灰鴿子病毒的原理和執行方式是怎麼樣的

　　灰鴿子遠端病毒我想誰都不陌生吧?曾經控制著我們電腦，資訊惡意傳播，你知道灰鴿子病毒的原理和執行方式嗎?下面由小編給你做出詳細的灰鴿子病毒的原理和執行方式介紹!希望對你有幫助!

　　灰鴿子病毒的原理和執行方式介紹：

　　灰鴿子遠端監控軟體分兩部分：客戶端和服務端。黑客***姑且這麼稱呼吧***操縱著客戶端，利用客戶端配置生成出一個服務端程式。服務端檔案的名字預設為G_Server.exe，然後黑客通過各種渠道傳播這個服務端***俗稱種木馬***。種木馬的手段有很多，比如，黑客可以將它與一張圖片繫結，然後假冒成一個羞澀的MM通過QQ把木馬傳給你，誘騙你執行;也可以建立一個個人網頁，誘騙你點選，利用IE漏洞把木馬下載到你的機器上並執行;還可以將檔案上傳到某個軟體下載站點，冒充成一個有趣的軟體誘騙使用者下載……，這正違背了我們開發灰鴿子的目的，所以本文適用於那些讓人非法安裝灰鴿子服務端的使用者，幫助使用者刪除灰鴿子 Vip 2005 的服務端程式。本文大部分內容摘自網際網路。

　　G_Server.exe執行後將自己拷貝到Windows目錄下***98/xp下為系統盤的windows目錄，2k/NT下為系統盤的Winnt目錄***，然後再從體內釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個檔案相互配合組成了灰鴿子服務端，有些灰鴿子會多釋放出一個名為G_ServerKey.dll的檔案用來記錄鍵盤操作。注意，G_Server.exe這個名稱並不固定，它是可以定製的，比如當定製服務端檔名為A.exe時，生成的檔案就是A.exe、A.dll和A_Hook.dll。

　　Windows目錄下的G_Server.exe檔案將自己註冊成服務***9X系統寫登錄檔啟動項***，每次開機都能自動執行，執行後啟動G_Server.dll和G_Server_Hook.dll並自動退出。G_Server.dll檔案實現後門功能，與控制端客戶端進行通訊;G_Server_Hook.dll則通過攔截API呼叫來隱藏病毒。因此，中毒後，我們看不到病毒檔案，也看不到病毒註冊的服務項。隨著灰鴿子服務端檔案的設定不同，G_Server_Hook.dll有時候附在Explorer.exe的程序空間中，有時候則是附在所有程序中。

　　灰鴿子病毒的手工檢測：

　　由於灰鴿子攔截了API呼叫，在正常模式下服務端程式檔案和它註冊的服務項均被隱藏，也就是說你即使設定了“顯示所有隱藏檔案”也看不到它們。此外，灰鴿子服務端的檔名也是可以自定義的，這都給手工檢測帶來了一定的困難。

　　但是，通過仔細觀察我們發現，對於灰鴿子的檢測仍然是有規律可循的。從上面的執行原理分析可以看出，無論自定義的伺服器端檔名是什麼，一般都會在作業系統的安裝目錄下生成一個以“_hook.dll”結尾的檔案。通過這一點，我們可以較為準確手工檢測出灰鴿子 服務端。

　　由於正常模式下灰鴿子會隱藏自身，因此檢測灰鴿子的操作一定要在安全模式下進行。進入安全模式的方法是：啟動計算機，在系統進入Windows啟動畫面前，按下F8鍵***或者在啟動計算機時按住Ctrl鍵不放***，在出現的啟動選項選單中，選擇“Safe Mode”或“安全模式”。

　　1、由於灰鴿子的檔案本身具有隱藏屬性，因此要設定Windows顯示所有檔案。開啟“我的電腦”，選擇選單“工具”—》“資料夾選項”，點選“檢視”，取消“隱藏受保護的作業系統檔案”前的對勾，並在“隱藏檔案和資料夾”項中選擇“顯示所有檔案和資料夾”，然後點選“確定”。

　　2、開啟Windows的“搜尋檔案”，檔名稱輸入“_hook.dll”，搜尋位置選擇Windows的安裝目錄***預設98/xp為C:\windows，2k/NT為C:\Winnt***。

　　3、經過搜尋，我們在Windows目錄***不包含子目錄***下發現了一個名為Game_Hook.dll的檔案。

　　4、根據灰鴿子原理分析我們知道，如果Game_Hook.DLL是灰鴿子的檔案，則在作業系統安裝目錄下還會有Game.exe和Game.dll檔案。開啟Windows目錄，果然有這兩個檔案，同時還有一個用於記錄鍵盤操作的GameKey.dll檔案。

　　經過這幾步操作我們基本就可以確定這些檔案是灰鴿子 服務端了，下面就可以進行手動清除。