⑴ 怎麼做灰鴿子外網映射
先用灰鴿子自帶的埠映射工具做個客戶端 然後讓是外網的機子運行這個客戶端 會玩灰鴿子應該會讓外網的機子運行這個客戶端吧 最後你再在讓是外網的機子運行這個客戶端 填上他的IP 埠就填你做客戶端填的埠 點映射 OK! 鴿子上線了! 哈哈! 祝你鴿子滿籠! 灰鴿子自帶的埠映射工具主要的是借別人外網的IP來映射你自己的IP 如果你想自己電腦上做網站或FTP 可以通過路由的轉發規則->虛擬伺服器 把ID1設為 服務埠:80 IP地址:自己的內網IP 協議TCP 啟用 把ID1設為 服務埠:21 IP地址:自己的內網IP 協議TCP 啟用
⑵ 什麼是灰鴿子(黑客類)
灰鴿子
一、灰鴿子病毒簡介
灰鴿子是國內一款著名後門。比起前輩冰河、黑洞來,灰鴿子可以說是國內後門的集大成者。其豐富而強大的功能、靈活多變的操作、良好的隱藏性使其他後門都相形見絀。客戶端簡易便捷的操作使剛入門的初學者都能充當黑客。當使用在合法情況下時,灰鴿子是一款優秀的遠程式控制制軟體。但如果拿它做一些非法的事,灰鴿子就成了很強大的黑客工具。這就好比火葯,用在不同的場合,給人類帶來不同的影響。對灰鴿子完整的介紹也許只有灰鴿子作者本人能夠說清楚,在此我們只能進行簡要介紹。
灰鴿子客戶端和服務端都是採用Delphi編寫。黑客利用客戶端程序配置出服務端程序。可配置的信息主要包括上線類型(如等待連接還是主動連接)、主動連接時使用的公網IP(域名)、連接密碼、使用的埠、啟動項名稱、服務名稱,進程隱藏方式,使用的殼,代理,圖標等等。
服務端對客戶端連接方式有多種,使得處於各種網路環境的用戶都可能中毒,包括區域網用戶(通過代理上網)、公網用戶和ADSL撥號用戶等。
下面介紹服務端:
配置出來的服務端文件文件名為G_Server.exe(這是默認的,當然也可以改變)。然後黑客利用一切辦法誘騙用戶運行G_Server.exe程序。具體採用什麼辦法,讀者可以充分發揮想像力,這里就不贅述。
G_Server.exe運行後將自己拷貝到Windows目錄下(98/xp下為系統盤的windows目錄,2k/NT下為系統盤的Winnt目錄),然後再從體內釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個文件相互配合組成了灰鴿子服務端, G_Server_Hook.dll負責隱藏灰鴿子。通過截獲進程的API調用隱藏灰鴿子的文件、服務的注冊表項,甚至是進程中的模塊名。截獲的函數主要是用來遍歷文件、遍歷注冊表項和遍歷進程模塊的一些函數。所以,有些時候用戶感覺種了毒,但仔細檢查卻又發現不了什麼異常。有些灰鴿子會多釋放出一個名為G_ServerKey.dll的文件用來記錄鍵盤操作。注意,G_Server.exe這個名稱並不固定,它是可以定製的,比如當定製服務端文件名為A.exe時,生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目錄下的G_Server.exe文件將自己注冊成服務(9X系統寫注冊表啟動項),每次開機都能自動運行,運行後啟動G_Server.dll和G_Server_Hook.dll並自動退出。G_Server.dll文件實現後門功能,與控制端客戶端進行通信;G_Server_Hook.dll則通過攔截API調用來隱藏病毒。因此,中毒後,我們看不到病毒文件,也看不到病毒注冊的服務項。隨著灰鴿子服務端文件的設置不同,G_Server_Hook.dll有時候附在Explorer.exe的進程空間中,有時候則是附在所有進程中。
灰鴿子的作者對於如何逃過殺毒軟體的查殺花了很大力氣。由於一些API函數被截獲,正常模式下難以遍歷到灰鴿子的文件和模塊,造成查殺上的困難。要卸載灰鴿子動態庫而且保證系統進程不崩潰也很麻煩,因此造成了近期灰鴿子在互聯網上泛濫的局面。
二、灰鴿子的手工檢測
由於灰鴿子攔截了API調用,在正常模式下服務端程序文件和它注冊的服務項均被隱藏,也就是說你即使設置了「顯示所有隱藏文件」也看不到它們。此外,灰鴿子服務端的文件名也是可以自定義的,這都給手工檢測帶來了一定的困難。
但是,通過仔細觀察我們發現,對於灰鴿子的檢測仍然是有規律可循的。從上面的運行原理分析可以看出,無論自定義的伺服器端文件名是什麼,一般都會在操作系統的安裝目錄下生成一個以「_hook.dll」結尾的文件。通過這一點,我們可以較為准確手工檢測出灰鴿子 服務端。
由於正常模式下灰鴿子會隱藏自身,因此檢測灰鴿子的操作一定要在安全模式下進行。進入安全模式的方法是:啟動計算機,在系統進入Windows啟動畫面前,按下F8鍵(或者在啟動計算機時按住Ctrl鍵不放),在出現的啟動選項菜單中,選擇「Safe Mode」或「安全模式」。
1、由於灰鴿子的文件本身具有隱藏屬性,因此要設置Windows顯示所有文件。打開「我的電腦」,選擇菜單「工具」—》「文件夾選項」,點擊「查看」,取消「隱藏受保護的操作系統文件」前的對勾,並在「隱藏文件和文件夾」項中選擇「 顯示所有文件和文件夾」,然後點擊「確定」。
2、打開Windows的「搜索文件」,文件名稱輸入「_hook.dll」,搜索位置選擇Windows的安裝目錄(默認98/xp為C:\windows,2k/NT為C:\Winnt)。
3、經過搜索,我們在Windows目錄(不包含子目錄)下發現了一個名為Game_Hook.dll的文件。
4、根據灰鴿子原理分析我們知道,如果Game_Hook.DLL是灰鴿子的文件,則在操作系統安裝目錄下還會有Game.exe和Game.dll文件。打開Windows目錄,果然有這兩個文件,同時還有一個用於記錄鍵盤操作的GameKey.dll文件。
經過這幾步操作我們基本就可以確定這些文件是灰鴿子 服務端了,下面就可以進行手動清除。
三、灰鴿子的手工清除
經過上面的分析,清除灰鴿子就很容易了。清除灰鴿子仍然要在安全模式下操作,主要有兩步:1、清除灰鴿子的服務;2刪除灰鴿子程序文件。
注意:為防止誤操作,清除前一定要做好備份。
(一)、清除灰鴿子的服務
注意清除灰鴿子的服務一定要在注冊表裡完成,對注冊表不熟悉的網友請找熟悉的人幫忙操作,清除灰鴿子的服務一定要先備份注冊表,或者到純DOS下將注冊表文件更名,然後在去注冊表刪除灰鴿子的服務。因為病毒會和EXE文件進行關聯
2000/XP系統:
1、打開注冊表編輯器(點擊「開始」-》「運行」,輸入「Regedit.exe」,確定。),打開 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注冊表項。
2、點擊菜單「編輯」-》「查找」,「查找目標」輸入「game.exe」,點擊確定,我們就可以找到灰鴿子的服務項(此例為Game_Server,每個人這個服務項名稱是不同的)。
3、刪除整個Game_Server項。
98/me系統:
在9X下,灰鴿子啟動項只有一個,因此清除更為簡單。運行注冊表編輯器,打開HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run項,我們立即看到名為Game.exe的一項,將Game.exe項刪除即可。
(二)、刪除灰鴿子程序文件
刪除灰鴿子程序文件非常簡單,只需要在安全模式下刪除Windows目錄下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然後重新啟動計算機。至此,灰鴿子VIP 2005 服務端已經被清除干凈。
以上介紹的方法適用於我們看到的大部分灰鴿子木馬及其變種,然而仍有極少數變種採用此種方法無法檢測和清除。同時,隨著灰鴿子新版本的不斷推出,作者可能會加入一些新的隱藏方法、防刪除手段,手工檢測和清除它的難度也會越來越大。
四、防止中灰鴿子病毒需要注意的事項
1. 給系統安裝補丁程序。通過Windows Update安裝好系統補丁程序(關鍵更新、安全更新和Service pack),其中MS04-011、MS04-012、MS04-013、MS03-001、MS03-007、MS03-049、MS04-032等都被病毒廣泛利用,是非常必要的補丁程序
2. 給系統管理員帳戶設置足夠復雜足夠強壯的密碼,最好能是10位以上,字母+數字+其它符號的組合;也可以禁用/刪除一些不使用的帳戶
3. 經常更新殺毒軟體(病毒庫),設置允許的可設置為每天定時自動更新。安裝並合理使用網路防火牆軟體,網路防火牆在防病毒過程中也可以起到至關重要的作用,能有效地阻擋自來網路的攻擊和病毒的入侵。部分盜版Windows用戶不能正常安裝補丁,這點也比較無奈,這部分用戶不妨通過使用網路防火牆來進行一定防護
4. 關閉一些不需要的服務,條件允許的可關閉沒有必要的共享,也包括C$、D$等管理共享。完全單機的用戶可直接關閉Server服務。
. 下載HijackThis掃描系統
下載地址:
http://www.skycn.com/soft/15753.html zww3008漢化版
http://www.merijn.org/files/hijackthis.zip 英文版
2. 從HijackThis日誌的 O23項可以發現灰鴿子自的服務項
如最近流行的:
O23 - Service: SYSTEM$ (SYSTEM$Server) - Unknown owner - C:\WINDOWS\setemy.bat
O23 - Service: Network Connections Manager (NetConMan) - Unknown owner - C:\WINDOWS\uinstall.exe
O23 - Service: winServer - Unknown owner - C:\WINDOWS\winserver.exe
O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\G_Server.exe
用HijackThis選中上面的O23項,然後選擇"修復該項"或"Fix checked"
3. 用Killbox刪除灰鴿子對應的木馬文件 可以從這里下載Killbox
「灰鴿子」殺傷力是「熊貓燒香」10倍
與「熊貓燒香」病毒的「張揚」不同,「灰鴿子」更像一個隱形的賊,潛伏在用戶「家」中,監視用戶的一舉一動,甚至用戶與MSN、QQ好友聊天的每一句話都難逃「鴿」眼。專家稱,「熊貓燒香」還停留在對電腦自身的破壞,而「灰鴿子」已經發展到對「人」的控制,而被控者卻毫不知情。從某種意義上講,「灰鴿子」的危害超出「熊貓燒香」10倍。
「灰鴿子」如何控制電腦牟利
「黑客培訓班」教網民通過「灰鴿子」控制別人電腦,「學費」最高200元,最低需要50元,學時一周到一個月不等。
黑客通過程序控制他人電腦後,將「肉雞」倒賣給廣告商,「肉雞」的價格在1角到1元不等。資深販子一個月內可以販賣10萬個「肉雞」。
被控制電腦被隨意投放廣告,或者乾脆控制電腦點擊某網站廣告,一舉一動都能被監視。
http://yncnc.onlinedown.net/soft/37257.htm
直接把文件的路徑復制到 Killbox里刪除
通常都是下面這樣的文件 "服務名"具體通過HijackThis判斷
C:\windows\服務名.dll
C:\windows\服務名.exe
C:\windows\服務名.bat
C:\windows\服務名key.dll
C:\windows\服務名_hook.dll
C:\windows\服務名_hook2.dll
舉例說明:
C:\WINDOWS\setemykey.dll
C:\WINDOWS\setemy.dll
C:\WINDOWS\setemy.exe
C:\WINDOWS\setemy_hook.dll
C:\WINDOWS\setemy_hook2.dll
用Killbox刪除那些木馬文件,由於文件具有隱藏屬性,可能無法直接看到,但Killbox能直接刪除. 上面的文件不一定全部存在,如果Killbox提示文件不存在或已經刪除就沒關系了
以上他們做了命名規則解釋 去下載一個木馬殺客灰鴿子專殺 下載地址 http://down911.com/SoftView/SoftView_3014.html 瑞星版本的專殺 下載地址 http://down911.com/SoftView/SoftView_3668.html 清理完後 需要重新啟動計算機 服務停止 然後去找那些殘留文件 參見 上面回答者
軟體名稱: 灰鴿子(Huigezi、Gpigeon)專用檢測清除工具
界面語言: 簡體中文
軟體類型: 國產軟體
運行環境: /Win9X/Me/WinNT/2000/XP/2003
授權方式: 免費軟體
軟體大小: 414KB
軟體簡介: 由灰鴿子工作室開發的,針對灰鴿子專用清除器!可以清除VIP2005版灰鴿子服務端程序(包括殺毒軟體殺不到的灰鴿子服務端)和灰鴿子 [輻射正式版] 和 DLL版服務端 牽手版服務端
運行DelHgzvip2005Server.exe文件清除VIP2005版灰鴿子服務端程序,運行un_hgzserver.exe文件清除灰鴿子 [輻射正式版] 和 DLL版服務端 牽手版服務
公 告 聲 明
灰鴿子工作室於2003年初成立,定位於遠程式控制制、遠程管理、遠程監控軟體開發,主要產品為灰鴿子遠程式控制制系列軟體產品。灰鴿子工作室的軟體產品,均為商業化的遠程式控制制軟體,主要提供給網吧、企業及個人用戶進行電腦軟體管理使用;灰鴿子軟體已獲得國家頒布的計算機軟體著作權登記證書,受著作權法保護。
然而,我們痛心的看到,目前互聯網上出現了利用灰鴿子遠程管理軟體以及惡意破解和篡改灰鴿子遠程管理軟體為工具的不法行為,這些行為嚴重影響了灰鴿子遠程管理軟體的聲譽,同時也擾亂了網路秩序。這完全違背了灰鴿子工作室的宗旨和開發灰鴿子遠程管理軟體的初衷。在此我們呼籲、勸告那些利用遠程式控制制技術進行非法行為的不法分子應立即停止此類非法活動。
應該表明的是,灰鴿子工作室自成立以來恪守國家法律和有關網路管理的規定,具有高度的社會責任感。為有效制止不法分子非法利用灰鴿子遠程管理軟體從事危害社會的非法活動,在此,我們鄭重聲明,自即日起決定全面停止對灰鴿子遠程管理軟體的開發、更新和注冊,以實際行動和堅定的態度來抵制這種非法利用灰鴿子遠程管理軟體的不法行為,並誠懇接受廣大網民的監督。
灰鴿子工作室譴責那些非法利用遠程式控制制技術實現非法目的的行為,對於此類行為,灰鴿子工作室發布了灰鴿子服務端卸載程序,以便於廣大網民方便卸載那些被非法安裝於自己計算機的灰鴿子服務端。卸載程序下載頁面
灰鴿子工作室
2007年3月21日
http://www.huigezi.net/uninstall/
卸載頁面
⑶ 灰鴿子是什麼
灰鴿子(Huigezi),它的功能十分強大,原本該軟體適用於公司和家庭管理,但因早年軟體設計缺陷,被黑客惡意使用,曾經被誤認為是一款集多種控制方式於一體的木馬程序。灰鴿子可高清捕獲遠程電腦屏幕,還能監控被控電腦上的攝像頭,自動開機(不開顯示器)並利用攝像頭進行錄像,獲取被控端電腦內的文件,獲取聊天記錄,郵件內容等。截至2006年底,「灰鴿子」木馬已經出現了6萬多個變種。客戶端簡易便捷的操作使剛入門的初學者都能充當黑客。當使用在合法情況下時,灰鴿子是一款優秀的遠程式控制制軟體。但如果拿它做一些非法的事,灰鴿子就成了很強大的黑客工具。灰鴿子的原作者葛軍已經停止對其開發。2013年起,灰鴿子相關(TM)商標由濰坊灰鴿子安防工程有限公司注冊。意在將灰鴿子開發成為一款合理的正規的遠程式控制制軟體
⑷ 灰鴿子怎樣內網控制外網
去黑一台外網的伺服器來做映射不就行了。再不行就配置一個映射服務端叫外網的朋友做下映射。如果是內網的朋友,就叫他進路由把自己的IP DMZ出去,也就變成外網的了,一樣可以映射。
⑸ 灰鴿子內網映射外網的方法你可以幫我一下嗎
最簡單的就是用鴿子自帶的映射工具!(這個就不用說在哪裡了吧,只管生成,其他選項不改)傳給朋友(好處:不免殺也可以,叫他把殺毒先關閉,再發給朋友。然後他再把你的工具加入殺毒的白名單。這樣殺毒軟體就不殺了。)前提:你朋友是外網。等他運行之後,叫他把他ip給你說,再到鴿子里開映射,你只管輸入Ip,其他的選項不動!給分把,手機打的字。
⑹ 灰鴿子用的是什麼控制項,進行遠程協議的
灰鴿子用的是病毒木馬進行遠程協議的
⑺ 經常聽黑客談灰鴿子,請問灰鴿子是什麼東西
灰鴿子是國內一款著名後門。比起前輩冰河、黑洞來,灰鴿子可以說是國內後門的集大成者。其豐富而強大的功能、靈活多變的操作、良好的隱藏性使其他後門都相形見絀。客戶端簡易便捷的操作使剛入門的初學者都能充當黑客。當使用在合法情況下時,灰鴿子是一款優秀的遠程式控制制軟體。但如果拿它做一些非法的事,灰鴿子就成了很強大的黑客工具。這就好比火葯,用在不同的場合,給人類帶來不同的影響。對灰鴿子完整的介紹也許只有灰鴿子作者本人能夠說清楚,在此我們只能進行簡要介紹。
灰鴿子客戶端和服務端都是採用Delphi編寫。黑客利用客戶端程序配置出服務端程序。可配置的信息主要包括上線類型(如等待連接還是主動連接)、主動連接時使用的公網IP(域名)、連接密碼、使用的埠、啟動項名稱、服務名稱,進程隱藏方式,使用的殼,代理,圖標等等。
灰鴿子(Backdoor.Huigezi)作者現在還沒有停止對灰鴿子的開發,再加上有些人為了避開殺毒軟體的查殺故意給灰鴿子加上各種不同的殼,造成現在網路上不斷有新的灰鴿子變種出現。盡管瑞星公司一直在不遺餘力地收集最新的灰鴿子樣本,但由於變種繁多,還會有一些「漏網之魚」。如果您的機器出現灰鴿子症狀但用瑞星殺毒軟體查不到,那很可能是中了還沒有被截獲的新變種。這個時候,就需要手工殺掉灰鴿子。
手工清除灰鴿子並不難,重要的是我們必須懂得它的運行原理。
灰鴿子的運行原理
灰鴿子木馬分兩部分:客戶端和服務端。黑客(姑且這么稱呼吧)操縱著客戶端,利用客戶端配置生成出一個服務端程序。服務端文件的名字默認為G_Server.exe,然後黑客通過各種渠道傳播這個木馬(俗稱種木馬或者開後門)。種木馬的手段有很多,比如,黑客可以將它與一張圖片綁定,然後假冒成一個羞澀的MM通過QQ把木馬傳給你,誘騙你運行;也可以建立一個個人網頁,誘騙你點擊,利用IE漏洞把木馬下載到你的機器上並運行;還可以將文件上傳到某個軟體下載站點,冒充成一個有趣的軟體誘騙用戶下載……
G_Server.exe運行後將自己拷貝到Windows目錄下(98/xp下為系統盤的windows目錄,2k/NT下為系統盤的Winnt目錄),然後再從體內釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個文件相互配合組成了灰鴿子服務端,有些灰鴿子會多釋放出一個名為G_ServerKey.dll的文件用來記錄鍵盤操作。注意,G_Server.exe這個名稱並不固定,它是可以定製的,比如當定製服務端文件名為A.exe時,生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目錄下的G_Server.exe文件將自己注冊成服務(9X系統寫注冊表啟動項),每次開機都能自動運行,運行後啟動G_Server.dll和G_Server_Hook.dll並自動退出。G_Server.dll文件實現後門功能,與控制端客戶端進行通信;G_Server_Hook.dll則通過攔截API調用來隱藏病毒。因此,中毒後,我們看不到病毒文件,也看不到病毒注冊的服務項。隨著灰鴿子服務端文件的設置不同,G_Server_Hook.dll有時候附在Explorer.exe的進程空間中,有時候則是附在所有進程中。
灰鴿子的手工檢測
由於灰鴿子攔截了API調用,在正常模式下木馬程序文件和它注冊的服務項均被隱藏,也就是說你即使設置了「顯示所有隱藏文件」也看不到它們。此外,灰鴿子服務端的文件名也是可以自定義的,這都給手工檢測帶來了一定的困難。
但是,通過仔細觀察我們發現,對於灰鴿子的檢測仍然是有規律可循的。從上面的運行原理分析可以看出,無論自定義的伺服器端文件名是什麼,一般都會在操作系統的安裝目錄下生成一個以「_hook.dll」結尾的文件。通過這一點,我們可以較為准確手工檢測出灰鴿子木馬。
由於正常模式下灰鴿子會隱藏自身,因此檢測灰鴿子的操作一定要在安全模式下進行。進入安全模式的方法是:啟動計算機,在系統進入Windows啟動畫面前,按下F8鍵(或者在啟動計算機時按住Ctrl鍵不放),在出現的啟動選項菜單中,選擇「Safe Mode」或「安全模式」。
1、由於灰鴿子的文件本身具有隱藏屬性,因此要設置Windows顯示所有文件。打開「我的電腦」,選擇菜單「工具」—》「文件夾選項」,點擊「查看」,取消「隱藏受保護的操作系統文件」前的對勾,並在「隱藏文件和文件夾」項中選擇「顯示所有文件和文件夾」,然後點擊「確定」。
2、打開Windows的「搜索文件」,文件名稱輸入「_hook.dll」,搜索位置選擇Windows的安裝目錄(默認98/xp為C:\windows,2k/NT為C:\Winnt)。
3、經過搜索,我們在Windows目錄(不包含子目錄)下發現了一個名為Game_Hook.dll的文件。
4、根據灰鴿子原理分析我們知道,如果Game_Hook.DLL是灰鴿子的文件,則在操作系統安裝目錄下還會有Game.exe和Game.dll文件。打開Windows目錄,果然有這兩個文件,同時還有一個用於記錄鍵盤操作的GameKey.dll文件。
經過這幾步操作我們基本就可以確定這些文件是灰鴿子木馬了,下面就可以進行手動清除。另外,如果你發現了瑞星殺毒軟體查不到的灰鴿子變種,也歡迎登陸瑞星新病毒上報網站(http://up.rising.com.cn)上傳樣本。
灰鴿子的手工清除
經過上面的分析,清除灰鴿子就很容易了。清除灰鴿子仍然要在安全模式下操作,主要有兩步:1、清除灰鴿子的服務;2刪除灰鴿子程序文件。
注意:為防止誤操作,清除前一定要做好備份。
一、清除灰鴿子的服務
2000/XP系統:
1、打開注冊表編輯器(點擊「開始」-》「運行」,輸入「Regedit.exe」,確定。),打開 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注冊表項。
2、點擊菜單「編輯」-》「查找」,「查找目標」輸入「game.exe」,點擊確定,我們就可以找到灰鴿子的服務項(此例為Game_Server)。
3、刪除整個Game_Server項。
98/me系統:
在9X下,灰鴿子啟動項只有一個,因此清除更為簡單。運行注冊表編輯器,打開HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run項,我們立即看到名為Game.exe的一項,將Game.exe項刪除即可。
二、刪除灰鴿子程序文件
刪除灰鴿子程序文件非常簡單,只需要在安全模式下刪除Windows目錄下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然後重新啟動計算機。至此,灰鴿子已經被清除干凈。
小結
本文給出了一個手工檢測和清除灰鴿子的通用方法,適用於我們看到的大部分灰鴿子木馬及其變種,然而仍有極少數變種採用此種方法無法檢測和清除。同時,隨著灰鴿子新版本的不斷推出,作者可能會加入一些新的隱藏方法、防刪除手段,手工檢測和清除它的難度也會越來越大。當你確定機器中了灰鴿子木馬而用本文所述的方法又檢測不到時,最好找有經驗的朋友幫忙解決。
⑻ 內網灰鴿子如何連接外網!!!!!!
第一種:最簡單實用的FTP自動更新上線法 就是利用免費的網路空間,FTP上傳一個內容為: http://221.206.111.137:8000/wwwroot/ (黑防版)的文本文件用於IP轉向,這樣中了你的鴿子的電腦就會訪問你的免費空間上的這個文件,並自動解釋出內部的221.206.111.137的IP位置,從而主動連接這個IP的8000埠,如果這里主控程序已經打開,並監聽8000埠便會將服務端與控制端連接,也就是大家常說的上線,這時你就可以對這台肉雞像操作自己電腦一樣啦,這里要說有一點,因為公網的IP一般均為活動IP,也就是每次撥號後的IP是不一樣的,所以每次重新撥號後都要次這個文本文件的內容更新為當前的IP,也就是所說的自動上線更新功能. 例:在網站 www.3326.com 網站申請了一個免費空間, 這里比如是用戶名hgz2008密碼:*****FTP伺服器地址:go3.icpcn.com 申請後的網址為: http://hgz2008.go3.icpcn.com/ 自動上線文件名起為:IP.TXT那麼在配置服務端時在IP通知里添上 http://hgz2008.go3.icpcn.com/IP.TXT 即可-------------------------------------------------------- 第二種:域名轉向反彈法 這種方法是在網路中注一個轉向域名,比如花生殼,科邁等,比如在花生殼網站注冊了一個二級域名, http://XXX.XXX.com, 然後再配置服務端時在IP通知那裡添上你的域名(這里要省去前面的HTTP://然後運行花生殼軟體,將這個域名轉向到本機的IP上,這時中了鴿子的電腦就會先訪問你的域名,然後經花生殼的轉向從而連接到你的電腦上 上線路線:鴿子肉雞---訪問IP.TXT---查看文件內容---轉向內容中的IP(本機) *-*-**-*-*--**-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-**-*-*-*-*-*-* 內網(注:下文提到的做映射的肉雞均為公網肉雞) 內網分很多種,下面針對每一種講解一種最適用的方法 第一種:小區寬頻 網路判斷如下:在本機的網卡TCP/IP選項中,為非自動獲取,手工添寫了本機IP,子網,網關,DNS等信息,比如IP為10.XX.XXX.XX等,上網前要點類似撥號的程序 方法如下:利用公網IP的肉雞(入侵網站,朋友公網電腦)做映射,映射軟體為鴿子自帶的映射生成器:Vprot1.0(點鴿子控制端—工具—內網埠映射—生成服務端程序即可生成,然後將生成的文件發到肉雞或朋友電腦上執行,並在連接參數中輸入肉雞的IP,連接,映射即可,然後用公網的方法更新肉雞的IP到IP.TXT文件中即可 上線路線為,鴿子肉雞---映射肉雞---經Vport映射---本機控制端 ----------------------------------------------------第二種:電信或網通ADSL貓自動撥號,路由分配IP ,本機網卡判斷為自身訪問.樓主如果有什麼問題可以繼續帖出,謝謝!~
⑼ 經常聽黑客談灰鴿子,請問灰鴿子是什麼東西
一款能實現遠程式控制制的軟體 病毒``
一、灰鴿子病毒簡介
灰鴿子是國內一款著名後門。比起前輩冰河、黑洞來,灰鴿子可以說是國內後門的集大成者。其豐富而強大的功能、靈活多變的操作、良好的隱藏性使其他後門都相形見絀。客戶端簡易便捷的操作使剛入門的初學者都能充當黑客。當使用在合法情況下時,灰鴿子是一款優秀的遠程式控制制軟體。但如果拿它做一些非法的事,灰鴿子就成了很強大的黑客工具。這就好比火葯,用在不同的場合,給人類帶來不同的影響。對灰鴿子完整的介紹也許只有灰鴿子作者本人能夠說清楚,在此我們只能進行簡要介紹。
灰鴿子客戶端和服務端都是採用Delphi編寫。黑客利用客戶端程序配置出服務端程序。可配置的信息主要包括上線類型(如等待連接還是主動連接)、主動連接時使用的公網IP(域名)、連接密碼、使用的埠、啟動項名稱、服務名稱,進程隱藏方式,使用的殼,代理,圖標等等。
服務端對客戶端連接方式有多種,使得處於各種網路環境的用戶都可能中毒,包括區域網用戶(通過代理上網)、公網用戶和ADSL撥號用戶等。
下面介紹服務端:
配置出來的服務端文件文件名為G_Server.exe(這是默認的,當然也可以改變)。然後黑客利用一切辦法誘騙用戶運行G_Server.exe程序。
G_Server.exe運行後將自己拷貝到Windows目錄下(98/xp下為系統盤的windows目錄,2k/NT下為系統盤的Winnt目錄),然後再從體內釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個文件相互配合組成了灰鴿子服務端, G_Server_Hook.dll負責隱藏灰鴿子。通過截獲進程的API調用隱藏灰鴿子的文件、服務的注冊表項,甚至是進程中的模塊名。截獲的函數主要是用來遍歷文件、遍歷注冊表項和遍歷進程模塊的一些函數。所以,有些時候用戶感覺種了毒,但仔細檢查卻又發現不了什麼異常。有些灰鴿子會多釋放出一個名為G_ServerKey.dll的文件用來記錄鍵盤操作。注意,G_Server.exe這個名稱並不固定,它是可以定製的,比如當定製服務端文件名為A.exe時,生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目錄下的G_Server.exe文件將自己注冊成服務(9X系統寫注冊表啟動項),每次開機都能自動運行,運行後啟動G_Server.dll和G_Server_Hook.dll並自動退出。G_Server.dll文件實現後門功能,與控制端客戶端進行通信;G_Server_Hook.dll則通過攔截API調用來隱藏病毒。因此,中毒後,我們看不到病毒文件,也看不到病毒注冊的服務項。隨著灰鴿子服務端文件的設置不同,G_Server_Hook.dll有時候附在Explorer.exe的進程空間中,有時候則是附在所有進程中。
灰鴿子的作者對於如何逃過殺毒軟體的查殺花了很大力氣。由於一些API函數被截獲,正常模式下難以遍歷到灰鴿子的文件和模塊,造成查殺上的困難。要卸載灰鴿子動態庫而且保證系統進程不崩潰也很麻煩,因此造成了近期灰鴿子在互聯網上泛濫的局面。
二、灰鴿子的手工檢測
由於灰鴿子攔截了API調用,在正常模式下服務端程序文件和它注冊的服務項均被隱藏,也就是說你即使設置了「顯示所有隱藏文件」也看不到它們。此外,灰鴿子服務端的文件名也是可以自定義的,這都給手工檢測帶來了一定的困難。
但是,通過仔細觀察我們發現,對於灰鴿子的檢測仍然是有規律可循的。從上面的運行原理分析可以看出,無論自定義的伺服器端文件名是什麼,一般都會在操作系統的安裝目錄下生成一個以「_hook.dll」結尾的文件。通過這一點,我們可以較為准確手工檢測出灰鴿子 服務端。
由於正常模式下灰鴿子會隱藏自身,因此檢測灰鴿子的操作一定要在安全模式下進行。進入安全模式的方法是:啟動計算機,在系統進入Windows啟動畫面前,按下F8鍵(或者在啟動計算機時按住Ctrl鍵不放),在出現的啟動選項菜單中,選擇「Safe Mode」或「安全模式」。
1、由於灰鴿子的文件本身具有隱藏屬性,因此要設置Windows顯示所有文件。打開「我的電腦」,選擇菜單「工具」—》「文件夾選項」,點擊「查看」,取消「隱藏受保護的操作系統文件」前的對勾,並在「隱藏文件和文件夾」項中選擇「 顯示所有文件和文件夾」,然後點擊「確定」。
2、打開Windows的「搜索文件」,文件名稱輸入「_hook.dll」,搜索位置選擇Windows的安裝目錄(默認98/xp為C:\windows,2k/NT為C:\Winnt)。
3、經過搜索,我們在Windows目錄(不包含子目錄)下發現了一個名為Game_Hook.dll的文件。
4、根據灰鴿子原理分析我們知道,如果Game_Hook.DLL是灰鴿子的文件,則在操作系統安裝目錄下還會有Game.exe和Game.dll文件。打開Windows目錄,果然有這兩個文件,同時還有一個用於記錄鍵盤操作的GameKey.dll文件。
經過這幾步操作我們基本就可以確定這些文件是灰鴿子 服務端了,下面就可以進行手動清除。
三、灰鴿子的手工清除
經過上面的分析,清除灰鴿子就很容易了。清除灰鴿子仍然要在安全模式下操作,主要有兩步:
1、清除灰鴿子的服務;
2、刪除灰鴿子程序文件。
注意:為防止誤操作,清除前一定要做好備份。
(一)、清除灰鴿子的服務
注意清除灰鴿子的服務一定要在注冊表裡完成,對注冊表不熟悉的網友請找熟悉的人幫忙操作,清除灰鴿子的服務一定要先備份注冊表,或者到純DOS下將注冊表文件更名,然後在去注冊表刪除灰鴿子的服務。因為病毒會和EXE文件進行關聯
2000/XP系統:
1、打開注冊表編輯器(點擊「開始」-》「運行」,輸入「Regedit.exe」,確定。),打開 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注冊表項。
2、點擊菜單「編輯」-》「查找」,「查找目標」輸入「game.exe」,點擊確定,我們就可以找到灰鴿子的服務項(此例為Game_Server,每個人這個服務項名稱是不同的)。
3、刪除整個Game_Server項。
98/me系統:
在9X下,灰鴿子啟動項只有一個,因此清除更為簡單。運行注冊表編輯器,打開HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run項,我們立即看到名為Game.exe的一項,將Game.exe項刪除即可。
(二)、刪除灰鴿子程序文件
刪除灰鴿子程序文件非常簡單,只需要在安全模式下刪除Windows目錄下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然後重新啟動計算機。至此,灰鴿子VIP 2005 服務端已經被清除干凈。
以上介紹的方法適用於我們看到的大部分灰鴿子木馬及其變種,然而仍有極少數變種採用此種方法無法檢測和清除。同時,隨著灰鴿子新版本的不斷推出,作者可能會加入一些新的隱藏方法、防刪除手段,手工檢測和清除它的難度也會越來越大。
四、防止中灰鴿子病毒需要注意的事項
1. 給系統安裝補丁程序。通過Windows Update安裝好系統補丁程序(關鍵更新、安全更新和Service pack),其中MS04-011、MS04-012、MS04-013、MS03-001、MS03-007、MS03-049、MS04-032等都被病毒廣泛利用,是非常必要的補丁程序
2. 給系統管理員帳戶設置足夠復雜足夠強壯的密碼,最好能是10位以上,字母+數字+其它符號的組合;也可以禁用/刪除一些不使用的帳戶
3. 經常更新殺毒軟體(病毒庫),設置允許的可設置為每天定時自動更新。安裝並合理使用網路防火牆軟體,網路防火牆在防病毒過程中也可以起到至關重要的作用,能有效地阻擋自來網路的攻擊和病毒的入侵。部分盜版Windows用戶不能正常安裝補丁,這點也比較無奈,這部分用戶不妨通過使用網路防火牆來進行一定防護
4. 關閉一些不需要的服務,條件允許的可關閉沒有必要的共享,也包括C$、D$等管理共享。完全單機的用戶可直接關閉Server服務。
. 下載HijackThis掃描系統
四、灰鴿子的下載地址
http://www.skycn.com/soft/15753.html zww3008漢化版
http://www.merijn.org/files/hijackthis.zip 英文版
2. 從HijackThis日誌的 O23項可以發現灰鴿子自的服務項
如最近流行的:
O23 - Service: SYSTEM$ (SYSTEM$Server) - Unknown owner - C:\WINDOWS\setemy.bat
O23 - Service: Network Connections Manager (NetConMan) - Unknown owner - C:\WINDOWS\uinstall.exe
O23 - Service: winServer - Unknown owner - C:\WINDOWS\winserver.exe
O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\G_Server.exe
用HijackThis選中上面的O23項,然後選擇"修復該項"或"Fix checked"
3. 用Killbox刪除灰鴿子對應的木馬文件 可以從這里下載Killbox
「灰鴿子」殺傷力是「熊貓燒香」10倍
與「熊貓燒香」病毒的「張揚」不同,「灰鴿子」更像一個隱形的賊,潛伏在用戶「家」中,監視用戶的一舉一動,甚至用戶與MSN、QQ好友聊天的每一句話都難逃「鴿」眼。專家稱,「熊貓燒香」還停留在對電腦自身的破壞,而「灰鴿子」已經發展到對「人」的控制,而被控者卻毫不知情。從某種意義上講,「灰鴿子」的危害超出「熊貓燒香」10倍。
「灰鴿子」如何控制電腦牟利
「黑客培訓班」教網民通過「灰鴿子」控制別人電腦,「學費」最高200元,最低需要50元,學時一周到一個月不等。
黑客通過程序控制他人電腦後,將「肉雞」倒賣給廣告商,「肉雞」的價格在1角到1元不等。資深販子一個月內可以販賣10萬個「肉雞」。
被控制電腦被隨意投放廣告,或者乾脆控制電腦點擊某網站廣告,一舉一動都能被監視。
http://yncnc.onlinedown.net/soft/37257.htm
直接把文件的路徑復制到 Killbox里刪除
通常都是下面這樣的文件 "服務名"具體通過HijackThis判斷
C:\windows\服務名.dll
C:\windows\服務名.exe
C:\windows\服務名.bat
C:\windows\服務名key.dll
C:\windows\服務名_hook.dll
C:\windows\服務名_hook2.dll
舉例說明:
C:\WINDOWS\setemykey.dll
C:\WINDOWS\setemy.dll
C:\WINDOWS\setemy.exe
C:\WINDOWS\setemy_hook.dll
C:\WINDOWS\setemy_hook2.dll
用Killbox刪除那些木馬文件,由於文件具有隱藏屬性,可能無法直接看到,但Killbox能直接刪除. 上面的文件不一定全部存在,如果Killbox提示文件不存在或已經刪除就沒關系了
以上他們做了命名規則解釋 去下載一個木馬殺客灰鴿子專殺 下載地址 http://down911.com/SoftView/SoftView_3014.html 瑞星版本的專殺 下載地址 http://down911.com/SoftView/SoftView_3668.html 清理完後 需要重新啟動計算機 服務停止 然後去找那些殘留文件 參見 上面回答者
軟體名稱: 灰鴿子(Huigezi、Gpigeon)專用檢測清除工具
界面語言: 簡體中文
軟體類型: 國產軟體
運行環境: /Win9X/Me/WinNT/2000/XP/2003
授權方式: 免費軟體
軟體大小: 414KB
軟體簡介: 由灰鴿子工作室開發的,針對灰鴿子專用清除器!可以清除VIP2005版灰鴿子服務端程序(包括殺毒軟體殺不到的灰鴿子服務端)和灰鴿子 [輻射正式版] 和 DLL版服務端 牽手版服務端
運行DelHgzvip2005Server.exe文件清除VIP2005版灰鴿子服務端程序,運行un_hgzserver.exe文件清除灰鴿子 [輻射正式版] 和 DLL版服務端 牽手版服務
五、灰鴿子的公告聲明
灰鴿子工作室於2003年初成立,定位於遠程式控制制、遠程管理、遠程監控軟體開發,主要產品為灰鴿子遠程式控制制系列軟體產品。灰鴿子工作室的軟體產品,均為商業化的遠程式控制制軟體,主要提供給網吧、企業及個人用戶進行電腦軟體管理使用;灰鴿子軟體已獲得國家頒布的計算機軟體著作權登記證書,受著作權法保護。
然而,我們痛心的看到,目前互聯網上出現了利用灰鴿子遠程管理軟體以及惡意破解和篡改灰鴿子遠程管理軟體為工具的不法行為,這些行為嚴重影響了灰鴿子遠程管理軟體的聲譽,同時也擾亂了網路秩序。這完全違背了灰鴿子工作室的宗旨和開發灰鴿子遠程管理軟體的初衷。在此我們呼籲、勸告那些利用遠程式控制制技術進行非法行為的不法分子應立即停止此類非法活動。
應該表明的是,灰鴿子工作室自成立以來恪守國家法律和有關網路管理的規定,具有高度的社會責任感。為有效制止不法分子非法利用灰鴿子遠程管理軟體從事危害社會的非法活動,在此,我們鄭重聲明,自即日起決定全面停止對灰鴿子遠程管理軟體的開發、更新和注冊,以實際行動和堅定的態度來抵制這種非法利用灰鴿子遠程管理軟體的不法行為,並誠懇接受廣大網民的監督。
灰鴿子工作室譴責那些非法利用遠程式控制制技術實現非法目的的行為,對於此類行為,灰鴿子工作室發布了灰鴿子服務端卸載程序,以便於廣大網民方便卸載那些被非法安裝於自己計算機的灰鴿子服務端。卸載程序下載頁面。
六、灰鴿子工作室
灰鴿子工作室於2003年 初成立,定位於遠程式控制制,遠程管理,遠程監控軟體開發,主要產品為灰鴿子遠程式控制制系列,2005年6月,正式推出使用驅動技術捕獲屏幕的遠程式控制制軟體,捕獲屏幕速度開始超越國外遠程式控制制軟體,灰鴿子開始被喻為遠程式控制制的代名詞。我們希望,用我們的技術和經驗,打造出最好的遠程式控制制軟體,推動遠程式控制制技術的發展!
2007年3月21日
http://www.huigezi.net/uninstall/
卸載頁面
七、灰鴿子官方網站
http;//www.huigezi.net
八、 灰鴿子工作室成員介紹
葛軍:2003年初,與好友黃土平創建了灰鴿子工作室。2001年挺進版率先在遠程式控制制軟體上開發和使用了反彈連接技術。
黃土平:2003年初,與好友葛軍創建了灰鴿子工作室。
灰鴿子是同類軟體的祖先
⑽ 別人所說的灰鴿子具體是什麼東西
灰鴿子病毒
病毒描述:
灰鴿子是國內一款著名後門。比起前輩冰河、黑洞來,灰鴿子可以說是國內後門的集大成者,其豐富而強大的功能、靈活多變的操作、良好的隱藏性使其他後門都相形見絀。灰鴿子木馬可以在用戶毫無察覺的情況下,任意操控用戶的電腦,帳號密碼被盜、隱私被泄、機密文件丟失等等,而入侵者在滿足自身的私慾之後,可自行刪除灰鴿子文件,這一過程用戶根本無法察覺。
Backdoor/Huigezi.cm「灰鴿子」變種cm是一個未經授權遠程訪問用戶計算機的後門。「灰鴿子」變種cm運行後,自我復制到系統目錄下。修改注冊表,實現開機自啟。偵聽黑客指令,記錄鍵擊,盜取用戶機密信息,例如用戶撥號上網口令,URL密碼等。利用掛鉤API函數隱藏自我,防止被查殺。另外,「灰鴿子」變種cm可下載並執行特定文件,發送用戶機密信息給黑客等。