灰鸽子sunray破解版(一):未雨绸缪,实验准备_病毒安全_
因此,互联网上有很多高手可以破解灰鸽子,以致灰鸽子无法进入灰鸽子的官方网站
操作验证,因此您无需付费即可使用它,
相关版本包括:影鹰破解特别版,艾尔破解版和中国黑客同盟的灰鸽子
Sunray破解版。
今天,我们将使用“ Gray Pigeon sunray破解版”详细分析此木马的服务器配置。
样式,仅做实验,不要做不好的事情,如果您不喜欢它,请跳过本章。
第1节:提前计划并为实验做准备。
首先,关闭防病毒软件。我不需要谈论这个~~~因为它是木马,下载后就像
如果启用了防病毒软件监控,则肯定会删除它。
其次,当然要下载Gray Pigeon的软件~~~搜索,有很多~~~
第三,申请免费的主页空间。你为什么需要它?因为灰鸽子会反弹
已链接,即服务器可以通过登录到首页上的特定文件来主动连接到您
您的计算机处于控制之中。 (这一点将在后面详细说明)
第2节:实际战斗开始了。
将我们刚刚下载的文件解压缩到一个文件夹中,请记住,不要更改该文件夹的名称,稍后会
使用过。
解压缩的文件中包含以下文件:
H_Client.exe这是客户端的主文件,您可以配置该文件,生成服务器,然后进行更进一步。
程序控制客户端。
http.exe,这是本地http服务器,因为我们的灰鸽子是经过破解的版本,通常是官方版本
灰鸽子将进入官方服务器以验证您的软件是否为正版,因此已使用该软件
在此计算机上构建服务器以欺骗软件并达到破解的目的。
sunray.exe实际上只是一个主机,它需要这个
网站的域名解析为本地计算机,而不是官方网站。
vip_2005_011 3. rar这是一个经过验证的软件,当我们的软件解析为这台机器时,它将
将此内容下载到客户端进行验证。
其他文件包括config200 5. asp,Opera.ini和四个文件夹,分别是
(dat图像登录声音)我不知道这是干什么的。应该用于配置。
第一步:在计算机上创建一个新的ip.txt文本文件,内容如下:
:8000end
21 2. 12 6. 13 1. 43是我的计算机的IP地址,而8000是连接的端口,您可以编写它
作为您自己的IP地址,通常不要更改端口,然后将此文件上传到您刚刚申请的文件中
空格,如果您的计算机具有动态IP,则必须经常更新此文件的内容,然后再上传
进入该空间的目的是,如果客户,它将去这个网站读取文件,然后主动和
您已建立联系。
第二步,首先运行sunray.exe,然后运行http.exe以启动服务!
第三步是运行客户端,即文件H_Client.exe,
点击“自动上线”选项,有几点要说明,
1)“备份自动,并且URL转发到域名或网页文件。在这里,立即填写您的应用程序
请转到网站空间地址和ip.txt,例如您的网站地址/ip.txt
(当然,如果您具有固定的IP,则可以写入您的IP地址,那么以前的应用程序空间,上传文件都可以省略)
2)“自动连接密码”,这是您可以连接到的计算机使用的密码
该代码,如果为空,则没什么大不了的,至多其他人都可以使用您的“锅炉”
3)“配置说明”建议您选中“仅使用备份才能自动上线”之前的复选框,因为我是
我们的软件是破解版,我们无法使用官方服务器~~~
4)“用户名”和“用户密码”,只需随机填写一些数字,然后将其破解
The
版本不使用服务器的正式版本,服务器使用它来验证软件是否为“正版”。
在“安装选项”选项卡中,建议修改名称以避免被发现。自己见别人
只要这样做,选择是否喜欢~~~ ^ _ ^
“启动项”非常重要。我建议您修改名称,主要是系统的服务器端。
您可以使用它进行自动激活。 “生成服务”用于隐藏目的
是的,这也是我们通常所说的手动删除木马的关键。长期以来,很都说无法删除
之所以选择灰鸽子,是因为它是作为服务编写的,它的优先级是系统级别,都使用此功能
大脑用户将启动木马。
“代理服务”,嘻嘻,您控制的计算机可以用作我们的代理服务
设备,也许是其他人宣布的代理服务器?一些服务器地址是这些计算机的~~~
此处的“高级选项”主要用于处理防病毒软件和防火墙,默认为插入
IEXPLORER,启动隐藏文件以隐藏插入的IE进程,并使用UPX压缩,无需在这里进行
更改它,默认设置即可。
“服务器图标”用于伪装,您可以选择自己喜欢的图标~~~
完成配置后,单击以生成服务器。该软件将首先经过官方验证,但无效。错误后,它将来自原始文件
本地服务器验证,这就是我们要在此计算机上构建http服务器的原因。好的,在这里,服务器将
它已生成,请不要运行,运行后您将得到木马(不要做坏事)
如何使用该软件:当其他人打您的木马时,它将从您的网站读取ip.txt文件,
然后主动连接到您的计算机。如果此时还打开客户端,则连接成功建立,并且您
您可以控制此计算机。找出具体的内容,
如果您具有动态IP地址,则每次都必须将新的ip.txt上传到网站~~~
灰鸽子第3章:服务器如何工作:
灰鸽子是中国著名的后门。与以前的冰川和黑洞相比,灰鸽子可以说是国内的后门了。
主人。其丰富而强大的功能,灵活的操作和良好的隐蔽性使其他后门成为了
相比之下,它们都显得苍白。客户终端的简单方便的操作使刚开始充当黑客的初学者成为可能。在
中使用时
在合法的情况下,Gray Dove是一款出色的远程控制软件。但是,如果您使用它来做非法的事情
灰鸽子已成为一种非常强大的黑客工具。这就像,在不同场合用来带人
有不同的影响。灰色鸽子的完整介绍只能由灰色鸽子的作者来阐明,在这里
我们只能做一个简单的介绍。
灰鸽子客户端和服务器都是用Delphi编写的。黑客使用客户端程序来配置服务器
服务器终端程序。可配置信息主要包括类型(例如等待连接或活动连接),活动
连接时使用的公共IP(域名),连接密码,使用的端口,启动项的名称,服务的名称
,进程隐藏方法,使用的外壳,代理,图标等
有很多方法可以将服务器连接到客户端,这使得各种网络环境中的用户都可能会中毒。
,包括LAN用户(通过代理访问Internet),公共网络用户和ADSL拨号用户等。
以下描述了服务器:
配置的服务器文件名为G_Server.exe(这是默认设置,当然您可以更改它
请记住要减慢_Server.exe程序的速度。具体使用什么方法
,读者可以充分发挥他们的想象力,因此在这里我将不做详细介绍。
运行G_Server.exe后,将其自身复制到Windows目录(98 / xp是系统磁盘的Windows目录
记录,2k / NT是系统磁盘的Winnt目录),然后释放G_Server.dll和
G_Server_Hook.dll到Windows目录。 G_Server.exe,G_Server.dll和
G_Server_Hook.dll的三个文件相互配合形成灰色鸽子服务器。
G_Server_Hook.dll负责隐藏灰鸽子。通过被拦截进程的API调用隐藏的灰色鸽子文件
,服务的注册表项,甚至进程中的模块名称。拦截功能主要用于遍历文件,
遍历注册表项和遍历过程模块的某些功能。因此,有时用户会觉得自己种了毒药,但是
仔细检查,但未发现任何异常。一些灰鸽子会再释放一种叫做
G_ServerKey.dll文件用于记录键盘操作。请注意,名称G_Server.exe是固定的
当然可以定制。例如,当自定义服务器文件名为A.exe时,生成的文件为
A.exe,A.dll和A_Hook.dll。
Windows目录中的G_Server.exe文件将其自身注册为服务(9X系统写入注册表以启动
操作项),它可以在每次启动时自动运行,并在运行后启动G_Server.dll和G_Server_Hook.dll。
并自动退出。 G_Server.dll文件实现后门功能并与控制客户端通信;
G_Server_Hook.dll通过拦截API调用来隐藏病毒。因此,中毒后我们看不到
病毒文件,看不到该病毒注册的服务项目。使用灰色鸽子服务器文件的不同设置,
G_Server_Hook.dll有时会附加到Explorer.exe的进程空间,有时会附加到所有
进行中。
“灰鸽子”的作者为避免逃脱检测和查杀杀毒软件付出了很多努力。由于某些API函数
它被截获,并且在正常模式下很难遍历Gray Dove的文件和模块,这使其很难被发现和杀死。卸载
加载灰鸽子动态库并确保系统进程不会崩溃是非常麻烦的,这导致了灰鸽子最近相互交互
互联网的普及。
灰鸽子第4章:用两种方法手动和手动删除灰鸽子。
一.手动检测灰鸽子
因为灰鸽子在正常模式下拦截了API调用,服务器程序文件及其注册的服务
所有项目都是隐藏的,这意味着即使您设置了“显示所有隐藏的文件”,也看不到它们。另外
灰色鸽子服务器的文件名也可以自定义,这给手动检测带来了一定的困难
。
但是,通过仔细观察,我们发现对灰色鸽子的检测仍然是常规的。来自
以上对工作原理的分析表明,无论自定义服务器端文件名是什么,通常都会是
在操作系统的安装目录中创建一个以“ _hook.dll”结尾的文件。通过这个,我
我们可以手动更准确地检测灰色鸽子服务器。
由于灰鸽子会在正常模式下隐藏,因此检测灰鸽子的操作必须处于安全模式。
继续按照公式进行操作。进入安全模式的方法是:在系统进入Windows启动屏幕之前启动计算机
,在显示的启动选项菜单中,按F8键(或在启动计算机时按住Ctrl键)
选择“安全模式”或“安全模式”。
1、由于灰鸽子的文件本身具有隐藏的属性,因此有必要将Windows设置为显示所有文件
。打开“我的电脑”,选择菜单“工具”->“文件夹选项”,单击“查看”,
去掉“隐藏受保护的操作系统文件”前面的复选标记,并将其放在“隐藏文件和文件夹”项中
选择“显示所有文件和文件夹”,然后单击“确定”。
2、打开Windows“搜索文件”,输入“ _hook.dll”作为文件名,然后选择搜索位置
选择Windows安装目录(默认98 / xp为C:/ windows,2k / NT为C:/ Winnt)。
3、搜索后,我们找到了一个名为
的文件
在Windows目录中(不包??括子目录)
Game_Hook.dll文件。
4、根据对灰色鸽子原理的分析,我们知道,如果Game_Hook.DLL是灰色鸽子的文件,则它正在运行
在系统安装目录中还将有Game.exe和Game.dll文件。打开Windows目录,它确实有这个
两个文件,还有一个GameKey.dll文件,用于记录键盘操作。
完成这些步骤之后,我们基本上可以确定这些文件是灰色鸽子服务器。就是这样。
可以手动清除。
二、手动清除灰鸽子
经过上面的分析,很容易去除灰鸽子。清除灰鸽子仍然需要处于安全模式
操作,主要有两个步骤:1、清理灰鸽子的服务; 2删除灰色鸽子程序文件。
注意:为防止误操作,请确保在清洁前进行备份。
(一),去除灰鸽子的服务
请注意,去除灰鸽子的服务必须在注册表中完成。不熟悉注册表的网民应该熟悉
人们在操作方面需要帮助,删除灰鸽子的服务必须首先备份注册表,或者转到纯DOS来保存注册表
重命名该文件,然后转到注册表以删除Gray Dove的服务。因为该病毒将与EXE文件相关联
2000 / XP系统:
1、打开注册表编辑器(单击“开始”-“运行”,输入“ Regedit.exe”
,好的。 ),打开HKEY_LOCAL_MACHINE / SYSTEM / CurrentControlSet / ServicesNote
图书清单项目。
2、单击菜单“编辑”->“查找”,在“查找目标”中输入“ game.exe”,然后单击
好的,我们可以找到Gray Dove的服务项目(在本例中为Game_Server,该服务项目适用于所有人
名称不同)。
3、删除整个Game_Server项。
98 /我系统:
在9X下,Gray Dove只有一个启动项,因此更容易删除它。运行注册表编辑器,
打开HKEY_CURRENT_USER /软件/ Microsoft / Windows / CurrentVersion / Run项目,
我们立即看到一个名为Game.exe的项目,只需删除该项目Game.exe。
“ target = _blank>
“ border = 0>
(二),删除灰鸽子程序文件
删除灰色鸽子程序文件非常简单,只需以安全模式删除Windows目录
Game.exe,Game.dll,Game_Hook.dll和Gamekey.dll文件,然后重新开始计算
机器。至此,灰鸽子VIP 2005服务器已经清理完毕。
上面介绍的方法适用于我们所见过的大多数灰鸽子木马及其变种,但数量仍然很少
使用此方法无法检测和清除变量。同时,随着新版本《灰鸽子》的不断发行,作者
可能会添加一些新的隐藏方法和防删除方法,这将使手动检测和删除它们变得更加困难
更大。
三、预防灰鸽子病毒需要注意的事项
1.为系统安装补丁程序。通过Windows Update(关键更新,
安全更新和Service Pack),包括MS04-01 1、 MS04-01 2、 MS04-01 3、 MS03-00 1、
MS03-00 7、 MS03-04 9、 MS04-032等被病毒广泛使用,是非常必要的补丁程序
2.设置一个足够复杂且强度足以用于系统管理员帐户的密码,最好超过10个字符。
parent + number + other符号的组合;您还可以禁用/删除一些未使用的帐户
3.经常更新防病毒软件(病毒),并且可以将允许的设置设置为每天定期自动更新。
安装并合理使用网络防火墙软件,网络防火墙也可以在防病毒过程中发挥关键作用
重要角色可以有效地阻止来自网络的攻击和病毒的入侵。某些盗版Windows用户没有
能够正常安装补丁程序是非常无助的。这部分用户可能希望使用网络防火墙来做到这一点
某种保护
4.关闭一些不必要的服务。如果条件允许,您可以关闭不必要的共享,包括C $,
D $和其他管理共享。完全独立的用户可以直接关闭服务器服务。这些可以用于winxp管理器
优化软件已关闭。
本文来自本站,转载请注明本文网址:
http://www.pc-fly.com/a/shouji/article-373041-1.html
……