灰鴿子第三章:服務端工作方式
灰鴿子是國內(nèi)一款著名后門。比起前輩冰河��、黑洞來����,灰鴿子可以說是國內(nèi)后門
的集大成者�����。其豐富而強大的功能����、靈活多變的操作��、良好的隱藏性使其他后門
都相形見絀?���?蛻舳撕喴妆憬莸牟僮魇箘?cè)腴T的初學者都能充當黑客����。當使用在
合法情況下時�����,灰鴿子是一款優(yōu)秀的遠程控制軟件��。但如果拿它做一些非法的事
,灰鴿子就成了很強大的黑客工具。這就好比火藥�����,用在不同的場合����,給人類帶
來不同的影響�����。對灰鴿子完整的介紹也許只有灰鴿子作者本人能夠說清楚,在此
我們只能進行簡要介紹。
灰鴿子客戶端和服務端都是采用Delphi編寫����。黑客利用客戶端程序配置出服
務端程序��?���?膳渲玫男畔⒅饕ㄉ暇€類型(如等待連接還是主動連接)、主動
連接時使用的公網(wǎng)IP(域名)����、連接密碼�����、使用的端口、啟動項名稱�����、服務名稱
��,進程隱藏方式����,使用的殼����,代理,圖標等等�����。
服務端對客戶端連接方式有多種��,使得處于各種網(wǎng)絡(luò)環(huán)境的用戶都可能中毒
��,包括局域網(wǎng)用戶(通過代理上網(wǎng))、公網(wǎng)用戶和ADSL撥號用戶等�����。
下面介紹服務端:
配置出來的服務端文件文件名為G_Server.exe(這是默認的��,當然也可以改
洌H緩蠛誑屠靡磺邪旆ㄓ掌沒г誦蠫_Server.exe程序。具體采用什么辦法
����,讀者可以充分發(fā)揮想象力��,這里就不贅述。
G_Server.exe運行后將自己拷貝到Windows目錄下(98/xp下為系統(tǒng)盤的windows目
錄,2k/NT下為系統(tǒng)盤的Winnt目錄)����,然后再從體內(nèi)釋放G_Server.dll和
G_Server_Hook.dll到windows目錄下����。G_Server.exe����、G_Server.dll和
G_Server_Hook.dll三個文件相互配合組成了灰鴿子服務端,
G_Server_Hook.dll負責隱藏灰鴿子����。通過截獲進程的API調(diào)用隱藏灰鴿子的文件
����、服務的注冊表項�����,甚至是進程中的模塊名��。截獲的函數(shù)主要是用來遍歷文件�����、
遍歷注冊表項和遍歷進程模塊的一些函數(shù)����。所以,有些時候用戶感覺種了毒,但
仔細檢查卻又發(fā)現(xiàn)不了什么異常��。有些灰鴿子會多釋放出一個名為
G_ServerKey.dll的文件用來記錄鍵盤操作�����。注意����,G_Server.exe這個名稱并不固
定��,它是可以定制的��,比如當定制服務端文件名為A.exe時,生成的文件就是
A.exe、A.dll和A_Hook.dll����。
Windows目錄下的G_Server.exe文件將自己注冊成服務(9X系統(tǒng)寫注冊表啟
動項)����,每次開機都能自動運行��,運行后啟動G_Server.dll和G_Server_Hook.dll
并自動退出��。G_Server.dll文件實現(xiàn)后門功能,與控制端客戶端進行通信;
G_Server_Hook.dll則通過攔截API調(diào)用來隱藏病毒����。因此��,中毒后�����,我們看不到
病毒文件����,也看不到病毒注冊的服務項��。隨著灰鴿子服務端文件的設(shè)置不同��,
G_Server_Hook.dll有時候附在Explorer.exe的進程空間中,有時候則是附在所有
進程中����。
灰鴿子的作者對于如何逃過殺毒軟件的查殺花了很大力氣��。由于一些API函數(shù)
被截獲,正常模式下難以遍歷到灰鴿子的文件和模塊��,造成查殺上的困難�����。要卸
載灰鴿子動態(tài)庫而且保證系統(tǒng)進程不崩潰也很麻煩�����,因此造成了近期灰鴿子在互
聯(lián)網(wǎng)上泛濫的局面。
posted on 2006-01-01 11:40
halCode 閱讀(543)
評論(0) 編輯 收藏 引用 所屬分類:
備看文檔