灰鴿子遠(yuǎn)程病毒我想誰都不陌生吧?曾經(jīng)控制著我們電腦，信息惡意傳播，你知道灰鴿子病毒的原理和運(yùn)行方式嗎?下面由學(xué)習(xí)啦小編給你做出詳細(xì)的灰鴿子病毒的原理和運(yùn)行方式介紹!希望對(duì)你有幫助!

　　灰鴿子病毒的原理和運(yùn)行方式介紹：

　　灰鴿子遠(yuǎn)程監(jiān)控軟件分兩部分：客戶端和服務(wù)端。黑客(姑且這么稱呼吧)操縱著客戶端，利用客戶端配置生成出一個(gè)服務(wù)端程序。服務(wù)端文件的名字默認(rèn)為G_Server.exe，然后黑客通過各種渠道傳播這個(gè)服務(wù)端(俗稱種木馬)。種木馬的手段有很多，比如，黑客可以將它與一張圖片綁定，然后假冒成一個(gè)羞澀的MM通過QQ把木馬傳給你，誘騙你運(yùn)行;也可以建立一個(gè)個(gè)人網(wǎng)頁，誘騙你點(diǎn)擊，利用IE漏洞把木馬下載到你的機(jī)器上并運(yùn)行;還可以將文件上傳到某個(gè)軟件下載站點(diǎn)，冒充成一個(gè)有趣的軟件誘騙用戶下載……，這正違背了我們開發(fā)灰鴿子的目的，所以本文適用于那些讓人非法安裝灰鴿子服務(wù)端的用戶，幫助用戶刪除灰鴿子 Vip 2005 的服務(wù)端程序。本文大部分內(nèi)容摘自互聯(lián)網(wǎng)。

　　G_Server.exe運(yùn)行后將自己拷貝到Windows目錄下(98/xp下為系統(tǒng)盤的windows目錄，2k/NT下為系統(tǒng)盤的Winnt目錄)，然后再從體內(nèi)釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個(gè)文件相互配合組成了灰鴿子服務(wù)端，有些灰鴿子會(huì)多釋放出一個(gè)名為G_ServerKey.dll的文件用來記錄鍵盤操作。注意，G_Server.exe這個(gè)名稱并不固定，它是可以定制的，比如當(dāng)定制服務(wù)端文件名為A.exe時(shí)，生成的文件就是A.exe、A.dll和A_Hook.dll。

　　Windows目錄下的G_Server.exe文件將自己注冊(cè)成服務(wù)(9X系統(tǒng)寫注冊(cè)表啟動(dòng)項(xiàng))，每次開機(jī)都能自動(dòng)運(yùn)行，運(yùn)行后啟動(dòng)G_Server.dll和G_Server_Hook.dll并自動(dòng)退出。G_Server.dll文件實(shí)現(xiàn)后門功能，與控制端客戶端進(jìn)行通信;G_Server_Hook.dll則通過攔截API調(diào)用來隱藏病毒。因此，中毒后，我們看不到病毒文件，也看不到病毒注冊(cè)的服務(wù)項(xiàng)。隨著灰鴿子服務(wù)端文件的設(shè)置不同，G_Server_Hook.dll有時(shí)候附在Explorer.exe的進(jìn)程空間中，有時(shí)候則是附在所有進(jìn)程中。

　　灰鴿子病毒的手工檢測(cè)：

　　由于灰鴿子攔截了API調(diào)用，在正常模式下服務(wù)端程序文件和它注冊(cè)的服務(wù)項(xiàng)均被隱藏，也就是說你即使設(shè)置了“顯示所有隱藏文件”也看不到它們。此外，灰鴿子服務(wù)端的文件名也是可以自定義的，這都給手工檢測(cè)帶來了一定的困難。

　　但是，通過仔細(xì)觀察我們發(fā)現(xiàn)，對(duì)于灰鴿子的檢測(cè)仍然是有規(guī)律可循的。從上面的運(yùn)行原理分析可以看出，無論自定義的服務(wù)器端文件名是什么，一般都會(huì)在操作系統(tǒng)的安裝目錄下生成一個(gè)以“_hook.dll”結(jié)尾的文件。通過這一點(diǎn)，我們可以較為準(zhǔn)確手工檢測(cè)出灰鴿子 服務(wù)端。

　　由于正常模式下灰鴿子會(huì)隱藏自身，因此檢測(cè)灰鴿子的操作一定要在安全模式下進(jìn)行。進(jìn)入安全模式的方法是：?jiǎn)?dòng)計(jì)算機(jī)，在系統(tǒng)進(jìn)入Windows啟動(dòng)畫面前，按下F8鍵(或者在啟動(dòng)計(jì)算機(jī)時(shí)按住Ctrl鍵不放)，在出現(xiàn)的啟動(dòng)選項(xiàng)菜單中，選擇“Safe Mode”或“安全模式”。

　　1、由于灰鴿子的文件本身具有隱藏屬性，因此要設(shè)置Windows顯示所有文件。打開“我的電腦”，選擇菜單“工具”—》“文件夾選項(xiàng)”，點(diǎn)擊“查看”，取消“隱藏受保護(hù)的操作系統(tǒng)文件”前的對(duì)勾，并在“隱藏文件和文件夾”項(xiàng)中選擇“顯示所有文件和文件夾”，然后點(diǎn)擊“確定”。

　　2、打開Windows的“搜索文件”，文件名稱輸入“_hook.dll”，搜索位置選擇Windows的安裝目錄(默認(rèn)98/xp為C:\windows，2k/NT為C:\Winnt)。

　　3、經(jīng)過搜索，我們?cè)赪indows目錄(不包含子目錄)下發(fā)現(xiàn)了一個(gè)名為Game_Hook.dll的文件。

　　4、根據(jù)灰鴿子原理分析我們知道，如果Game_Hook.DLL是灰鴿子的文件，則在操作系統(tǒng)安裝目錄下還會(huì)有Game.exe和Game.dll文件。打開Windows目錄，果然有這兩個(gè)文件，同時(shí)還有一個(gè)用于記錄鍵盤操作的GameKey.dll文件。

　　經(jīng)過這幾步操作我們基本就可以確定這些文件是灰鴿子 服務(wù)端了，下面就可以進(jìn)行手動(dòng)清除。
看了“灰鴿子病毒的原理和運(yùn)行方式是怎么樣的”文章的還看了：

1.電腦病毒灰鴿子原理及檢測(cè)

2.怎么樣才能徹底清除“灰鴿子”病毒

3.電腦病毒灰鴿子傳播方式

4.手工清除灰鴿子有什么方法

5.電腦病毒灰鴿子清除