网络上流行灰鸽子,许多网民听到它的名字就谈"鸽"色变.今天就带大家走进这个看似神秘的地方,让大家认识下什么是灰鸽子,如何清除灰鸽子

支持老公,么么

在计算机管理中,很多人都采用微软自带的telnet,ftp,tftp,终端等方式管理远程电脑,但因为这些协议局限性比较大,一个协议只能做一种管道的信息传输,所以,在一些发达国家就出现了远程控制软件,早期的有Radmin(镭),pcanywhere等等,因为中国网络处于起步状态,当时我国大部分企业都采用国外的远程控制软件.
后来,随着冰河的开发,我国出现了第一个远程控制软件,相继而起的,有黑洞,广外女生等等.自此,远程控制软件兴起.
冰河等一些远程控制软件采用主动连接,也就是说,当你安装了冰河的服务端,对方需要得到你的IP才能进行连接,因为大多数计算机用adsl上网,当重起后,IP就会变化,因此,远程控制软件黑洞的开发成功,带领中国的远控进入了一个崭新的阶段――――反弹型连接,这种连接和其他远程控制软件不同,可以让安装服务端的电脑自动搜取固定的服务器来进行连接,也就是说,无论对方如何变换IP,只要自己的IP固定,对方就能连接过来被控制.
因为早期的黑洞上线比较烦琐,所以,灰鸽子工作室用delphi开发了一款比较经典的远程控制软件――――灰鸽子,作者葛军.
这款远程控制软件集合了ftp,telnet等功能,可以实现对被控电脑进行文件的传输,dos命令的执行,屏幕的监视,甚至视频和语音的监控.

经过不断的更新,灰鸽子已经相当完善,但被许多不法分子,也可以说没道德的电脑爱好者利用,灰鸽子由最开始的远程管理软件变成了今天可怕的"木马".其变种有上万之多,偷窃功能不断被开发.这里就带着大家全面认识这款远程控制软件,我这里以黑客防线的专版灰鸽子为例,也是大多数伪hacker利用的版本.

首先先进行配置一个服务端,也就是丢给"肉鸡"的木马程序.

自动上线设置,首先需要的是填写自己的地址,也就是"IP通知http访问,DNS解析或固定IP",因为灰鸽子的反向连接功能比较强大,这里就用反弹的功能,让肉鸡自己飞来.我是在本机测试,所以填写本地IP,但大多数hacker都采用dns上线,也就是申请一个域名,安装在自己的电脑上,把自己的电脑做成一个DNS服务器,如果自己的IP变化,一更新DNS域名,被控制的计算机就可以直接连接到域名上.

支持个

安装选项,也就是安装在对方电脑上的一些路径等问题,这里我选择安装在$(WinDir)目录,文件名设为ceshi.exe,至于下面的,我只选择第二个,因为大多数hacker都不想暴露自己,安装的时候不提示,安装完后删除,也不在任务栏显示图标,达到了程序隐藏的目的

在启动项里,如图配置,对2000/xp系统采用写入服务,这样,可以避免被一些注册表监控的软件觉察,配置我使用默认的,从图上大家也可以看到,具体这些是做什么的,我将在后面提到.

高级选项中,使用IEXPLORE.EXE进程启动服务端,在2000/xp系统下隐藏进程,起到隐藏的作用.这样,灰鸽子就基本配置完毕.

点击生成后,服务端就自动生成.


配置完成后,名字为Server.exe

然后双击一下,就鼠标闪烁后,服务端消失,这个就不抓图了,不好抓......
运行后,灰鸽子上就会提示"有主机上线"



因为我设置的上线分组为"测试",所以,在鸽子的控制端里显示"测试"组,控制的主机是我自己的.

这个时候,鸽子已经成功种植进了我的电脑,也虽着开机的启动而启动,在服务里可以看到相关信息.
具体操作如下,右键我的电脑――管理――服务和应用程序――服务


如果对这个了解的朋友可以向下看看,


打开后可以看到如图:


在C:\WINDOWS目录下有个ceshi.exe,对照以前的或许你就会知道配置的作用了.如果是2000系统,则在WINNT目录下.

再用工具查看下进程,我用的是冰刃,可以看到如图

里面多出了一个iexpore.exe,而事实上我并没有开IE,我用的是遨游.

顺便提一下,大部分木马都采用进程注射,用iexplore.exe穿墙性好,也就是容易穿透防火墙,因为防火墙是不会阻止IE的,用explorer.exe和svchost.exe是隐蔽性好,但容易被防火墙发现.而上兴远控采用克隆和多项注入,不容易清,pcshare是驱动级木马,可以以驱动式的启动.

认识了鸽子,下面就要研究研究如何来手动清除,因为灰鸽子之所以变种多,是因为有许多人对它进行免杀,也就是修改程序来逃过杀毒软件的查杀,花指令,特征码,壳,方式数不胜数,因此,手动查杀才是硬道理.
我们已经知道了灰鸽子的文件路径和注入的进程,首先,要结束进程,如果不结束,删除后鸽子还可以复活.
结束后根据服务里的位置追查服务端的位置,进行删除.结束进程我就不演示了,没什么好说的.
当结束进程后,在控制端里就提示"有主机下线"
本机不受控制.

然后 在命令提示符下定位
cd\  切换到磁盘根目录
vd windows 切换到windows目录
attrib ceshi.exe 查看ceshi.exe的属性  其中显示的SHR是"系统""隐藏""只读"属性,如果不去掉这些属性,直接用del命令则显示找不到ceshi.exe
attrib ceshi.exe -s -h -r  去掉ceshi.exe的所有属性,也就是给鸽子拔毛.
del ceshi.exe 删除ceshi.exe
自此,鸽子全部被清除.

总结,清除灰鸽子的方法如下:
一,查看服务,查找可疑服务.并定位木马所在位置,其中有个规律,服务的启动类型为"自动",状态上则无显示.
二,查找可疑进程,并结束
三,去掉木马属性,删除
四,重起......
鸽子清除完毕

                   完结

我认可,我赞同,我支持楼主!

狠好!!

猪..........

我认可,我赞同,我支持楼主!

自己顶了

再顶

顶

学习

技术贴，留存，支持~~

我认可,我赞同,我支持楼主!

记号

收藏，备用！

收藏

我认可,我赞同,我支持楼主!

老公又说我,5555555555555

老公才是猪呢,到现在都不起来,嘿嘿

老公,我又做了个可爱滴签名,来试下,试完学习去啦,么么
失败了~

34

感觉在调情

技术贴 ,, 赞一个 !

我认可,我赞同,我支持楼主!

我认可,我赞同,我支持楼主!

我认可,我赞同,我支持楼主!

跟老公TQ正常滴,嘎嘎
师傅这还有意见啊

猪..............

我认可,我赞同,我支持楼主!

我认可,我赞同,我支持楼主!

上面的投毒？！……不会用…你还是教我们防御吧额…我们宿舍有人中灰鸽子了，然后她用江民杀了……她用卡巴，卡罢木反映滴，卡巴不会杀鸽子滴，象木头一样

收藏

支持调

我认可,我赞同,我支持楼主!

我认可,我赞同,我支持楼主!

嘿嘿
MS师傅还在群里跟XXX调情呢

我没有