灰鸽子技术原理(灰鸽子专杀)
大家好,小杨来为大家解答以上问题,灰鸽子技术原理,灰鸽子专杀很多人还不知道,现在让我们一起来看看吧!
1、国内用户最熟悉的应该是“灰鸽子”木马。作为国内远程控制木马的鼻祖,“灰鸽子”历经数年更新版本无数,至今仍是互联网上的头号公敌。本期我们就来了解一下“灰鸽子”木马的手动清除方法。
2、编者按:“灰鸽子”的前世
3、“灰鸽子”是国内著名的遥控木马。其丰富强大的功能、灵活的操作、良好的隐蔽性让其他后门相形见绌。
4、“灰鸽子”为什么会成为互联网的公敌?这与其强大的功能是分不开的。首先是反弹连接功能。“灰鸽子”是国内首个使用反弹连接功能的远程控制木马,突破了传统主动连接木马的弊端。
5、这个功能让“灰鸽子”成为国内黑客的第一炫,其次才是它的隐蔽性。“灰鸽子”诞生之初就以其超强的隐蔽性和反查杀能力让杀毒软件厂商头疼不已,最后不得不发布专门的查杀工具来摆脱它。
6、2007年后,“灰鸽子”木马的开发停止了,但它的粉丝们并不愿意让这个著名的品牌没落。时至今日,“灰鸽子”仍在不断更新。当然,这是发烧友自我开发和修改的结果。
7、为什么很难摆脱“灰鸽子”?这是因为“灰鸽子”使用了驱动技术,在Windows中有很高的权限。所以,一旦系统重启,“灰鸽子”就会死灰复燃。事实上,如果你想对付“灰鸽子”,
8、掌握手动查杀的技术比使用任何杀毒软件都有效。我们来看看如何手动删除“灰鸽子”。
9、结束进程
10、要让奔跑的“灰鸽子”无效,首先要结束“灰鸽子”的过程。当然,使用Windows自带的“任务管理器”是不够的,功能太弱,不给力。我们不得不雇佣专业的安全工具“冰刃”。双击运行“冰刃”,
11、点击“进程”按钮,检测当前系统中的进程。
12、通常我们在这里会遇到两种情况。一种是进程列表中出现红色字体的进程,因为早期的“灰鸽子”会在系统进程中注入dll。另一种情况是伪造系统流程,如svchost.exe、
13、正常的svchost.exe看起来会像冰刃中的一个空白图标,而假的svchost.exe看起来会像一个小型计算机的图标。如果程序名本身就可疑,那么最好一眼就能认出来。
14、比如,“。在本例中为“exe”。找到后,右键点击流程,选择“结束流程”。这样,“灰鸽子”暂时跑不了了。
15、“灰鸽子”的过程
16、服务停止。
17、结束进程,为了使它无法自动启动,我们不得不禁止它的进程。点击开始菜单运行,进入msconfig运行系统配置实用程序,切换到服务选项卡。
18、选中下面的“隐藏所有Microsoft服务”选项。这样就列出了非Windows系统的服务,我们需要从中发现可疑的服务,本例中为“Windows”。
19、“灰鸽子”服务
20、我们回到“冰刃”,进入“服务”功能,发现“Windows”服务对应的应用正是”。exe”,它位于C:Windows目录中。可见这是“灰鸽子”的服务。
21、禁用“灰鸽子”服务
22、下一步就容易了。右键单击Windows服务并选择禁用。然后进入C:Windows目录并删除。exe文件。就这样,彻底清除了“灰鸽子”。其实不只是“灰鸽子”。
23、其他的远程控制木马也可以按照这样的步骤手动删除。
本文到此结束,希望对大家有所帮助。