電腦病毒灰鴿子原理及檢測

　　你知道一個病毒是怎麼來的嗎!它的構造等等!我們一起去了解吧!下面由小編對灰鴿子的原理和檢測做出詳細的分析!希望對你有幫助!

　　軟體原理編輯

　　此類軟體被統稱為遠端控制類軟體***或黑客軟體、木馬軟體***，它們均為 C/S 結構***Client/Server，客戶機/伺服器***。軟體分為客戶端與服務端兩部分，客戶端即為控制端***由控制者使用***，服務端為被控制端***由被控制者使用***，依據服務端執行時是否會顯示明顯的執行標誌***即對方是否知道它執行有服務端***，可分為正邪兩派，邪派就是傳說中的黑客軟體、特洛伊木馬程式，是各大防毒軟體的首要目標。同類軟體原理服務端執行後，會在本機開啟一個網路埠監聽客戶端的連線***時刻等待著客戶端的連線***，連線建立後，客戶端可用這個通道向服務端傳送命令並接收返回資料，即可實現遠端訪問。

　　相關原理

　　a.“反彈埠原理”簡介

　　如果對方裝有防火牆，客戶端發往服務端的連線首先會被服務端主機上的防火牆攔截，使服務端程式不能收到連線，軟體不能正常工作。同樣，區域網內通過代理上網的電腦，因為是多臺共用代理伺服器的IP地址，而本機沒有獨立的網際網路的IP地址***只有區域網的IP地址***，所以也不能正常使用。就是說傳統型的同類軟體不能訪問裝有防火牆和在區域網內部的服務端主機。但往往是道高一尺、魔高一丈，不知哪位高人分析了防火牆的特性後發現：防火牆對於連入的連線往往會進行非常嚴格的過濾，但是對於連出的連線卻疏於防範。於是，與一般的軟體相反，反彈埠型軟體的服務端***被控制端***主動連線客戶端***控制端***，為了隱蔽起見，客戶端的監聽埠一般開在80***提供HTTP服務的埠***，這樣，即使使用者使用埠掃描軟體檢查自己的埠，發現的也是類似 TCP　 ESTABLISHED 的情況，稍微疏忽一點你就會以為是自己在瀏覽網頁***防火牆也會這麼認為的***。看到這裡，也許有人會問：既然不能直接與服務端通訊，那如何告訴服務端何時開始連線自己呢?答案是：通過主頁空間上的檔案實現的，當客戶端想與服務端建立連線時，它首先登入到FTP伺服器，寫主頁空間上面的一個檔案，並開啟埠監聽，等待服務端的連線，服務端定期用HTTP協議讀取這個檔案的內容，當發現是客戶端讓自己開始連線時，就主動連線，如此就可完成連線工作。本軟體用的就是這種“反彈埠”原理，可以穿過防火牆，甚至還能訪問區域網內部的電腦。據作者所知，在同類軟體中，本軟體是唯一使用這種方法的，祝賀你!你幸運的選擇了它。

　　b.“HTTP隧道技術”簡介

　　簡單的來說，就是把所有要傳送的資料全部封裝到 HTTP 協議裡進行傳送，就可以通過 HTTP、SOCKS4/5 代理，而且也不會有什麼防火牆會攔截。我們都知道其它木馬只能訪問撥號上網的服務端，而因為網路神偷使用了“反彈埠原理”所以它不僅能訪問撥號上網的服務端，更可以訪問局域網裡通過 NAT 代理***透明代理***上網的服務端。而使用“HTTP隧道技術”以後，它甚至可以訪問到局域網裡通過 HTTP、SOCKS4/5 代理上網的服務端。這樣，網路神偷就幾乎支援了所有的上網方式，也就是說“只要能瀏覽網頁的電腦，網路神偷都能訪問!”。網路神偷服務端支援以下上網方式：撥號上網、ISDN 、ADSL 、DDN 、Cable Modem 、NAT透明代理、HTTP的GET型代理、HTTP的CONNECT型代理、SOCKS4 代理、SOCKS4A 代理、SOCKS5 代理 ，上述上網方式下，均可正常工作。

　　上線通知原理：網際網路如此之大，覆蓋全球，我們如何標識並找到上面的任何一臺電腦呢?答案是：IP地址，每臺連網電腦都會被分配一個IP地址，這個IP地址是全球唯一的，就象你家的門牌號碼，別人可以根據這個找到你。同樣，IP地址分配是有規律的，可以根據IP地址分配表查出相應的地理位置***本軟體內建IP地址分配表***。現在大多數網際網路使用者是撥號上網的，撥號上網的IP地址是由ISP***網際網路接入服務提供商，例如163、169***動態分配的。兩臺電腦想要連線就必須要知道對方的IP地址，就象想去你家串門就必須知道你的住址。因此，服務端如何把自己的IP地址告訴客戶端就成了一個大問題，也就是服務端上線通知。

　　灰鴿子現在最常用的方法是Email通知，即服務端上網後，傳送自己的IP地址到事先指定的郵箱，客戶端使用者只要去收信就行了。這種方面雖然最常用，但有很大不足，首先Email的實時性得不到保證，時慢時快，這與發信伺服器的線路質量有很大關係。其次，現在越來越多的發信伺服器設了“發信認證”功能，發信也要郵箱的密碼***原來只有收信才要***，這就給服務端發信增加了困難，服務端不帶密碼無法傳送，帶密碼則有可能被別人破出來。

　　手工檢測編輯

　　由於灰鴿子攔截了API呼叫，在正常模式下服務端程式檔案和它註冊的服務項均被隱藏，也就是說你即使設定了“顯示所有隱藏檔案”也看不到它們。此外，灰鴿子服務端的檔名也是可以自定義的，這都給手工檢測帶來了一定的困難。

　　但是，通過仔細觀察我們發現，對於灰鴿子的檢測仍然是有規律可循的。從上面的執行原理分析可以看出，無論自定義的伺服器端檔名是什麼，一般都會在作業系統的安裝目錄下生成一個以“_hook.dll”結尾的檔案。通過這一點，我們可以較為準確手工檢測出灰鴿子 服務端。

　　體積僅70kb隱蔽性更強

　　由於正常模式下灰鴿子會隱藏自身，因此檢測灰鴿子的操作一定要在安全模式下進行。進入安全模式的方法是：啟動計算機，在系統進入Windows啟動畫面前，按下F8鍵***或者在啟動計算機時按住Ctrl鍵不放***，在出現的啟動選項選單中，選擇“Safe Mode”或“安全模式”。

　　1.由於灰鴿子的檔案本身具有隱藏屬性，因此要設定Windows顯示所有檔案。開啟“我的電腦”，選擇選單“工具”—》“資料夾選項”，點選“檢視”，取消“隱藏受保護的作業系統檔案”前的對勾，並在“隱藏檔案和資料夾”項中選擇“ 顯示所有檔案和資料夾”，然後點選“確定”。

　　2.開啟Windows的“搜尋檔案”，檔名稱輸入“*_hook.dll”，搜尋位置選擇Windows的安裝目錄***預設98/xp為C:\windows，2k/NT為C:\Winnt***。

　　3.經過搜尋，我們在Windows目錄***不包含子目錄***下發現了一個名為Game_Hook.dll的檔案。

　　4.根據灰鴿子原理分析我們知道，如果Game_Hook.DLL是灰鴿子的檔案，則在作業系統安裝目錄下還會有Game.exe和Game.dll檔案。開啟Windows目錄，果然有這兩個檔案，同時還有一個用於記錄鍵盤操作的GameKey.dll檔案。

　　經過這幾步操作我們基本就可以確定這些檔案是灰鴿子服務端了，下面就可以進行手動清除。

此文的人還：