電腦病毒灰鴿子構成

　　電腦病毒無處不在，當我們的電腦受到病毒攻擊時!你是否知道呢!下面由小編給你做出詳細的介紹!希望對你有幫助!

　　病毒機理編輯

　　病毒構成配置出來的服務端檔案檔名為G_Server.exe***這是預設的，當然也可以改變***。然後黑客利用一切辦法誘騙使用者執行G_Server.exe程式。

　　執行過程G_Server.exe執行後將自己拷貝到Windows目錄下***98/xp下為系統盤的windows目錄，2k/NT下為系統盤的Winnt目錄***，然後再從體內釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個檔案相互配合組成了灰鴿子服務端， G_Server_Hook.dll負責隱藏灰鴿子。通過截獲程序的API呼叫隱藏灰鴿子的檔案、服務的登錄檔項，甚至是程序中的模組名。截獲的函式主要是用來遍歷檔案、遍歷登錄檔項和遍歷程序模組的一些函式。所以，有些時候使用者感覺中了毒，但仔細檢查卻又發現不了什麼異常。有些灰鴿子會多釋放出一個名為G_ServerKey.dll的檔案用來記錄鍵盤操作。注意，G_Server.exe這個名稱並不固定，它是可以定製的，比如當定製服務端檔名為A.exe時，生成的檔案就是A.exe、A.dll和A_Hook.dll。Windows目錄下的G_Server.exe檔案將自己註冊成服務***9X系統寫登錄檔啟動項***，每次開機都能自動執行，執行後啟動G_Server.dll和G_Server_Hook.dll並自動退出。G_Server.dll檔案實現後門功能，與控制端客戶端進行通訊;G_Server_Hook.dll則通過攔截API呼叫來隱藏病毒。因此，中毒後，我們看不到病毒檔案，也看不到病毒註冊的服務項。隨著灰鴿子服務端檔案的設定不同，G_Server_Hook.dll有時候附在Explorer.exe的程序空間中，有時候則是附在所有程序中。[1]

　　病毒發展編輯

　　誕生期自2001年，灰鴿子誕生之日起，就被反病毒專業人士判定為最具危險性的後門程式，並引發了安全領域的高

　　體積僅70kb隱蔽性更強度關注。2004年、2005年、2006年，灰鴿子木馬連續三年被國內各大防毒廠商評選為年度十大病毒，灰鴿子也因此聲名大噪，逐步成為媒體以及網民關注的焦點。灰鴿子自2001年出現至今，主要經歷了模仿期、飛速發展期以及全民駭客時代三大階段。灰鴿子2011出現變種。服務端加殼之後僅有70kb，比葛軍的灰鴿子小了近10倍。國家多執行緒上線分組。視覺化遠端開戶。可以躲過主流管理員的檢測方式，隱蔽性強。[2]

　　模仿期“灰鴿子”是2001年出現的，採用Delphi編寫，最早並未以成品方式釋出，更多的是以技術研究的姿態，採用了原始碼共享的方式出現在網際網路，至今仍可搜尋到“灰鴿子”早期版本的原始碼。“灰鴿子”在出現的時候使用了當時討論最多的“反彈埠”連線方式，用以躲避大多數個人網路防火牆的攔截。“灰鴿子”在當時的名氣不及“冰河”，因此只出現了少量的感染，但其開放原始碼的方式也讓“灰鴿子”逐漸增大了傳播量。灰鴿子出現後以原始碼開放，所以出現多種不同的版本，由於服務端都以隱藏方式啟動，就奠定了其惡意後門木馬的地位。

　　飛速發展期2004和2005這兩年之間，灰鴿子逐步進入了成熟的狀態，由於原始碼的釋放，大量變種在網際網路中衍生。

　　灰鴿子產業鏈示意圖2004年灰鴿子總共發現了1000多變種，而在2005年，這個數字迅速上升到了3000多。“灰鴿子”最大的危害在於潛伏在使用者系統中，由於其使用的“反彈埠”原理，一些在區域網***企業網***中的使用者也受到了“灰鴿子”的侵害，使得受害使用者數大大提高，2004年的感染統計表現為103483人，而到2005年數字攀升到890321人。“灰鴿子”本身所具備的鍵盤記錄、螢幕捕捉、檔案上傳下載和執行、攝像頭控制等功能，將使使用者沒任何隱私可言，更可怕的是服務端高度隱藏自己，是受害者無從得知感染此病毒。

”人還：