灰鸽子

第一阶段： 熟悉 Process Moniter 的使用 利用 Process Moniter 监视 WinRAR 的解压缩过程 。 设置过滤器：进程名称 包含 winrar.exe 。应用。 打开Process Moniter的状态下进行如下操作： 创建新建文本文档，内容为学号 + 姓名。 添加到压缩文件。 解压。 同时观察Process Moniter。 压缩时： 解压时： 利用 Process Moniter 分析 WinRAR 的临时文件存放在哪个文件夹中 。 临时文件保存在： C:\Documents and Settings\LQ\Local Settings\Temp 先打开压缩文件。 双击 txt 文件。 查看Process Moniter 可见位置为 C:\Documents and Settings\LQ\Local Settings\Temp 在文件夹选项中选择显示隐藏的文件夹。 C:\Documents and Settings\LQ\Local Settings\Temp\Rar$DIa3108.17821 内容一致： WinRAR 压缩包内文件直接打开后，有两种关闭方式：先关闭打开的文件，再关闭打开的压缩包 。 另外一种方式是先关闭打开的压缩包，再关闭打开的文件。利用 Process Moniter 分析上述两种方式的不同点。 这里采用 word

木马概述 灰鸽子（ Huigezi） ，原本该软件适用于公司和家庭管理，其功能十分强大，不但能监视摄像头、键盘记录、监控桌面、文件操作等。还提供了黑客专用功能，如：伪装系统图标、随意更换启动项名称和表述、随意更换端口、运行后自删除、毫无提示安装等，并采用反弹链接这种缺陷设计，使得使用者拥有最高权限，一经破解即无法控制。最终导致被黑客恶意使用。原作者的灰鸽子被定义为是一款集多种控制方式于一体的木马程序。 自2001年，灰鸽子诞生之日起，就被反病毒专业人士判定为最具危险性的后门程序，并引发了安全领域的高度关注。2004年、2005年、2006年，灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒，灰鸽子也因此声名大噪，逐步成为媒体以及网民关注的焦点。 当用户电脑“中马”后，黑客就会拥有用户电脑的最高管理权限，包括随意修改、窃取用户电脑的文件，监控电脑的键盘和屏幕、摄像头等等。 2007年3月21日，灰鸽子工作室决定全面停止对灰鸽子远程管理软件的开发、更新和注册，以实际行动和坚定的态度来抵制这种非法利用灰鸽子远程管理软件的不法行为，并诚恳接受广大网民的监督。”此外，灰鸽子工作室还发布了灰鸽子服务端卸载程序。 木马构成 “灰鸽子”木马，由两部分组成，一是控制端（主程序），一是服务端（也叫受控端）。任一部分都会被主流的杀毒软件查杀

官网推荐:http://www.huigezi.org/thread-46982-1-1.html 免费用户远程控制功能不全，不能隐藏托盘，但功能近乎专业版，免费20台不排除更多控制量免费。 如需隐藏托盘才需 购买。默认内网穿透，局域网内免映射，可穿透windows防火墙，默认可静默运行，随系统自启动，默认隐藏进程。 远程控制电脑 桌面，电脑视频监控都支持自适应清晰度。会议级别画质，支持满帧率传输看电影不卡。默认P2P传输，内网自动打通通道高速传输文件。电脑监控桌面的同时，支持监控麦克风和声卡，支持高音质对话。双击托盘输入控制密码即可完全卸载！(建议重启电脑)。服务器管控需要选择在线员工，右键进行服务器设置，否则无法远程桌面。可以当电脑 监控软件 用，托盘不显示是灰鸽子，但是标志是灰鸽子标志，没有密码无法卸载。 <ignore_js_op> 常见问题： 1、远程控制电脑桌面白屏（画面TCP转发 稍等显示）或显示器关闭，或您是服务器没有做服务器设置。请选择在线服务器，右键，进行服务器设置即可。黑屏一般是用户在玩大型3D游戏。 2、如果不想每次都输入密码。可以在经理端左下角 小齿轮 点击下 输入控制密码即可。 3、服务器登陆不上，如果是在凌晨 可能在维护，如有其他问题可联系客服。 4、占用控制量问题，不要的员工可以从列表删除。 5、一个主机多屏幕，需要要求主屏幕在左上角。 6