電腦病毒灰鴿子原理及檢測(cè)

　　你知道一個(gè)病毒是怎么來(lái)的嗎!它的構(gòu)造等等!我們一起去了解吧!下面由學(xué)習(xí)啦小編對(duì)灰鴿子的原理和檢測(cè)做出詳細(xì)的分析!希望對(duì)你有幫助!

　　軟件原理編輯

　　此類軟件被統(tǒng)稱為遠(yuǎn)程控制類軟件(或黑客軟件、木馬軟件)，它們均為 C/S 結(jié)構(gòu)(Client/Server，客戶機(jī)/服務(wù)器)。軟件分為客戶端與服務(wù)端兩部分，客戶端即為控制端(由控制者使用)，服務(wù)端為被控制端(由被控制者使用)，依據(jù)服務(wù)端運(yùn)行時(shí)是否會(huì)顯示明顯的運(yùn)行標(biāo)志(即對(duì)方是否知道它運(yùn)行有服務(wù)端)，可分為正邪兩派，邪派就是傳說(shuō)中的黑客軟件、特洛伊木馬程序，是各大殺毒軟件的首要目標(biāo)。同類軟件原理服務(wù)端運(yùn)行后，會(huì)在本機(jī)打開一個(gè)網(wǎng)絡(luò)端口監(jiān)聽客戶端的連接(時(shí)刻等待著客戶端的連接)，連接建立后，客戶端可用這個(gè)通道向服務(wù)端發(fā)送命令并接收返回?cái)?shù)據(jù)，即可實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)。

　　相關(guān)原理

　　a.“反彈端口原理”簡(jiǎn)介

　　如果對(duì)方裝有防火墻，客戶端發(fā)往服務(wù)端的連接首先會(huì)被服務(wù)端主機(jī)上的防火墻攔截，使服務(wù)端程序不能收到連接，軟件不能正常工作。同樣，局域網(wǎng)內(nèi)通過(guò)代理上網(wǎng)的電腦，因?yàn)槭嵌嗯_(tái)共用代理服務(wù)器的IP地址，而本機(jī)沒(méi)有獨(dú)立的互聯(lián)網(wǎng)的IP地址(只有局域網(wǎng)的IP地址)，所以也不能正常使用。就是說(shuō)傳統(tǒng)型的同類軟件不能訪問(wèn)裝有防火墻和在局域網(wǎng)內(nèi)部的服務(wù)端主機(jī)。但往往是道高一尺、魔高一丈，不知哪位高人分析了防火墻的特性后發(fā)現(xiàn)：防火墻對(duì)于連入的連接往往會(huì)進(jìn)行非常嚴(yán)格的過(guò)濾，但是對(duì)于連出的連接卻疏于防范。于是，與一般的軟件相反，反彈端口型軟件的服務(wù)端(被控制端)主動(dòng)連接客戶端(控制端)，為了隱蔽起見，客戶端的監(jiān)聽端口一般開在80(提供HTTP服務(wù)的端口)，這樣，即使用戶使用端口掃描軟件檢查自己的端口，發(fā)現(xiàn)的也是類似 TCP　UserIP:1026　ControllerIP:80 ESTABLISHED 的情況，稍微疏忽一點(diǎn)你就會(huì)以為是自己在瀏覽網(wǎng)頁(yè)(防火墻也會(huì)這么認(rèn)為的)?？吹竭@里，也許有人會(huì)問(wèn)：既然不能直接與服務(wù)端通信，那如何告訴服務(wù)端何時(shí)開始連接自己呢?答案是：通過(guò)主頁(yè)空間上的文件實(shí)現(xiàn)的，當(dāng)客戶端想與服務(wù)端建立連接時(shí)，它首先登錄到FTP服務(wù)器，寫主頁(yè)空間上面的一個(gè)文件，并打開端口監(jiān)聽，等待服務(wù)端的連接，服務(wù)端定期用HTTP協(xié)議讀取這個(gè)文件的內(nèi)容，當(dāng)發(fā)現(xiàn)是客戶端讓自己開始連接時(shí)，就主動(dòng)連接，如此就可完成連接工作。本軟件用的就是這種“反彈端口”原理，可以穿過(guò)防火墻，甚至還能訪問(wèn)局域網(wǎng)內(nèi)部的電腦。據(jù)作者所知，在同類軟件中，本軟件是唯一使用這種方法的，祝賀你!你幸運(yùn)的選擇了它。

　　b.“HTTP隧道技術(shù)”簡(jiǎn)介

　　簡(jiǎn)單的來(lái)說(shuō)，就是把所有要傳送的數(shù)據(jù)全部封裝到 HTTP 協(xié)議里進(jìn)行傳送，就可以通過(guò) HTTP、SOCKS4/5 代理，而且也不會(huì)有什么防火墻會(huì)攔截。我們都知道其它木馬只能訪問(wèn)撥號(hào)上網(wǎng)的服務(wù)端，而因?yàn)榫W(wǎng)絡(luò)神偷使用了“反彈端口原理”所以它不僅能訪問(wèn)撥號(hào)上網(wǎng)的服務(wù)端，更可以訪問(wèn)局域網(wǎng)里通過(guò) NAT 代理(透明代理)上網(wǎng)的服務(wù)端。而使用“HTTP隧道技術(shù)”以后，它甚至可以訪問(wèn)到局域網(wǎng)里通過(guò) HTTP、SOCKS4/5 代理上網(wǎng)的服務(wù)端。這樣，網(wǎng)絡(luò)神偷就幾乎支持了所有的上網(wǎng)方式，也就是說(shuō)“只要能瀏覽網(wǎng)頁(yè)的電腦，網(wǎng)絡(luò)神偷都能訪問(wèn)!”。網(wǎng)絡(luò)神偷服務(wù)端支持以下上網(wǎng)方式：撥號(hào)上網(wǎng)、ISDN 、ADSL 、DDN 、Cable Modem 、NAT透明代理、HTTP的GET型代理、HTTP的CONNECT型代理、SOCKS4 代理、SOCKS4A 代理、SOCKS5 代理 ，上述上網(wǎng)方式下，均可正常工作。

　　上線通知原理：互聯(lián)網(wǎng)如此之大，覆蓋全球，我們?nèi)绾螛?biāo)識(shí)并找到上面的任何一臺(tái)電腦呢?答案是：IP地址，每臺(tái)連網(wǎng)電腦都會(huì)被分配一個(gè)IP地址，這個(gè)IP地址是全球唯一的，就象你家的門牌號(hào)碼，別人可以根據(jù)這個(gè)找到你。同樣，IP地址分配是有規(guī)律的，可以根據(jù)IP地址分配表查出相應(yīng)的地理位置(本軟件內(nèi)置IP地址分配表)?，F(xiàn)在大多數(shù)互聯(lián)網(wǎng)用戶是撥號(hào)上網(wǎng)的，撥號(hào)上網(wǎng)的IP地址是由ISP(互聯(lián)網(wǎng)接入服務(wù)提供商，例如163、169)動(dòng)態(tài)分配的。兩臺(tái)電腦想要連接就必須要知道對(duì)方的IP地址，就象想去你家串門就必須知道你的住址。因此，服務(wù)端如何把自己的IP地址告訴客戶端就成了一個(gè)大問(wèn)題，也就是服務(wù)端上線通知。

　　灰鴿子現(xiàn)在最常用的方法是Email通知，即服務(wù)端上網(wǎng)后，發(fā)送自己的IP地址到事先指定的郵箱，客戶端使用者只要去收信就行了。這種方面雖然最常用，但有很大不足，首先Email的實(shí)時(shí)性得不到保證，時(shí)慢時(shí)快，這與發(fā)信服務(wù)器的線路質(zhì)量有很大關(guān)系。其次，現(xiàn)在越來(lái)越多的發(fā)信服務(wù)器設(shè)了“發(fā)信認(rèn)證”功能，發(fā)信也要郵箱的密碼(原來(lái)只有收信才要)，這就給服務(wù)端發(fā)信增加了困難，服務(wù)端不帶密碼無(wú)法發(fā)送，帶密碼則有可能被別人破出來(lái)。

　　手工檢測(cè)編輯

　　由于灰鴿子攔截了API調(diào)用，在正常模式下服務(wù)端程序文件和它注冊(cè)的服務(wù)項(xiàng)均被隱藏，也就是說(shuō)你即使設(shè)置了“顯示所有隱藏文件”也看不到它們。此外，灰鴿子服務(wù)端的文件名也是可以自定義的，這都給手工檢測(cè)帶來(lái)了一定的困難。

　　但是，通過(guò)仔細(xì)觀察我們發(fā)現(xiàn)，對(duì)于灰鴿子的檢測(cè)仍然是有規(guī)律可循的。從上面的運(yùn)行原理分析可以看出，無(wú)論自定義的服務(wù)器端文件名是什么，一般都會(huì)在操作系統(tǒng)的安裝目錄下生成一個(gè)以“_hook.dll”結(jié)尾的文件。通過(guò)這一點(diǎn)，我們可以較為準(zhǔn)確手工檢測(cè)出灰鴿子 服務(wù)端。

　　體積僅70kb隱蔽性更強(qiáng)

　　由于正常模式下灰鴿子會(huì)隱藏自身，因此檢測(cè)灰鴿子的操作一定要在安全模式下進(jìn)行。進(jìn)入安全模式的方法是：?jiǎn)?dòng)計(jì)算機(jī)，在系統(tǒng)進(jìn)入Windows啟動(dòng)畫面前，按下F8鍵(或者在啟動(dòng)計(jì)算機(jī)時(shí)按住Ctrl鍵不放)，在出現(xiàn)的啟動(dòng)選項(xiàng)菜單中，選擇“Safe Mode”或“安全模式”。

　　1.由于灰鴿子的文件本身具有隱藏屬性，因此要設(shè)置Windows顯示所有文件。打開“我的電腦”，選擇菜單“工具”—》“文件夾選項(xiàng)”，點(diǎn)擊“查看”，取消“隱藏受保護(hù)的操作系統(tǒng)文件”前的對(duì)勾，并在“隱藏文件和文件夾”項(xiàng)中選擇“ 顯示所有文件和文件夾”，然后點(diǎn)擊“確定”。

　　2.打開Windows的“搜索文件”，文件名稱輸入“*_hook.dll”，搜索位置選擇Windows的安裝目錄(默認(rèn)98/xp為C:\windows，2k/NT為C:\Winnt)。

　　3.經(jīng)過(guò)搜索，我們?cè)赪indows目錄(不包含子目錄)下發(fā)現(xiàn)了一個(gè)名為Game_Hook.dll的文件。

　　4.根據(jù)灰鴿子原理分析我們知道，如果Game_Hook.DLL是灰鴿子的文件，則在操作系統(tǒng)安裝目錄下還會(huì)有Game.exe和Game.dll文件。打開Windows目錄，果然有這兩個(gè)文件，同時(shí)還有一個(gè)用于記錄鍵盤操作的GameKey.dll文件。

　　經(jīng)過(guò)這幾步操作我們基本就可以確定這些文件是灰鴿子服務(wù)端了，下面就可以進(jìn)行手動(dòng)清除。

看了此文電腦病毒灰鴿子原理及檢測(cè)的人還看了：

1.怎么清除灰鴿子病毒

2.信息技術(shù)高速發(fā)展過(guò)程的探索論文