偶爾得到了一款灰鴿子2.02 VIP版，試用了半天竟然控制了20多臺肉雞，看著這些肉雞任由宰割，筆者異常興奮，不僅由衷地感嘆道——這個馬兒太厲害！

一、厲害之處

　　⒈馬兒健壯

　　主流的殺毒軟件竟然無法查殺灰鴿子。筆者使用的是國內(nèi)某知名殺毒軟件的最新版，不論是灰鴿子的服務(wù)端程序還是客戶端程序，這個殺毒軟件均不報警。用灰鴿子的屏幕捕獲功能發(fā)現(xiàn)，被控制的20多臺肉雞絕大多數(shù)都運行著殺毒軟件，這些殺毒軟件基本上囊括了國內(nèi)以及國際上主流的殺毒軟件。筆者給一個被控制的肉雞發(fā)了一個文本消息，嚇得他用殺毒軟件和包括木馬克星在內(nèi)的各種殺馬軟件掃描電腦，然而遺憾的是，直到現(xiàn)在筆者還用灰鴿子控制著他。

　　⒉端口反彈，天網(wǎng)防火墻形同虛設(shè)

　　筆者的電腦上安裝了最新版本的天網(wǎng)防火墻，在玩灰鴿子的過程中，一不小心，筆者在自己的電腦上運行了灰鴿子的服務(wù)端程序，然而，天網(wǎng)防火墻卻沒有任何報警。

　　天網(wǎng)防火墻對本地應用程序訪問網(wǎng)絡(luò)的請求管理的不是太嚴格，而且對已信任的程序訪問網(wǎng)絡(luò)的連接不做任何報警?；银澴邮且豢罘磸椂丝诘哪抉R，和傳統(tǒng)的木馬不一樣的是它不監(jiān)聽一個端口等待客戶端來連接自己，而是自己以IE瀏覽器的身份主動去連接客戶端，而IE瀏覽器是天網(wǎng)防火墻默認的已信任程序，所以灰鴿子能夠輕易“穿透”天網(wǎng)防火墻。因為灰鴿子是以IE瀏覽器的身份去訪問網(wǎng)絡(luò)的，而任何防火墻都不會限制IE瀏覽器瀏覽網(wǎng)頁，所以從理論上來講，灰鴿子能“穿透”任何防火墻，這一點，鄙人通過已控制的20多臺肉雞得到了證實。

　　端口反彈木馬的工作原理：在傳輸層，和傳統(tǒng)的木馬恰恰相反，被控端（服務(wù)端）執(zhí)行客戶端的命令，但它不監(jiān)聽一個端口，而是主動去連接客戶端；客戶端給服務(wù)端下達命令，但它不主動去連接服務(wù)端，而是開一個端口監(jiān)聽服務(wù)端的連接。

　?、撤聪蜻B接，被控制電腦“自動上線”

　　灰鴿子是反向連接的木馬，也就是說，被控制電腦會主動連接控制端電腦。冰河、BO 2000這些傳統(tǒng)的木馬要連接被控端電腦必須告知客戶端被控電腦的IP地址和端口等信息，而灰鴿子則不同，灰鴿子的客戶端啟動后，被控制電腦會爭先連接到客戶端，灰鴿子使用了語音提示的功能，當一臺被控制的電腦連接到客戶端后，一個標準的女中音會提示：有主機上線，請注意！聽著這一聲聲提示，看著被控制的電腦自動地紛紛出現(xiàn)在“自動上線的主機”列表中（如圖1），筆者在想：馬兒實在是太可怕了！

圖1 灰鴿子服務(wù)器端

　　⒋客戶端程序，能夠自定義服務(wù)端。

　　灰鴿子的服務(wù)端安裝程序由客戶端根據(jù)自定義設(shè)置自動生成。能夠自定義的項目包括：服務(wù)端安裝成功后是否刪除安裝程序；是否在任務(wù)管理器中隱藏進程；是否在注冊表中加入啟動鍵項。

　　另外，在Windows 2000/XP的系統(tǒng)中還可以選擇安裝成自動啟動的服務(wù)，服務(wù)名稱（包括服務(wù)的顯示名稱）可以修改，安裝程序的圖標也可以選擇（自定義服務(wù)端是灰鴿子比較重要的特點，在下文中，對它自定義的項目還會提及）。

圖2 誘惑下掩藏著危險

　　如圖2所示，這是筆者自定義的灰鴿子服務(wù)端的安裝程序，從表面上看，它就是一本“e書時空”的電子書，但實際上，只要雙擊了它，您即可在筆者的“自動上線”里而被控制。筆者把這一電子書共享在一個P2P軟件中，不到一個下午的功夫，“自動上線”的主機竟然達到了25臺之多。

　　⒌集大成者，良好的隱藏性使其他后門相形見絀。

　　比起前輩冰河、黑洞等，從功能上來說，灰鴿子可以說是國內(nèi)木馬的集大成者，大部分木馬使用的控制功能它都具備：

　　1)模枋Windows資源管理器，可以對被控制電腦上的文件進行復制、粘貼、刪除、重命名、遠程運行等,可以上傳下載文件或文件夾,操作簡單易用；

　　2)可以查看被控制電腦的系統(tǒng)信息、剪切板上的信息等；可以遠程操作被控制電腦的進程、服務(wù)；可以遠程禁用被控制電腦的共享和創(chuàng)建新的共享，還可以把被控制電腦設(shè)置為一臺代理服務(wù)器；

　　3)不但可以連繼的捕獲遠程電腦屏幕，還能把本地的鼠標及鍵盤操作傳送到被控制電腦，實現(xiàn)遠程實時控制功能；

　　4)可以監(jiān)控被控電腦上的攝像頭,還有語音監(jiān)聽和發(fā)送功能，可以和被控電腦進行語音對話。

　　5)灰鴿子還能模擬注冊表編輯器，操作遠程注冊表就像操作本地注冊表一樣方便；

　　6)命令廣播，如關(guān)機、重啟或打開網(wǎng)頁等，這樣單擊一個按鈕就可以讓多臺機器同時關(guān)機、重啟或打開網(wǎng)頁等。

　　灰鴿子除了以上的功能外，它的隱藏性和自我保護也是其它木馬不可比擬的。它的文件是隱藏的，進程也是隱藏的，您在任務(wù)管理器中也找不到它的蹤跡。

　　朋友們，經(jīng)過上面的介紹，您是否也和筆者一樣感覺到了灰鴿子的厲害之處。雖然殺毒軟件和防火墻拿它沒辦法，但電腦還是要用的，網(wǎng)還是要上的，文件還是要下載的。不要害怕，下面，就一起來發(fā)現(xiàn)它并鏟除它。

二、發(fā)現(xiàn)灰鴿子

　　從目前的狀況來說，基本上所有的殺毒軟件都不能即時查殺灰鴿子，而灰鴿子又文件隱藏，進程隱藏，唯一能夠被看到的是它在Windows“服務(wù)”窗口中的服務(wù)，但是他的服務(wù)名稱，服務(wù)的顯示名稱黑客又都可以自定義。如圖3所示，這是灰鴿子筆者誤安裝在自己電腦上的服務(wù)名稱，不論是灰鴿子的文件名（文件名黑客也可以自定義），還是服務(wù)名稱或者是該服務(wù)的描述，都非常具有迷惑性，對不熟悉Windows服務(wù)的一般用戶來說，像這樣的服務(wù)，豈敢禁用或刪除。所以說，用一般的方法根本無法確定灰鴿子的存在。

圖3 自定義的灰鴿子進程服務(wù)

　　那么怎樣才能發(fā)現(xiàn)灰鴿子呢？下面是筆者的經(jīng)驗：

　　⒈根據(jù)筆者的經(jīng)驗，目前能夠發(fā)現(xiàn)灰鴿子行之有效的辦法還是使用天網(wǎng)防火墻。天網(wǎng)防火雖然不能攔截灰鴿子和外部的通信，但是天網(wǎng)防火墻能夠顯示本機與外部通信的所有連接。IE瀏覽器與服務(wù)器的80端口通訊，只有當您打開一個網(wǎng)頁時，它才會與眾多服務(wù)器連接以顯示網(wǎng)頁上的資源，而灰鴿子服務(wù)端則不同，不論您訪問網(wǎng)頁還是不訪問網(wǎng)頁，只要黑客啟動了客戶端并監(jiān)聽一個端口（這個端口黑客也能自定義，默認的監(jiān)聽端口是8000），它就總以IE瀏覽器的身份主動連接到這個端口（如果客戶端沒有啟動，它會每隔一段時間嘗試連接一次）。所以說，如果您沒有使用IE瀏覽網(wǎng)頁，而您的IE瀏覽器有長時間連接到同一個主機的某一端口（如圖4），那么就可以初步斷定，發(fā)起這些連接的絕對不是IE瀏覽器，十有八九它就是灰鴿子。

圖4 用“天網(wǎng)”查看網(wǎng)絡(luò)連接

　　⒉灰鴿子是用一個自動啟動的服務(wù)在開機時加載的，但是該服務(wù)與其它自動啟動的服務(wù)不同，其它自動啟動的服務(wù)，它的服務(wù)狀態(tài)一般都是“已啟動”，但灰鴿子不同，它的服務(wù)狀態(tài)卻是“已停止”。如果根據(jù)天網(wǎng)防火墻你能初步斷定自己可能中了灰鴿子，而且您的電腦中也存在這樣的服務(wù)，那么現(xiàn)在就可以確定，這個服務(wù)就是灰鴿子注冊的。

　　提示：在Windows的“服務(wù)”窗口中絕大多數(shù)服務(wù)項目都是Windows自帶的，而且這些服務(wù)項目都已得到了微軟的認證。現(xiàn)在，好多木馬都是通過一個自動啟動的服務(wù)加載的，但這些服務(wù)項目大都沒有得到微軟的認證。今天，給大家推薦一個工具——Autoruns，該工具能夠掃描出系統(tǒng)中所有沒有得到微軟認證的服務(wù)，如圖5所示，誤安裝在自己系統(tǒng)中的灰鴿子豁然在目。

圖5 灰鴿子的啟動項

三、清除灰鴿子

　　確定了您的電腦被植入了灰鴿子以后，就可以清除它了。打開Windows的“服務(wù)”窗口，雙擊灰鴿子的服務(wù)名稱打開其屬性對話框，在該對話框的“可執(zhí)行文件路徑”文本框中您能看到灰鴿子的文件名和該文件的路徑，記下這個文件名和路徑，然后在“啟動類型”中選擇“已禁用”，最后單擊“確定”并重新啟動電腦。

　　重新啟動電腦以后，灰鴿子已不能自動加載了，接下來，就可以根據(jù)上面記下的文件名和路徑刪除灰鴿子的文件了。需要說明的是，灰鴿子（灰鴿子的安裝程序就是服務(wù)端程序，安裝時，他會把自己復制到事先定義好的目錄中，復制完成后，根據(jù)自定義的設(shè)置，有時還會刪除安裝程序以便“焚尸滅跡”）的那個文件是“隱藏”屬性，刪除時您可能找不到。在資源管理器中選擇“工具→文件夾選項”打開“文件夾選項”對話框，清除“隱藏受保護的操作系統(tǒng)文件”復選框中的小鉤（如圖6），最后單擊確定，現(xiàn)在，您就可以看到灰鴿子的那個文件了。

圖6 選擇此項以查看隱藏文件

　　把灰鴿子的文件刪除后，還需要做個收尾工作，也就是徹底刪除Windows“服務(wù)”窗口中灰鴿子的服務(wù)項目。這個項目被注冊在注冊表中，只要在注冊表中刪除了相應的主鍵，就可心從“服務(wù)”窗口中徹底刪除它。打開注冊表編輯器，在主鍵[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]下您會找到一個以灰鴿子服務(wù)名稱（不是服務(wù)的顯示名稱）命名的子鍵，刪除該子鍵，重新啟動電腦，至此，整個灰鴿子就從您的電腦中完全鏟除了。