第三十四章：灰鴿子

灰鴿子是國內一款著名後門。比起前輩冰河、黑洞來，灰鴿子可以說是國內後門的集大成者。其豐富而強大的功能、靈活多變的操作、良好的隱藏性使其他後門都相形見絀。客戶端簡易便捷的操作使剛入門的初學者都能充當黑客。當使用在合法情況下時，灰鴿子是一款優秀的遠程控制軟件。但如果拿它做一些非法的事，灰鴿子就成了很強大的黑客工具，。這就好比火藥，用在不同的場合，給人類帶來不同的影響。對灰鴿子完整的介紹也許只有灰鴿子作者本人能夠說清楚，在此我們只能進行簡要介紹。

灰鴿子客戶端和服務端都是採用de1phi編寫。黑客利用客戶端程序配置出服務端程序。可配置的信息主要包括上線類型（如等待連接還是主動連接）、主動連接時使用的公網Ip（域名）、連接密碼、使用的端口、啟動項名稱、服務名稱，進程隱藏方式，使用的殼，代理，圖標等等。

服務端對客戶端連接方式有多種，使得處於各種網絡環境的用戶都可能中毒，包括局域網用戶（通過代理上網）、公網用戶和adsL撥號用戶等。

因涉及互聯網安全法律糾紛問題，自2oo7年3月21日起灰鴿子已全面停止開和註冊[1]。互聯網上現存灰鴿子版本為以前所開灰鴿子軟件及其修改版。

作者葛軍（1982-）安徽潛山人，灰鴿子工作室管理員，精通de1phi、asp、數據庫編程，2oo1年次將反彈連接應用在遠程控制軟件上，隨後掀起了國內遠程控制軟件使用反彈連接的熱潮，2oo5年4月，將虛擬驅動技術應用到灰鴿子屏幕控制上，使灰鴿子的屏幕控制達到了國際先進水平。

葛軍，“灰鴿子工作室”的創辦者，一個低調而又引人注目的程式設計師。

服務端：

配置出來的服務端文件文件名為g_（這是默認的，當然也可以改變）。然後黑客利用一切辦法誘騙用戶運行g_程序。

_運行后將自己拷貝到indos目錄下(98/xp下為系統盤的indos目錄，2k/nT下為系統盤的目錄)，然後再從體內釋放g_和g_server_到indos目錄下。g_、g_和g_server_三個文件相互配合組成了灰鴿子服務端，g_server_負責隱藏灰鴿子。通過截獲進程的apI調用隱藏灰鴿子的文件、服務的註冊表項，甚至是進程中的模塊名。截獲的函數主要是用來遍歷文件、遍歷註冊表項和遍歷進程模塊的一些函數。所以，有些時候用戶感覺種了毒，但仔細檢查卻又現不了什麼異常。有些灰鴿子會多釋放出一個名為g_的文件用來記錄鍵盤操作。注意，g_這個名稱並不固定，它是可以定製的，比如當定製服務端文件名為時，生成的文件就是、和a_。

dos目錄下的g_文件將自己註冊成服務（9x系統寫註冊表啟動項），每次開機都能自動運行，運行后啟動g_和g_server_並自動退出。g_文件實現後門功能，與控制端客戶端進行通信；g_server_則通過攔截apI調用來隱藏病毒。因此，中毒后，我們看不到病毒文件，也看不到病毒註冊的服務項。隨着灰鴿子服務端文件的設置不同，g_server_有時候附在的進程空間中，有時候則是附在所有進程中。

灰鴿子的作者對於如何逃過殺毒軟件的查殺花了很大力氣。由於一些apI函數被截獲，正常模式下難以遍歷到灰鴿子的文件和模塊，造成查殺上的困難。要卸載灰鴿子動態庫而且保證系統進程不崩潰也很麻煩，因此造成了近期灰鴿子在互聯網上泛濫的局面。

編輯本段]灰鴿子給黑客帶來的經濟效益

黑客可以在灰鴿子工作室的網站上花1oo元下載灰鴿子，在網上花2oo元就可以找師傅學灰鴿子使用技巧。而黑客一天可以控制上百個用戶，網民稱之“肉雞”。據黑客王某說，他一天可以抓2oo只雞，在江浙達地區的肉雞可以一隻賣3至4塊，普通地區賣1塊，一天盜幾十個號，好號可以賣幾十元甚至1ooo元，普通的也能是幾塊錢。平均每月3ooo元，據王某稱這還是小的，有的駭客甚至一月上萬元。

個別有不良思想的公司會請黑客們入侵另一家公司，攻擊或者竊取資料，然後會付給一些報酬。網上也會有一些人想要“逗逗”朋友或者其他用途，都想惡作劇。常常造成嚴重的後果。

灰鴿子-變種來襲

國家計算機病毒應急處理中心通過對互聯網的監測現，近期出現了“灰鴿子”的新變種。專家指出，該變種在受感染計算機系統中運行后，會將病毒文件複製到系統的指定目錄下，並將文件屬性設置為只讀、隱藏或存檔，使得計算機用戶無法現並刪除。該變種還會修改受感染系統註冊表中的啟動項，使得變種隨計算機系統啟動而自動運行。

另外，該變種還會在受感染作業系統中創建新的Ie進程，並設置其屬性為隱藏，然後將病毒文件自身**到該進程中。如果惡意攻擊者利用該變種入侵感染計算機系統，那麼受感染的作業系統會主動連接互聯網絡中指定的伺服器，下載其他病毒、木馬等惡意程序，同時惡意攻擊者還會竊取計算機用戶的鍵盤操作信息（如：登錄賬戶名和密碼信息等），最終造成受感染的計算機系統被完全控制，嚴重威脅到計算機用戶的系統和信息安全。

近日，各大媒體紛紛報導了有關灰鴿子黑客基地網站以及灰鴿子木馬“復出”的消息。金山毒霸反病毒專家李鐵軍在接受記者採訪時明確表示，灰鴿子就是木馬，而且是一個高風險的木馬病毒，嚴重威脅網絡安全。然而，事隔兩日，灰鴿子黑客基地網站高調錶公告，聲稱灰鴿子2oo9不是木馬病毒。具體聲明如下：

注意：軟件只用於技術交流，切勿非法使用，合法使用軟件，關愛互聯網

如果一套讓企業更好管理的軟件也叫木馬的話，

那以前的“灰鴿子”怎麼不是呢?

我的定位是讓企業更好的管理和個人電腦得到保證，

並不是在傳播木馬和病毒，希望大家理解!

最近中央電視台及一些媒體。起對我們起了關注，

我們聲名一次，我們的軟件不是木馬，

我們只出售給企業做於遠程監控管理，

若對軟件有疑問，

請聯繫我們，我們將儘快刪除，謝謝大家!

以前的VIp還是定期享受升級服務，

現在軟件還是繼續出售，但是只針對出示合法證明的朋友!

灰鴿子2oo9工作室於2oo9年初成立,定位於遠程控制、遠程管理、遠程監控軟件開，主要產品為灰鴿

遠程控制系列軟件產品。然而，我們痛心的看到，目前互聯網上出現了利用灰鴿子2oo9遠程管理軟件

以及惡意破解和篡改灰鴿子2oo9遠程管理軟件為工具的不法行為，這些行為嚴重影響了灰鴿子2oo9遠程

管理軟件的聲譽。自2oo9年4月24日起決定全面停止對灰鴿子遠程管理軟件的開和註冊。此網站僅記。