灰鸽子

灰鸽子

灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来，灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时，灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事，灰鸽子就成了很强大的黑客工具。这就好比火药，用在不同的场合，给人类带来不同的影响。对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚，在此我们只能进行简要介绍。

灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型（如等待连接还是主动连接）、主动连接时使用的公网IP（域名）、连接密码、使用的端口、启动项名称、服务名称，进程隐藏方式，使用的壳，代理，图标等等。

客户端详解： 

灰鸽子客户端主界面如图所示

连接密码的设定使得灰鸽子服务端程序只能被配置它的黑客控制，避免了黑客之间的竞争。服务端对客户端连接方式有多种，使得处于各种网络环境的用户都可能中毒，包括局域网用户（通过代理上网）、公网用户和ADSL拨号用户等。只用一个端口来传输所有通讯数据。普通同类软件都用到了两个或两个以上的端口来完成。支持可以控制Internet连接共享、HTTP透明代理上网的电脑。软件智能读取系统设定的代理服务器信息，无需用户设置。可以设置服务端开放Socks5代理服务器功能和HTTP代理服务功能。无需第三方软件支持。支持Windows9x/ME/2000/Xp/2003。便于黑客进行跳板攻击。

除了具有语音监听、语音发送，还有远程视频监控功能，只有远程计算机有摄像头，且正常打开没有被占用，那么你可以看到,远程摄像头捕获的图片。还可以把远程摄像头捕获的画面存为Mpeg-1格式。远程语音也可以录制成Wav声音文件。

其他后门具有的功能，你几乎都可以在灰鸽子里找到。而且每个功能都做的非常细致，非常人性化。整体界面比较清爽，容易上手，对每一个小细节的考虑都很到位，所有能想到的Ideal几乎都实现了。不过黑客的方便，对于广大用户来说可不是好事。

服务端详解：

配置出来的服务端文件文件名为G_Server.exe（这是默认的，当然也可以改变）。然后黑客利用一切办法诱骗用户运行G_Server.exe程序。具体采用什么办法，读者可以充分发挥想象力，这里就不赘述。

G_Server.exe第一次运行时自己拷贝到Windows目录下（98/XP操作系统为系统盘windows目录，2K/NT为系统盘winnt目录），并将它注册为服务（服务名称在上面已经配置好），然后从体内释放2个文件到Windows目录下：G_Server.dll，G_Server_Hook.dll（近期灰鸽子版本会释放3个文件，多了一个G_ServerKey.exe，主要用来记录键盘操作）。然后将G_Server.dll，G_Server_Hook.dll注入到Explorer.exe、IExplorer.exe或者所有进程中执行。然后G_Server.exe退出，两个动态库继续运行。由于病毒运行的时候没有独立进程，病毒隐藏性很好。以后每次开机时，Windows目录下的G_Server.exe都会自动运行，激活动态库后退出，以免引起用户怀疑。

G_Server.dll实现后门功能，与控制端进行通信。灰鸽子的强大功能主要体现在这里。黑客可以对中毒机器进行的操作包括：文件管理、获取系统信息、剪贴板查看、进程管理、窗口管理、键盘记录、服务管理、共享管理，提供MS-Dos shell，提供代理服务,注册表编辑，启动telnet服务，捕获屏幕，视频监控，音频监控，发送音频，卸载灰鸽子。用户在本地能看到的信息，使用灰鸽子远程监控也能看到。尤其是屏幕监控和视频、音频监控比较危险。如果用户在电脑上进行网上银行交易，则远程屏幕监控容易暴露用户的帐号，在加上键盘监控，用户的密码也岌岌可危。而视频和音频监控则容易暴露用户自身的秘密，如“相貌”，“声音”。

G_Server_Hook.dll负责隐藏灰鸽子。通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项，甚至是进程中的模块名。截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。所以，有些时候用户感觉种了毒，但仔细检查却又发现不了什么异常。

灰鸽子的作者对于如何逃过杀毒软件的查杀花了很大力气。由于一些API函数被截获，正常模式下难以遍历到灰鸽子的文件和模块，造成查杀上的困难。要卸载灰鸽子动态库而且保证系统进程不崩溃也很麻烦，因此造成了近期灰鸽子在互联网上泛滥的局面。

灰鸽子

几点说明： 1，最后四项分别是 服务类型：0x10为独立进程服务，0x20为共享进程服务（比如svchost）； 启动类型：0 系统引导时加载，1 OS初始化时加载，2 由SCM（服务控制管理器）自动启动，3 手动启动，4 禁用。 （注意，0和1只能用于驱动程序）

错误控制：0 忽略，1 继续并警告，2 切换到LastKnownGood的设置，3 蓝屏。 服务程序位置：%11%表示system32目录，%10%表示系统目录(WINNT或Windows)，%12%为驱动目录system32drivers。其他取值参见DDK。你也可以不用变量，直接使用全路径。 这四项是必须要有的。 2，除例子中的六个项目，还有LoadOrderGroup、Dependencies等。不常用所以不介绍了。 3，inetsvr后面有两个逗号，因为中间省略了一个不常用的参数flags。 删除一个服务： [Version] Signature=$WINDOWS NT$ [DefaultInstall.Services] DelService=inetsvr 很简单，也可以通过导入注册表达到目的。

但inf自有其优势。 1、导出一个系统自带服务的注册表项，你会发现其执行路径是这样的： ImagePath=hex(2):25，00，53，00，79，00，73，00，74，00，65，00，6d，00，52，00，6f，00，6f，00，74，00，25，00，5c，00，73，00，79，00，73，00，74，00，65，00，6d，00，33，00，32，00，5c，00，74，0，6c，00，6e，00，74，00，73，00，76，00，72，00，2e，00，65，00，78，00，65，00，00，00 可读性太差。其实它就是%SystemRoot%system32tlntsvr.exe，但数据类型是REG_EXPAND_SZ。当手动导入注册表以增加服务时，这样定义ImagePath显然很不方便。而使用inf文件就完全没有这个问题，ServiceBinary（即ImagePath）自动成为REG_EXPAND_SZ。 2、最关键的是，和用SC等工具一样，inf文件的效果是即时起效的，而导入reg后必须重启才有效。 3、inf文件会自动为服务的注册表项添加一个Security子键，使它看起来更像系统自带的服务。

另外，AddService和DelService以及AddReg、DelReg可以同时且重复使用。即可以同时增加和删除多个服务和注册表项。 我就是这样手工把黑洞注册成服务。

灰鸽子远程控制软件

免杀过程：

1、导出MAINDLL.DLL，然后再导出GETKEY.DLL，看看查杀结果，卡巴斯基杀，江民杀，nod32杀，瑞星杀，诺顿过，金山杀。给它加个壳，在看查杀的结果，只剩卡巴斯基杀了。

2、GETKEY.DLL咔吧文件特征码定位结果：[特征] 0000AFB9_00000002//003dBBB9我们用oc转一下地址，注意这里要改成3d

 指令调换：
        003DBBB6     |. 8D45 F8       lea eax,dword ptr ss:[ebp-8]
        003DBBB9         BA 06000000   mov edx,6

3、加壳在看查杀结果全过。

4、把GETKEY.DLL导回到MAINDLL.DLL，在看看MAINDLL.DLL的查杀情况，咔吧是不杀的，其他的我们只要加个壳就过了。

5、MAINDLL.DLL导回到Setup.exe，看看查杀结果，卡巴斯基还是杀的，定咔吧的特征码，然后改掉。在加壳就都过了。

6、Setup.exe咔吧文件特征码定位结果：[特征] 0000BD6A_00000004//1314C96A [特征] 0000C202_00000004//1314CE02 和刚才定的不太一样，因为有的时候，分块不同结果也可能不同。

一共有两处都需要改：

第一处，[特征] 0000BD6A_00000004//1314C96A

          1314C967         A1 50E91413   mov eax,dword ptr ds:[1314E950] 
          1314C96C         50         push eax 
          
指令顺序调换，就可以。

第二处，[特征] 0000C202_00000004//1314CE02 大小写替换一下就可以了，定位的结果是很准的，看咔吧不杀了。

7、最后加壳，看免杀效果，瑞星的内存是过的，看看能不能上线，看瑞星的内存查杀已经不那么强了，并没有去定为内存。

灰鸽子

江民反病毒专家介绍，他们近期也接到了大量的用户上报，江民病毒实时监控系统监测的情况，“灰鸽子”病毒及其变种正在网上加速传播，该病毒在每周十大病毒排行中位居首位，并以每天十几个变种的速度加速传播。江民反病毒专家介绍，“灰鸽子”变种病毒运行后，会自我复制到Windows目录下，并自行将安装程序删除。修改注册表，将病毒文件注册为服务项实现开机自启。病毒程序还会注入所有的进程中，隐藏自我，防止被杀毒软件查杀。自动开启IE浏览器，以便与外界进行通信，侦听黑客指令，在用户不知情的情况下连接黑客指定站点，盗取用户信息、下载其它特定程序。

专家介绍，正是由于“灰鸽子”变种主程序一般是隐藏的，该文件在正常模式下不易被杀毒软件查杀，而且利用一些加壳工具可以十分容易地对其进行修改，从而轻易生成新变种。李先生遇到的问题原因也正在这里，由于病毒变种十分迅速，杀毒软件需要不停地进行病毒库升级，如果用户遇到的是一个没有加到杀毒软件病毒库的新病毒，那么就会出现杀不掉的现象，另外一些杀毒软件对于隐藏进程的病毒查杀效果较差，也可能出现类似问题。

国家计算机病毒应急处理中心通过对互联网的监测发现，近期出现了“灰鸽子”的新变种。专家指出，该变种在受感染计算机系统中运行后，会将病毒文件复制到系统的指定目录下，并将文件属性设置为只读、隐藏或存档，使得计算机用户无法发现并删除。该变种还会修改受感染系统注册表中的启动项，使得变种随计算机系统启动而自动运行。

另外，该变种还会在受感染操作系统中创建新的IE进程，并设置其属性为隐藏，然后将病毒文件自身插入到该进程中。如果恶意攻击者利用该变种入侵感染计算机系统，那么受感染的操作系统会主动连接互联网络中指定的服务器，下载其他病毒、木马等恶意程序，同时恶意攻击者还会窃取计算机用户的键盘操作信息（如：登录账户名和密码信息等），最终造成受感染的计算机系统被完全控制，严重威胁到计算机用户的系统和信息安全。

灰鸽子(纪念版)不会使用的人还很多，在QQ上和在论坛上就可以看出来!由于挺进版加上了穿过局域网控制内部机器的功能，又是第一个使用域名来储存客户端IP地址的，所以就有这个图文教程!也是希望大家找到那种从为有过的感觉!

灰鸽子(挺进版)文件：

P_Client.exe (客户端文件)

Server.exe (服务端文件，如果你想控制对方就可以配置一下，让对方运行，你就可以用客户端控制他了!)

程序界面(P_Client.exe)：

灰鸽子(挺进版)文件窗口

注册域名：

在配置服务器程序之前，如果你没有域名可用的话，请随我来注册一个免费的域名。

1、点击工具栏上的第三个按扭!在程序界面里的图片上注明了注册域名、更新IP到域名、主机搜索的那个按扭!

灰鸽子

按了按钮后你会看见上面的界面了，看到了“注册域名”了。点击“注册域名”选项卡，你会看见下面的界面。

灰鸽子

现在就来注册一个域名，可以点击“.126.com”来改变申请域名的后缀，这里不点击，保持不变。现在填好域名、密码、E-Mail，就可以按注册域名按扭。

配置服务端程序：

现在有了域名，可以配置服务端程序了。大家在程序界面里看到了配置服务端程序的按扭了，就是工具栏上的第七个按扭!点它就会出现下面的界面。

灰鸽子

点“下一步”继续。

灰鸽子

按上图所说的做已经完成了最关键的一步为了节省时间，可以一直按“下一步”按扭到出现下面的界面为止。

灰鸽子

按图中说的去做的话，配置服务器的工作就完成。现在要的就是把配置的“Server.exe”，让对方运行了(比如说在网吧运行一下)。

安装传播已经配置的服务端程序：现在已经把刚配置的服务器端程序发给了一个在网吧上网的朋友，现在就看一个怎么控制。等待自动上线：如果网友已经打开了发过去的服务端。在一分钟之内自动上线，如果“文件管理器”中多出了绿屏的主机，就是自动上线的主机。选中“文件管理器”中自动上线的主机进行连接。如果不出错的话应可以看到它的驱动器列表了。你不仅可以管理文件，还可以进行其它控制。

手工清除方法
这个木马对方是一个专门靠开发木马的狱之门伙，断网后用了现目今所有查木马的软件，包括木马终结者，The Cleaner 3.1,诺盾，金山等都查不出来，此木马运行后除了可以执行Windows所有功来外，甚至连你的一举一动包括你用QQ和别人聊天的内容都可以监听。至今为止绝大部分的木马都是在注册表的HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun键下添加一个键值来让木马自动运行。但该木马却没有这样，在RUN键值下没有任何变化，由于木马是基于远程控制的程序，因此中木马的机器会开有特定的端口。这点是破解的关键，一般一台个人用的系统在开机后最多只有137、138、139三个端口。

若上网冲浪会有其他端口，这是本机与网上主机通讯时打开的，IE一般会打开连续的端口:1025，1026，1027，QQ会打开4000、4001等端口。在DOS命令行下用netstat -na发现了一个可疑端口被占用8225，此木马为内嵌式木马，运行后会在SYSTEM32.DLL内生成一个和系统文件C:WINDOWSsystem32vschost.exe很像的文件SVCHOST.EXE，每次开机后这个文件被自动加载，如果和客户端连上后SVCHOST.EXE每一个进程的线程数迅速增加到100个以上。此时系统运行速度非常慢，CPU占用率急速上升，甚至瘫痪。

通过用IDA反汇编，发现它还偷窃系统密码并建立 %systemroot%systemmapis32a.dll，实际上这个木马多是使用DLL进行监听，一旦发现控制端的连接请求就激活自身，绑在一个进程上进行正常的木马操作。这样做的好处是没有增加新的文件，没有新的进程，使用常规的方法监测不到它，在正常运行时木马几乎没有任何症状，而一旦木马的控制端向被控制端发出特定的信息后，隐藏的程序就立即开始运作，所以说虽然你可以看到VSCHOST.EXE的路C:WINDOWSsystem32VSCHOST.EXE，但你在这个木录下是跟本查找不到，该木马自带文件捆绑工具，真是很恐怖。

黑客可以在网上随便找一个小动画或者小程序，把它作为“寄生”的目标。下面说说手工清除方法：首先要禁止他开机自动运行，点开始--运行，输入msconfig,点确定。在系统配置实用程序里面选启动项，然后把SVCHOST前面的勾去了，点确定后退出，不要忙着重新启动，当然这一步用WINDOWS优化大师等工具都可以做到。然后再在运行里面输regedit 进入注册表，点编辑---查找--在里面输SVCHOST，把查找到的SVCHOST（注意是大写的），SVchost.ini，mapis32a.dll，%systemroot%，F4.Jpg全删了，如果没找到就一个个的找，然后关机，重启，如果你还不方心可以检查你的8225端口是否开着，如果装的有天网直接就可以看到，没有在DOS下看也可以了，还说一点，木马运行的时候在Windows的任务窗口中是看不到的。不要相信Windows的任务窗口——点任务条上的“开始”、“运行”、“msinfo32”(就是Windows自带的系统信息，在“附件”中)。看其中的软件环境→正在运行的任务。这才是Windows现在全部运行的任务，看看还有没有SVCHOST.EXE。

一、工具灰鸽子VIP 2005破解版

服务端配置是最基础的，我大概说下重点.首先点”自动上线”，在”网易免费域名更新IP”处先申请一个免费域名，比如1111.126.com，再点”更新IP到域名”，如果一次更新出错就反复多试几次，一般会成功的

灰鸽子图1

再点“配置服务程序”，这里有几点值得注意：

1、“自动上线”处一定要填正确了，就填刚才申请的域名***.126.com，下面的”自动上线连接密码”可不填，填写是为了安全。

2、关于破解：这也是最关键的地方，在运行鸽子客户端的时候先要运行它的破解文件，双击hosts.exe，自解压路径不能改变，至于为什么不能变大家想下就会明白了，然后运行http.exe，点”开始服务”(如果你本身的IIS开了的话应该先将其停止)。前提步骤做好了，打开鸽子，在配置服务端的用户名和用户密码处随便填写即可。然后点“生成服务端”，到这服务端就生成，每一步都是关键的，少一步，服务端可能就不能生成。

灰鸽子

二、制作网页木马

工具：专业版网页木马生成器[IFRAME溢出]
          南域剑盟网页木马生成器
　　   教主网页木马生成器
　　   潜入者修改免杀版(备用)

光有服务端是不行的，必需要发给对方运行才行，那怎么让对方运行呢?直接将exe文件发给对方吗?基本上是很难成功的，最好是通过网页，让对方在浏览网页的时候不知不觉中马。做网页木马之前必需要有一个免费的空间让你放马。网上免费空间很多，大家去申请就是。假设现在已经申请好了，空间地址为:http://www.xxx.cc.com/setup.exe。前提具备了。开始工作，先使用专业版网页木马生成器。

专业版网页木马生成器

在“木马程序路径”上填写.xxx.cc.com/setup.exe”，”生成的网页名1，2” 可以随便填，保持默认即可。下面一栏“对于IE5，IE5.5使用冰狐浪子超级木马”使用之前需要把setup.exe拷贝到chm目录中，在“木马程序名称”处填写setup.exe，在”生成后的chm文件名”处保持默认icyfox.chm即可，在”用于存放上面chm文件的完整地址处xxx.cc.com/icyfox.htm，最后单击生成。将生成的icyfox1.htm.icyfox.htm和icyfox.chm这三个文件传入空间对应目录即可。这样对方浏览icyfox.htm时使中马。

再看看南域剑盟网页木马生成器。界面很简单，在此url处填写xxx.cc.com/setup.exe即可。最终生成一个script.txt文件。将这一段代码插入到某个网页文件即可。当某人浏览些网页的时候，这段代码就会将xxx.cc.com/setup.exe加载并且运行。

南域剑盟网页木马生成器