毕业设计计算机病毒的分析与防治

1、 . 17/19 . 信息职业技术学院毕业设计说明书(论文)设计(论文)题目: 计算机病毒的分析与防治 专 业: 计算机网络技术 班 级: 计网09-1班 学 号: 0944046 姓 名: 胡 杰 指导教师: 莉萍 2011年 11月28日目录 TOC o 1-3 h z u HYPERLINK l _Toc311717814第1章绪论 PAGEREF _Toc311717814 h 1HYPERLINK l _Toc311717815第2章计算机病毒综述 PAGEREF _Toc311717815 h 2HYPERLINK l _Toc3117178162.1 定义 PAGEREF _To

2、c311717816 h 2HYPERLINK l _Toc3117178172.2 产生 PAGEREF _Toc311717817 h 2HYPERLINK l _Toc3117178182.3 特点 PAGEREF _Toc311717818 h 2HYPERLINK l _Toc3117178192.3.1 寄生性 PAGEREF _Toc311717819 h 2HYPERLINK l _Toc3117178202.3.2 传染性 PAGEREF _Toc311717820 h 3HYPERLINK l _Toc3117178212.3.3 潜伏性 PAGEREF _Toc31171

3、7821 h 3HYPERLINK l _Toc3117178222.3.4 隐蔽性 PAGEREF _Toc311717822 h 3HYPERLINK l _Toc3117178232.3.5 破坏性 PAGEREF _Toc311717823 h 3HYPERLINK l _Toc3117178242.3.6 可触发性 PAGEREF _Toc311717824 h 4HYPERLINK l _Toc3117178252.4 症状 PAGEREF _Toc311717825 h 4HYPERLINK l _Toc3117178262.5 预防（注意事项） PAGEREF _Toc3117

4、17826 h 5HYPERLINK l _Toc311717827第3章磁碟机病毒 PAGEREF _Toc311717827 h 7HYPERLINK l _Toc3117178283.1 背景介绍 PAGEREF _Toc311717828 h 7HYPERLINK l _Toc3117178293.2 简介 PAGEREF _Toc311717829 h 7HYPERLINK l _Toc3117178303.3 特征 PAGEREF _Toc311717830 h 8HYPERLINK l _Toc3117178313.3.1 传播性 PAGEREF _Toc311717831 h

5、8HYPERLINK l _Toc3117178323.3.2 隐蔽性 PAGEREF _Toc311717832 h 8HYPERLINK l _Toc3117178333.3.3 针对性 PAGEREF _Toc311717833 h 9HYPERLINK l _Toc3117178343.4 危害 PAGEREF _Toc311717834 h 9HYPERLINK l _Toc3117178353.5 主要症状 PAGEREF _Toc311717835 h 10HYPERLINK l _Toc3117178363.6 传播渠道 PAGEREF _Toc311717836 h 10HY

6、PERLINK l _Toc3117178373.7 解决方案 PAGEREF _Toc311717837 h 11HYPERLINK l _Toc3117178383.8 防御措施 PAGEREF _Toc311717838 h 11HYPERLINK l _Toc311717839第4章灰鸽子木马 PAGEREF _Toc311717839 h 13HYPERLINK l _Toc3117178404.1 发展历史 PAGEREF _Toc311717840 h 13HYPERLINK l _Toc3117178414.2 病毒简介 PAGEREF _Toc311717841 h 13HY

7、PERLINK l _Toc3117178424.3 反灰鸽子 PAGEREF _Toc311717842 h 14HYPERLINK l _Toc3117178434.4 经济效益 PAGEREF _Toc311717843 h 14HYPERLINK l _Toc3117178444.5 网络传播 PAGEREF _Toc311717844 h 15HYPERLINK l _Toc3117178454.6 杀毒技巧 PAGEREF _Toc311717845 h 15HYPERLINK l _Toc3117178464.7 手工检测 PAGEREF _Toc311717846 h 16HY

8、PERLINK l _Toc3117178474.8 手工清除 PAGEREF _Toc311717847 h 17HYPERLINK l _Toc3117178484.8.1 清除灰鸽子的服务： PAGEREF _Toc311717848 h 17HYPERLINK l _Toc3117178494.8.2 删除灰鸽子程序文件： PAGEREF _Toc311717849 h 17HYPERLINK l _Toc3117178504.9 防止中灰鸽子的注意事项 PAGEREF _Toc311717850 h 17HYPERLINK l _Toc311717851结论 PAGEREF _Toc

9、311717851 h 19HYPERLINK l _Toc311717852致 PAGEREF _Toc311717852 h 20HYPERLINK l _Toc311717853参考文献 PAGEREF _Toc311717853 h 21摘 要本篇论文介绍了磁碟机病毒和灰鸽子木马，主要从病毒的工作原理、检测、清除方法、前期预防等方面作阐述。现在互联网高速发展，然而在互联网高速发展的同时整个互联网也面临这各种病毒和木马的威胁、黑客的攻击等，这给网络安全带来了极不稳定的因素，因而导致每天因网络安全而造成大量的经济损失。相信读者通过本篇论文能对这两种木马和病毒有一定的认知，并能运用于日常的生

10、活中，在平时如果遇到了此类病毒的感染，也能快速有效的解决，以避免出现较大的损失。关键词网络安全；病毒；木马；磁碟机；灰鸽子第1章 绪论在这个互联网高速发展的时代，网络安全也日趋加重，各种病毒和木马的肆意横行，每天都有成千上万的电脑被感染，从而造成或大或小的损失。在这样一个背景下，做一篇关于网络安全的论文是很有必要的。本篇论文无论是在理论上还是在实际上对经常上网的人们来说都有着很重要很实际的意义，通过本篇论文人们能够对病毒多一点了解，以至于中毒后不至于不知所措从而造成很大的损失。本课题容来源主要来自互联网搜集和相关书籍资料，主要容包括病毒和木马的工作原理、检测、清除方法、前期预防等方面，采用分层

11、分点详细罗列的方法进行介绍。第2章 计算机病毒综述2.1 定义计算机病毒(Computer Virus)在中华人民国计算机信息系统安全保护条例中被明确定义，病毒指：编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。而在一般教科书与通用资料中被定义为：利用计算机软件与硬件的缺陷或操作系统漏洞，由被感染机部发出的破坏计算机数据并影响计算机正常工作的一组指令集或程序代码。2.2 产生病毒不是来源于突发或偶然的原因。病毒来自于一次偶然的事件，那时的研究人员为了计算出当时互联网的在线人数，然而它却自己“繁殖”了起来导致了整个服务器的崩溃和堵

12、塞，有时一次突发的停电和偶然的错误，会在计算机的磁盘和存中产生一些乱码和随机指令，但这些代码是无序和混乱的，病毒则是一种比较完美的，精巧严谨的代码，按照严格的秩序组织起来，与所在的系统网络环境相适应和配合起来，病毒不会通过偶然形成，并且需要有一定的长度，这个基本的长度从概率上来讲是不可能通过随机代码产生的。现在流行的病毒是由人为故意编写的，多数病毒可以找到作者和产地信息，从大量的统计分析来看，病毒作者主要情况和目的是：一些天才的程序员为了表现自己和证明自己的能力，出于对上司的不满，为了好奇，为了报复，为了祝贺和求爱，为了得到控制口令，为了软件拿不到报酬预留的陷阱等当然也有因政治、军事、民族、专

13、利等方面的需求而专门编写的，其中也包括一些病毒研究机构和黑客的测试病毒。2.3 特点2.3.1 寄生性计算机病毒寄生在其他程序之中，当执行这个程序时，病毒就起破坏作用，而在未启动这个程序之前，它是不易被人发觉的。2.3.2 传染性计算机病毒不但本身具有破坏性，更有害的是具有传染性，一旦病毒被复制或产生变种，其速度之快令人难以预防。传染性是病毒的基本特征。在生物界，病毒通过传染从一个生物体扩散到另一个生物体。在适当的条件下，它可得到大量繁殖，并使被感染的生物体表现出病症甚至死亡。同样，计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至瘫

14、痪。与生物病毒不同的是，计算机病毒是一段人为编制的计算机程序代码，这段程序代码一旦进入计算机并得以执行，它就会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。只要一台计算机染毒，如不与时处理，那么病毒会在这台电脑上迅速扩散，计算机病毒可通过各种可能的渠道，如移动存储介质、计算机网络去传染其他的计算机。当您在一台机器上发现了病毒时，往往曾在这台计算机上用过的移动存储介质已感染上了病毒，而与这台机器相联网的其他计算机很可能也被该病毒染上了。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。2.3.3 潜伏性有些病毒像定时炸弹一样，让它什么时间发作

15、是预先设计好的。比如黑色星期五病毒，不到预定时间一点都觉察不出来，等到条件具备的时候一下子就爆炸开来，对系统进行破坏。一个编制精巧的计算机病毒程序，进入系统之后一般不会马上发作，因此病毒可以静静地躲在磁盘或磁带里呆上几天，甚至几年，一旦时机成熟，得到运行机会，就又要四处繁殖、扩散，继续为害。潜伏性的第二种表现是指，计算机病毒的部往往有一种触发机制，不满足触发条件时，计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足，有的在屏幕上显示信息、图形或特殊标识，有的则执行破坏系统的操作，如格式化磁盘、删除磁盘文件、对数据文件做加密、封锁键盘以与使系统死锁等。2.3.4 隐蔽性计算机病毒具有很强的隐

16、蔽性，有的可以通过病毒软件检查出来，有的根本就查不出来，有的时隐时现、变化无常，这类病毒处理起来通常很困难。2.3.5 破坏性计算机中毒后，可能会导致正常的程序无法运行，把计算机的文件删除或受到不同程度的损坏 。通常表现为：增、删、改、移。2.3.6 可触发性病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性。为了隐蔽自己，病毒必须潜伏，少做动作。如果完全不动，一直潜伏的话，病毒既不能感染也不能进行破坏，便失去了杀伤力。病毒既要隐蔽又要维持杀伤力，它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发条件，这些条件可能是时间、日期、文件类

17、型或某些特定数据等。病毒运行时，触发机制检查预定条件是否满足，如果满足，启动感染或破坏动作，使病毒进行感染或攻击；如果不满足，使病毒继续潜伏。2.4 症状（1）计算机系统运行速度减慢；（2）计算机系统经常无故发生死机；（3）计算机系统中的文件长度发生变化；（4）计算机存储的容量异常减少；（5）系统引导速度减慢；（6）丢失文件或文件损坏；（7）计算机屏幕上出现异常显示；（8）计算机系统的蜂鸣器出现异常声响；（9）磁盘卷标发生变化；（10）系统不识别硬盘；（11）对存储系统异常访问；（12）键盘输入异常；（13）文件的日期、时间、属性等发生变化；（14）文件无确读取、复制或打开；（15）命令执行出

18、现错误；（16）虚假报警；（17）换当前盘。有些病毒会将当前盘切换到C盘；（18）时钟倒转。有些病毒会命名系统时间倒转，逆向计时；（19）WINDOWS操作系统无故频繁出现错误；（20）系统异常重新启动；（21）一些外部设备工作异常；（22）异常要求用户输入密码；（23）WORD或EXCEL提示执行“宏”；（24）使不应驻留存的程序驻留存。2.5 预防（注意事项）（1）建立良好的安全习惯。例如：对一些来历不明的与附件不要打开，不要上一些不太了解的，不要执行从 Internet 下载后未经杀毒处理的软件等，这些必要的习惯会使您的计算机更安全；（2）关闭或删除系统中不需要的服务。默认情况下，许多操

19、作系统会安装一些辅助服务，如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便，而又对用户没有太大用处，如果删除它们，就能大大减少被攻击的可能性；（3）经常升级安全补丁。据统计，有80%的网络病毒是通过系统安全漏洞进行传播的，象蠕虫王、冲击波、震荡波等，所以我们应该定期到微软去下载最新的安全补丁，以防未然；（4）使用复杂的密码。有许多网络病毒就是通过猜测简单密码的方式攻击系统的，因此使用复杂的密码，将会大大提高计算机的安全系数；（5）迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网，以防止计算机受到更多的感染，或者成为传播源，再次感染其它计算机；（6）

20、了解一些病毒知识。这样就可以与时发现新病毒并采取相应措施，在关键时刻使自己的计算机免受病毒破坏。如果能了解一些注册表知识，就可以定期看一看注册表的自启动项是否有可疑键值；如果了解一些存知识，就可以经常看看存中是否有可疑程序；（7）最好安装专业的杀毒软件进行全面监控。在病毒日益增多的今天，使用杀毒软件进行防毒，是越来越经济的选择，不过用户在安装了反病毒软件之后，应该经常进行升级，将一些主要监控经常打开(如监控、存监控等)，遇到问题要上报，这样才能真正保障计算机的安全；（8）用户还应该安装个人防火墙软件进行防黑。由于网络的发展，用户电脑面临的黑客攻击问题也越来越严重，许多网络病毒都采用了黑客的方法

21、来攻击用户电脑，因此，用户还应该安装个人防火墙软件，将安全级别设为中、高，这样才能有效地防止网络上的黑客攻击。第3章 磁碟机病毒磁碟机病毒又名dummycom病毒，出现于2008年3月，是近几年来发现的病毒技术含量最高、破坏性最强的病毒，其破坏能力、自我保护和反杀毒软件能力均10倍于“熊猫烧香”。据360安全中心统计每日感染磁碟机病毒人数已逾100,1000用户！“磁碟机”现已经出现100余个变种，目前病毒感染和传播围正在呈现蔓延之势。3.1 背景介绍磁碟机病毒并不是一个新病毒，早在2007年2月的时候，就已经初现端倪。当时它仅仅作为一种蠕虫病毒，成为所有反病毒工作者的关注目标。而当时这种病毒

22、的行为也仅仅局限于在系统目录%system%system32生成lsass.exe和smss.exe，感染用户电脑上的exe文件。病毒在此时的传播量和处理的技术难度都不大。然而在2008年3月，病毒作者经过长达一年的辛勤工作（数据表明，病毒作者几乎每两天就会更新一次病毒）之后，并吸取了其他病毒的特点（例如臭名昭著的“AV终结者”、“机器狗”等），结合了目前病毒流行的传播手段，逐渐发展为目前感染量、破坏性、清除难度都超过同期病毒的新一代毒王。3.2 简介磁碟机病毒主要通过U盘和局域网ARP攻击传播，如果当你无法访问各个安全软件站点，或者从安全站点的官网上下载的安装程序有问题的话，极有可能是已经中

23、了磁碟机病毒。“磁碟机”（又名“千足虫”）病毒感染系统可执行文件，能够利用多种手段终止杀毒软件运行，并可导致被感染计算机系统出现蓝屏、死机等现象，严重危害被感染计算机的系统和数据安全。与其它关闭杀毒软件的病毒不同的是，该病毒利用了多达六种强制关闭杀毒软件和干扰用户查杀的反攻手段，许多自身保护能力不够强壮的杀毒软件在病毒面前纷纷被杀。病毒在每个磁盘下生成pagefile.exe和Autorun.inf文件，并每隔几秒检测文件是否存在，修改注册表键值，破坏“显示系统文件”功能。每隔一段时间会检测自己破坏过的显示文件、安全模式、Ifeo、病毒文件等项，如被修改则重新破坏。病毒执行后，会删除病毒主体文

24、件。病毒会监控lsass.exe、smss.exe、dnsq.dll文件，如果假设不存在的话则重新生成。当拷贝失败后，病毒会删除原来的文件，再重新写入。病毒会连接恶意网址下载大量木马病毒。该病毒运行后会在系统目录中COM目录（默认为c:windowssystem32）下生成名为lsass.exe与smss.exe文件。该病毒会感染除windows与program files以外目录下所有的EXE格式可执行文件，会造成用户计算机运算速度缓慢，甚至造成系统蓝屏、死机。由于该病毒编写存在一些问题，可能会造成用户安装的软件被损坏，无法使用。3.3 特征磁碟机病毒是一个下载者病毒，会关闭一些安全工具和杀

25、毒软件并阻止其运行，并会不断检测窗口来关闭一些杀毒软件与安全辅助工具，破坏安全模式，删除一些杀毒软件和实时监控的服务，远程注入到其它进程来启动被结束进程的病毒。3.3.1 传播性（1）在上挂马：在用户访问一些不安全的时，就会被植入病毒。这也是早期磁碟机最主要的传播方式；（2）通过U盘等移动存储设备传播：染毒的机器会在每个分区（包括可移动存储设备）根目录下释放autorun.inf和pagefile.pif两个文件。达到自动运行的目的；（3）局域网的ARP传播方式：磁碟机病毒会下载其他的ARP病毒，并利用ARP病毒传播的隐蔽性，在局域网传播。值得注意的是：病毒之间相互利用，狼狈为奸已经成为现在流

26、行病的一个主要趋势，利用其它病毒的特点弥补自身的不足。3.3.2 隐蔽性（1）传播的隐蔽性：从上面的描述可以看出，病毒在传播过程中，所利用的技术手段都是用户，甚至是杀毒软件无法截获的；（2）启动的隐蔽性：病毒不会主动添加启动项（这是为了逃避系统诊断工具的检测，也是其针对性的体现），而是通过重启重命名方式把C:下的*.log文件（.log是日志类型文件，*是一些不固定的数字）改名到“启动”文件夹。重启重命名优先于自启动，启动完成之后又将自己删除或改名回去。已达到逃避安全工具检测的目的，使得当前大多数杀毒软件无法有效避免病毒随机启动。3.3.3 针对性（1）关闭安全软件：病毒设置全局钩子，根据关键

27、字关闭杀毒软件和诊断工具。另外，病毒还能枚举当前进程名，根据关键字Rav、avp、kv、kissvc、scan来结束进程；（2）破坏文件的显示方式：病毒修改注册表，使得文件夹选项的隐藏属性被修改，使得隐藏文件无法显示，逃避被用户手动删除的可能；（3）破坏安全模式：病毒会删除注册表中和安全模式相关的值，使得安全模式被破坏，无法进入；为了避免安全模式被其他工具修复，病毒还会反复改写注册表；（4）破坏杀毒软件的自保护：病毒会在C盘释放一个NetApi00.sys的驱动文件，并通过服务加载，使得很多杀毒软件的监控和主动防御失效，目的达到后，病毒会将驱动删除，消除痕迹；（5）破坏安全组策略：病毒在计算机

28、启动后就会马上自动删除注册表HKEY_LOCAL_MACHINESoftWarePolicies MicrosoftWindowsSafer键和子键，并会反复改写；（6）自动运行：病毒在每个硬盘分区根目录下生成的autorun.inf和pagefile.pif，是以独占式打开的，无法直接删除；（7）阻止其他安全软件随机启动：病毒删除注册表整个RUN项和子键；（8）病毒自我保护： smss.exe和lsass.exe运行起来后，由于和系统进程名一样（路径不同），任务管理器无法将它们直接结束。病毒在检测到这两个进程被关闭后，会立即再次启动；如果启动被阻止，病毒就会立即重启系统。3.4 危害（1）修

29、改系统默认加载的DLL 列表项来实现DLL 注入，通过远程进程注入，并根据以下关键字关闭杀毒软件和病毒诊断等工具；（2）修改注册表破坏文件夹选项的隐藏属性，使隐藏的文件无法被显示；（3）自动下载最新版本和其它的一些病毒木马到本地运行；（4）不断删除注册表的关键键值来破坏安全模式和杀毒软件和主动防御的服务，使很多主动防御软件和实时监控无法再被开启；（5）病毒并不主动添加启动项，而是通过重启重命名方式，这种方式自启动极为隐蔽，现有的安全工具很难检测出来；（6）病毒会感染除SYSTEM32 目录外其它目录下的所有可执行文件，并且会感染压缩包的文件。3.5 主要症状（1）系统运行缓慢、频繁出现死机、蓝

30、屏、报错等现象；（2）进程中出现两个lsass.exe和两个smss.exe ，且病毒进程的用户名是当前登陆用户名（如果只有1个lsass.exe和1个smss.exe，且对应用户名为system，则是系统正常文件，请不用担心）；（3）杀毒软件被破坏，多种安全软件无法打开，安全站点无法访问；（4）系统时间被篡改，无法进入安全模式，隐藏文件无法显示；（5）病毒感染.exe文件导致其图标发生变化；（6）会对局域网发起ARP攻击，并篡改下载为病毒；（7）弹出钓鱼。3.6 传播渠道（1）U盘/移动硬盘/数码存储卡；（2）局域网ARP攻击；（3）感染文件；（4）恶意下载；（5）其它木马下载器下载。3.7

31、 解决方案磁碟机病毒和AV终结者、机器狗的表现很类似，技术上讲磁碟机的抗杀能力更强。多种杀毒软件无法拦截磁碟机的最新变种，在中毒之后，安装杀毒软件失败的可能性很大。在某些没有任何防御措施的电脑上，可能磁碟机专杀工具一运行就会被删除。据调查，这种情况是多种病毒混合入侵导致。在这种极端情况下，我们可以尝试的杀毒方案有：（1）尝试启动系统到安全模式或带命令行的安全模式。具体办法：重启前，从其它正常电脑COPY已经升级到最新的杀毒软件，简单地把整个安装目录COPY过来。安全模式下运行kav32.exe，或者在命令行下运行kavdx，如果这个病毒不是很BT的话，有希望解决；（2）WINPE急救光盘引导后

32、杀毒。WINPE启动后，运行kav32.exe或kavdx；（3）挂从盘杀毒。必须注意：在挂从盘杀毒前，正常的电脑务必使用金山清理专家的U盘免疫功能，将所有磁盘的自动运行功能关闭，避免使用双击的方式访问带毒硬盘，禁用自动运行能大大减少中毒的风险；（4）重装系统。装完切记，不要用双击打开其它磁盘或插入可能有毒的U盘，先上网下载金山毒霸，升级到最新，使用清理专家的U盘免疫，禁用所有磁盘的自动运行。3.8 防御措施（1）与时更新杀毒软件，以拦截最新变种。不升级的杀毒软件和不装是一样的，和“磁碟机”类似的几个病毒都会找杀毒软件下手，注意观察杀毒软件的工作状态，可以充当“磁碟机”之类病毒破坏系统的晴雨表

33、；（2）与时修补操作系统漏洞、浏览器漏洞和应用软件漏洞。windows update、清理专家都是打补丁好手。播放器、下载工具，最好用官方的最新版，至少老漏洞都修补过；（3）网络防火墙、ARP防火墙一个也不能少。网络防火墙和ARP防火墙对“磁碟机”在局域网的泛滥可以起到遏制作用；（4）保持足够警惕，小心接收和打开不明程序，不要被文件的图标所蒙蔽。控制面板中修改文件夹选项，显示所有文件的扩展名，发现EXE/PIF/COM/SCR等类型文件一定要倍加小心。如果你的资源管理器工具菜单下文件夹选项不见了，或者打开后，修改选项失效，通常也是中毒的标志；（5）常备一套工具箱。清理专家、冰刃、AV终结者专杀

34、、磁碟机专杀。需要时，这些小工具可令系统起死回生；（6）强烈建议禁用自动运行功能，这个功能对病毒传播制造了太多机会，自动运行提供的方便性几乎没有价值；（7）与时反应，减轻损失。一旦感染该病毒，应该与时停止登录在线游戏，请求游戏运营商先将冻结，避免遭受损失。第4章 灰鸽子木马灰鸽子（Hack. Huigezi）是一个集多种控制方法于一体的木马，一旦用户电脑不幸感染，可以说用户的一举一动都在黑客的监控之下，要窃取账号、密码、照片、重要文件都轻而易举。更甚的是，他们还可以连续捕获远程电脑屏幕，还能监控被控电脑上的摄像头，自动开机（不开显示器）并利用摄像头进行录像。截至2006年底，“灰鸽子”木马已经

35、出现了6万多个变种。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时，灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事，灰鸽子就成了很强大的黑客工具。4.1 发展历史自2001年，灰鸽子诞生之日起，就被反病毒专业人士判定为最具危险性的后门程序，并引发了安全领域的高度关注。2004年、2005年、2006年，灰鸽子木马连续三年被国各大杀毒厂商评选为年度十大病毒，灰鸽子也因此声名大噪，逐步成为媒体以与网民关注的焦点。灰鸽子自2001年出现至今，主要经历了模仿期、飞速发展期以与全民黑客时代三大阶段。表 4-1 灰鸽子发展历史模仿期飞速发展期全民黑客时代2001年-200

36、3年2004年-2005年2006年-2007年灰鸽子2011年出现最新变种，服务端仅有70kb，比军（最早灰鸽子的作者）的灰鸽子小了近10倍，隐蔽性更强。4.2 病毒简介（1）客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时，灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事，灰鸽子就成了很强大的黑客工具。对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚，在此只能进行简要介绍。灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型（如等待连接还是主动连接）、主动连接时使用的公网IP（域名）、连接密码、使用的

37、端口、服务名称、代理、图标等等；（2）作者军（1982-?）潜山人，灰鸽子工作室管理员，精通Delphi、ASP、数据库编程，2001年首次将反弹连接应用在远程控制软件上，随后掀起了国远程控制软件使用反弹连接的热潮，2005年4月，将虚拟驱动技术应用到灰鸽子屏幕控制上，使灰鸽子的屏幕控制达到了国际先进水平；（3）服务器端：配置出来的服务端文件文件名为G_Server.exe（这是默认的，当然也可以更改），然后黑客利用一切办法诱骗用户运行G_Server.exe程序。G_Server.exe运行后将自己拷贝到Windows目录下，然后再从体释放G_Server.dll和G_Server_Hook

38、.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端， G_Server_Hook.dll负责隐藏灰鸽子，所以，有些时候用户感觉中了毒，但仔细检查却又发现不了什么异常（有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作）。注意：Windows目录下的G_Server.exe文件将自己注册成服务，每次开机都能自动运行，运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能，与控制端进行通信；G_Ser

39、ver_Hook.dll则隐藏病毒。因此，中毒后，我们看不到病毒文件，也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G_Server_Hook.dll有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中；4.3 反灰鸽子对于灰鸽子给社会带来的种种危害，国也有部分的团队组织反灰鸽子，对灰鸽子做一系列的剿匪，主要的反灰鸽子组织有：唯特科技，黑客基地等，其中的唯特科技出版了很多预防灰鸽子的视频教程，建议网民多关注。4.4 经济效益黑客可以在灰鸽子工作室的上花100元下载灰鸽子，在网上花200元就可以找师傅学灰鸽子。而黑客一天可以控制上百个用户，网民称之“肉鸡”。据悉，

40、某些黑客一天可以抓200只“鸡”，一天盗几十个号，好号可以卖几十元甚至1000元，普通的也能是几块钱。每月平均赚3000元，据称这还是小的，有的黑客甚至一月上万元。个别有不良思想的公司会请黑客们入侵另一家公司，攻击或者窃取资料，然后会付给一些报酬。网上也会有一些人想要“逗逗”朋友或者其他用途，都想恶作剧，常常造成严重的后果。4.5 网络传播有用户反映他的电脑感染了一个叫“灰鸽子”的变种病毒，而且用最新病毒库的杀毒软件杀毒后病毒仍然会出现，他周围也有朋友反映遇到了这种情况，现在他的电脑运行十分缓慢，CPU占用率常常达到100%，而且CMD命令Netstat -an查看端口中常常会出现一个莫名端口

41、为“8000” (灰鸽子默认端口)。江民反病毒专家介绍，他们近期也接到了大量的用户上报，江民病毒实时监控系统监测的情况，“灰鸽子”病毒与其变种正在网上加速传播，该病毒在每周十大病毒排行中位居首位，并以每天十几个变种的速度加速传播。江民反病毒专家介绍，“灰鸽子”变种病毒运行后，会自我复制到Windows目录下，并自行将安装程序删除。修改注册表，将病毒文件注册为服务项实现开机自启。病毒程序还会注入所有的进程中，隐藏自我，防止被杀毒软件查杀。自动开启IE浏览器，以便与外界进行通信，侦听黑客指令，在用户不知情的情况下连接黑客指定站点，盗取用户信息、下载其它特定程序。专家介绍，正是由于“灰鸽子”变种主程

42、序一般是隐藏的，该文件在正常模式下不易被杀毒软件查杀，易生成新变种。4.6 杀毒技巧该木马为只读、隐藏或存档，使得计算机用户无法发现并删除。该变种还会修改受感染系统注册表中的启动项，使得变种随计算机系统启动而自动运行。另外，该变种还会在受感染操作系统中创建新的IE进程，并设置其属性为隐藏，然后将病毒文件自身插入到该进程中。如果恶意攻击者利用该变种入侵感染计算机系统，那么受感染的操作系统会主动连接互联网络中指定的服务器，下载其他病毒、木马等恶意程序，同时恶意攻击者还会窃取计算机用户的键盘操作信息（如：登录账户名和密码信息等），最终造成受感染的计算机系统被完全控制，严重威胁到计算机用户的系统和信息

43、安全。4.7 手工检测由于灰鸽子在正常模式下服务端程序文件和它注册的服务项均被隐藏，也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外，灰鸽子服务端的文件名也是可以自定义的，这都给手工检测带来了一定的困难。但是，通过仔细观察发现，对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出，无论自定义的服务器端文件名是什么，一般都会在操作系统的安装目录下生成一个以“*_hook.dll”结尾的文件。通过这一点，我们可以较为准确手工检测出灰鸽子服务端。由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是：启动计算机，在系统进入Windows

44、启动画面前，按下F8键（或者在启动计算机时按住Ctrl键不放），在出现的启动选项菜单中，选择“Safe Mode”或“安全模式”。（1）由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“ 显示所有文件和文件夹”，然后点击“确定”；（2）打开Windows的“搜索文件”，文件名称输入“_hook.dll”，搜索位置选择Windows的安装目录（默认98/xp为C:windows，2k/NT为C:Winnt）；（3）例如，经过搜索，我们在Windows目录（不包含子目录）下发现了一个名为Game_Hook.dll的文件；（4）根据灰鸽子原理分析我们知道，如果Game_Hook.DLL是灰鸽子的文件，则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录，果然有这两个文件，同时还有一个用于记录键盘操作的GameKey.dll文件。经过这几步操作我们基本就可以确定这些文件是灰鸽子服务端了，下面就可以进行手动清除。4.8 手工清除经过上面的分析，