資源描述:
《手工清除方法》由會員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫��。
1���、手工清除方法.txt鮮花往往不屬于賞花的人�,而屬于牛糞����。。���。道德常常能彌補(bǔ)智慧的缺陷�����,然而智慧卻永遠(yuǎn)填補(bǔ)不了道德空白人生有三樣?xùn)|西無法掩蓋:咳嗽貧窮和愛�,越隱瞞�,就越欲蓋彌彰。手工清除方法近來很多網(wǎng)友反映他們的機(jī)器中了一種叫做灰鴿子的木馬病毒����,這種病毒很是頑劣,在不同殺軟上有不同名稱比如:Gpigeon����、Huigezi、Feutel��,在計算機(jī)中清除它很是費(fèi)事,特別是其剛剛開發(fā)出的2005��,通過截取windows系統(tǒng)的API實(shí)現(xiàn)了程序文件隱藏�����、進(jìn)程隱藏����,服務(wù)隱藏三個隱藏����,一般殺軟在正常模式下根本就找不到其病毒文件,更別提查殺了的事情了�����,連殺軟都很難對付���,對用戶而言更是頭痛了��,本文簡單介紹了灰
2�����、鴿子病毒的運(yùn)行原理��,手工檢測方法�����、手工清除方法�����、防止感染的注意事項等內(nèi)容���,大部分內(nèi)容都來自網(wǎng)絡(luò)��,由我搜集�、整理���、加工而成���,如果侵犯了你的利益請指出我立刻糾正。一����、灰鴿子病毒簡介灰鴿子是國內(nèi)一款著名后門。比起前輩冰河、黑洞來�����,灰鴿子可以說是國內(nèi)后門的集大成者�。其豐富而強(qiáng)大的功能、靈活多變的操作�����、良好的隱藏性使其他后門都相形見絀����?���?蛻舳撕喴妆憬莸牟僮魇箘?cè)腴T的初學(xué)者都能充當(dāng)黑客。當(dāng)使用在合法情況下時�,灰鴿子是一款優(yōu)秀的遠(yuǎn)程控制軟件。但如果拿它做一些非法的事���,灰鴿子就成了很強(qiáng)大的黑客工具���。這就好比火藥,用在不同的場合,給人類帶來不同的影響����。對灰鴿子完整的介紹也許只有灰鴿子作者本人能夠說清楚,在此
3����、我們只能進(jìn)行簡要介紹?�;银澴涌蛻舳撕头?wù)端都是采用Delphi編寫��。黑客利用客戶端程序配置出服務(wù)端程序�����??膳渲玫男畔⒅饕ㄉ暇€類型(如等待連接還是主動連接)、主動連接時使用的公網(wǎng)IP(域名)�、連接密碼、使用的端口��、啟動項名稱�、服務(wù)名稱,進(jìn)程隱藏方式����,使用的殼�,代理�����,圖標(biāo)等等��。服務(wù)端對客戶端連接方式有多種���,使得處于各種網(wǎng)絡(luò)環(huán)境的用戶都可能中毒,包括局域網(wǎng)用戶(通過代理上網(wǎng))��、公網(wǎng)用戶和ADSL撥號用戶等��。下面介紹服務(wù)端:配置出來的服務(wù)端文件文件名為G_Server.exe(這是默認(rèn)的�,當(dāng)然也可以改變)。然后黑客利用一切辦法誘騙用戶運(yùn)行G_Server.exe程序�����。具體采用什么辦法�����,讀者可以
4、充分發(fā)揮想象力����,這里就不贅述。G_Server.exe運(yùn)行后將自己拷貝到Windows目錄下(98/xp下為系統(tǒng)盤的windows目錄����,2k/NT下為系統(tǒng)盤的Winnt目錄),然后再從體內(nèi)釋放G_Server.dll和G_Server_Hook.dll到windows目錄下�。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個文件相互配合組成了灰鴿子服務(wù)端�,G_Server_Hook.dll負(fù)責(zé)隱藏灰鴿子。通過截獲進(jìn)程的API調(diào)用隱藏灰鴿子的文件���、服務(wù)的注冊表項���,甚至是進(jìn)程中的模塊名。截獲的函數(shù)主要是用來遍歷文件���、遍歷注冊表項和遍歷進(jìn)程模塊的一些函數(shù)�����。
5��、所以�,有些時候用戶感覺種了毒,但仔細(xì)檢查卻又發(fā)現(xiàn)不了什么異常���。有些灰鴿子會多釋放出一個名為G_ServerKey.dll的文件用來記錄鍵盤操作��。注意�����,G_Server.exe這個名稱并不固定��,它是可以定制的�,比如當(dāng)定制服務(wù)端文件名為A.exe時�,生成的文件就是A.exe�����、A.dll和A_Hook.dll�。Windows目錄下的G_Server.exe文件將自己注冊成服務(wù)(9X系統(tǒng)寫注冊表啟動項),每次開機(jī)都能自動運(yùn)行��,運(yùn)行后啟動G_Server.dll和G_Server_Hook.dll并自動退出�。G_Server.dll文件實(shí)現(xiàn)后門功能�,與控制端客戶端進(jìn)行通信���;G_Server_Hook
6���、.dll則通過攔截API調(diào)用來隱藏病毒。因此����,中毒后,我們看不到病毒文件���,也看不到病毒注冊的服務(wù)項��。隨著灰鴿子服務(wù)端文件的設(shè)置不同����,G_Server_Hook.dll有時候附在Explorer.exe的進(jìn)程空間中���,有時候則是附在所有進(jìn)程中���。灰鴿子的作者對于如何逃過殺毒軟件的查殺花了很大力氣��。由于一些API函數(shù)被截獲,正常模式下難以遍歷到灰鴿子的文件和模塊�����,造成查殺上的困難�����。要卸載灰鴿子動態(tài)庫而且保證系統(tǒng)進(jìn)程不崩潰也很麻煩���,因此造成了近期灰鴿子在互聯(lián)網(wǎng)上泛濫的局面����。二�����、灰鴿子的手工檢測由于灰鴿子攔截了API調(diào)用�,在正常模式下服務(wù)端程序文件和它注冊的服務(wù)項均被隱藏�����,也就是說你即使設(shè)置了“顯示所
7�、有隱藏文件”也看不到它們���。此外,灰鴿子服務(wù)端的文件名也是可以自定義的����,這都給手工檢測帶來了一定的困難。但是�����,通過仔細(xì)觀察我們發(fā)現(xiàn)���,對于灰鴿子的檢測仍然是有規(guī)律可循的��。從上面的運(yùn)行原理分析可以看出�����,無論自定義的服務(wù)器端文件名是什么���,一般都會在操作系統(tǒng)的安裝目錄下生成一個以“_hook.dll”結(jié)尾的文件。通過這一點(diǎn)����,我們可以較為準(zhǔn)確手工檢測出灰鴿子服務(wù)端����。由于正常模式下灰鴿子會隱藏自身��,因此檢測灰鴿子的操作一定要在安全模式
