灰鴿子使用教程(不要亂用鴿子）灰鴿子 [VIP 專業(yè)版]1. 只用一個端口來傳輸所有通訊數(shù)據(jù)！普通同類軟件都用到了兩個或兩個以 上的端口來完成！2. 支持可以控制Internet 連接共享、HTTP

灰鴿子使用教程(不要亂用鴿子）

灰鴿子 [VIP 專業(yè)版]

1. 只用一個端口來傳輸所有通訊數(shù)據(jù)！普通同類軟件都用到了兩個或兩個以 上的端口來完成！

2. 支持可以控制Internet 連接共享、HTTP 透明代理上網(wǎng)的電腦！軟件智能讀 取系統(tǒng)設(shè)定的代理服務(wù)器信息，無需用戶設(shè)置！

3. 無需知道服務(wù)端IP ，自動上線功能讓服務(wù)端自動上線報道！灰鴿子專用的

上線系統(tǒng)無需您注冊免費域名才能使用, 同時也提供了備用上線方式，在我們的專 用上線系統(tǒng)出現(xiàn)故障時，您可以使用備用上線方式來使用自動上線功能。在使用 專用上線系統(tǒng)時，你還可以控制遠程電腦通過Socks5代理來中轉(zhuǎn)自動上線。

4. 自動上線可以在第一次設(shè)置分組，自定義上線圖像，上線備注等，這樣都

可以讓你輕而易舉的找到目標(biāo)主機，同時設(shè)置連接密碼保證了服務(wù)主機的安全性 ！同時具用牽手版的搜索符合條件主機的功能：

a. 從主機窗口篩選：可以列出只有某個窗口的一批主機, 可以輕松找到哪些人 在玩某個游戲！

b. 從主機進程篩選：可以列出運行了某個程序的一批主機, 例如QQ.exe, 就可 以找到打開了QQ 的自動上線主機有哪些了！

5. 文件管理：管理遠程電腦的文件系統(tǒng), 支持復(fù)制、粘貼、刪除，斷點下載、 上傳文件或文件夾，文件內(nèi)容均以加密方式傳輸，確保通訊的安全性.

6. 遠程控制命令：包括遠程系統(tǒng)信息、剪切板信息、進程管理、窗口管理、 鍵盤記錄、服務(wù)管理、管理管理、MS-DOS 模擬、代理服務(wù)控制！

7. 注冊表編輯器：可以像操作本機注冊表一樣的編輯遠程注冊表。

8. 常用命令廣播，讓你控制主機眾多主機更多的方便！詳細的在線主機線表 顯示了：主機IP 地址，地址位置，電腦名稱，系統(tǒng)版本, 備注等信息,

9. 除了具有語音監(jiān)聽、語音發(fā)送，還有遠程視頻監(jiān)控功能，只有遠程計算機

有攝像頭，且正常打開沒有被占用，那么你可以看到, 遠程攝像頭捕獲的圖片！還 可以把遠程攝像頭捕獲的畫面存為Mpeg-1格式. 遠程語音也可以錄制成Wav 聲音文 件。

10. 可以設(shè)置服務(wù)端開放Socks5代理服務(wù)器功能和HTTP 代理服務(wù)功能！無需第 三方軟件支持！支持Windows9x/ME/2000/Xp/2003。

11. 軟件附帶有四款實用工具：

a. EXE工具 : 可以修改任何EXE 文件圖標(biāo)，支持真彩色！

b. 內(nèi)網(wǎng)端口映射器 : 它允許你將局域網(wǎng)內(nèi)的服務(wù)映射到internet 上，使

你在局域網(wǎng)內(nèi)部也能使用自動上線功能！

c. FTP服務(wù)器 : 可以開本機FTP 服務(wù)！

d. Web服務(wù)器 : 可以建立一個簡單的Web 服務(wù)器！

12. 服務(wù)端程序在 Windows 2000 / xp / 2003 可以以服務(wù)啟動, 支持發(fā)送多 種組合鍵, 比如:Ctrl Alt del等等, 適用于管理服務(wù)器主機! 遠程屏幕捕獲還可以 錄制為Mpeg-1文件格式.

13. 全中文友好操作界面，讓你一目了然，漂亮皮膚讓使用時也倍感親切！ 功能簡單介紹：

【1】對遠程計算機文件管理：模枋 Windows 資源管理器，可以對文件進行復(fù)制 、粘貼、刪除，重命名、遠程運行等, 可以上傳下載文件或文件夾, 操作簡單易用 。

【2】遠程控制命令：查看遠程系統(tǒng)信息、剪切板查看、進程管理、服務(wù)管理、共 享管理！

【3】捕獲屏幕：不但可以連繼的捕獲遠程電腦屏幕，還能把本地的鼠標(biāo)及鍵盤傳 動作送到遠程實現(xiàn)實時控制功能！

【4】視頻語音，可以監(jiān)控遠程攝像頭, 還有語音監(jiān)聽和發(fā)送功能，可以和遠程主 機進行語音對話！

【5】telnet(超級終端).

【6】注冊表模擬器：遠程注冊表操作就像操作本地注冊表一樣方便!

【7】命令廣播：可以對自動上線主機進行命令廣播，如關(guān)機、重啟、打開網(wǎng)頁， 篩選符合條件的機等，點一個按鈕就可以讓N 臺機器同時關(guān)機或進行其它操作！

【8】服務(wù)端以服務(wù)方式啟動，支持發(fā)送多種組合鍵，可以輕松管理遠程服務(wù)器！

【9】專用的自動上線系統(tǒng)，直接使用灰鴿子注冊ID 即可實現(xiàn)遠程服務(wù)端自動上線 ！

【10】多種自動上線方式：專用上線、DNS 解析域名、固定IP 等，用戶自由選擇！ 注冊灰鴿子軟件后享有：

⒈享用軟件的所有功能, 沒有任何限制!

⒉能使用對應(yīng)的灰鴿子注冊版本，能得到此版后期修正的正式版本!

⒊可以使用我們的專用上線系統(tǒng)，無需其它域名和空間支持!

⒋得到我們更好的技術(shù)服務(wù)!

注：[VIP版] 包括 VIP2005、Version 1.2、Version 2.0 !

[企業(yè)版]用戶只能使用企業(yè)版！不能使用其它版本！

5. 加入會員后，會自動加入官方論壇。享受官方技術(shù)支持

灰鴿子第二章：好馬配好鞍，服務(wù)端正確配置。

灰鴿子是一款要交錢的軟件，也就是說，你使用VIP 版的話是要交給作者每年幾十 塊錢的使用費（不作任何評論）

因此網(wǎng)上也就有很多高手破解灰鴿子，讓灰鴿子可以不用到灰鴿子的官方網(wǎng)站進 行驗證，從而可以不用交錢就可以使用，

相關(guān)版本有：影子鷹破解專用版，愛兒破解版，以及華夏黑客聯(lián)盟的灰鴿子 sunray 破解版。

今天我們就用" 灰鴿子sunray 破解版" 來向大家詳細解析這款木馬的服務(wù)端配置方 式，只可實驗，不可做壞事，大家不喜歡請?zhí)^這一章。

第一節(jié)：未雨綢繆，實驗準(zhǔn)備。

第一, 關(guān)閉殺毒軟件，這點不用我說了吧~~~因為是木馬，下載了之后如

果殺毒軟件監(jiān)控開著的話肯定會被刪除的。

第二，當(dāng)然是下載灰鴿子的軟件啦~~~上網(wǎng)找，有很多~~~

第三，申請一個免費的主頁空間，為什么要呢？因為灰鴿子是可以反彈

式鏈接的，也就是說，服務(wù)端通過登陸你的主頁的特定文件就可以主動連接到你 的電腦讓你控制了。（這一點，等一下會詳細解說）

第二節(jié)：實戰(zhàn)開始。

把我們剛才下來的文件解壓到某個文件夾，記住，不要改文件夾的名字，后面會 用到。

解壓的文件里面有以下幾個文件：

H_Client.exe 這個是客戶端的主要文件，可以配置文件，生成服務(wù)端，可以遠 程控制客戶端。

sunray.exe 這個里面其實也就只是一個host ，它把http://www.huigezi.com這 個網(wǎng)站的域名本地解析到本機，而不是解析到官方網(wǎng)站。

vip_2005_0113.rar 這個是驗證的軟件，當(dāng)我們的軟件解析到本機的時候它就會 下載這一個到客戶端，用來驗證用的。

其它的文件還有config2005.asp ，Operate.ini 還有四個文件夾，他們分別是

(dat images login sound)我也不知道什么用的。應(yīng)該是配置用的。

第一步：在你的電腦上新建一個ip.txt 的文本文件，內(nèi)容如下：

其中212.126.131.43這個是我的電腦IP 地址，8000是連接的端口，你可以把它寫 成你自己的IP 地址，端口一般不要去改動，然后把這個文件上傳到你剛才申請的 空間, 如果你的電腦是動態(tài)IP 的話，那你就要經(jīng)常更新這個文件的內(nèi)容，然后上傳 到空間，它的目的是客戶端上線的話就會去這個網(wǎng)站讀取這個文件，然后主動和 你取得連接。

第二步，首先運行 sunray.exe ，然后運行 http.exe 點開始服務(wù)！

第三步，運行客戶端，也就是H_Client.exe這個文件，

點擊“自動上線”選項，有幾個要點要說的，

1）“備用自動上線，URL 轉(zhuǎn)向域名或網(wǎng)頁文件，這里呢，填寫你剛才申

請到的網(wǎng)站空間地址和ip.txt ，比如http://你的網(wǎng)站地址/ip.txt

（當(dāng)然，如果你是固定IP 的話呢，可以寫你的IP 地址，那么前面的申請空間，上傳文件幾步可以省略）

2） “自動連接密碼”，這個是表示你可以連接到的電腦所要用到的密

碼，如果為空的話，也沒什么大不了的，頂多就是別人也可以用你的“肉雞”

3）“配置說明”建議你把“只使用備用自動上線”前的勾打上，因為我

們的軟件是破解版的，官方的那個服務(wù)器我們是用不了啦~~~

4）“用戶名稱”“用戶密碼”這兩個地方亂填些數(shù)字進去就行了，破解

版用不了正式版的服務(wù)器的，它是服務(wù)器用來驗證軟件是否“正版”用的。

“安裝選項”選項卡，建議修改一下名字，以免被發(fā)現(xiàn)，其它的自己看

著辦，看著喜歡就選吧~~~^_^

“啟動項”這個很重要，建議你修改一下名字，它主要是服務(wù)端隨系統(tǒng)

自動啟動用的，也是自己看著辦。其中的“生成服務(wù)”這一項是為了達到隱藏用

的，這也是我們經(jīng)常說的手工清除木馬的關(guān)鍵。也是長期以來很多人說無法清除 灰鴿子的原因，因為它寫成了服務(wù)，這個的優(yōu)先級是系統(tǒng)級的，所有使用這臺電 腦的用戶都會啟動木馬。

“代理服務(wù)”，嘻嘻，就是你控制的電腦可以給我們做為一臺代理服務(wù)

器，說不定人家公布出來的代理服~務(wù)器地址有一部分是這些電腦的哦~~~

“高級選項”這里主要是用來對付殺毒軟件和防火墻用的，默認是插入

IEXPLORER ，啟動隱藏文件隱藏插入的IE 進程，以及使用UPX 壓縮，這里就不用去 改它的，默認就行。

" 服務(wù)器圖標(biāo)”是用來偽裝用的，你自己選項自己喜歡的圖標(biāo)吧~~~

配置好了就點擊生成服務(wù)器，軟件會優(yōu)先從官方驗證，但沒效，出錯了后就從本 地服務(wù)器驗證，這就是我們要本機建http 服務(wù)器的原因。好了，到此，服務(wù)端就 生成了，不要運行它，運行了你就會中木馬的，（不準(zhǔn)做壞事）

軟件使用方法：當(dāng)別人中了你的木馬后，它會從你的網(wǎng)站讀取ip.txt 這個文件， 然后主動連接到你的電腦，如果你此時也打開了客戶端的話，連接建立成功，你 可以控制這臺電腦了。具體有什么內(nèi)容你自己摸索，

如果你是動態(tài)IP 地址的話，那么你要每次把新的ip.txt 上傳到網(wǎng)站上去~~~ 灰鴿子第三章：服務(wù)端工作方式：

灰鴿子是國內(nèi)一款著名后門。比起前輩冰河、黑洞來，灰鴿子可以說是國內(nèi)后門 的集大成者。其豐富而強大的功能、靈活多變的操作、良好的隱藏性使其他后門 都相形見絀?？蛻舳撕喴妆憬莸牟僮魇箘?cè)腴T的初學(xué)者都能充當(dāng)黑客。當(dāng)使用在 合法情況下時，灰鴿子是一款優(yōu)秀的遠程控制軟件。但如果拿它做一些非法的事 ，灰鴿子就成了很強大的黑客工具。這就好比火藥，用在不同的場合，給人類帶 來不同的影響。對灰鴿子完整的介紹也許只有灰鴿子作者本人能夠說清楚，在此 我們只能進行簡要介紹。

灰鴿子客戶端和服務(wù)端都是采用Delphi 編寫。黑客利用客戶端程序配置出服 務(wù)端程序?？膳渲玫男畔⒅饕ㄉ暇€類型（如等待連接還是主動連接）、主動 連接時使用的公網(wǎng)IP （域名）、連接密碼、使用的端口、啟動項名稱、服務(wù)名稱 ，進程隱藏方式，使用的殼，代理，圖標(biāo)等等。

服務(wù)端對客戶端連接方式有多種，使得處于各種網(wǎng)絡(luò)環(huán)境的用戶都可能中毒 ，包括局域網(wǎng)用戶（通過代理上網(wǎng)）、公網(wǎng)用戶和ADSL 撥號用戶等。

下面介紹服務(wù)端：

配置出來的服務(wù)端文件文件名為G_Server.exe（這是默認的，當(dāng)然也可以改 洌 H 緩蠛誑屠 靡磺邪旆ㄓ掌 沒г誦蠫_Server.exe程序。具體采用什么辦法 ，讀者可以充分發(fā)揮想象力，這里就不贅述。

G_Server.exe運行后將自己拷貝到Windows 目錄下(98/xp下為系統(tǒng)盤的windows 目 錄，2k/NT下為系統(tǒng)盤的Winnt 目錄) ，然后再從體內(nèi)釋放G_Server.dll和

G_Server_Hook.dll到windows 目錄下。G_Server.exe、G_Server.dll和

G_Server_Hook.dll三個文件相互配合組成了灰鴿子服務(wù)端，

G_Server_Hook.dll負責(zé)隱藏灰鴿子。通過截獲進程的API 調(diào)用隱藏灰鴿子的文件 、服務(wù)的注冊表項，甚至是進程中的模塊名。截獲的函數(shù)主要是用來遍歷文件、 遍歷注冊表項和遍歷進程模塊的一些函數(shù)。所以，有些時候用戶感覺種了毒，但 仔細檢查卻又發(fā)現(xiàn)不了什么異常。有些灰鴿子會多釋放出一個名為

G_ServerKey.dll的文件用來記錄鍵盤操作。注意，G_Server.exe這個名稱并不固 定，它是可以定制的，比如當(dāng)定制服務(wù)端文件名為A.exe 時，生成的文件就是

A.exe 、A.dll 和A_Hook.dll。

Windows 目錄下的G_Server.exe文件將自己注冊成服務(wù)（9X 系統(tǒng)寫注冊表啟 動項），每次開機都能自動運行，運行后啟動G_Server.dll和G_Server_Hook.dll 并自動退出。G_Server.dll文件實現(xiàn)后門功能，與控制端客戶端進行通信；

G_Server_Hook.dll則通過攔截API 調(diào)用來隱藏病毒。因此，中毒后，我們看不到

病毒文件，也看不到病毒注冊的服務(wù)項。隨著灰鴿子服務(wù)端文件的設(shè)置不同， G_Server_Hook.dll有時候附在Explorer.exe 的進程空間中，有時候則是附在所有 進程中。

灰鴿子的作者對于如何逃過殺毒軟件的查殺花了很大力氣。由于一些API 函數(shù) 被截獲，正常模式下難以遍歷到灰鴿子的文件和模塊，造成查殺上的困難。要卸 載灰鴿子動態(tài)庫而且保證系統(tǒng)進程不崩潰也很麻煩，因此造成了近期灰鴿子在互 聯(lián)網(wǎng)上泛濫的局面。

灰鴿子第四章：雙管齊下，手工和軟件清除灰鴿子。

一. 灰鴿子的手工檢測

由于灰鴿子攔截了API 調(diào)用，在正常模式下服務(wù)端程序文件和它注冊的服務(wù)

項均被隱藏，也就是說你即使設(shè)置了“顯示所有隱藏文件”也看不到它們。此外 ，灰鴿子服務(wù)端的文件名也是可以自定義的，這都給手工檢測帶來了一定的困難 。

但是，通過仔細觀察我們發(fā)現(xiàn)，對于灰鴿子的檢測仍然是有規(guī)律可循的。從

上面的運行原理分析可以看出，無論自定義的服務(wù)器端文件名是什么，一般都會 在操作系統(tǒng)的安裝目錄下生成一個以“_hook.dll”結(jié)尾的文件。通過這一點，我 們可以較為準(zhǔn)確手工檢測出灰鴿子 服務(wù)端。

由于正常模式下灰鴿子會隱藏自身，因此檢測灰鴿子的操作一定要在安全模

式下進行。進入安全模式的方法是：啟動計算機，在系統(tǒng)進入Windows 啟動畫面前 ，按下F8鍵(或者在啟動計算機時按住Ctrl 鍵不放) ，在出現(xiàn)的啟動選項菜單中， 選擇“Safe Mode”或“安全模式”。

1、由于灰鴿子的文件本身具有隱藏屬性，因此要設(shè)置Windows 顯示所有文件 。打開“我的電腦”，選擇菜單“工具”—》“文件夾選項”，點擊“查看”，

取消“隱藏受保護的操作系統(tǒng)文件”前的對勾，并在“隱藏文件和文件夾”項中

選擇“顯示所有文件和文件夾”，然后點擊“確定”。

2、打開Windows 的“搜索文件”，文件名稱輸入“_hook.dll”，搜索位置選

擇Windows 的安裝目錄（默認98/xp為C:windows，2k/NT為C:Winnt）。

3、經(jīng)過搜索，我們在Windows 目錄（不包含子目錄）下發(fā)現(xiàn)了一個名為

Game_Hook.dll的文件。

4、根據(jù)灰鴿子原理分析我們知道，如果Game_Hook.DLL是灰鴿子的文件，則在操 作系統(tǒng)安裝目錄下還會有Game.exe 和Game.dll 文件。打開Windows 目錄，果然有這 兩個文件，同時還有一個用于記錄鍵盤操作的GameKey.dll 文件。

經(jīng)過這幾步操作我們基本就可以確定這些文件是灰鴿子 服務(wù)端了，下面就

可以進行手動清除。

二、灰鴿子的手工清除

經(jīng)過上面的分析，清除灰鴿子就很容易了。清除灰鴿子仍然要在安全模式下

操作，主要有兩步：1、清除灰鴿子的服務(wù)；2刪除灰鴿子程序文件。

注意：為防止誤操作，清除前一定要做好備份。

（一）、清除灰鴿子的服務(wù)

注意清除灰鴿子的服務(wù)一定要在注冊表里完成，對注冊表不熟悉的網(wǎng)友請找熟悉 的人幫忙操作，清除灰鴿子的服務(wù)一定要先備份注冊表，或者到純DOS 下將注冊表 文件更名，然后在去注冊表刪除灰鴿子的服務(wù)。因為病毒會和EXE 文件進行關(guān)聯(lián) 2000／XP 系統(tǒng)：

1、打開注冊表編輯器（點擊“開始”－》“運行”，輸入“Regedit.exe”

，確定。），打開 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices注 冊表項。

2、點擊菜單“編輯”－》“查找”，“查找目標(biāo)”輸入“game.exe”，點擊

確定，我們就可以找到灰鴿子的服務(wù)項（此例為Game_Server，每個人這個服務(wù)項 名稱是不同的）。

3、刪除整個Game_Server項。

98／me 系統(tǒng)：

在9X 下，灰鴿子啟動項只有一個，因此清除更為簡單。運行注冊表編輯器，

打開HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun項， 我們立即看到名為Game.exe 的一項，將Game.exe 項刪除即可。

" target=_blank>

" border=0 >

（二）、刪除灰鴿子程序文件

刪除灰鴿子程序文件非常簡單，只需要在安全模式下刪除Windows 目錄下的

Game.exe 、Game.dll 、Game_Hook.dll以及Gamekey.dll 文件，然后重新啟動計算 機。至此，灰鴿子VIP 2005 服務(wù)端已經(jīng)被清除干凈。

以上介紹的方法適用于我們看到的大部分灰鴿子木馬及其變種，然而仍有極少數(shù) 變種采用此種方法無法檢測和清除。同時，隨著灰鴿子新版本的不斷推出，作者 可能會加入一些新的隱藏方法、防刪除手段，手工檢測和清除它的難度也會越來 越大。

三、防止中灰鴿子病毒需要注意的事項

1. 給系統(tǒng)安裝補丁程序。通過Windows Update安裝好系統(tǒng)補丁程序(關(guān)鍵更新、 安全更新和Service pack)，其中MS04-011、MS04-012、MS04-013、MS03-001、 MS03-007、MS03-049、MS04-032等都被病毒廣泛利用，是非常必要的補丁程序

2. 給系統(tǒng)管理員帳戶設(shè)置足夠復(fù)雜足夠強壯的密碼，最好能是10位以上，字 母 數(shù)字 其它符號的組合；也可以禁用/刪除一些不使用的帳戶

3. 經(jīng)常更新殺毒軟件（病毒庫），設(shè)置允許的可設(shè)置為每天定時自動更新。

安裝并合理使用網(wǎng)絡(luò)防火墻軟件，網(wǎng)絡(luò)防火墻在防病毒過程中也可以起到至關(guān)重 要的作用，能有效地阻擋自來網(wǎng)絡(luò)的攻擊和病毒的入侵。部分盜版Windows 用戶不 能正常安裝補丁，這點也比較無奈，這部分用戶不妨通過使用網(wǎng)絡(luò)防火墻來進行 一定防護

4. 關(guān)閉一些不需要的服務(wù)，條件允許的可關(guān)閉沒有必要的共享，也包括C$、

D$等管理共享。完全單機的用戶可直接關(guān)閉Server 服務(wù)。這些都可以用winxp 總管 等優(yōu)化軟件關(guān)閉。

來自: http://hi.baidu.com/pan58/blog/item/35452d24848e2629d4074288