谈谈借助绿色工具,汉化版hijackthis和汉化版killbox来谈谈手工清楚灰鸽子的经历,下面手工查杀过程.灰鸽子病毒解决步骤实战一:O23 - NT 服务: RpcSo (Remote Procedure Call (RPC)) - Unknown owner - C:\WINDOWS\RpcSs.exe根据楼主的描叙(帖主的瑞星报告灰鸽子病毒感染文件C:\WINDOWS\RpcSs.exe,这是俺第一次实战查杀灰鸽子的经历,所有映像特别深)),这是灰鸽子的项,删除下面的文件后,用hiujackthis修复下载汉化版killbox(删除文件利器)填入完整路径删除下面文件，不放心到安全模式下删除，(xp建议关闭系统还原，其他包括xp清理所有临时文件)如果有的话让killbox帮楼主强行删除。