关于灰鸽子
对于菜鸟来说,应该没有不知道灰鸽子的吧,的确,灰鸽子带来的影响是巨大的,可以说80%的木马或者都钟情于灰鸽子,依据何在??灰鸽子在网上的广泛流传,针对他的免杀技术也是相当成熟,我们时常可以在黑客站点找到有关灰鸽子的免杀动画。其实大家耳熟能详的“变种”这两个字,他人修改过的木马病毒等。灰鸽子的变种数量是非常的多,利用了许多技术手段来逃避杀毒软件,所以单靠杀毒软件来对付灰鸽子,还是有些勉为其难了,并且灰鸽子在很早的版本中就开发了远程开启代理功能,而且这正好给那些利用别人的钱财在互联网星空进行消费的“黑客”带来了便利。甚至于现在有许多人戏称灰鸽子为刷点专用工具,那么我们进行一场将灰鸽子杀到底的战斗吧!
知己知彼 杀毒有理
先简单介绍一下灰鸽子的运行原理吧,现在的木马一般是利用客户端来生成服务端,这样做有利于自定义木马的名称和实现反弹连接。灰鸽子服务端也是如此,假如我们自定义服务端名称为netserver.exe,只要我们执行这个程序就会生成在系统目录,释放出netserver.dll和,netserver_hook.dll到该目录下,如果配置过程中第一记录键盘,那么同时会释放出netserve.dll这个文件用来记录键盘操作。netserver.exe运行后,会把自己注册为系统,服务早期的windows98,windows me系统则由于没有系统服务而会写入注册表启动项目。可能有人会问,为什么杀毒软件查杀出了病毒而在目录下却找不到?其实netserver_hook.dll通过拦截API调用来隐藏病毒。这样就增加咯自身隐蔽性,灰鸽子利用了当今流行的进程插入技术,所以用任务管理器也找不到它的行踪。
还记得冰刃这款工具吗?这可是一个检测系统信息的好手,还可以显示系统隐藏进程。我根本就没开启IE,甚至从来都不用这款系统自带的浏览器,却在进程信息中发现咯它的存在,这足以说明我的系统中中了木马了。下面再利用一款工具确认一下,也是灰鸽子工作室出的一款安全工具:木马辅助查找器。
利用启动项目管理下的系统服务管理可以清楚看到,我的系统出现了一个不正常的服务:netserver。大家可以对照系统服务列表看一下,对这样不正常的服务项目,基本可以确定说木马建立的。其实利用这款工具的删除服务功能,可以将这个服务彻底删除,那样灰鸽子失去咯启动支持,也就不会随机运行了。可是木马产生的文件却还在“体内”,接下来的事情就是手动干掉它了。
前面已经说过,在正常模式下说看不到灰鸽子文件的,但是在安全模式下它是跑不掉的,我们开机后按F8调出启动菜单,就可以进入安全模式下执行操作,由于木马一定会在系统目录下生成,**_hook.dll,查找出这个文件,就可以将他的同伙一网打尽了。我们利用windows搜索功能,定义在windows的安装目录。这里c盘是系统盘,文件名称输入“_hook.dll”后就可以查找出灰鸽子生成的文件,假如这里是netserver_hook.dll,那在该目录下一定存在netserver.exe和netserver.dll这个键盘记录文件我们只要删除这几个文件,并删除启动服务的项目,上面说过了,用木马辅助查找器可以删除这个服务,我们也可以手工删除,玩注册表比较熟的朋友一定知道服务一般是写在注册表的某个键值中,例如我们搜索出来,灰鸽子名为:netserver.exe,那么只搜索“netserver”,把查找出来的键值彻底删除就可以了,在没有启动服务的系统中,灰鸽子靠注册表run键值来启动。运行注册表编辑器也可以把“netserver.exe”删除。
上边的netserver是我举的一个例子,在实际操作中会有所不同,大家根据自身查找出来的文件来手动进行杀毒,这样就可以把灰鸽子完全删除了,毕竟手动杀查杀比较费时费力,而杀毒软件又不能很好的解决变种,所以借助专门查杀灰鸽子的工具,是解决这类问题的最好途径了。
工具查杀快捷方便
关于灰鸽子的专门查杀工具比较多,我选出了两款非常强大的查杀工具,你,分别是“灰鸽子全版本清除器”和“木马杀客灰鸽子专杀”。这两款工具的开发者也在不断地对灰鸽子的最新版本进行更新。
先来看一下灰鸽子全版本清除器,这款工具开发到现在已经Beta3版了,我们运行软件后点“scan”,就可以发现系统中的灰鸽子病毒并清除。木马杀客灰鸽子专杀工具使用起来也很简单,操作也是一键完成,由于这两款工具是根据灰鸽子的运行原理编写产生,所以能够彻底删除灰鸽子及其变种。
总结
为了不让自己成为受害者,那么就让我们自己动手吧!把灰鸽子清除我们的爱机,祝福大家永远远离病毒危害。