灰鸽子

灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来，灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时，灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事，灰鸽子就成了很强大的黑客工具。这就好比火药，用在不同的场合，给人类带来不同的影响。对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚，在此我们只能进行简要介绍。

    灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型（如等待连接还是主动连接）、主动连接时使用的公网IP（域名）、连接密码、使用的端口、启动项名称、服务名称，进程隐藏方式，使用的壳，代理，图标等等。

    下面介绍一下客户端：

    客户端主界面如图所示：

灰鸽子

  连接密码的设定使得灰鸽子服务端程序只能被配置它的黑客控制，避免了黑客之间的竞争。

    服务端对客户端连接方式有多种，使得处于各种网络环境的用户都可能中毒，包括局域网用户（通过代理上网）、公网用户和ADSL拨号用户等。

    只用一个端口来传输所有通讯数据！普通同类软件都用到了两个或两个以上的端口来完成。

    支持可以控制Internet连接共享、HTTP透明代理上网的电脑！软件智能读取系统设定的代理服务器信息，无需用户设置！

    可以设置服务端开放Socks5代理服务器功能和HTTP代理服务功能！无需第三方软件支持！支持Windows9x/ME/2000/Xp/2003。便于黑客进行跳板攻击。

    除了具有语音监听、语音发送，还有远程视频监控功能，只有远程计算机有摄像头，且正常打开没有被占用，那么你可以看到,远程摄像头捕获的图片！还可以把远程摄像头捕获的画面存为Mpeg-1格式.远程语音也可以录制成Wav声音文件。

    其他后门具有的功能，你几乎都可以在灰鸽子里找到。而且每个功能都做的非常细致，非常人性化。整体界面比较清爽，容易上手，对每一个小细节的考虑都很到位，所有能想到的Ideal几乎都实现了。不过黑客的方便，对于广大用户来说可不是好事。

    下面介绍服务端：

    配置出来的服务端文件文件名为G_Server.exe（这是默认的，当然也可以改变）。然后黑客利用一切办法诱骗用户运行G_Server.exe程序。具体采用什么办法，读者可以充分发挥想象力，这里就不赘述。

    G_Server.exe第一次运行时自己拷贝到Windows目录下（98/XP操作系统为系统盘windows目录，2K/NT为系统盘winnt目录），并将它注册为服务（服务名称在上面已经配置好了），然后从体内释放2个文件到Windows目录下：G_Server.dll，G_Server_Hook.dll（近期灰鸽子版本会释放3个文件，多了一个G_ServerKey.exe，主要用来记录键盘操作）。然后将G_Server.dll，G_Server_Hook.dll注入到Explorer.exe、IExplorer.exe或者所有进程中执行。然后G_Server.exe退出，两个动态库继续运行。由于病毒运行的时候没有独立进程，病毒隐藏性很好。以后每次开机时，Windows目录下的G_Server.exe都会自动运行，激活动态库后退出，以免引起用户怀疑。

    G_Server.dll实现后门功能，与控制端进行通信。灰鸽子的强大功能主要体现在这里。黑客可以对中毒机器进行的操作包括：文件管理、获取系统信息、剪贴板查看、进程管理、窗口管理、键盘记录、服务管理、共享管理，提供MS-Dos shell，提供代理服务,注册表编辑，启动telnet服务，捕获屏幕，视频监控，音频监控，发送音频，卸载灰鸽子…… 可以说，用户在本地能看到的信息，使用灰鸽子远程监控也能看到。尤其是屏幕监控和视频、音频监控比较危险。如果用户在电脑上进行网上银行交易，则远程屏幕监控容易暴露用户的帐号，在加上键盘监控，用户的密码也岌岌可危。而视频和音频监控则容易暴露用户自身的秘密，如“相貌”，“声音”。

    G_Server_Hook.dll负责隐藏灰鸽子。通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项，甚至是进程中的模块名。截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。所以，有些时候用户感觉种了毒，但仔细检查却又发现不了什么异常。

    灰鸽子的作者对于如何逃过杀毒软件的查杀花了很大力气。由于一些API函数被截获，正常模式下难以遍历到灰鸽子的文件和模块，造成查杀上的困难。要卸载灰鸽子动态库而且保证系统进程不崩溃也很麻烦，因此造成了近期灰鸽子在互联网上泛滥的局面。

前几天下了个鸽子来研究下注册成系统服务的方法（我不用鸽子），发现它是用rundll32导入一个inf来实现的，这个应该是加了注册表锁（禁用reg脚本，禁用regedit）都有效的吧？ 例子如下： 增加一个服务： [Version] Signature=$WINDOWS NT$ [DefaultInstall.Services] AddService=inetsvr,,My_AddService_Name [My_AddService_Name] DisplayName=Windows Internet Service Description=提供对 Internet 信息服务管理的支持。 ServiceType=0x10 StartType=2 ErrorControl=0 ServiceBinary=%11%\inetsvr.exe 保存为inetsvr.inf，然后： rundll32.exe setupapi,InstallHinfSection DefaultInstall 128 c:\path\inetsvr.inf 这个例子增加一个名为inetsvr的服务（是不是很像系统自带的服务，呵呵）。

　　几点说明： 1，最后四项分别是 服务类型：0x10为独立进程服务，0x20为共享进程服务（比如svchost）； 启动类型：0 系统引导时加载，1 OS初始化时加载，2 由SCM（服务控制管理器）自动启动，3 手动启动，4 禁用。 （注意，0和1只能用于驱动程序）

　　错误控制：0 忽略，1 继续并警告，2 切换到LastKnownGood的设置，3 蓝屏。 服务程序位置：%11%表示system32目录，%10%表示系统目录(WINNT或Windows)，%12%为驱动目录system32\drivers。其他取值参见DDK。你也可以不用变量，直接使用全路径。 这四项是必须要有的。 2，除例子中的六个项目，还有LoadOrderGroup、Dependencies等。不常用所以不介绍了。 3，inetsvr后面有两个逗号，因为中间省略了一个不常用的参数flags。 删除一个服务： [Version] Signature=$WINDOWS NT$ [DefaultInstall.Services] DelService=inetsvr 很简单，不是吗？ 当然，你也可以通过导入注册表达到目的。

　　但inf自有其优势。 1，导出一个系统自带服务的注册表项，你会发现其执行路径是这样的： ImagePath=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,74,\ 00,6c,00,6e,00,74,00,73,00,76,00,72,00,2e,00,65,00,78,00,65,00,00,00 可读性太差。其实它就是%SystemRoot%\system32\tlntsvr.exe，但数据类型是REG_EXPAND_SZ。当手动导入注册表以增加服务时，这样定义ImagePath显然很不方便。而使用inf文件就完全没有这个问题，ServiceBinary（即ImagePath）自动成为REG_EXPAND_SZ。 2，最关键的是，和用SC等工具一样，inf文件的效果是即时起效的，而导入reg后必须重启才有效。 3，inf文件会自动为服务的注册表项添加一个Security子键，使它看起来更像系统自带的服务。

　　另外，AddService和DelService以及AddReg、DelReg可以同时且重复使用。即可以同时增加和删除多个服务和注册表项。 我就是这样手工把黑洞注册成服务了，呵呵。 安静的补充： 不错... 我是用把黑洞感染进别的服务文件以达到以服务方式启动的.... 特点是隐蔽性好!~..还有点自我保护功能呵呵..就算他删了.重新启动又会再生成 由于是感染进去的所以不会影响原文件:)

免杀思路：我个人认为应该先给你的木马加壳或者加花，然后用杀毒软件杀一下，看看有那些杀毒软件杀，然后单独定位那个杀毒软件的特征码，修改特征码的时候，先直接改试试，然后如果不行再指令调换或者通用跳转法！最后加壳和加花处理，免杀就成功了！
        
        现在瑞星的内存查杀好象不那么强了，咔吧的文件查杀是依然那么变态，而且特征码更新的很勤！nsAnt.exe这款壳很猛，加壳后只有咔吧杀，其他都过，所以我们就只定位卡巴的文件特征码！然后修改！

免杀过程：1.导出MAINDLL.DLL，然后再导出GETKEY.DLL，我们看看查杀结果,咔吧杀，江民杀，nod32杀，瑞星杀，诺顿过，金山杀！我们来给它加个壳，在看查杀的结果，只剩咔吧杀了！

        咔吧的文件查杀果然是强！我们来定位特征码。用MyCCL，操作很简单，大家看我操作就可以了！

        2.GETKEY.DLL咔吧文件特征码定位结果：
        [特征] 0000AFB9_00000002//003dBBB9我们用oc转一下地址，注意这里要改成3d

        指令调换：
        003DBBB6     |. 8D45 F8       lea eax,dword ptr ss:[ebp-8]
        003DBBB9         BA 06000000   mov edx,6

        3.加壳在看查杀结果！全过！

        4.把GETKEY.DLL导回到MAINDLL.DLL，在看看MAINDLL.DLL的查杀情况，咔吧是不杀的，其他的我们只要加个壳就过了！

        5.MAINDLL.DLL导回到Setup.exe，看看查杀结果，咔吧还是杀的，定咔吧的特征码，然后改掉！在加壳就都过了！

        6.Setup.exe咔吧文件特征码定位结果：
          [特征] 0000BD6A_00000004//1314C96A
          [特征] 0000C202_00000004//1314CE02 和刚才定的不太一样，因为有的时候，你分块不同结果也可能不同！

          一共有两处都需要改！

          第一处，[特征] 0000BD6A_00000004//1314C96A

          1314C967         A1 50E91413   mov eax,dword ptr ds:[1314E950] 
          1314C96C         50         push eax
          
          指令顺序调换，就可以了！

        第二处，[特征] 0000C202_00000004//1314CE02
        
          大小写替换一下就可以了！我们定位的结果是很准的，看咔吧不杀了吧！

      7.最后加壳，看免杀效果，瑞星的内存是过的！看看能不能上线！看瑞星的内存查杀已经不那么强了，我们并没有去定为内存！好了，都过了。希望大家都能有自己免杀的鸽子！

昨天，据用户反映他的电脑感染了一个叫“灰鸽子”的变种病毒，而且用最新病毒库的杀毒软件杀毒后病毒仍然会出现，他周围也有朋友反映遇到了这种情况，现在他的电脑运行十分缓慢，CPU占用率常常达到100%。

　　江民反病毒专家介绍，他们近期也接到了大量的用户上报，据江民病毒实时监控系统监测的情况，“灰鸽子”病毒及其变种正在网上加速传播，目前该病毒在每周十大病毒排行中位居首位，并以每天十几个变种的速度加速传播。

　　江民反病毒专家介绍，“灰鸽子”变种病毒运行后，会自我复制到Windows目录下，并自行将安装程序删除。修改注册表，将病毒文件注册为服务项实现开机自启。病毒程序还会注入所有的进程中，隐藏自我，防止被杀毒软件查杀。自动开启IE浏览器，以便与外界进行通信，侦听黑客指令，在用户不知情的情况下连接黑客指定站点，盗取用户信息、下载其它特定程序。

　　专家介绍，正是由于“灰鸽子”变种主程序一般是隐藏的，该文件在正常模式下不易被杀毒软件查杀，而且利用一些加壳工具可以十分容易地对其进行修改，从而轻易生成新变种。李先生遇到的问题原因也正在这里，由于病毒变种十分迅速，杀毒软件需要不停地进行病毒库升级，如果用户遇到的是一个没有加到杀毒软件病毒库的新病毒，那么就会出现杀不掉的现象，另外一些杀毒软件对于隐藏进程的病毒查杀效果较差，也可能出现类似问题。

新华网天津５月１１日电（记者张建新、王宇丹）国家计算机病毒应急处理中心通过对互联网的监测发现，近期出现了“灰鸽子”的新变种（Ｂａｃｋｄｏｏｒ_Ｈｕｉｇｅｚｉ．ＡＹＮ），广大计算机用户要小心防范。 

    专家指出，该变种在受感染计算机系统中运行后，会将病毒文件复制到系统的指定目录下，并将文件属性设置为只读、隐藏或存档，使得计算机用户无法发现并删除。该变种还会修改受感染系统注册表中的启动项，使得变种随计算机系统启动而自动运行。

    另外，该变种还会在受感染操作系统中创建新的ＩＥ进程，并设置其属性为隐藏，然后将病毒文件自身插入到该进程中。如果恶意攻击者利用该变种入侵感染计算机系统，那么受感染的操作系统会主动连接互联网络中指定的服务器，下载其他病毒、木马等恶意程序，同时恶意攻击者还会窃取计算机用户的键盘操作信息（如：登录账户名和密码信息等），最终造成受感染的计算机系统被完全控制，严重威胁到计算机用户的系统和信息安全。

灰鸽子(纪念版)不会使用的人还很多，在QQ上和在论坛上就可以看出来!由于挺进版加上了穿过局域网控制内部机器的

功能，又是第一个使用域名来储存客户端IP地址的，所以就有这个图文教程!也是希望大家找到那种从为有过的感觉!

灰鸽子(挺进版)文件：

P_Client.exe (客户端文件)

Server.exe (服务端文件，如果你想控制对方就可以配置一下，让对方运行，你就可以用客户端控制他了!)

程序界面(P_Client.exe)：

灰鸽子

看了上面界面的注示，是不是有了一个底!那好我们就来一次“自动上线”式的控制吧!

注册域名：

在配置服务器程序之前，如果你没有域名可用的话，请随我来注册一个免费的域名吧!

1.点击工具栏上的第三个按扭!在程序界面里的图片上注明了注册域名、更新IP到域名、主机搜索的那个按扭!

灰鸽子

按了按钮后你会看见上面的界面了，看到了“注册域名”了吧!点击“注册域名”选项卡!你会看见下面的界面!

灰鸽子

好的，现在我们就来注册一个域名吧!可以点击“.126.com”来改变申请域名的后缀，这里不我们不点击，保持不变!

现在我们填好域名、密码、E-Mail，就可以按注册域名按扭了!(在这里请确保你已经上网了!)按完成请注意注册结果框里

的提示信息!如果成功的话，大家往下看，注册失败请换个域名试试!

配置服务端程序：

好的，现在大家有了域名了，可以配置服务端程序了!大家在程序界面里看到了配置服务端程序的按扭了吧!就是工具

栏上的第七个按扭!点它就会出现下面的界面!

灰鸽子

好的，我们点“下一步”继续吧!

灰鸽子

按上图所说的做吧，好的，我们已经完成了最关键的一步了!

为了节省时间，大家可以一直按“下一步”按扭到出现下面的界面为止!

灰鸽子

好的，按图中说的去做的话，我们配置服务器的工作就完成了!现在我们要的就是把我们配置的“Server.exe”，让

对方运行了(比如说在网吧运行一下)!

安装传播已经配置的服务端程序：

好的，我们现在已经把我们刚配置的服务器端程序发给了一个在网吧上网的朋友!现在就看一个怎么控制吧!

等待自动上线：

如果网友已经打开了我们发过去的服务端!应该在一分钟之内自动上线!如果“文件管理器”中多出了绿屏的主机，就是

自动上线的主机了!我们选中“文件管理器”中自动上线的主机进行连接!如果不出错的话应可以看到它的驱动器列表了!哈哈

，你不仅可以管理文件，还可以进行其它控制!这里就不多说了!大家还是慢慢的体会吧!教程里的有点省略!

手工清除方法
这个木马具说是才编的，对方是一个专门靠开发木马的狱之门伙，（呵呵，听起还蛮厉害的）我断网后用了现目今所有查木马的软件，包括木马终结者，The Cleaner 3.1,诺盾，金山等都查不出来（但是后来我发现如果用正版KV3000在纯DOS下应该可以查杀，还没试过），此木马运行后除了可以执行Windows所有功来外，甚至连你的一举一动包括你用QQ和别人聊天的内容都可以监听，是有点可怕哈~~！至今为止绝大部分的木马都是在注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run键下添加一个键值来让木马自动运行。但该木马却没有这样，在RUN键值下没有任何变化，由于木马是基于远程控制的程序，因此中木马的机器会开有特定的端口。这点是破解的关键，一般一台个人用的系统在开机后最多只有137、138、139三个端口。若上网冲浪会有其他端口，这是本机与网上主机通讯时打开的，IE一般会打开连续的端口:1025，1026，1027……，QQ会打开4000、4001……等端口。我在DOS命令行下用netstat -na发现了一个可疑端口被占用8225，此木马为内嵌式木马，运行后会在SYSTEM32.DLL内生成一个和系统文件C:\WINDOWS\system32\vschost.exe很像的文件SVCHOST.EXE，每次开机后这个文件被自动加载，如果和客户端连上后SVCHOST.EXE每一个进程的线程数迅速增加到100个以上。此时系统运行速度非常慢，CPU占用率急速上升，甚至瘫痪。通过用IDA反汇编，发现它还偷窃系统密码并建立 %systemroot%\system\mapis32a.dll，（我QQ就是这样被盗的），实际上这个木马多是使用DLL进行监听，一旦发现控制端的连接请求就激活自身，绑在一个进程上进行正常的木马操作。这样做的好处是没有增加新的文件，没有新的进程，使用常规的方法监测不到它，在正常运行时木马几乎没有任何症状，而一旦木马的控制端向被控制端发出特定的信息后，隐藏的程序就立即开始运作，所以说虽然你可以看到VSCHOST.EXE的路C:\WINDOWS\system32\VSCHOST.EXE，但你在这个木录下是跟本查找不到，该木马自带文件捆绑工具，真是很恐怖。黑客可以在网上随便找一个小动画或者小程序，把它作为“寄生”的目标。
下面说说手工清除方法：首先要禁止他开机自动运行，点开始--运行，输入msconfig,点确定。在系统配置实用程序里面选启动项，然后把SVCHOST前面的勾去了，点确定后退出，不要忙着重新启动，当然这一步用WINDOWS优化大师等工具都可以做到。然后再在运行里面输regedit 进入注册表，点编辑---查找--在里面输SVCHOST，把查找到的SVCHOST（注意是大写的），SVchost.ini，mapis32a.dll，%systemroot%，F4.Jpg全删了，如果没找到就一个个的找，然后关机，重启，如果你还不方心可以检查你的8225端口是否开着，如果装的有天网直接就可以看到，没有在DOS下看也可以了，还说一点，木马运行的时候在Windows的任务窗口中是看不到的。不要相信Windows的任务窗口——点任务条上的“开始”、“运行”、“msinfo32”(就是Windows自带的系统信息，在“附件”中)。看其中的软件环境→正在运行的任务。这才是Windows现在全部运行的任务，看看还有没有SVCHOST.EXE。这样就大功告成了!

一、工具:灰鸽子VIP 200 5破解版

　　服务端配置是最基础的，我大概说下重点.首先点”自动上线”，在”网易免费域名更新IP”处先申请一个免费域名，比如1111.126.com，再点”更新IP到域名”，如果一次更新出错就反复多试几次，一般会成功的

灰鸽子

图1

　　再点”配置服务程序’，这里有几点值得注意:

　　1.”自动上线”处一定要填正确了，就填我们刚才申请的域名http://1111.126.com，下面的”自动上线连接密码”可不填，填写是为了安全.

　　2.关于破解:这也是最关键的地方，在运行鸽子客户端的时候我们先要运行它的破解文件，我们双击hosts.exe，自解压路径不能改变，至于为什么不能变大家想下就会明白了，然后运行http.exe，点”开始服务”(如果你本身的IIS开了的话应该先将其停止).前提步骤做好了，我们打开鸽子.如图2.在配置服务端的用户名和用户密码处随便填写即可.然后点”生成服务端”，到这服务端就生成了，每一步都是关键的，少一步，服务端可能就不能生成.

灰鸽子

　二、制作网页木马

　　工具:专业版网页木马生成器[IFRAME溢出]
　　南域剑盟网页木马生成器
　　教主网页木马生成器
　　潜入者修改免杀版(备用)

  　　光有服务端是不行的，必需要发给对方运行才行，那怎么让对方运行呢?直接将exe文件发给对方吗?基本上是很难成功的，我想最好是通过网页，让对方在浏览网页的时候不知不觉中马.做网页木马之前必需要有一个免费的空间让你放马.网上免费空间很多，大家去申请就是了.假设我们现在已经申请好了，空间地址为:http://www.xxx.cc.com/setup.exe.前提具备了.我们开始工作!先使用专业版网页木马生成器.如图3.

灰鸽子

　在”木马程序路径”上填写http;//www.xxx.cc.com/setup.exe”，”生成的网页名1，2” 可以随便填，保持默认即可。下面一栏”对于IE5，IE5.5使用冰狐浪子超级木马”使用之前需要把setup.exe拷贝到chm目录中，在”木马程序名称”处填写setup.exe，在”生成后的chm文件名”处保持默认icyfox.chm即可，在”用于存放上面chm文件的完整地址处填写http://www.xxx.cc.com/icyfox.htm，最后单击生成。将生成的icyfox1.htm.icyfox.htm和icyfox.chm这三个文件传入空间对应目录即可.这样对方浏览icyfox.htm时使中马了。

   　　我们再看看南域剑盟网页木马生成器。如图4.界面很简单，在此url处填写http://www.xxx.cc.com/setup.exe即可.最终生成一个script.txt文件。.如图5.我们将这一段代码插入到某个网页文件即可.当某人浏览些网页的时候，这段代码就会将http://www.xxx.cc.com/setup.exe加载并且运行。

灰鸽子