揭秘 灰鴿子 運(yùn)行原理 |
發(fā)布時(shí)間: 2012/5/18 16:19:30 |
灰鴿子遠(yuǎn)程監(jiān)控軟件分兩部分:客戶端和服務(wù)端。黑客(姑且這么稱呼吧)操縱著客戶端,利用客戶端配置生成出一個(gè)服務(wù)端程序。服務(wù)端文件的名字默認(rèn)為 G_Server.exe,然后黑客通過(guò)各種渠道傳播這個(gè)服務(wù)端(俗稱種木馬)。種木馬的手段有很多,比如,黑客可以將它與一張圖片綁定,然后假冒成一個(gè)羞澀的MM通過(guò)QQ把木馬傳給你,誘騙你運(yùn)行;也可以建立一個(gè)個(gè)人網(wǎng)頁(yè),誘騙你點(diǎn)擊,利用IE漏洞把木馬下載到你的機(jī)器上并運(yùn)行;還可以將文件上傳到某個(gè)軟件下載站點(diǎn),冒充成一個(gè)有趣的軟件誘騙用戶下載……,這正違背了我們開(kāi)發(fā)灰鴿子的目的,所以本文適用于那些讓人非法安裝灰鴿子服務(wù)端的用戶,幫助用戶刪除灰鴿子 Vip 2005 的服務(wù)端程序。本文大部分內(nèi)容摘自互聯(lián)網(wǎng)。 G_Server.exe運(yùn)行后將自己拷貝到Windows目錄下(98/xp下為系統(tǒng)盤(pán)的windows目錄,2k/NT下為系統(tǒng)盤(pán)的Winnt目錄),然后再?gòu)捏w內(nèi)釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、 G_Server.dll和G_Server_Hook.dll三個(gè)文件相互配合組成了灰鴿子服務(wù)端,有些灰鴿子會(huì)多釋放出一個(gè)名為 G_ServerKey.dll的文件用來(lái)記錄鍵盤(pán)操作。注意,G_Server.exe這個(gè)名稱并不固定,它是可以定制的,比如當(dāng)定制服務(wù)端文件名為 A.exe時(shí),生成的文件就是A.exe、A.dll和A_Hook.dll。 Windows目錄下的G_Server.exe文件將自己注冊(cè)成服務(wù)(9X系統(tǒng)寫(xiě)注冊(cè)表啟動(dòng)項(xiàng)),每次開(kāi)機(jī)都能自動(dòng)運(yùn)行,運(yùn)行后啟動(dòng) G_Server.dll和G_Server_Hook.dll并自動(dòng)退出。G_Server.dll文件實(shí)現(xiàn)后門(mén)功能,與控制端客戶端進(jìn)行通信; G_Server_Hook.dll則通過(guò)攔截API調(diào)用來(lái)隱藏病毒。因此,中毒后,我們看不到病毒文件,也看不到病毒注冊(cè)的服務(wù)項(xiàng)。隨著灰鴿子服務(wù)端文件的設(shè)置不同,G_Server_Hook.dll有時(shí)候附在Explorer.exe的進(jìn)程空間中,有時(shí)候則是附在所有進(jìn)程中。 灰鴿子的手工檢測(cè) 由于灰鴿子攔截了API調(diào)用,在正常模式下服務(wù)端程序文件和它注冊(cè)的服務(wù)項(xiàng)均被隱藏,也就是說(shuō)你即使設(shè)置了“顯示所有隱藏文件”也看不到它們。此外,灰鴿子服務(wù)端的文件名也是可以自定義的,這都給手工檢測(cè)帶來(lái)了一定的困難。 但是,通過(guò)仔細(xì)觀察我們發(fā)現(xiàn),對(duì)于灰鴿子的檢測(cè)仍然是有規(guī)律可循的。從上面的運(yùn)行原理分析可以看出,無(wú)論自定義的服務(wù)器端文件名是什么,一般都會(huì)在操作系統(tǒng)的安裝目錄下生成一個(gè)以“_hook.dll”結(jié)尾的文件。通過(guò)這一點(diǎn),我們可以較為準(zhǔn)確手工檢測(cè)出灰鴿子 服務(wù)端。 由于正常模式下灰鴿子會(huì)隱藏自身,因此檢測(cè)灰鴿子的操作一定要在安全模式下進(jìn)行。進(jìn)入安全模式的方法是:?jiǎn)?dòng)計(jì)算機(jī),在系統(tǒng)進(jìn)入Windows啟動(dòng)畫(huà)面前,按下F8鍵(或者在啟動(dòng)計(jì)算機(jī)時(shí)按住Ctrl鍵不放),在出現(xiàn)的啟動(dòng)選項(xiàng)菜單中,選擇“Safe Mode”或“安全模式”。 1、由于灰鴿子的文件本身具有隱藏屬性,因此要設(shè)置Windows顯示所有文件。打開(kāi)“我的電腦”,選擇菜單“工具”—》“文件夾選項(xiàng)”,點(diǎn)擊 “查看”,取消“隱藏受保護(hù)的操作系統(tǒng)文件”前的對(duì)勾,并在“隱藏文件和文件夾”項(xiàng)中選擇“顯示所有文件和文件夾”,然后點(diǎn)擊“確定”。 2、打開(kāi)Windows的“搜索文件”,文件名稱輸入“_hook.dll”,搜索位置選擇Windows的安裝目錄(默認(rèn)98/xp為C:\windows,2k/NT為C:\Winnt)。 3、經(jīng)過(guò)搜索,我們?cè)赪indows目錄(不包含子目錄)下發(fā)現(xiàn)了一個(gè)名為Game_Hook.dll的文件 4、根據(jù)灰鴿子原理分析我們知道,如果Game_Hook.DLL是灰鴿子的文件,則在操作系統(tǒng)安裝目錄下還會(huì)有Game.exe和Game.dll文件。打開(kāi)Windows目錄,果然有這兩個(gè)文件,同時(shí)還有一個(gè)用于記錄鍵盤(pán)操作的GameKey.dll文件。 經(jīng)過(guò)這幾步操作我們基本就可以確定這些文件是灰鴿子 服務(wù)端了,下面就可以進(jìn)行手動(dòng)清除。 灰鴿子的手工清除 經(jīng)過(guò)上面的分析,清除灰鴿子就很容易了。清除灰鴿子仍然要在安全模式下操作,主要有兩步:1、清除灰鴿子的服務(wù);2刪除灰鴿子程序文件。 注意:為防止誤操作,清除前一定要做好備份。 一、清除灰鴿子的服務(wù) 2000/XP系統(tǒng): 1、打開(kāi)注冊(cè)表編輯器(點(diǎn)擊“開(kāi)始”-》“運(yùn)行”,輸入“Regedit.exe”,確定。),打開(kāi) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注冊(cè)表項(xiàng)。 2、點(diǎn)擊菜單“編輯”-》“查找”,“查找目標(biāo)”輸入“game.exe”,點(diǎn)擊確定,我們就可以找到灰鴿子的服務(wù)項(xiàng)(此例為Game_Server)。 3、刪除整個(gè)Game_Server項(xiàng)。 98/me系統(tǒng): 在9X下,灰鴿子啟動(dòng)項(xiàng)只有一個(gè),因此清除更為簡(jiǎn)單。運(yùn)行注冊(cè)表編輯器,打開(kāi)HKEY_CURRENT_USER\Software\Microsoft \Windows\CurrentVersion\Run項(xiàng),我們立即看到名為Game.exe的一項(xiàng),將Game.exe項(xiàng)刪除即可。 二、刪除灰鴿子程序文件 刪除灰鴿子程序文件非常簡(jiǎn)單,只需要在安全模式下刪除Windows目錄下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新啟動(dòng)計(jì)算機(jī)。至此,灰鴿子VIP 2005 服務(wù)端已經(jīng)被清除干凈。 本文出自:億恩科技【mszdt.com】 服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |