不卡AV在线|网页在线观看无码高清|亚洲国产亚洲国产|国产伦精品一区二区三区免费视频

學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 電腦安全 > 病毒知識 > 電腦病毒灰鴿子原理及檢測

電腦病毒灰鴿子原理及檢測

時間: 林輝766 分享

電腦病毒灰鴿子原理及檢測

  你知道一個病毒是怎么來的嗎!它的構(gòu)造等等!我們一起去了解吧!下面由學(xué)習(xí)啦小編對灰鴿子的原理和檢測做出詳細的分析!希望對你有幫助!

  軟件原理編輯

  此類軟件被統(tǒng)稱為遠程控制類軟件(或黑客軟件、木馬軟件),它們均為 C/S 結(jié)構(gòu)(Client/Server,客戶機/服務(wù)器)。軟件分為客戶端與服務(wù)端兩部分,客戶端即為控制端(由控制者使用),服務(wù)端為被控制端(由被控制者使用),依據(jù)服務(wù)端運行時是否會顯示明顯的運行標(biāo)志(即對方是否知道它運行有服務(wù)端),可分為正邪兩派,邪派就是傳說中的黑客軟件、特洛伊木馬程序,是各大殺毒軟件的首要目標(biāo)。同類軟件原理服務(wù)端運行后,會在本機打開一個網(wǎng)絡(luò)端口監(jiān)聽客戶端的連接(時刻等待著客戶端的連接),連接建立后,客戶端可用這個通道向服務(wù)端發(fā)送命令并接收返回數(shù)據(jù),即可實現(xiàn)遠程訪問。

  相關(guān)原理

  a.“反彈端口原理”簡介

  如果對方裝有防火墻,客戶端發(fā)往服務(wù)端的連接首先會被服務(wù)端主機上的防火墻攔截,使服務(wù)端程序不能收到連接,軟件不能正常工作。同樣,局域網(wǎng)內(nèi)通過代理上網(wǎng)的電腦,因為是多臺共用代理服務(wù)器的IP地址,而本機沒有獨立的互聯(lián)網(wǎng)的IP地址(只有局域網(wǎng)的IP地址),所以也不能正常使用。就是說傳統(tǒng)型的同類軟件不能訪問裝有防火墻和在局域網(wǎng)內(nèi)部的服務(wù)端主機。但往往是道高一尺、魔高一丈,不知哪位高人分析了防火墻的特性后發(fā)現(xiàn):防火墻對于連入的連接往往會進行非常嚴(yán)格的過濾,但是對于連出的連接卻疏于防范。于是,與一般的軟件相反,反彈端口型軟件的服務(wù)端(被控制端)主動連接客戶端(控制端),為了隱蔽起見,客戶端的監(jiān)聽端口一般開在80(提供HTTP服務(wù)的端口),這樣,即使用戶使用端口掃描軟件檢查自己的端口,發(fā)現(xiàn)的也是類似 TCP UserIP:1026 ControllerIP:80 ESTABLISHED 的情況,稍微疏忽一點你就會以為是自己在瀏覽網(wǎng)頁(防火墻也會這么認(rèn)為的)。看到這里,也許有人會問:既然不能直接與服務(wù)端通信,那如何告訴服務(wù)端何時開始連接自己呢?答案是:通過主頁空間上的文件實現(xiàn)的,當(dāng)客戶端想與服務(wù)端建立連接時,它首先登錄到FTP服務(wù)器,寫主頁空間上面的一個文件,并打開端口監(jiān)聽,等待服務(wù)端的連接,服務(wù)端定期用HTTP協(xié)議讀取這個文件的內(nèi)容,當(dāng)發(fā)現(xiàn)是客戶端讓自己開始連接時,就主動連接,如此就可完成連接工作。本軟件用的就是這種“反彈端口”原理,可以穿過防火墻,甚至還能訪問局域網(wǎng)內(nèi)部的電腦。據(jù)作者所知,在同類軟件中,本軟件是唯一使用這種方法的,祝賀你!你幸運的選擇了它。

  b.“HTTP隧道技術(shù)”簡介

  簡單的來說,就是把所有要傳送的數(shù)據(jù)全部封裝到 HTTP 協(xié)議里進行傳送,就可以通過 HTTP、SOCKS4/5 代理,而且也不會有什么防火墻會攔截。我們都知道其它木馬只能訪問撥號上網(wǎng)的服務(wù)端,而因為網(wǎng)絡(luò)神偷使用了“反彈端口原理”所以它不僅能訪問撥號上網(wǎng)的服務(wù)端,更可以訪問局域網(wǎng)里通過 NAT 代理(透明代理)上網(wǎng)的服務(wù)端。而使用“HTTP隧道技術(shù)”以后,它甚至可以訪問到局域網(wǎng)里通過 HTTP、SOCKS4/5 代理上網(wǎng)的服務(wù)端。這樣,網(wǎng)絡(luò)神偷就幾乎支持了所有的上網(wǎng)方式,也就是說“只要能瀏覽網(wǎng)頁的電腦,網(wǎng)絡(luò)神偷都能訪問!”。網(wǎng)絡(luò)神偷服務(wù)端支持以下上網(wǎng)方式:撥號上網(wǎng)、ISDN 、ADSL 、DDN 、Cable Modem 、NAT透明代理、HTTP的GET型代理、HTTP的CONNECT型代理、SOCKS4 代理、SOCKS4A 代理、SOCKS5 代理 ,上述上網(wǎng)方式下,均可正常工作。

  上線通知原理:互聯(lián)網(wǎng)如此之大,覆蓋全球,我們?nèi)绾螛?biāo)識并找到上面的任何一臺電腦呢?答案是:IP地址,每臺連網(wǎng)電腦都會被分配一個IP地址,這個IP地址是全球唯一的,就象你家的門牌號碼,別人可以根據(jù)這個找到你。同樣,IP地址分配是有規(guī)律的,可以根據(jù)IP地址分配表查出相應(yīng)的地理位置(本軟件內(nèi)置IP地址分配表)。現(xiàn)在大多數(shù)互聯(lián)網(wǎng)用戶是撥號上網(wǎng)的,撥號上網(wǎng)的IP地址是由ISP(互聯(lián)網(wǎng)接入服務(wù)提供商,例如163、169)動態(tài)分配的。兩臺電腦想要連接就必須要知道對方的IP地址,就象想去你家串門就必須知道你的住址。因此,服務(wù)端如何把自己的IP地址告訴客戶端就成了一個大問題,也就是服務(wù)端上線通知。

  灰鴿子現(xiàn)在最常用的方法是Email通知,即服務(wù)端上網(wǎng)后,發(fā)送自己的IP地址到事先指定的郵箱,客戶端使用者只要去收信就行了。這種方面雖然最常用,但有很大不足,首先Email的實時性得不到保證,時慢時快,這與發(fā)信服務(wù)器的線路質(zhì)量有很大關(guān)系。其次,現(xiàn)在越來越多的發(fā)信服務(wù)器設(shè)了“發(fā)信認(rèn)證”功能,發(fā)信也要郵箱的密碼(原來只有收信才要),這就給服務(wù)端發(fā)信增加了困難,服務(wù)端不帶密碼無法發(fā)送,帶密碼則有可能被別人破出來。

  手工檢測編輯

  由于灰鴿子攔截了API調(diào)用,在正常模式下服務(wù)端程序文件和它注冊的服務(wù)項均被隱藏,也就是說你即使設(shè)置了“顯示所有隱藏文件”也看不到它們。此外,灰鴿子服務(wù)端的文件名也是可以自定義的,這都給手工檢測帶來了一定的困難。

  但是,通過仔細觀察我們發(fā)現(xiàn),對于灰鴿子的檢測仍然是有規(guī)律可循的。從上面的運行原理分析可以看出,無論自定義的服務(wù)器端文件名是什么,一般都會在操作系統(tǒng)的安裝目錄下生成一個以“_hook.dll”結(jié)尾的文件。通過這一點,我們可以較為準(zhǔn)確手工檢測出灰鴿子 服務(wù)端。

  體積僅70kb隱蔽性更強

  由于正常模式下灰鴿子會隱藏自身,因此檢測灰鴿子的操作一定要在安全模式下進行。進入安全模式的方法是:啟動計算機,在系統(tǒng)進入Windows啟動畫面前,按下F8鍵(或者在啟動計算機時按住Ctrl鍵不放),在出現(xiàn)的啟動選項菜單中,選擇“Safe Mode”或“安全模式”。

  1.由于灰鴿子的文件本身具有隱藏屬性,因此要設(shè)置Windows顯示所有文件。打開“我的電腦”,選擇菜單“工具”—》“文件夾選項”,點擊“查看”,取消“隱藏受保護的操作系統(tǒng)文件”前的對勾,并在“隱藏文件和文件夾”項中選擇“ 顯示所有文件和文件夾”,然后點擊“確定”。

  2.打開Windows的“搜索文件”,文件名稱輸入“*_hook.dll”,搜索位置選擇Windows的安裝目錄(默認(rèn)98/xp為C:\windows,2k/NT為C:\Winnt)。

  3.經(jīng)過搜索,我們在Windows目錄(不包含子目錄)下發(fā)現(xiàn)了一個名為Game_Hook.dll的文件。

  4.根據(jù)灰鴿子原理分析我們知道,如果Game_Hook.DLL是灰鴿子的文件,則在操作系統(tǒng)安裝目錄下還會有Game.exe和Game.dll文件。打開Windows目錄,果然有這兩個文件,同時還有一個用于記錄鍵盤操作的GameKey.dll文件。

  經(jīng)過這幾步操作我們基本就可以確定這些文件是灰鴿子服務(wù)端了,下面就可以進行手動清除。

看了此文電腦病毒灰鴿子原理及檢測的人還看了:

1.怎么清除灰鴿子病毒

2.信息技術(shù)高速發(fā)展過程的探索論文

585532