灰鸽子sunray破解版（一）：未雨绸缪，实验准备_病毒安全_

因此，互联网上有很多高手可以破解灰鸽子，以致灰鸽子无法进入灰鸽子的官方网站

操作验证，因此您无需付费即可使用它，

相关版本包括：影鹰破解特别版，艾尔破解版和中国黑客同盟的灰鸽子

Sunray破解版。

今天，我们将使用“ Gray Pigeon sunray破解版”详细分析此木马的服务器配置。

样式，仅做实验，不要做不好的事情，如果您不喜欢它，请跳过本章。

第1节：提前计划并为实验做准备。

首先，关闭防病毒软件。我不需要谈论这个~~~因为它是木马，下载后就像

如果启用了防病毒软件监控，则肯定会删除它。

其次，当然要下载Gray Pigeon的软件~~~搜索，有很多~~~

第三，申请免费的主页空间。你为什么需要它？因为灰鸽子会反弹

已链接，即服务器可以通过登录到首页上的特定文件来主动连接到您

您的计算机处于控制之中。 （这一点将在后面详细说明）

第2节：实际战斗开始了。

将我们刚刚下载的文件解压缩到一个文件夹中，请记住，不要更改该文件夹的名称，稍后会

使用过。

解压缩的文件中包含以下文件：

H_Client.exe这是客户端的主文件，您可以配置该文件，生成服务器，然后进行更进一步。

程序控制客户端。

http.exe，这是本地http服务器，因为我们的灰鸽子是经过破解的版本，通常是官方版本

灰鸽子将进入官方服务器以验证您的软件是否为正版，因此已使用该软件

在此计算机上构建服务器以欺骗软件并达到破解的目的。

sunray.exe实际上只是一个主机，它需要这个

网站的域名解析为本地计算机，而不是官方网站。

vip_2005_011 3. rar这是一个经过验证的软件，当我们的软件解析为这台机器时，它将

将此内容下载到客户端进行验证。

其他文件包括config200 5. asp，Opera.ini和四个文件夹，分别是

（dat图像登录声音）我不知道这是干什么的。应该用于配置。

第一步：在计算机上创建一个新的ip.txt文本文件，内容如下：

：8000end

21 2. 12 6. 13 1. 43是我的计算机的IP地址，而8000是连接的端口，您可以编写它

作为您自己的IP地址，通常不要更改端口，然后将此文件上传到您刚刚申请的文件中

空格，如果您的计算机具有动态IP，则必须经常更新此文件的内容，然后再上传

进入该空间的目的是，如果客户，它将去这个网站读取文件，然后主动和

您已建立联系。

第二步，首先运行sunray.exe，然后运行http.exe以启动服务！

第三步是运行客户端，即文件H_Client.exe，

点击“自动上线”选项，有几点要说明，

1）“备份自动，并且URL转发到域名或网页文件。在这里，立即填写您的应用程序

请转到网站空间地址和ip.txt，例如您的网站地址/ip.txt

（当然，如果您具有固定的IP，则可以写入您的IP地址，那么以前的应用程序空间，上传文件都可以省略）

2）“自动连接密码”，这是您可以连接到的计算机使用的密码

该代码，如果为空，则没什么大不了的，至多其他人都可以使用您的“锅炉”

3）“配置说明”建议您选中“仅使用备份才能自动上线”之前的复选框，因为我是

我们的软件是破解版，我们无法使用官方服务器~~~

4）“用户名”和“用户密码”，只需随机填写一些数字，然后将其破解

The

版本不使用服务器的正式版本，服务器使用它来验证软件是否为“正版”。

在“安装选项”选项卡中，建议修改名称以避免被发现。自己见别人

只要这样做，选择是否喜欢~~~ ^ _ ^

“启动项”非常重要。我建议您修改名称，主要是系统的服务器端。

您可以使用它进行自动激活。 “生成服务”用于隐藏目的

是的，这也是我们通常所说的手动删除木马的关键。长期以来，很都说无法删除

之所以选择灰鸽子，是因为它是作为服务编写的，它的优先级是系统级别，都使用此功能

大脑用户将启动木马。

“代理服务”，嘻嘻，您控制的计算机可以用作我们的代理服务

设备，也许是其他人宣布的代理服务器?一些服务器地址是这些计算机的~~~

此处的“高级选项”主要用于处理防病毒软件和防火墙，默认为插入

IEXPLORER，启动隐藏文件以隐藏插入的IE进程，并使用UPX压缩，无需在这里进行

更改它，默认设置即可。

“服务器图标”用于伪装，您可以选择自己喜欢的图标~~~

完成配置后，单击以生成服务器。该软件将首先经过官方验证，但无效。错误后，它将来自原始文件

本地服务器验证，这就是我们要在此计算机上构建http服务器的原因。好的，在这里，服务器将

它已生成，请不要运行，运行后您将得到木马（不要做坏事）

如何使用该软件：当其他人打您的木马时，它将从您的网站读取ip.txt文件，

然后主动连接到您的计算机。如果此时还打开客户端，则连接成功建立，并且您

您可以控制此计算机。找出具体的内容，

如果您具有动态IP地址，则每次都必须将新的ip.txt上传到网站~~~

灰鸽子第3章：服务器如何工作：

灰鸽子是中国著名的后门。与以前的冰川和黑洞相比，灰鸽子可以说是国内的后门了。

主人。其丰富而强大的功能，灵活的操作和良好的隐蔽性使其他后门成为了

相比之下，它们都显得苍白。客户终端的简单方便的操作使刚开始充当黑客的初学者成为可能。在

中使用时

在合法的情况下，Gray Dove是一款出色的远程控制软件。但是，如果您使用它来做非法的事情

灰鸽子已成为一种非常强大的黑客工具。这就像，在不同场合用来带人

有不同的影响。灰色鸽子的完整介绍只能由灰色鸽子的作者来阐明，在这里

我们只能做一个简单的介绍。

灰鸽子客户端和服务器都是用Delphi编写的。黑客使用客户端程序来配置服务器

服务器终端程序。可配置信息主要包括类型（例如等待连接或活动连接），活动

连接时使用的公共IP（域名），连接密码，使用的端口，启动项的名称，服务的名称

，进程隐藏方法，使用的外壳，代理，图标等

有很多方法可以将服务器连接到客户端，这使得各种网络环境中的用户都可能会中毒。

，包括LAN用户（通过代理访问Internet），公共网络用户和ADSL拨号用户等。

以下描述了服务器：

配置的服务器文件名为G_Server.exe（这是默认设置，当然您可以更改它

请记住要减慢_Server.exe程序的速度。具体使用什么方法

，读者可以充分发挥他们的想象力，因此在这里我将不做详细介绍。

运行G_Server.exe后，将其自身复制到Windows目录（98 / xp是系统磁盘的Windows目录

记录，2k / NT是系统磁盘的Winnt目录），然后释放G_Server.dll和

G_Server_Hook.dll到Windows目录。 G_Server.exe，G_Server.dll和

G_Server_Hook.dll的三个文件相互配合形成灰色鸽子服务器。

G_Server_Hook.dll负责隐藏灰鸽子。通过被拦截进程的API调用隐藏的灰色鸽子文件

，服务的注册表项，甚至进程中的模块名称。拦截功能主要用于遍历文件，

遍历注册表项和遍历过程模块的某些功能。因此，有时用户会觉得自己种了毒药，但是

仔细检查，但未发现任何异常。一些灰鸽子会再释放一种叫做

G_ServerKey.dll文件用于记录键盘操作。请注意，名称G_Server.exe是固定的

当然可以定制。例如，当自定义服务器文件名为A.exe时，生成的文件为

A.exe，A.dll和A_Hook.dll。

Windows目录中的G_Server.exe文件将其自身注册为服务（9X系统写入注册表以启动

操作项），它可以在每次启动时自动运行，并在运行后启动G_Server.dll和G_Server_Hook.dll。

并自动退出。 G_Server.dll文件实现后门功能并与控制客户端通信；

G_Server_Hook.dll通过拦截API调用来隐藏病毒。因此，中毒后我们看不到

病毒文件，看不到该病毒注册的服务项目。使用灰色鸽子服务器文件的不同设置，

G_Server_Hook.dll有时会附加到Explorer.exe的进程空间，有时会附加到所有

进行中。

“灰鸽子”的作者为避免逃脱检测和查杀杀毒软件付出了很多努力。由于某些API函数

它被截获，并且在正常模式下很难遍历Gray Dove的文件和模块，这使其很难被发现和杀死。卸载

加载灰鸽子动态库并确保系统进程不会崩溃是非常麻烦的，这导致了灰鸽子最近相互交互

互联网的普及。

灰鸽子第4章：用两种方法手动和手动删除灰鸽子。

一.手动检测灰鸽子

因为灰鸽子在正常模式下拦截了API调用，服务器程序文件及其注册的服务

所有项目都是隐藏的，这意味着即使您设置了“显示所有隐藏的文件”，也看不到它们。另外

灰色鸽子服务器的文件名也可以自定义，这给手动检测带来了一定的困难

。

但是，通过仔细观察，我们发现对灰色鸽子的检测仍然是常规的。来自

以上对工作原理的分析表明，无论自定义服务器端文件名是什么，通常都会是

在操作系统的安装目录中创建一个以“ _hook.dll”结尾的文件。通过这个，我

我们可以手动更准确地检测灰色鸽子服务器。

由于灰鸽子会在正常模式下隐藏，因此检测灰鸽子的操作必须处于安全模式。

继续按照公式进行操作。进入安全模式的方法是：在系统进入Windows启动屏幕之前启动计算机

，在显示的启动选项菜单中，按F8键（或在启动计算机时按住Ctrl键）

选择“安全模式”或“安全模式”。

1、由于灰鸽子的文件本身具有隐藏的属性，因此有必要将Windows设置为显示所有文件

。打开“我的电脑”，选择菜单“工具”->“文件夹选项”，单击“查看”，

去掉“隐藏受保护的操作系统文件”前面的复选标记，并将其放在“隐藏文件和文件夹”项中

选择“显示所有文件和文件夹”，然后单击“确定”。

2、打开Windows“搜索文件”，输入“ _hook.dll”作为文件名，然后选择搜索位置

选择Windows安装目录（默认98 / xp为C：/ windows，2k / NT为C：/ Winnt）。

3、搜索后，我们找到了一个名为

的文件

在Windows目录中（不包??括子目录）

Game_Hook.dll文件。

4、根据对灰色鸽子原理的分析，我们知道，如果Game_Hook.DLL是灰色鸽子的文件，则它正在运行

在系统安装目录中还将有Game.exe和Game.dll文件。打开Windows目录，它确实有这个

两个文件，还有一个GameKey.dll文件，用于记录键盘操作。

完成这些步骤之后，我们基本上可以确定这些文件是灰色鸽子服务器。就是这样。

可以手动清除。

二、手动清除灰鸽子

经过上面的分析，很容易去除灰鸽子。清除灰鸽子仍然需要处于安全模式

操作，主要有两个步骤：1、清理灰鸽子的服务； 2删除灰色鸽子程序文件。

注意：为防止误操作，请确保在清洁前进行备份。

（一），去除灰鸽子的服务

请注意，去除灰鸽子的服务必须在注册表中完成。不熟悉注册表的网民应该熟悉

人们在操作方面需要帮助，删除灰鸽子的服务必须首先备份注册表，或者转到纯DOS来保存注册表

重命名该文件，然后转到注册表以删除Gray Dove的服务。因为该病毒将与EXE文件相关联

2000 / XP系统：

1、打开注册表编辑器（单击“开始”-“运行”，输入“ Regedit.exe”

，好的。 ），打开HKEY_LOCAL_MACHINE / SYSTEM / CurrentControlSet / ServicesNote

图书清单项目。

2、单击菜单“编辑”->“查找”，在“查找目标”中输入“ game.exe”，然后单击

好的，我们可以找到Gray Dove的服务项目（在本例中为Game_Server，该服务项目适用于所有人

名称不同）。

3、删除整个Game_Server项。

98 /我系统：

在9X下，Gray Dove只有一个启动项，因此更容易删除它。运行注册表编辑器，

打开HKEY_CURRENT_USER /软件/ Microsoft / Windows / CurrentVersion / Run项目，

我们立即看到一个名为Game.exe的项目，只需删除该项目Game.exe。

“ target = _blank>

“ border = 0>

（二），删除灰鸽子程序文件

删除灰色鸽子程序文件非常简单，只需以安全模式删除Windows目录

Game.exe，Game.dll，Game_Hook.dll和Gamekey.dll文件，然后重新开始计算

机器。至此，灰鸽子VIP 2005服务器已经清理完毕。

上面介绍的方法适用于我们所见过的大多数灰鸽子木马及其变种，但数量仍然很少

使用此方法无法检测和清除变量。同时，随着新版本《灰鸽子》的不断发行，作者

可能会添加一些新的隐藏方法和防删除方法，这将使手动检测和删除它们变得更加困难

更大。

三、预防灰鸽子病毒需要注意的事项

1.为系统安装补丁程序。通过Windows Update（关键更新，

安全更新和Service Pack），包括MS04-01 1、 MS04-01 2、 MS04-01 3、 MS03-00 1、

MS03-00 7、 MS03-04 9、 MS04-032等被病毒广泛使用，是非常必要的补丁程序

2.设置一个足够复杂且强度足以用于系统管理员帐户的密码，最好超过10个字符。

parent + number + other符号的组合；您还可以禁用/删除一些未使用的帐户

3.经常更新防病毒软件（病毒），并且可以将允许的设置设置为每天定期自动更新。

安装并合理使用网络防火墙软件，网络防火墙也可以在防病毒过程中发挥关键作用

重要角色可以有效地阻止来自网络的攻击和病毒的入侵。某些盗版Windows用户没有

能够正常安装补丁程序是非常无助的。这部分用户可能希望使用网络防火墙来做到这一点

某种保护

4.关闭一些不必要的服务。如果条件允许，您可以关闭不必要的共享，包括C $，

D $和其他管理共享。完全独立的用户可以直接关闭服务器服务。这些可以用于winxp管理器

优化软件已关闭。

本文来自本站，转载请注明本文网址：
http://www.pc-fly.com/a/shouji/article-373041-1.html