长途监控软件灰鸽子的运转道理

灰鸽子长途监控软件分两局部：客户端和服务端。黑客（姑且这么称号吧）操作着客户端，应用客户端配置生成出一个服务端程序。服务端文件的名字默许为G_Server.exe，然后黑客通过各种渠道传播这个服务端（俗称种木马）。种木马的伎俩有许多，比方，黑客可以将它与一张图片绑定，然后冒充成一个羞怯的MM通过QQ把木马传给你，拐骗你运转；也可以创立一个个人网页，拐骗你点击，应用IE破绽把木马下载到你的机器上并运转；还可以将文件上传到某个软件下载站点，假冒成一个有趣的软件拐骗会员下载……，这正违反了我们开发灰鸽子的目的，所以本文适用于那些让人非法安装灰鸽子服务端的会员，帮忙会员删除灰鸽子 Vip 2005 的服务端程序。本文大局部内容摘自互联网。
　　G_Server.exe运转后将本人拷贝到Windows目录下(98/xp下为系统盘的windows目录，2k/NT下为系统盘的Winnt目录)，然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件彼此配合组成了灰鸽子服务端，有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记载键盘操纵。注意，G_Server.exe这个名称并不牢固，它是可以定制的，比方当定礼服务端文件名为A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll。
　　Windows目录下的G_Server.exe文件将本人注册成服务（9X系统写注册表启动项），每次开机都能主动运转，运转后启动G_Server.dll和G_Server_Hook.dll并主动退出。G_Server.dll文件实现后门功能，与控制端客户端进行通讯；G_Server_Hook.dll则通过拦截API调用来隐蔽病毒。因而，中毒后，我们看不到病毒文件，也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不一样，G_Server_Hook.dll有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中。
　　灰鸽子的手工检测
　　因为灰鸽子拦截了API调用，在正常模式下服务端程叙文件和它注册的服务项均被隐蔽，也就是说你即便设置了“显示所有隐蔽文件”也看不到它们。此外，灰鸽子服务端的文件名也是可以自定义的，这都给手工检测带来了一定的艰难。
　　但是，通过细心调查我们发明，关于灰鸽子的检测依然是有纪律可循的。从上面的运转道理剖析可以看出，不管自定义的服务器端文件名是什么，个别都会在操纵系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点，我们可以较为正确手工检测出灰鸽子 服务端。
　　因为正常模式下灰鸽子会隐蔽本身，因而检测灰鸽子的操纵一定要在平安模式下进行。进入平安模式的要领是：启动盘算机，在系统进入Windows启动画眼前，按下F8键(或者在启动盘算机时按住Ctrl键不放)，在涌现的启动选项菜单中，选中“Safe Mode”或“平安模式”。
　　1、因为灰鸽子的文件自身拥有隐蔽属性，因而要设置Windows显示所有文件。打开“我的电脑”，选中菜单“工具”—》“文件夹选项”，点击“查看”，取消“隐蔽挨维护的操纵系统文件”前的对勾，并在“隐蔽文件和文件夹”项当选择“显示所有文件和文件夹”，然后点击“肯定”。
　　2、打开Windows的“搜寻文件”，文件名称输入“_hook.dll”，搜寻位置选中Windows的安装目录（默许98/xp为C:\windows，2k/NT为C:\Winnt）。
　　3、经过搜寻，我们在Windows目录（不包含子目录）下发明了一个名为Game_Hook.dll的文件
　　4、依据灰鸽子道理剖析我们晓得，要是Game_Hook.DLL是灰鸽子的文件，则在操纵系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录，公然有这两个文件，同时还有一个用于记载键盘操纵的GameKey.dll文件。
　　经过这几步操纵我们根本就可以肯定这些文件是灰鸽子 服务端了，下面就可以进行手动革除。
　　灰鸽子的手工革除
　　经过上面的剖析，革除灰鸽子就很容易了。革除灰鸽子依然要在平安模式下操纵，主要有两步：1、革除灰鸽子的服务；2删除灰鸽子程叙文件。
　　注意：为防止误操纵，革除前一定要做好备份。
　　一、革除灰鸽子的服务
　　2000／XP系统：
　　1、打开注册表编辑器（点击“开端”－》“运转”，输入“Regedit.exe”，肯定。），打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。
　　2、点击菜单“编辑”－》“查找”，“查找指标”输入“game.exe”，点击肯定，我们就可以找到灰鸽子的服务项（此例为Game_Server）。
　　3、删除整个Game_Server项。
　　98／me系统：
　　在9X下，灰鸽子启动项只要一个，因而革除更为简略。运转注册表编辑器，打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项，我们立刻看到名为Game.exe的一项，将Game.exe项删除即可。
　　二、删除灰鸽子程叙文件
　　删除灰鸽子程叙文件非常简略，只需要在平安模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然后从新启动盘算机。至此，灰鸽子VIP 2005 服务端已经被革除洁净。

热门标签：dede模板 / destoon模板 / dedecms模版 / 织梦模板