灰鸽子木马的原理和清除方法
灰鴿子客戶端和服務端都是采用Delphi編寫。黑客利用客戶端程序配置出服務端程序。可配置的信息主要包括上線類型(如等待連接還是主動連接)、主動連接時使用的公網IP(域名)、連接密碼、使用的端口、啟動項名稱、服務名稱,進程隱藏方式,使用的殼,代理,圖標等等。
連接密碼的設定使得灰鴿子服務端程序只能被配置它的黑客控制,避免了黑客之間的競爭。
服務端對客戶端連接方式有多種,使得處于各種網絡環境的用戶都可能中毒,包括局域網用戶(通過代理上網)、公網用戶和ADSL撥號用戶等。
只用一個端口來傳輸所有通訊數據!普通同類軟件都用到了兩個或兩個以上的端口來完成。
支持可以控制Internet連接共享、HTTP透明代理上網的電腦!軟件智能讀取系統設定的代理服務器信息,無需用戶設置!
可以設置服務端開放Socks5代理服務器功能和HTTP代理服務功能!無需第三方軟件支持!支持Windows9x/ME/2000/Xp/2003。便于黑客進行跳板攻擊。
除了具有語音監聽、語音發送,還有遠程視頻監控功能,只有遠程計算機有攝像頭,且正常打開沒有被占用,那么你可以看到,遠程攝像頭捕獲的圖片!還可以把遠程攝像頭捕獲的畫面存為Mpeg-1格式.遠程語音也可以錄制成Wav聲音文件。
其他后門具有的功能,你幾乎都可以在灰鴿子里找到。而且每個功能都做的非常細致,非常人性化。整體界面比較清爽,容易上手,對每一個小細節的考慮都很到位,所有能想到的Ideal幾乎都實現了。不過黑客的方便,對于廣大用戶來說可不是好事。
下面介紹服務端:
配置出來的服務端文件文件名為G_Server.exe(這是默認的,當然也可以改變)。然后黑客利用一切辦法誘騙用戶運行G_Server.exe程序。具體采用什么辦法,讀者可以充分發揮想象力,這里就不贅述。
G_Server.exe第一次運行時自己拷貝到Windows目錄下(98/XP操作系統為系統盤windows目錄,2K/NT為系統盤winnt目錄),并將它注冊為服務(服務名稱在上面已經配置好了),然后從體內釋放2個文件到Windows目錄下:G_Server.dll,G_Server_Hook.dll(近期灰鴿子版本會釋放3個文件,多了一個G_ServerKey.exe,主要用來記錄鍵盤操作)。然后將G_Server.dll,G_Server_Hook.dll注入到Explorer.exe、IExplorer.exe或者所有進程中執行。然后G_Server.exe退出,兩個動態庫繼續運行。由于病毒運行的時候沒有獨立進程,病毒隱藏性很好。以后每次開機時,Windows目錄下的G_Server.exe都會自動運行,激活動態庫后退出,以免引起用戶懷疑。
G_Server.dll實現后門功能,與控制端進行通信。灰鴿子的強大功能主要體現在這里。黑客可以對中毒機器進行的操作包括:文件管理、獲取系統信息、剪貼板查看、進程管理、窗口管理、鍵盤記錄、服務管理、共享管理,提供MS-Dos shell,提供代理服務,注冊表編輯,啟動telnet服務,捕獲屏幕,視頻監控,音頻監控,發送音頻,卸載灰鴿子…… 可以說,用戶在本地能看到的信息,使用灰鴿子遠程監控也能看到。尤其是屏幕監控和視頻、音頻監控比較危險。如果用戶在電腦上進行網上銀行交易,則遠程屏幕監控容易暴露用戶的帳號,在加上鍵盤監控,用戶的密碼也岌岌可危。而視頻和音頻監控則容易暴露用戶自身的秘密,如“相貌”,“聲音”。
G_Server_Hook.dll負責隱藏灰鴿子。通過截獲進程的API調用隱藏灰鴿子的文件、服務的注冊表項,甚至是進程中的模塊名。截獲的函數主要是用來遍歷文件、遍歷注冊表項和遍歷進程模塊的一些函數。所以,有些時候用戶感覺種了毒,但仔細檢查卻又發現不了什么異常。
灰鴿子的作者對于如何逃過殺毒軟件的查殺花了很大力氣。由于一些API函數被截獲,正常模式下難以遍歷到灰鴿子的文件和模塊,造成查殺上的困難。要卸載灰鴿子動態庫而且保證系統進程不崩潰也很麻煩,因此造成了近期灰鴿子在互聯網上泛濫的局面。
灰鴿子的運行原理
灰鴿子木馬分兩部分:客戶端和服務端。攻擊者操縱著客戶端,利用客戶端配置生成出一個服務端程序。服務端文件的名字默認為G_Server.exe。G_Server.exe運行后將自己拷貝到Windows目錄下(98/xp下為系統盤的windows目錄,2k/NT下為系統盤的Winnt目錄),然后再從體內釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個文件相互配合組成了灰鴿子服務端,有些灰鴿子會多釋放出一個名為G_ServerKey.dll的文件用來記錄鍵盤操作。注意,G_Server.exe這個名稱并不固定,它是可以定制的,比如當定制服務端文件名為A.exe時,生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目錄下的G_Server.exe文件將自己注冊成服務(9X系統寫注冊表啟動項),每次開機都能自動運行,運行后啟動G_Server.dll和G_Server_Hook.dll并自動退出。G_Server.dll文件實現后門功能,與控制端客戶端進行通信;G_Server_Hook.dll則通過攔截API調用來隱藏病毒。因此,中毒后,我們看不到病毒文件,也看不到病毒注冊的服務項。隨著灰鴿子服務端文件的設置不同,G_Server_Hook.dll有時候附在Explorer.exe的進程空間中,有時候則是附在所有進程中。
?
灰鴿子的手工檢測
由于灰鴿子攔截了API調用,在正常模式下木馬程序文件和它注冊的服務項均被隱藏,也就是說你即使設置了"顯示所有隱藏文件"也看不到它們。此外,灰鴿子服務端的文件名也是可以自定義的,這都給手工檢測帶來了一定的困難。
但是,通過仔細觀察我們發現,對于灰鴿子的檢測仍然是有規律可循的。從上面的運行原理分析可以看出,無論自定義的服務器端文件名是什么,一般都會在操作系統的安裝目錄下生成一個以"_hook.dll"結尾的文件。通過這一點,我們可以較為準確手工檢測出灰鴿子木馬。
由于正常模式下灰鴿子會隱藏自身,因此檢測灰鴿子的操作一定要在安全模式下進行。進入安全模式的方法是:啟動計算機,在系統進入Windows啟動畫面前,按下F8鍵(或者在啟動計算機時按住Ctrl鍵不放),在出現的啟動選項菜單中,選擇"Safe Mode"或"安全模式"。
1、由于灰鴿子的文件本身具有隱藏屬性,因此要設置Windows顯示所有文件。打開"我的電腦",選擇菜單"工具"—》"文件夾選項",點擊"查看",取消"隱藏受保護的操作系統文件"前的對勾,并在"隱藏文件和文件夾"項中選擇"顯示所有文件和文件夾",然后點擊"確定"。
2、打開Windows的"搜索文件",文件名稱輸入"_hook.dll",搜索位置選擇Windows的安裝目錄(默認98/xp為C:/windows,2k/NT為C:/Winnt)。
3、經過搜索,我們在Windows目錄(不包含子目錄)下發現了一個名為Game_Hook.dll的文件。
4、根據灰鴿子原理分析我們知道,如果Game_Hook.DLL是灰鴿子的文件,則在操作系統安裝目錄下還會有Game.exe和Game.dll文件。打開Windows目錄,果然有這兩個文件,同時還有一個用于記錄鍵盤操作的GameKey.dll文件。
經過這幾步操作我們基本就可以確定這些文件是灰鴿子木馬了,下面就可以進行手動清除。
?
灰鴿子的手工清除
經過上面的分析,清除灰鴿子就很容易了。清除灰鴿子仍然要在安全模式下操作,主要有兩步:1、清除灰鴿子的服務;2刪除灰鴿子程序文件。
⒁猓何樂刮蟛僮鰨宄耙歡ㄒ齪帽阜蕁?br />
一、清除灰鴿子的服務
2000/XP系統:
1、打開注冊表編輯器(點擊"開始"-》"運行",輸入"Regedit.exe",確定。),打開 HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services注冊表項。
2、點擊菜單"編輯"->"查找","查找目標"輸入"G_Server.exe",點擊確定,我們就可以找到灰鴿子的服務項。
3、刪除整個G_Server項。
98/me系統:
在9X下,灰鴿子啟動項只有一個,因此清除更為簡單。運行注冊表編輯器,打開HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion
/Run項,我們立即看到名為G_Server.exe的一項,將G_Server.exe項刪除即可。
二、刪除灰鴿子程序文件
刪除灰鴿子程序文件非常簡單,只需要在安全模式下刪除Windows目錄下的G_Server.exe、G_Server.dll、G_Server_Hook.dll以及G_Serverkey.dll文件,然后重新啟動計算機。至此,灰鴿子已經被清除干凈。
總結
以上是生活随笔為你收集整理的灰鸽子木马的原理和清除方法的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: SQL 查询数据打印并导出EXECL
- 下一篇: 网站制作之按钮onclick大全