当前位置: 首页 > 图文教程 > 网络安全 > 杀毒防毒 > 李鬼?李逵? 深入了解灰鸽子2007真实功能

杀毒防毒
国内最“臭名昭著”的灰鸽子
杀掉进程的shellcode(netbsd/x86)
解析Java Script木马的攻与防
八大防火墙之较量
MiniBlog 3.0 漏洞
防止黑客入侵的安全设置技巧
堵住木马进入的可疑端口
僵尸网络蠕虫进入路由器
瑞星使用小技巧之主动防御
如何设置NOD32 才能无忧网上冲浪?
如何使用Dr.Web的计划任务功能
教你解除卡巴斯基2009的keylogger警报
Adobe公布Shockwave Player漏洞补丁
Dr.Web杀毒恢复被移动文件的办法
shellcode增加管理员账户开telnet
预防.exe后缀文件夹图标的病毒
微软杀毒软件只公布一天就被迫停止
黑客趁变形金刚热映发布病毒
半个月里有近263万网民感染新型病毒
当心“狂风下载器”暑期作恶

杀毒防毒 中的 李鬼?李逵? 深入了解灰鸽子2007真实功能


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 77 ::
收藏到网摘: n/a

  灰鸽子,一个自诞生以来,就被各杀毒厂商一致喊打的木马程序,尽管其作者在软件许可中辩称自己是远程管理软件。

  “三尺长的大砍刀,刃上带锯齿,边上有血槽,刀柄里藏着几十发暴雨梨花针,还随刀附送淬毒所需全部材料和设备,现在贴个标拿出来卖,说自己是菜刀,你还真有才~~~~”这是网友对灰鸽子2007的评价。

  从功能上看,该软件的确满足了远程管理的需求。问题是,作为网管,你会用它来做远程管理软件吗?笔者电话访问了10个网管朋友,其中5个在用 pcanywhere,3个用远程桌面,2个用radmin。再问你会不会使用灰鸽子做远程管理时,全部都说“不”,其中一个朋友还说,网管用灰鸽子管服务器,那就是脑袋进水。

  本文简单列举一下灰鸽子客户端和服务端的功能,和真正的网管软件做个比较,试图给读者揭露灰鸽子软件的真实意图,看这个软件是否真如其作者所辩称的那样,仅是一款远程管理软件。

  远程管理软件一般有服务端(被控端)和客户端(控制端)两部分组成。管理员先在需要管理的服务器上安装启用服务端程序,服务端就开启相应网络端口,等待接受客户端的指令,客户端连接服务端指定端口后即可完成远程管理任务。所有管理员都知道远程管理的风险,只有具备远程管理权限的客户端才能正常建立连接。并且,所有的管理操作,在服务端,都会提供连接日志,以便管理员进行管理维护。有兴趣的朋友尽可以拿windows远程桌面和PcAnyWhere来试验。

  而灰鸽子服务端,不是等待客户端连接,而是系统一启动,服务端就会去自动上线连接控制端,控制端的操作人员随时可以完成他想要的操作,而这一切,服务端的管理员可能毫不知情。

  配置服务端自动上线


图1


  服务端程序运行后自行删除,并且可以选择完全隐藏服务端图标,即使有服务端图标,和其它正常的远程管理软件不同的是,这个图标完全没有任何用处,你只是知道它存在而已,想关闭也很难办。

  配置即将种植在肉鸡上的病毒名


图2


  配置病毒自动加载启动项

  服务名称可任意定制,这意味着非常多的人会被虚假信息蒙骗,这一项可以取消,这样配置出来的服务端,运行msconfig进行启动项管理,也不会发现木马的痕迹。


图3


  配置代理服务器

  这样,中灰鸽子的机器就不明不白的为第三方提供网络连接服务了。使用代理服务器作跳板对第三方目标发起攻击,是黑客最爱干的事儿,一旦有人追查,这些代理服务器,就成了真正黑客的替罪羊。


图4
  配置隐藏选项

  如下设置后,能有几个人发现被安装木马了呢。这绝对不是一个正常的远程管理软件应该具有的功能,那谁真正需要它呢?读者想想就清楚了。


图5

  配置最终生成的程序图标

  都很熟悉吧,看到用这些图标做掩护的文件,相信不少人想都不想,就双击了吧。


图6

  插件功能

  可用来捆绑第三方软件,比如流氓软件


图7

  奇怪的是,这个辩称自己是远程管理软件的东东,在服务端却没有任何与访问权限和日志记录等管理软件必备的功能设置。真正的网管软件,服务端不需要日志记录吗?

  接下来,我们再看灰鸽子客户端想要控制什么。

  服务端启动后,客户端立即发现目标主机自动上线,意味着客户端可以为所欲为了