電腦病毒灰鴿子構成

　　電腦病毒無處不在，當我們的電腦受到病毒攻擊時!你是否知道呢!下面由學習啦小編給你做出詳細的電腦病毒灰鴿子構成介紹!希望對你有幫助!

　　病毒機理編輯

　　病毒構成配置出來的服務端文件文件名為G_Server.exe(這是默認的，當然也可以改變)。然后黑客利用一切辦法誘騙用戶運行G_Server.exe程序。

　　運行過程G_Server.exe運行后將自己拷貝到Windows目錄下(98/xp下為系統(tǒng)盤的windows目錄，2k/NT下為系統(tǒng)盤的Winnt目錄)，然后再從體內釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個文件相互配合組成了灰鴿子服務端， G_Server_Hook.dll負責隱藏灰鴿子。通過截獲進程的API調用隱藏灰鴿子的文件、服務的注冊表項，甚至是進程中的模塊名。截獲的函數(shù)主要是用來遍歷文件、遍歷注冊表項和遍歷進程模塊的一些函數(shù)。所以，有些時候用戶感覺中了毒，但仔細檢查卻又發(fā)現(xiàn)不了什么異常。有些灰鴿子會多釋放出一個名為G_ServerKey.dll的文件用來記錄鍵盤操作。注意，G_Server.exe這個名稱并不固定，它是可以定制的，比如當定制服務端文件名為A.exe時，生成的文件就是A.exe、A.dll和A_Hook.dll。Windows目錄下的G_Server.exe文件將自己注冊成服務(9X系統(tǒng)寫注冊表啟動項)，每次開機都能自動運行，運行后啟動G_Server.dll和G_Server_Hook.dll并自動退出。G_Server.dll文件實現(xiàn)后門功能，與控制端客戶端進行通信;G_Server_Hook.dll則通過攔截API調用來隱藏病毒。因此，中毒后，我們看不到病毒文件，也看不到病毒注冊的服務項。隨著灰鴿子服務端文件的設置不同，G_Server_Hook.dll有時候附在Explorer.exe的進程空間中，有時候則是附在所有進程中。[1]

　　病毒發(fā)展編輯

　　誕生期自2001年，灰鴿子誕生之日起，就被反病毒專業(yè)人士判定為最具危險性的后門程序，并引發(fā)了安全領域的高

　　體積僅70kb隱蔽性更強度關注。2004年、2005年、2006年，灰鴿子木馬連續(xù)三年被國內各大殺毒廠商評選為年度十大病毒，灰鴿子也因此聲名大噪，逐步成為媒體以及網民關注的焦點。灰鴿子自2001年出現(xiàn)至今，主要經歷了模仿期、飛速發(fā)展期以及全民駭客時代三大階段?；银澴?011出現(xiàn)變種。服務端加殼之后僅有70kb，比葛軍的灰鴿子小了近10倍。國家多線程上線分組?？梢暬h程開戶?？梢远氵^主流管理員的檢測方式，隱蔽性強。[2]

　　模仿期“灰鴿子”是2001年出現(xiàn)的，采用Delphi編寫，最早并未以成品方式發(fā)布，更多的是以技術研究的姿態(tài)，采用了源碼共享的方式出現(xiàn)在互聯(lián)網，至今仍可搜索到“灰鴿子”早期版本的源碼。“灰鴿子”在出現(xiàn)的時候使用了當時討論最多的“反彈端口”連接方式，用以躲避大多數(shù)個人網絡防火墻的攔截。“灰鴿子”在當時的名氣不及“冰河”，因此只出現(xiàn)了少量的感染，但其開放源碼的方式也讓“灰鴿子”逐漸增大了傳播量?；银澴映霈F(xiàn)后以源碼開放，所以出現(xiàn)多種不同的版本，由于服務端都以隱藏方式啟動，就奠定了其惡意后門木馬的地位。

　　飛速發(fā)展期2004和2005這兩年之間，灰鴿子逐步進入了成熟的狀態(tài)，由于源碼的釋放，大量變種在互聯(lián)網中衍生。

　　灰鴿子產業(yè)鏈示意圖2004年灰鴿子總共發(fā)現(xiàn)了1000多變種，而在2005年，這個數(shù)字迅速上升到了3000多。“灰鴿子”最大的危害在于潛伏在用戶系統(tǒng)中，由于其使用的“反彈端口”原理，一些在局域網(企業(yè)網)中的用戶也受到了“灰鴿子”的侵害，使得受害用戶數(shù)大大提高，2004年的感染統(tǒng)計表現(xiàn)為103483人，而到2005年數(shù)字攀升到890321人。“灰鴿子”本身所具備的鍵盤記錄、屏幕捕捉、文件上傳下載和運行、攝像頭控制等功能，將使用戶沒任何隱私可言，更可怕的是服務端高度隱藏自己，是受害者無從得知感染此病毒。

看過“電腦病毒灰鴿子構成 ”人還看了：

1.電腦病毒“灰鴿子”

2.電腦病毒灰鴿子原理及檢測

3.電腦病毒灰鴿子傳播途徑及反灰鴿子

4.電腦病毒灰鴿子清除

5.怎么清除灰鴿子病毒