灰鸽子是什么

(1)灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来，灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时，灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事，灰鸽子就成了很强大的黑客工具，。这就好比火药，用在不同的场合，给人类带来不同的影响。对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚，在此我们只能进行简要介绍。

灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型（如等待连接还是主动连接）、主动连接时使用的公网IP（域名）、连接密码、使用的端口、启动项名称、服务名称，进程隐藏方式，使用的壳，代理，图标等等。

服务端对客户端连接方式有多种，使得处于各种网络环境的用户都可能中毒，包括局域网用户（通过代理上网）、公网用户和ADSL拨号用户等。

(2)作者

葛军

（1982- ）安徽潜山人，灰鸽子工作室管理员，精通Delphi、ASP、数据库编程，2001年首次将反弹连接应用在远程控制软件上，随后掀起了国内远程控制软件使用反弹连接的热潮，2005年4月，将虚拟驱动技术应用到灰鸽子屏幕控制上，使灰鸽子的屏幕控制达到了国际先进水平。

葛军，“灰鸽子工作室”的创办者

葛军，“灰鸽子工作室”的创办者，一个低调而又引人注目的程序员。

下面介绍服务端：

配置出来的服务端文件文件名为G_Serverexe（这是默认的，当然也可以改变）。然后黑客利用一切办法诱骗用户运行G_Serverexe程序。

G_Serverexe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录，2k/NT下为系统盘的Winnt目录)，然后再从体内释放G_Serverdll和G_Server_Hookdll到windows目录下。G_Serverexe、G_Serverdll和G_Server_Hookdll三个文件相互配合组成了灰鸽子服务端， G_Server_Hookdll负责隐藏灰鸽子。通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项，甚至是进程中的模块名。截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。所以，有些时候用户感觉种了毒，但仔细检查却又发现不了什么异常。有些灰鸽子会多释放出一个名为G_ServerKeydll的文件用来记录键盘操作。注意，G_Serverexe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为Aexe时，生成的文件就是Aexe、Adll和A_Hookdll。

Windows目录下的G_Serverexe文件将自己注册成服务（9X系统写注册表启动项），每次开机都能自动运行，运行后启动G_Serverdll和G_Server_Hookdll并自动退出。G_Serverdll文件实现后门功能，与控制端客户端进行通信；G_Server_Hookdll则通过拦截API调用来隐藏病毒。因此，中毒后，我们看不到病毒文件，也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G_Server_Hookdll有时候附在Explorerexe的进程空间中，有时候则是附在所有进程中。

灰鸽子的作者对于如何逃过杀毒软件的查杀花了很大力气。由于一些API函数被截获，正常模式下难以遍历到灰鸽子的文件和模块，造成查杀上的困难。要卸载灰鸽子动态库而且保证系统进程不崩溃也很麻烦，因此造成了近期灰鸽子在互联网上泛滥的局面。

[编辑本段]灰鸽子给黑客带来的经济效益

黑客可以在灰鸽子工作室的网站上花100元下载灰鸽子，在网上花200元就可以找师傅学灰鸽子使用技巧。而黑客一天可以控制上百个用户，网民称之“肉鸡”。据黑客王某说，他一天可以抓20只鸡，在江浙发达地区的肉鸡可以一直卖3至4块，普通地区卖1块，一天盗几十个号，好号可以卖几十元甚至1000元，普通的也能是几块钱。平均每月3000元，据王某称这还是小的，有的骇客甚至一月上万元。

[编辑本段]二、灰鸽子的手工检测

由于灰鸽子拦截了API调用，在正常模式下服务端程序文件和它注册的服务项均被隐藏，也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外，灰鸽子服务端的文件名也是可以自定义的，这都给手工检测带来了一定的困难。

但是，通过仔细观察我们发现，对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出，无论自定义的服务器端文件名是什么，一般都会在操作系统的安装目录下生成一个以“_hookdll”结尾的文件。通过这一点，我们可以较为准确手工检测出灰鸽子 服务端。

由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择“Safe Mode”或“安全模式”。

1、由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”—》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“ 显示所有文件和文件夹”，然后点击“确定”。

2、打开Windows的“搜索文件”，文件名称输入“_hookdll”，搜索位置选择Windows的安装目录（默认98/xp为C:\windows，2k/NT为C:\Winnt）。

3、经过搜索，我们在Windows目录（不包含子目录）下发现了一个名为Game_Hookdll的文件。

4、根据灰鸽子原理分析我们知道，如果Game_HookDLL是灰鸽子的文件，则在操作系统安装目录下还会有Gameexe和Gamedll文件。打开Windows目录，果然有这两个文件，同时还有一个用于记录键盘操作的GameKeydll文件。

经过这几步操作我们基本就可以确定这些文件是灰鸽子 服务端了，下面就可以进行手动清除。

[编辑本段]三、灰鸽子的手工清除

经过上面的分析，清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作，主要有两步：

1、清除灰鸽子的服务；

2、删除灰鸽子程序文件。

注意：为防止误操作，清除前一定要做好备份。

（一）、清除灰鸽子的服务

注意清除灰鸽子的服务一定要在注册表里完成，对注册表不熟悉的网友请找熟悉的人帮忙操作，清除灰鸽子的服务一定要先备份注册表，或者到纯DOS下将注册表文件更名，然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联

2000／XP系统：

1、打开注册表编辑器（点击“开始”－》“运行”，输入“Regeditexe”，确定。），打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。

2、点击菜单“编辑”－》“查找”，“查找目标”输入“gameexe”，点击确定，我们就可以找到灰鸽子的服务项（此例为Game_Server，每个人这个服务项名称是不同的）。

3、删除整个Game_Server项。

98／me系统：

在9X下，灰鸽子启动项只有一个，因此清除更为简单。运行注册表编辑器，打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项，我们立即看到名为Gameexe的一项，将Gameexe项删除即可。

（二）、删除灰鸽子程序文件

删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的Gameexe、Gamedll、Game_Hookdll以及Gamekeydll文件，然后重新启动计算机。至此，灰鸽子VIP 2005 服务端已经被清除干净。

以上介绍的方法适用于我们看到的大部分灰鸽子木马及其变种，然而仍有极少数变种采用此种方法无法检测和清除。同时，随着灰鸽子新版本的不断推出，作者可能会加入一些新的隐藏方法、防删除手段，手工检测和清除它的难度也会越来越大。

四、防止中灰鸽子病毒需要注意的事项

1 给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)，其中MS04-011、MS04-012、MS04-013、MS03-001、MS03-007、MS03-049、MS04-032等都被病毒广泛利用，是非常必要的补丁程序

2 给系统管理员帐户设置足够复杂足够强壮的密码，最好能是10位以上，字母+数字+其它符号的组合；也可以禁用/删除一些不使用的帐户

3 经常更新杀毒软件（病毒库），设置允许的可设置为每天定时自动更新。安装并合理使用网络防火墙软件，网络防火墙在防病毒过程中也可以起到至关重要的作用，能有效地阻挡自来网络的攻击和病毒的入侵。部分盗版Windows用户不能正常安装补丁，这点也比较无奈，这部分用户不妨通过使用网络防火墙来进行一定防护

4 关闭一些不需要的服务，条件允许的可关闭没有必要的共享，也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。

下载HijackThis扫描系统

[编辑本段]四、灰鸽子的下载地址

http://hibaiducom/tamdongrong

http://wwwskycncom/soft/15753html zww3008汉化版

http://wwwmerijnorg/files/hijackthiszip 英文版

2 从HijackThis日志的 O23项可以发现灰鸽子自的服务项

如最近流行的:

O23 - Service: SYSTEM$ (SYSTEM$Server) - Unknown owner - C:\WINDOWS\setemybat

O23 - Service: Network Connections Manager (NetConMan) - Unknown owner - C:\WINDOWS\uinstallexe

O23 - Service: winServer - Unknown owner - C:\WINDOWS\winserverexe

O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\G_Serverexe

用HijackThis选中上面的O23项,然后选择"修复该项"或"Fix checked"

3 用Killbox删除灰鸽子对应的木马文件 可以从这里下载Killbox

与“熊猫烧香”病毒的“张扬”不同，“灰鸽子”更像一个隐形的贼，潜伏在用户“家”中，监视用户的一举一动，甚至用户与MSN、QQ好友聊天的每一句话都难逃“鸽”眼。专家称，“熊猫烧香”还停留在对电脑自身的破坏，而“灰鸽子”已经发展到对“人”的控制，而被控者却毫不知情。从某种意义上讲，“灰鸽子”的危害及危险程度超出“熊猫烧香”10倍。

“灰鸽子”如何控制电脑牟利

“黑客培训班”教网民通过“灰鸽子”控制别人电脑，“学费”最高200元，最低需要50元，学时一周到一个月不等。

黑客通过程序控制他人电脑后，将“肉鸡”倒卖给广告商，“肉鸡”的价格在1角到1元不等。资深贩子一个月内可以贩卖10万个“肉鸡”。

被控制电脑被随意投放广告，或者干脆控制电脑点击某网站广告，一举一动都能被监视。

直接把文件的路径复制到 Killbox里删除

通常都是下面这样的文件 "服务名"具体通过HijackThis判断

C:\windows\服务名dll

C:\windows\服务名exe

C:\windows\服务名bat

C:\windows\服务名keydll

C:\windows\服务名_hookdll

C:\windows\服务名_hook2dll

举例说明:

C:\WINDOWS\setemykeydll

C:\WINDOWS\setemydll

C:\WINDOWS\setemyexe

C:\WINDOWS\setemy_hookdll

C:\WINDOWS\setemy_hook2dll

用Killbox删除那些木马文件,由于文件具有隐藏属性,可能无法直接看到,但Killbox能直接删除 上面的文件不一定全部存在,如果Killbox提示文件不存在或已经删除就没关系了

以上他们做了命名规则解释 去下载一个木马杀客灰鸽子专杀 下载地址 http://down911com/SoftView/SoftView_3014html 瑞星版本的专杀 下载地址 http://down911com/SoftView/SoftView_3668html 清理完后 需要重新启动计算机 服务停止 然后去找那些残留文件 参见 上面回答者

软件名称： 灰鸽子（Huigezi、Gpigeon）专用检测清除工具

界面语言： 简体中文

软件类型： 国产软件

运行环境： /Win9X/Me/WinNT/2000/XP/2003

授权方式： 免费软件

软件大小： 414KB

软件简介： 由灰鸽子工作室开发的,针对灰鸽子专用清除器!可以清除VIP2005版灰鸽子服务端程序(包括杀毒软件杀不到的灰鸽子服务端)和灰鸽子 [辐射正式版] 和 DLL版服务端 牵手版服务端

运行DelHgzvip2005Serverexe文件清除VIP2005版灰鸽子服务端程序，运行un_hgzserverexe文件清除灰鸽子 [辐射正式版] 和 DLL版服务端 牵手版服务

　　地质学家李四光他老人家说有四个地方是地震带，到目前为止已经有三个地方发生了地

　　震，就差合肥所在的地震带没有发生了，你们如何看待这一实质问题

　　安徽省和合肥市地震有关知识

　　“华北地震区” 包括河北、河南、山东、内蒙古、山西、陕西、宁夏、江苏、安徽

　　等省的全部或部分地区。在五个地震区中，它的地震强度和频度仅次于“青藏高原地震

　　区“，位居全国第二。由于首都圈位于这个地区内，所以格外引人关注。据统计，该地

　　区有据可查的8级地震曾发生过5次；7－79级地震曾发生过18次。加之它位于我国人口

　　稠密、大城市集中、政治和经济、文化、交通都很发达的地区，地震灾害的威胁极为严

　　重。

　　华北地震区共分四个地震带。

　　郯城-营口地震带。包括从宿迁至铁岭的辽宁、河北、山东、江苏等省的大部或部分

　　地区。是我国东部大陆区一条强烈地震活动带。1668年山东郯城85级地震、1969年渤海

　　74级地震、1974年海城74级地震就发生在这个地震带上，据记载，本带共发生47级以

　　上地震60余次。其中7－79级地震6次；8级以上地震1次。

　　合肥靠近这个地震带－－郯城－庐江断裂带。这是一条大断裂。在这条断裂上有可

　　能发生地震。这条断裂通过肥东的王铁－撮镇到庐江，过桐城、潜山擦大别山的东缘而

　　过。有人认为这条断裂在这南边穿过长江进入江西。

　　合肥在地震带上吗

　　世界上的地震带主要有四类地震带（这不是李四光预测的，这是常识）：环太平洋

　　地震带；Alps－喜马拉雅地震带；洋中脊地震带和板内裂谷地震带。环太平洋地震带是

　　太平洋板块向欧亚板块俯冲的结果，Alps－喜马拉雅地震带是印度板块向欧亚板块俯冲

　　的结果。这两条都是发生在汇聚板块边缘，一般震源较深。象唐山大地震就是发生在第

　　一条带上，日本整个位于这个地震带，天天有地震。象伊朗、云南的地震就是第二地震

　　带；第三条地震带是板块分离边缘，多位于洋中脊，但洛杉矶等加州大地震也位于这个

　　地震带（位于转换断层上）；一般震源很浅，若震级很大时，破坏性极其严重。第四地

　　震带就是在板块内部发生的，一般位于大断裂带上，频度很低，震级较小。

　　传说中合肥位于地震带上就是第四类。其实，说法不准确。合肥只是靠近这个地震

　　带－－郯城－庐江断裂带。这是一条大断裂。在这条断裂上有可能发生地震。这条断裂

　　通过肥东的王铁－撮镇到庐江，过桐城、潜山擦大别山的东缘而过。有人认为这条断裂

　　在这南边穿过长江进入江西。象这次的瑞昌地震也应该位于这个带上。

　　所以，合肥不在地震带上，有20多公里的距离，尤其高新区的距离会超过30公里，

　　肯定比合肥东区安全。同时，在第四带发生的地震一般震级较小，很少超过6级。虽然不

　　清楚郯城地震的震级，但肯定不是8级。

　　大蜀山是辉绿岩，确实是火山成因，具体的年龄是9Ma，很年轻，但九百万年的年龄

　　比人类历史还长很多。那是与太平洋板块的俯冲有关。但假如下一次再产生火山，肯定

　　不会在同一地点。而且，就是在大蜀山，整个合肥市也要换地方。

　　安徽和合肥发生过地震吗

　　安徽省地震活动频度在华东地区属比较高的省份。

　　著名的郯城－庐江地震带和扬州－铜陵地震带贯穿全省，1300年以来，发生4

　　3／4级以上破坏性地震23次，6级以上地震4次。邻省破坏性地震对我省也构成重

　　大威胁，如1668年7月25日山东莒县发生8．5级地震，就曾使我省江北大部分

　　地区遭到8度破坏，相当于发生一次6级～6．5级地震。

　　合肥位于华中地震区，著名的郯（城）－庐（江）断裂带斜贯城区东侧。历史上山东郯

　　城81／2级、霍山61／4级强烈地震都曾波及我市，造成严重破坏。合肥境内也曾

　　发生过两次5级以上破坏性地震，即1673年3月29日合肥城南发生5级地震，地

　　震时“声如雷，屋舍倾倒”（清史稿·灾异志）。1954年6月17日于合肥－六安

　　间发生51／4地震，造成部分房屋倒塌、损坏，浇好的水泥柱开裂，合肥邻近20多

　　个县市均有房屋倒塌，波及面达28万平方公里。

　　2005年7月21日寿县36级和11月26日江西九江57级破坏性地震均

　　波及合肥市，市域内普遍有感。据专家推测，2020年前合肥市存在发生55－6级

　　地震的背景。

　　（合肥市位于华中地震区，属郯(城)庐(江)地震带南段。1996年和2006年，国务院

　　两次确定合肥市分别为全国13个地震重点监视防御城市之一和11个重点监视防御城市之

　　一。2007年还被列为年度地震重点危险区的城市之一。）

　　中国部分城市地震危险度排名

　　(UERDI值，指数越高风险越大)

　　1石家庄035

　　2合肥025

　　3西宁024

　　4海口023

　　5长沙022

　　6南昌022

　　7杭州021

　　8乌鲁木齐019

　　9成都018

　　10郑州018

　　11南京018

　　12兰州017

　　13福州016

　　14哈尔滨016

　　15太原016

　　16西安015

　　17银川014

　　18济南014

　　19贵阳013

　　20南宁013

　　21长春013

　　22沈阳013

　　23呼和浩特013

　　24昆明011

　　25广州011

　　26武汉011

　　27天津011

　　28北京011

　　29重庆010

　　30上海010

合肥市葳普信息科技有限公司是2012-05-14在安徽省合肥市蜀山区注册成立的有限责任公司(自然人投资或控股)，注册地址位于安徽省合肥市蜀山区潜山路277号盛世名城丽景花园E2幢304室。

合肥市葳普信息科技有限公司的统一社会信用代码/注册号是913401005957454659，企业法人张凤岐，目前企业处于开业状态。

合肥市葳普信息科技有限公司的经营范围是：计算机系统集成；安全防范系统工程；计算机软硬件及辅助设备开发、销售、咨询与服务；仪器仪表研发、销售、咨询与售后服务；信息采集软件及设备、摄影器材、通讯器材、消防器材、交通器材、安防产品、电子产品、数码产品、办公设备、机电设备、实验室设备、家用电器销售、租赁、咨询、维修与维护；服装鞋帽、日用百货、劳保用品、五金交电、办公用品、实验室试剂、耗材销售(危险品除外)；服务器维修、数据存储及数据恢复。（依法须经批准的项目，经相关部门批准后方可开展经营活动）。在安徽省，相近经营范围的公司总注册资本为27870万元，主要资本集中在 100-1000万 规模的企业中，共130家。本省范围内，当前企业的注册资本属于良好。

通过百度企业信用查看合肥市葳普信息科技有限公司更多信息和资讯。