本文目录一览:
如何学习灰鸽子免杀的学习方法?
最基本的灰鸽子免杀方法就是 加花 加壳 改头 改特征码等等几种
针对不同的杀软需要不同的免杀方法
1.针对咔吧免杀,咔吧是复合定位特征码,只需要加花,加壳就可以实现免杀,没事可以去看雪论坛去挖掘点新的壳跟花,这样比较容易实现免杀。
2.针对瑞星跟巡洋舰等,也属于复合定位特征码,要实现免杀,需要修改特征码来免杀,用到的工具有“MYCCL”“CCL”“W32等反汇编工具”等等。修改特征码后就可以实现对瑞星等杀软的查杀.
3.针对NOD这个杀软,需要修改注册键值表。比较麻烦,一般修改注册值后会出现客户端无法运行,这个方面我也不怎么会,你可以去黑白网络跟华夏同盟去看看,那里有不少资料。可以自己看看。
基本的杀软都有了,这样做完你的木马基本不会被查杀了,不过想要免杀周期长点的话,还是需要自己研究出自己独特的免杀方法.
什么是灰鸽子?(黑客类)
灰鸽子
一、灰鸽子病毒简介
灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。这就好比火药,用在不同的场合,给人类带来不同的影响。对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚,在此我们只能进行简要介绍。
灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型(如等待连接还是主动连接)、主动连接时使用的公网IP(域名)、连接密码、使用的端口、启动项名称、服务名称,进程隐藏方式,使用的壳,代理,图标等等。
服务端对客户端连接方式有多种,使得处于各种网络环境的用户都可能中毒,包括局域网用户(通过代理上网)、公网用户和ADSL拨号用户等。
下面介绍服务端:
配置出来的服务端文件文件名为G_Server.exe(这是默认的,当然也可以改变)。然后黑客利用一切办法诱骗用户运行G_Server.exe程序。具体采用什么办法,读者可以充分发挥想象力,这里就不赘述。
G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端, G_Server_Hook.dll负责隐藏灰鸽子。通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项,甚至是进程中的模块名。截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。所以,有些时候用户感觉种了毒,但仔细检查却又发现不了什么异常。有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。
灰鸽子的作者对于如何逃过杀毒软件的查杀花了很大力气。由于一些API函数被截获,正常模式下难以遍历到灰鸽子的文件和模块,造成查杀上的困难。要卸载灰鸽子动态库而且保证系统进程不崩溃也很麻烦,因此造成了近期灰鸽子在互联网上泛滥的局面。
二、灰鸽子的手工检测
由于灰鸽子拦截了API调用,在正常模式下服务端程序文件和它注册的服务项均被隐藏,也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。
但是,通过仔细观察我们发现,对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子 服务端。
由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。
1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“ 显示所有文件和文件夹”,然后点击“确定”。
2、打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。
3、经过搜索,我们在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。
4、根据灰鸽子原理分析我们知道,如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录,果然有这两个文件,同时还有一个用于记录键盘操作的GameKey.dll文件。
经过这几步操作我们基本就可以确定这些文件是灰鸽子 服务端了,下面就可以进行手动清除。
三、灰鸽子的手工清除
经过上面的分析,清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作,主要有两步:1、清除灰鸽子的服务;2删除灰鸽子程序文件。
注意:为防止误操作,清除前一定要做好备份。
(一)、清除灰鸽子的服务
注意清除灰鸽子的服务一定要在注册表里完成,对注册表不熟悉的网友请找熟悉的人帮忙操作,清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后在去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联
2000/XP系统:
1、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。
2、点击菜单“编辑”-》“查找”,“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。
3、删除整个Game_Server项。
98/me系统:
在9X下,灰鸽子启动项只有一个,因此清除更为简单。运行注册表编辑器,打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项,我们立即看到名为Game.exe的一项,将Game.exe项删除即可。
(二)、删除灰鸽子程序文件
删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机。至此,灰鸽子VIP 2005 服务端已经被清除干净。
以上介绍的方法适用于我们看到的大部分灰鸽子木马及其变种,然而仍有极少数变种采用此种方法无法检测和清除。同时,随着灰鸽子新版本的不断推出,作者可能会加入一些新的隐藏方法、防删除手段,手工检测和清除它的难度也会越来越大。
四、防止中灰鸽子病毒需要注意的事项
1. 给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack),其中MS04-011、MS04-012、MS04-013、MS03-001、MS03-007、MS03-049、MS04-032等都被病毒广泛利用,是非常必要的补丁程序
2. 给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户
3. 经常更新杀毒软件(病毒库),设置允许的可设置为每天定时自动更新。安装并合理使用网络防火墙软件,网络防火墙在防病毒过程中也可以起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。部分盗版Windows用户不能正常安装补丁,这点也比较无奈,这部分用户不妨通过使用网络防火墙来进行一定防护
4. 关闭一些不需要的服务,条件允许的可关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。
. 下载HijackThis扫描系统
下载地址:
zww3008汉化版
英文版
2. 从HijackThis日志的 O23项可以发现灰鸽子自的服务项
如最近流行的:
O23 - Service: SYSTEM$ (SYSTEM$Server) - Unknown owner - C:\WINDOWS\setemy.bat
O23 - Service: Network Connections Manager (NetConMan) - Unknown owner - C:\WINDOWS\uinstall.exe
O23 - Service: winServer - Unknown owner - C:\WINDOWS\winserver.exe
O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\G_Server.exe
用HijackThis选中上面的O23项,然后选择"修复该项"或"Fix checked"
3. 用Killbox删除灰鸽子对应的木马文件 可以从这里下载Killbox
“灰鸽子”杀伤力是“熊猫烧香”10倍
与“熊猫烧香”病毒的“张扬”不同,“灰鸽子”更像一个隐形的贼,潜伏在用户“家”中,监视用户的一举一动,甚至用户与MSN、QQ好友聊天的每一句话都难逃“鸽”眼。专家称,“熊猫烧香”还停留在对电脑自身的破坏,而“灰鸽子”已经发展到对“人”的控制,而被控者却毫不知情。从某种意义上讲,“灰鸽子”的危害超出“熊猫烧香”10倍。
“灰鸽子”如何控制电脑牟利
“黑客培训班”教网民通过“灰鸽子”控制别人电脑,“学费”最高200元,最低需要50元,学时一周到一个月不等。
黑客通过程序控制他人电脑后,将“肉鸡”倒卖给广告商,“肉鸡”的价格在1角到1元不等。资深贩子一个月内可以贩卖10万个“肉鸡”。
被控制电脑被随意投放广告,或者干脆控制电脑点击某网站广告,一举一动都能被监视。
直接把文件的路径复制到 Killbox里删除
通常都是下面这样的文件 "服务名"具体通过HijackThis判断
C:\windows\服务名.dll
C:\windows\服务名.exe
C:\windows\服务名.bat
C:\windows\服务名key.dll
C:\windows\服务名_hook.dll
C:\windows\服务名_hook2.dll
举例说明:
C:\WINDOWS\setemykey.dll
C:\WINDOWS\setemy.dll
C:\WINDOWS\setemy.exe
C:\WINDOWS\setemy_hook.dll
C:\WINDOWS\setemy_hook2.dll
用Killbox删除那些木马文件,由于文件具有隐藏属性,可能无法直接看到,但Killbox能直接删除. 上面的文件不一定全部存在,如果Killbox提示文件不存在或已经删除就没关系了
以上他们做了命名规则解释 去下载一个木马杀客灰鸽子专杀 下载地址 瑞星版本的专杀 下载地址 清理完后 需要重新启动计算机 服务停止 然后去找那些残留文件 参见 上面回答者
软件名称: 灰鸽子(Huigezi、Gpigeon)专用检测清除工具
界面语言: 简体中文
软件类型: 国产软件
运行环境: /Win9X/Me/WinNT/2000/XP/2003
授权方式: 免费软件
软件大小: 414KB
软件简介: 由灰鸽子工作室开发的,针对灰鸽子专用清除器!可以清除VIP2005版灰鸽子服务端程序(包括杀毒软件杀不到的灰鸽子服务端)和灰鸽子 [辐射正式版] 和 DLL版服务端 牵手版服务端
运行DelHgzvip2005Server.exe文件清除VIP2005版灰鸽子服务端程序,运行un_hgzserver.exe文件清除灰鸽子 [辐射正式版] 和 DLL版服务端 牵手版服务
公 告 声 明
灰鸽子工作室于2003年初成立,定位于远程控制、远程管理、远程监控软件开发,主要产品为灰鸽子远程控制系列软件产品。灰鸽子工作室的软件产品,均为商业化的远程控制软件,主要提供给网吧、企业及个人用户进行电脑软件管理使用;灰鸽子软件已获得国家颁布的计算机软件著作权登记证书,受著作权法保护。
然而,我们痛心的看到,目前互联网上出现了利用灰鸽子远程管理软件以及恶意破解和篡改灰鸽子远程管理软件为工具的不法行为,这些行为严重影响了灰鸽子远程管理软件的声誉,同时也扰乱了网络秩序。这完全违背了灰鸽子工作室的宗旨和开发灰鸽子远程管理软件的初衷。在此我们呼吁、劝告那些利用远程控制技术进行非法行为的不法分子应立即停止此类非法活动。
应该表明的是,灰鸽子工作室自成立以来恪守国家法律和有关网络管理的规定,具有高度的社会责任感。为有效制止不法分子非法利用灰鸽子远程管理软件从事危害社会的非法活动,在此,我们郑重声明,自即日起决定全面停止对灰鸽子远程管理软件的开发、更新和注册,以实际行动和坚定的态度来抵制这种非法利用灰鸽子远程管理软件的不法行为,并诚恳接受广大网民的监督。
灰鸽子工作室谴责那些非法利用远程控制技术实现非法目的的行为,对于此类行为,灰鸽子工作室发布了灰鸽子服务端卸载程序,以便于广大网民方便卸载那些被非法安装于自己计算机的灰鸽子服务端。卸载程序下载页面
灰鸽子工作室
2007年3月21日
卸载页面
求灰鸽子免杀方法~~最好能过内存!
灰鸽子2005病毒的特点是:1、运行后,病毒进程插入所有当前正在运行的进程中;2、隐藏病毒自身进程;3、隐藏病毒文件;4、将自身注册为系统服务,实现启动加载。因此,染毒后很难在WINDOWS下将病毒杀净。
手工查杀灰鸽子2005的关键一步是找到病毒注册的系统服务名,将其从注册表HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES分支中删除。然而,由于黑客配置灰鸽子2005服务端时命名的系统服务名五花八门,没有一定规律可循,因而使不少人中招后难以下手清除病毒。
其实,灰鸽子2005有一个弱点,可供手工杀毒时利用。这个弱点就是——用HijackThis1.99.1扫系统日志,O23项可以显示灰鸽子注册的系统服务名(例:WindowsPowerServer)和可执行文件名(例: D:\WINDOWS\spoolvs.exe)。(注:NT系统的HiajckThis日志中才有O23项;WIN98等非NT系统不可能有此项。)
因此,建议因感染灰鸽子2005的发帖求助的网友按以下步骤操作:
1、用HijackThis1.99.1(本帖附件中的一个小工具)扫系统日志,在O23项中寻找灰鸽子2005注册的系统服务名(例:WindowsPowerServer)。如果自己看不懂HijackThis日志,可以将日志贴在帖子中,请别人帮助辨认。
2、确认灰鸽子2005注册的系统服务名后,打开注册表编辑器,定位到HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES分支,删除左栏中的病毒服务名(例: WindowsPowerServer)。
3、重启系统,在“文件夹选项”的“查看”面板中勾选“显示系统文件”、“显示所有的文件和文件夹”两项,点击“确定”按钮。然后在%windows%下寻找病毒文件名(例: D:\WINDOWS\spoolvs.exe),找到后删除之。需要注意的是:灰鸽子2005生成的病毒文件为一组,3-4个。病毒文件命名有一定规律,即:X.exe、X.dll、X_hook.dll以及XKey.dll,其中“X”指病毒文件名的可变部分。例如,你的系统感染灰鸽子2005后,在HijackThis1.99.1日志中看到“O23 - Service: RSVPS (QoS RSVPS) - Unknown owner - D:\WINDOWS\spoolvs.exe”这样的信息,那么,这个日志提示:这个灰鸽子2005服务端注册的系统服务名是“ RSVPS ”;生成的病毒文件是spoolvs.exe、spoolvs.dll、spoolvs_hook.dll,可能还有一个spoolvsKey.dll。这一组3-4个病毒文件位于D:\WINDOWS\文件夹中。
附:HijackThis日志中见到的灰鸽子2005注册的系统服务名与病毒文件名(供手工杀毒参考)
O23 - Service: WINL0G0N - Unknown - C:\WINDOWS\WINL0G0N.EXE
O23 - Service: Windows_Helper - Unknown - C:\WINDOWS\3721.exe
O23 - Service: ray-pigeon-sorver-unknwn-c:/windows/lerver.exe
O23 - Service: Remotee - Unknown - C:\WINNT\explercr.exe
O23 - Service: Gerver - Unknown - C:\WINDOWS\smcsc.exe
O23 - Service: Intelnet - Unknown - C:\WINDOWS\system.exe
O23 - Service: ssvn - Unknown - C:\WINNT\Servers.exe
O23 - Service: Distributed Coordi - Unknown - C:\WINNT\cmmon32.com
O23 - Service: Contact Information - Unknown - C:\WINDOWS\svchost.exe
O23 - Service: DNS Pigeon Server - Unknown - C:\WINDOWS\Rver.exe
O23 - Service: system Management Instrumenta - Unknown - C:\WINDOWS\comines.exe
O23 - Service: Plug and Play . - Unknown - C:\WINDOWS\crsss.exe
023- Service: Pigeon_Server-Unknown-C:\WINDOWS\Server.exe
O23 - Service: Windows Update Servers - Unknown - C:\WINDOWS\winupdate.exe
O23 - Service: Windows Management Player - Unknown - C:\WINNT\system.exe
O23 - Service: Application Performance Explor - Unknown - C:\WINDOWS\svchost.exe
O23 - Service: Windows Management Drivers - Unknown - C:\WINNT\win32help.exe
O23 - Service: WindowsPowerServer - Unknown - C:\WINNT\Server.exe
O23 - Service: RSVPS (QoS RSVPS) - Unknown owner - D:\WINDOWS\spoolvs.exe
灰鸽子(Backdoor.Huigezi)作者现在还没有停止对灰鸽子的开发,再加上有些人为了避开杀毒软件的查杀故意给灰鸽子加上各种不同的壳,造成现在网络上不断有新的灰鸽子变种出现。尽管瑞星公司一直在不遗余力地收集最新的灰鸽子样本,但由于变种繁多,还会有一些“漏网之鱼”。如果您的机器出现灰鸽子症状但用瑞星杀毒软件查不到,那很可能是中了还没有被截获的新变种。这个时候,就需要手工杀掉灰鸽子。
手工清除灰鸽子并不难,重要的是我们必须懂得它的运行原理。
灰鸽子的运行原理
灰鸽子木马分两部分:客户端和服务端。黑客(姑且这么称呼吧)操纵着客户端,利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe,然后黑客通过各种渠道传播这个木马(俗称种木马或者开后门)。种木马的手段有很多,比如,黑客可以将它与一张图片绑定,然后假冒成一个羞涩的MM通过QQ把木马传给你,诱骗你运行;也可以建立一个个人网页,诱骗你点击,利用IE漏洞把木马下载到你的机器上并运行;还可以将文件上传到某个软件下载站点,冒充成一个有趣的软件诱骗用户下载……
G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。
灰鸽子的手工检测
由于灰鸽子拦截了API调用,在正常模式下木马程序文件和它注册的服务项均被隐藏,也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。
但是,通过仔细观察我们发现,对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子木马。
由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。
1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。
2、打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。
3、经过搜索,我们在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。
4、根据灰鸽子原理分析我们知道,如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录,果然有这两个文件,同时还有一个用于记录键盘操作的GameKey.dll文件。
经过这几步操作我们基本就可以确定这些文件是灰鸽子木马了,下面就可以进行手动清除。
灰鸽子的手工清除
经过上面的分析,清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作,主要有两步:1、清除灰鸽子的服务;2删除灰鸽子程序文件。
注意:为防止误操作,清除前一定要做好备份。
一、清除灰鸽子的服务
2000/XP系统:
1、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。
2、点击菜单“编辑”-》“查找”,“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server)。
3、删除整个Game_Server项。
98/me系统:
在9X下,灰鸽子启动项只有一个,因此清除更为简单。运行注册表编辑器,打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项,我们立即看到名为Game.exe的一项,将Game.exe项删除即可。
二、删除灰鸽子程序文件
删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机。至此,灰鸽子已经被清除干净。
小结
本文给出了一个手工检测和清除灰鸽子的通用方法,适用于我们看到的大部分灰鸽子木马及其变种,然而仍有极少数变种采用此种方法无法检测和清除。同时,随着灰鸽子新版本的不断推出,作者可能会加入一些新的隐藏方法、防删除手段,手工检测和清除它的难度也会越来越大。当你确定机器中了灰鸽子木马而用本文所述的方法又检测不到时,最好找有经验的朋友帮忙解决。
同时随着瑞星杀毒软件2005版产品发布,杀毒软件查杀未知病毒的能力得到了进一步提高。经过瑞星公司研发部门的不断努力,灰鸽子病毒可以被安全有效地自动清除,需要用户手动删除它的机会也将越来越少。
病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。
灰鸽子免杀 改特征码 和 加花加壳,哪种方法好?
(一)
黑涩会提醒大家,要注意小心中(马)灰鸽子是国产远程控制软件的翘楚,国内玩网络安全的朋友基本人手一套。虽然鸽子自己定位为远程控制软件,但由于功能强大,使用种群又普遍是黑客爱好者,所以各种杀毒软件均将它视为木马软件——由此而引发的免杀技术从此大放光彩。
你是否还在为没有个人独有的免杀的木马而懊恼?是否还在为控制不了肉鸡而伤心?不用再为此难过,《黑客防线》专版灰鸽子是你最好的选择:免费、公开而且有系列的免杀教程与之配套,更新频率极快的、详细而全面的免杀操作录象能“授汝以渔”,让你打造出自己的专版免杀灰鸽子!
致的技术落后。
致的技术落后。
一.灰鸽子相关工具和录象公共免费版
1.黑防鸽子服务端自动免杀器
2.灰鸽子插件集
二.《黑客防线》专版免费灰鸽子VIP内部资料篇(VIP会员内部资源,需加入VIP登录后方可查看,点击加入VIP会员)
1.纯净资源(强烈建议到黑防官方下载黑防版灰鸽子,并使用压缩包中的MD5文件校验器校验文件,以免文件被人恶意修改,置入第三方后门木马。黑防下载文件内含MD5文件校验器,可以校验MD5值,如果MD5值不对,请勿使用。
\huigezi-heifang.rar 校验码:C5F959803E3311CA15888F5888C58CF8
(1)黑客防线专版灰鸽子和MD5文件校验器
(在安装前改确定你的系统没有安装过其他版本的灰鸽子,不然无法正常生成客户端。)
2.黑防专版灰鸽子配置与各种网络环境上线教程(VIP内部资源)
(1)花生壳黑防鸽子上线详细版
(2)黑防灰鸽子使用教程详细版
(3)S扫描器+内网映射+配置鸽子上线
(4)灰鸽子配置详细版
(5)网吧鸽子另类100%上线+抓鸡教程
(6)自动IP通知、邮件发送、解析灰鸽子原理
(7)灰鸽子自动上线教程
(8)更简单的鸽子上线
(9)灰鸽子内网端口映射自动上线
(10)用自己的肉鸡上线灰鸽子详细配置
(11)一键更新鸽子IP
(12)鸽子内网上线的两种方式
(13)灰鸽子网吧内网上线
(14)灰鸽子上线
(15)从配置灰鸽子到挂马详细语音版
(16)网吧代理服务器使用灰鸽子端口映射方法
(17)灰鸽子通过路由上线的教程
(18)ADsl 路由器上网映射端口使用灰鸽子自动上线全攻略
(19)关于scok5跳板的制作和免杀鸽子
(20)另类鸽子上线的方法
(21)从灰鸽子内网配置服务端到制作免杀服务端到制作网页木马到制作免杀网页木马到网站挂马
(22)鸽子内网上线配置动画
(23)灰鸽子内部免杀以及上线测试
(24)内网使用灰鸽子动画
(25)灰鸽子Socks5代理
3.黑防专版灰鸽子免杀与传播教程(VIP内部资源)
(1)(语音教程)灰鸽子内存,表面,DLL全面免杀
(2)菜鸟利用PP快速传播鸽子
(3)灰鸽子2006脱壳
(4)教你鸽子母鸡生小鸡
(5)鸽子免杀教程
(6)灰鸽子的培植与感染整个网吧教程
(7)修改鸽子数据特征码过咔吧
(8)5分钟打造免杀鸽子服务端(包括内存)
(9)ms06040+鸽子使用教程
(10)黑防灰鸽子过卡巴特最新动画
(11)给黑防灰鸽子做免杀
(12)分离灰鸽子后门捆绑程序
(13)灰鸽子2006服务端免杀
(14)鸽子(内存+表面)免杀教程
(15)灰鸽子vip2006简单免杀
(16)伪装壳灰鸽子万能文件捆绑器
(17)鸽子攻击者
(18)灰鸽子DLL内存特征码定位演示
(19)EPS定律脱鸽子2006壳
(20)黑防鸽子免杀江民的攻克
(21)鸽子cserver.dat免杀演示
(22)黑防鸽子的隐藏QQ马的特征码免杀
(23)把鸽子的肉鸡占为己有
4.灰鸽子木马清理与防护(VIP内部资源)
(1)灰鸽子专杀器
(2)如何发现自己中了灰鸽子木马
(3)灰鸽子专用清除器
(4)灰鸽子后门专杀工具绿色版
点击查看更多灰鸽子相关VIP资源
这是黑客防线主页,其中有些是VIP会员才能看的教程,为了方便大家下载教程我把
其中的下载地址给大家贴出来了。
关于scok5跳板的制作和免杀鸽子
灰鸽子2006服务端免杀
鸽子(内存+表面)免杀教程
黑软免杀技术细节语音动画
灰鸽子vip2006简单免杀
给黑防灰鸽子做免杀
对ASP木马免杀的研究
黑防鸽子免杀江民的攻克
木马绝对免杀录象
鸽子cserver.dat免杀演示
灰鸽子内部免杀以及上线测试
黑防原创免杀系列录象1
黑防原创免杀系列录象2
黑防原创免杀系列录象3
黑防原创免杀系列录象4
黑防原创免杀系列录象5
第六课
第七课
希望大家能够多学点技术,对自己的以后有所帮助,但不要用自己掌握的技术去做违法的事。
--------------------------------------------------
(二)
教你做灰鸽子免杀客户端
文件类型: .rar
界面语言:简体中文
软件类型:国产软件
运行环境:/Win9X/Me/WinNT/2000/XP
软件大小:20 MB
软件等级:
整理时间:2007-05-15
下载地址:
解压密码:
在家里用灰鸽子的黑客来~
主控端被杀不要紧.主要是服务端不被杀。.如果你想主控端免杀。你可以先把灰鸽子软件的壳脱掉在进行免杀。跟你说我研究了一年那个壳就只能脱一点..完全脱我脱不掉`