監控軟件,遠程控制,使用教程,遠程控制軟件。灰鴿子。
*監控軟件.維護企業安全.可監控電腦一切操作,支持手機遠程控制電腦和遠程控制手機,多年技術積累安全穩定.。視頻監控,灰鴿子遠程控制軟件,一體化遠程控制管理,遠程控制電腦,屏幕監控,局域網監控。
灰鴿子工作室于2003年初成立,定位于遠程控制、遠程管理、遠程監控軟件開發,主要產品為灰鴿子遠程控制系列軟件產品。灰鴿子工作室的軟件產品,均為商業化的遠程控制軟件,主要提供給網吧、企業及個人用戶進行電腦軟件管理使用;灰鴿子軟件已獲得國家頒布的計算機軟件著作權登記證書,受著作權法保護。
然而,我們痛心的看到,目前互聯網上出現了利用灰鴿子遠程管理軟件以及惡意破解和篡改灰鴿子遠程管理軟件為工具的不法行為,這些行為嚴重影響了灰鴿子遠程管理軟件的聲譽,同時也擾亂了網絡秩序。這完全違背了灰鴿子工作室的宗旨和開發灰鴿子遠程管理軟件的初衷。在此我們呼吁、勸告那些利用遠程控制技術進行非法行為的不法分子應立即停止此類非法活動。
應該表明的是,灰鴿子工作室自成立以來恪守國家法律和有關網絡管理的規定,具有高度的社會責任感。為有效制止不法分子非法利用灰鴿子遠程管理軟件從事危害社會的非法活動,在此,我們鄭重聲明,自即日起決定全面停止對灰鴿子遠程管理軟件的開發、更新和注冊,以實際行動和堅定的態度來抵制這種非法利用灰鴿子遠程管理軟件的不法行為,并誠懇接受廣大網民的監督。
灰鴿子工作室譴責那些非法利用遠程控制技術實現非法目的的行為,對于此類行為,灰鴿子工作室發布了灰鴿子服務端卸載程序,以便于廣大網民方便卸載那些被非法安裝于自己計算機的灰鴿子服務端。
配置出來的服務端文件文件名為G_Server.exe(這是默認的,當然也可以改變)。然后駭客利用一切辦法誘騙用戶運行G_Server.exe程序。
運行過程G_Server.exe運行后將自己拷貝到Windows目錄下(98/xp下為系統盤的windows目錄,2k/NT下為系統盤的Winnt目錄),然后再從體內釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個文件相互配合組成了灰鴿子服務端, G_Server_Hook.dll負責隱藏灰鴿子。通過截獲進程的API調用隱藏灰鴿子的文件、服務的注冊表項,甚至是進程中的模塊名。截獲的函數主要是用來遍歷文件、遍歷注冊表項和遍歷進程模塊的一些函數。所以,有些時候用戶感覺中了毒,但仔細檢查卻又發現不了什么異常。有些灰鴿子會多釋放出一個名為G_ServerKey.dll的文件用來記錄鍵盤操作。注意,G_Server.exe這個名稱并不固定,它是可以定制的,比如當定制服務端文件名為A.exe時,生成的文件就是A.exe、A.dll和A_Hook.dll。Windows目錄下的G_Server.exe文件將自己注冊成服務(9X系統寫注冊表啟動項),每次開機都能自動運行,運行后啟動G_Server.dll和G_Server_Hook.dll并自動退出。G_Server.dll文件實現后門功能,與控制端客戶端進行通信;G_Server_Hook.dll則通過攔截API調用來隱藏病毒。因此,中毒后,看不到病毒文件,也看不到病毒注冊的服務項。隨著灰鴿子服務端文件的設置不同,G_Server_Hook.dll有時候附在Explorer.exe的進程空間中,有時候則是附在所有進程中。
由于灰鴿子攔截了API調用,在正常模式下服務端程序文件和它注冊的服務項均被隱藏,也就是說你即使設置了“顯示所有隱藏文件”也看不到它們。此外,灰鴿子服務端的文件名也是可以自定義的,這都給手工檢測帶來了一定的困難。
但是,通過仔細觀察我們發現,對于灰鴿子的檢測仍然是有規律可循的。從上面的運行原理分析可以看出,無論自定義的服務器端文件名是什么,一般都會在操作系統的安裝目錄下生成一個以“_hook.dll”結尾的文件。通過這一點,我們可以較為準確手工檢測出灰鴿子 服務端。
由于正常模式下灰鴿子會隱藏自身,因此檢測灰鴿子的操作一定要在安全模式下進行。進入安全模式的方法是:啟動計算機,在系統進入Windows啟動畫面前,按下F8鍵(或者在啟動計算機時按住Ctrl鍵不放),在出現的啟動選項菜單中,選擇“Safe Mode”或“安全模式”。
1、由于灰鴿子的文件本身具有隱藏屬性,因此要設置Windows顯示所有文件。打開“我的電腦”,選擇菜單“工具”—》“文件夾選項”,點擊“查看”,取消“隱藏受保護的操作系統文件”前的對勾,并在“隱藏文件和文件夾”項中選擇“ 顯示所有文件和文件夾”,然后點擊“確定”。
2.打開Windows的“搜索文件”,文件名稱輸入“_hook.dll”,搜索位置選擇Windows的安裝目錄(默認98/xp為C:\windows,2k/NT為C:\Winnt)。
3.經過搜索,我們在Windows目錄(不包含子目錄)下發現了一個名為Game_Hook.dll的文件。
4.根據灰鴿子原理分析我們知道,如果Game_Hook.DLL是灰鴿子的文件,則在操作系統安裝目錄下還會有Game.exe和Game.dll文件。打開Windows目錄,果然有這兩個文件,同時還有一個用于記錄鍵盤操作的GameKey.dll文件。
手工清除經過上面的分析,清除灰鴿子就很容易了。清除灰鴿子仍然要在安全模式下操作,主要有兩步:
1.清除灰鴿子的服務;
2.刪除灰鴿子程序文件。
注意:為防止誤操作,清除前一定要做好備份。
(一)、清除灰鴿子的服務注意清除灰鴿子的服務一定要在注冊表里完成,對注冊表不熟悉的網友請找熟悉的人幫忙操作,清除灰鴿子的服務一定要先備份注冊表,或者到純DOS下將注冊表文件更名,然后再去注冊表刪除灰鴿子的服務。因為病毒會和EXE文件進行關聯
2000/XP系統:
1.打開注冊表編輯器(點擊“開始”-》“運行”,輸入“Regedit.exe”,確定。),打開 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注冊表項。
2.點擊菜單“編輯”-》“查找”,“查找目標”輸入“game.exe”,點擊確定,我們就可以找到灰鴿子的服務項(此例為Game_Server,每個人這個服務項名稱是不同的)。
3.刪除整個Game_Server項。
98/me系統:在9X下,灰鴿子啟動項只有一個,因此清除更為簡單。運行注冊表編輯器,打開HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run項,我們立即看到名為Game.exe的一項,將Game.exe項刪除即可。
(二)、刪除灰鴿子程序文件
刪除灰鴿子程序文件非常簡單,只需要在安全模式下刪除Windows目錄下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新啟動計算機。至此,灰鴿子VIP 2005 服務端已經被清除干凈。
病毒預防1. 給系統安裝補丁程序。通過Windows Update安裝好系統補丁程序(關鍵更新、安全更新和Service pack),其中MS04-011、MS04-012、MS04-013、MS03-001、MS03-007、MS03-049、MS04-032等都被病毒廣泛利用,是非常必要的補丁程序。
2. 給系統管理員帳戶設置足夠復雜足夠強壯的密碼,較好能是10位以上,字母+數字+其它符號的組合;也可以禁用/刪除一些不使用的帳戶。
2. 經常更新殺毒軟件(病毒庫),設置允許的可設置為每天定時自動更新。安裝并合理使用網絡防火墻軟件,網絡防火墻在防病毒過程中也可以起到至關重要的作用,能有效地阻擋自來網絡的攻擊和病毒的入侵。部分盜版Windows用戶不能正常安裝補丁,這點也比較無奈,這部分用戶不妨通過使用網絡防火墻來進行一定防護。
3. 關閉一些不需要的服務,條件允許的可關閉沒有必要的共享,也包括C$、D$等管理共享。完全單機的用戶可直接關閉Server服務。
用戶反映他的電腦感染了一個叫“灰鴿子”的變種病毒,而且用較新病毒庫的殺毒軟件殺毒后病毒仍然會出現,他周圍也有朋友反映遇到了這種情況,現在他的電腦運行十分緩慢,CPU占用率常常達到100%。
“灰鴿子”病毒及其變種正在網上加速傳播,該病毒在每周十大病毒排行中位居首位,并以每天十幾個變種的速度加速傳播。江民反病毒專家介紹,“灰鴿子”變種病毒運行后,會自我復制到Windows目錄下,并自行將安裝程序刪除。修改注冊表,將病毒文件注冊為服務項實現開機自啟。病毒程序還會注入所有的進程中,隱藏自我,防止被殺毒軟件查殺。自動開啟IE瀏覽器,以便與外界進行通信,偵聽黑客指令,在用戶不知情的情況下連接黑客指定站點,盜取用戶信息、下載其它特定程序。
正是由于“灰鴿子”變種主程序一般是隱藏的,該文件在正常模式下不易被殺毒軟件查殺,而且利用一些加殼工具可以十分容易地對其進行修改,從而輕易生成新變種。
溫馨提醒:文章觀點來源網絡,隨時光飛逝,歲月變遷,準確性、可靠性、難免有所變動,因此本文內容僅供參考!
