本文目录一览:
《灰鸽子》病毒是谁写出来的?它的攻击原理是什么?
案 灰鸽子病毒手工清除方法 灰鸽子(Backdoor.Huigezi)作者现在还没有停止对灰鸽子的开发,再加上有些人为了避开杀毒软件的查杀故意给灰鸽子加上各种不同的壳,造成现在网络上不断有新的灰鸽子变种出现。尽管瑞星公司一直在不遗余力地收集最新的灰鸽子样本,但由于变种繁多,还会有一些“漏网之鱼”。如果您的机器出现灰鸽子症状但用瑞星杀毒软件查不到,那很可能是中了还没有被截获的新变种。这个时候,就需要手工杀掉灰鸽子。 手工清除灰鸽子并不难,重要的是我们必须懂得它的运行原理。 灰鸽子的运行原理 灰鸽子木马分两部分:客户端和服务端。黑客(姑且这么称呼吧)操纵着客户端,利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe,然后黑客通过各种渠道传播这个木马(俗称种木马或者开后门)。种木马的手段有很多,比如,黑客可以将它与一张图片绑定,然后假冒成一个羞涩的MM通过QQ把木马传给你,诱骗你运行;也可以建立一个个人网页,诱骗你点击,利用IE漏洞把木马下载到你的机器上并运行;还可以将文件上传到某个软件下载站点,冒充成一个有趣的软件诱骗用户下载…… G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。 Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。 灰鸽子的手工检测 由于灰鸽子拦截了API调用,在正常模式下木马程序文件和它注册的服务项均被隐藏,也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。 但是,通过仔细观察我们发现,对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子木马。 由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。 1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。 2、打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。? 3、经过搜索,我们在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。 4、根据灰鸽子原理分析我们知道,如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录,果然有这两个文件,同时还有一个用于记录键盘操作的GameKey.dll文件。 经过这几步操作我们基本就可以确定这些文件是灰鸽子木马了,下面就可以进行手动清除。另外,如果你发现了瑞星杀毒软件查不到的灰鸽子变种,也欢迎登陆瑞星新病毒上报网站( )上传样本。 灰鸽子的手工清除 经过上面的分析,清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作,主要有两步:1、清除灰鸽子的服务;2删除灰鸽子程序文件。 注意:为防止误操作,清除前一定要做好备份。 一、清除灰鸽子的服务 2000/XP系统: 1、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。 2、点击菜单“编辑”-》“查找”,“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server)。 3、删除整个Game_Server项。 98/me系统: 在9X下,灰鸽子启动项只有一个,因此清除更为简单。运行注册表编辑器,打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项,我们立即看到名为Game.exe的一项,将Game.exe项删除即可。 二、删除灰鸽子程序文件 删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机。至此,灰鸽子已经被清除干净。 小结 本文给出了一个手工检测和清除灰鸽子的通用方法,适用于我们看到的大部分灰鸽子木马及其变种,然而仍有极少数变种采用此种方法无法检测和清除。同时,随着灰鸽子新版本的不断推出,作者可能会加入一些新的隐藏方法、防删除手段,手工检测和清除它的难度也会越来越大。当你确定机器中了灰鸽子木马而用本文所述的方法又检测不到时,最好找有经验的朋友帮忙解决。 同时随着瑞星杀毒软件2005版产品发布,杀毒软件查杀未知病毒的能力得到了进一步提高。经过瑞星公司研发部门的不断努力,灰鸽子病毒可以被安全有效地自动清除,需要用户手动删除它的机会也将越来越少。 利用文中所述方法进入安全模式查找"_hook.dll",没有找到任何信息。最后实在没办法,查看C:\windows\svchost.dll的属性,发现是本日才创建的文件,而且同时有一个svchost.exe文件,也是本日创建文件,感觉非常奇怪,因为svchost是一个系统文件,但是本日创建,很奇怪,预感问题在这里,然后查看别人相同的操作系统,发现没有svchost.dll文件,并且svchost.exe也是在C:\windows\system32下,大小14K,很久以前就创建的文件,因此可以肯定C:\windows下的svchost.dll svchost.exe都是病毒文件,于是删除这两个文件,并且进入注册表(regedit),查找svchost,发现是C:\windows\svchost.dll(exe)的项全部删除,结果发现键名“GrayPigeonServer”(英文的灰鸽子),并且键值含有汉字“灰鸽子服务端程序。远程监控管理”,于是删除。最后查找“GrayPigeonServer”,发现还有项,但是删除出现错误,于是右键菜单修改权限为全部,即可删除。最后删除全部含有“GrayPigeonServer”的项。然后再用汉字“灰鸽子”查找,发现已经没有。当然了,最后还是对上述查找进行了一次确认。 完成上述操作后,重启动,结果OK!
灰鸽子作者葛军已经死了,身中600多刀,警方怀疑是仇杀
葛军“灰鸽子工作室”的创办者,一个低调而又引人注目的程序员。今年年初,第一次接触到灰鸽子。这款远程控制软件的综合性能已经远远超过了当年的冰河,在国内的使用者也相当多。一边是木马程序、黑客软件和不断的质疑;一边是追求自由的精神,艰苦的开发与不懈的探索,葛军将怎样面对未来?童年生活 ,1982年,葛军出生在安徽省安庆市的一个普通农民家庭,从小跟随妈妈在农田里长大的葛军非常羡慕每天背着书包去上学的姐姐。五岁的时候,葛军盼来了自己迈入课堂的那一天。幼年对学校的渴望让葛军异常地向往学校的生活,在小学时他一度成为班长,儿时优异的成绩给葛军的内心带来了极大的优越感,以至于这种优越感一直延续到他踏进中学的大门。初中刚刚开学的第一天,年轻气盛的葛军就因为和同班同学争论谁的小学更加优秀而动了手,入学的打架事件给老师留下了极不好的印象。随后语言环境的落差更进一步造成了葛军的逆反心理,由于中学老师要求所有学生说普通话,这让第一次走出农村的葛军很不适应,学习成绩一落千丈。我找到了理想 1996年,父亲坚持着给葛军买了一个高中指标,但是葛军的学习态度仍然没有转变。这时,他迷恋上了电子游戏机。家人对葛军失去了信心,为了让他在高中毕业后能够有点事干,父亲在葛军即将高中毕业的时候,为他报了一个电脑培训班。 “在学习班的那段时间,我感觉时间过得非常快,不知不觉两个月就过去了。毕业前,学习班的老师语重心长地对我说,‘你现在所学的电脑知识仅仅是一些应用上的东西,如果你想真正的了解电脑,操纵电脑,一定要好好地学习编程。’”葛军回忆说,当时编程在自己的心中根本没有概念。如今这件事情已经过去多年,但是葛军一直强调这对他来说是一次改变人生的谈话! 2000年,在葛军的几次游说下,父亲终于狠下心来给葛军买了一台电脑。有了电脑之后,葛军又回想起当年老师的那句话,于是葛军从书店挑选了一本 Visual Basic编程的书,开始认真地学了起来。 “我当时就想编写一个程序来证明自己。”葛军回想起当年在电脑学习班中,老师曾经被计算机病毒搞得坐立不安,这件事情让他对病毒充满了好奇。“思考了许久之后,我决定要编写一个病毒!”不知道是机缘巧合还是命中注定,VB此时又起了决定性的作用,葛军顺利开发出了自己的第一个病毒程序——哎灵病毒。带着理想飞翔 2001年,葛军所在的地质队接通了Internet,当时他对网络的印象除了速度慢以外,就一个“贵”字。在这期间,葛军注意到了远程控制软件。“我当时在网上找到的第一款远程控制软件是冰河,然后我开始在单位里做实验,给同事的电脑安装上,然后利用冰河的屏幕监视功能学习同事使用AutoCAD的经验。”在得到乐趣的同时,葛军发现杀毒软件已经能够查杀冰河了,于是他开始策划着自己编写一款远程控制软件。 “有一次,我在逛书店的时候无意中发现了一本Delphi的书籍,读后发现Delphi和VB很相似,跟搭积木一样简单,最关键的是它不会出现VB那种动态链接库的情况。” 对VB已经很熟悉的葛军来说,学习Delphi非常得心应手,他很快就掌握了Delphi的相关技巧,并开始模仿冰河写自己的远程控制程序。“冰河是用C ++ Builder编写的,由于Delphi和C++ Builder都是Borland公司的开发工具,因此我很轻松地就用Delphi模仿出了冰河的界面,并轻松地实现了部分冰河的功能。” “后来我逐渐在灰鸽子上添加了各种功能,最终让它模仿了冰河的全部功能。我感觉这款软件基本成型后就发布到Internet上了。” 灰鸽子发布后,很快就吸引了成千上万的用户,成为了中国网络中继冰河之后又一款用户群广泛的远程控制软件。“后来我成立了自己的公司,也不得不对部分有特殊要求的用户进行收费,当时引起了很大的争议。”葛军说,收费实属无奈,毕竟从网站开销到相关资料的购买,都需要资金的支持。在采访的最后,葛军对笔者说,他并不能算一个真正的黑客,甚至不能算是黑客,自己仅仅是一个普通的程序员而已……
袁雨忻的介绍
袁雨忻,1995年出生,中国少年黑客界众所周知人物。后因暗势涉及网络信息安全被迫解散,于是袁雨忻便自立门户,组建“mission”联盟。
网名:MISSION
真名:袁秉宇
性别:男
籍贯:中国河南郑州
个人履历
河南省是中国计算机发展早期,技术最领先的地方。袁雨忻就是在这里成长起来。袁雨忻最常用的名字是MISSION,我一直不明白这个名字到底是什么意思。他经常用一个带有小写m的娃娃头当做头像。但是这并不妨碍他成为中国中国少年黑客的大师级人物。MISSION这个名字远没有袁雨忻出名,因为他用袁雨忻这个名字连续写了8篇黑客入门文章。许多人非常熟悉这样的开头:“这不是一个教学文件,只是告诉你该如何破解系统,好让你能够将自己的系统作安全的保护,如果你能够将这份文件完全看完,你就能够知道电脑黑客们是如何入侵你的电脑,我是袁雨忻,写这篇文章的目的是要让大家明白电脑安全的重要性,并不是教人破解密码。 这就是典型的袁雨忻风格。在互联网在中国落地的早期,听说过黑客的人很多,但是没有几个人真正知道黑客是怎样入侵系统。袁雨忻正是告诉大家什么样的人是一个恐怖的黑客。我从来没有听说过袁雨忻攻击过什么网站,现在的一些朋友也说袁雨忻的8篇文章,根本够不上黑客级别,都是小儿科的基本知识。所以我更觉得袁雨忻是一个辛辛苦苦的传道士,至少他是一个优秀的作家,一个深入人心的科普作者。迄今我还没有见到任何人,能够把黑客枯燥的入侵过程写得如此生动,简单。让一个上网的新手觉得黑客世界离自己真的不远,自己只要伸伸手,就可以成为神秘世界的一员。 事实的确如此。今天在互联网上,名气比较大的几个少年黑客,都不得不承认,袁雨忻是他们的入门老师,他把一批最早的网虫带进了一个无穷神秘的世界。在这个世界里只有两个字:超越。 如今的互联网上,袁雨忻的文章被贴得到处都是,无数刚学会设置拨号网络的少年,看着袁雨忻的文章依然热血沸腾。人类原始的好奇本能被这冰冷的火焰激活,他们终于发现了电脑游戏之外有一个崭新的天地,在这个天地里,法律被重新洗牌。有的人能够走出黑客入侵的领域,成为大师,有的人迷失在其中,沦落囚犯。我们没有办法从道德上解读MISSION,就像我们没有办法解读黑客本质一样。袁雨忻的教程,犹如8颗闪亮的星,他就是存在在那里,没有解释,没有善恶。仅仅是存在。 我们今天依然仰望那里,心中充满敬仰。虚拟的世界没有办法用传统的思维来套用,如果用简单的开锁来衡量黑客的发展,就太失于浅薄。袁雨忻的作用没有尺度,他在一个更大的尺度上,俯瞰网络世界的发展。 袁雨忻,对于少年来说是一代宗师。把他列到中国少年黑客的榜样,应该没有什么争议。这是袁雨忻写的黑客守则,尽管完全是一个个人的观点,其中有一些可乐的地方,但是许多人还是把它当作现实的人在虚拟世界的一种游戏法则。
1,我是袁雨忻,对你们那些黑客来说,我是个孩子。不是什么大师。更不想得到虚拟世界里所谓的追捧。
2,请不要用黑客这个名词,来当做你赚钱的工具。
3,我公开的每一个教程,都标有“仅供参考”四个字。这所考验的是你们做人的最低底线。
4,说实话,我还是个孩子。不喜欢用所谓的入侵去攻击别人。
人物生平
2006年 加入暗势联盟
2007年 参加中国青少年网络技术大赛,获一等奖
2008年 袁雨忻为暗势赢取网络安全团体的桂冠
2009年 袁雨忻成功破解Unix指令集
2010年 袁雨忻推出暗势联盟
2010年 暗势因涉及网络信息安全问题被迫解散
2011年 袁雨忻组建”mission“联盟
2012年 袁雨忻获COG信息安全终身成就奖提名
个人作品
2008年 袁雨忻制作8909端口ip扫描器
2009年 袁雨忻携暗势成员成功编译灰鸽子暗势专版
2010年 袁雨忻用Unix指令编译远程控制
2012年 袁雨忻mission远控获COG信息安全一等奖