회색비둘기바이러스의 원리와 작동방법은 무엇인가요?

회색비둘기 원격 바이러스는 다들 잘 아실 텐데요. 한때 우리 컴퓨터를 조종해 악의적으로 정보를 퍼뜨렸던 적이 있죠? 회색비둘기 바이러스의 원리와 작동 방식을 아시나요? 자세한 설명은 아래에 있습니다. 회색비둘기 바이러스의 원리와 작동방법에 대한 소개입니다!

회색비둘기 바이러스의 원리와 작동방법 소개:

Gray Pigeon 원격 모니터링 소프트웨어는 클라이언트 클라이언트와 서버의 두 부분으로 나뉩니다. 해커(해커라고 부르자)는 클라이언트를 제어하고 클라이언트 구성을 사용하여 서버 프로그램을 생성합니다. 서버 파일 이름은 기본적으로 G_Server.exe로 되어 있는데, 해커들은 이 서버를 다양한 채널(흔히 트로이목마라고 함)을 통해 유포시킨다. 예를 들어 해커는 이를 그림에 연결한 다음 수줍은 소녀인 척하고 QQ를 통해 트로이 목마를 전달하여 사용자를 속여 개인 웹페이지를 만들 수도 있습니다. IE 취약점을 사용하여 트로이 목마를 컴퓨터에 다운로드하고 실행할 수도 있으며, 소프트웨어 다운로드 사이트에 파일을 업로드하고 사용자를 속여 다운로드하도록 할 수도 있습니다. Gray Pigeon 개발 목적에 어긋나므로 이 글이 적용됩니다. Gray Pigeon 서버를 불법적으로 설치한 사용자를 위해 Gray Pigeon Vip 2005 서버 프로그램을 삭제할 수 있도록 도와드립니다. 이 글의 대부분의 내용은 인터넷에서 발췌한 것입니다.

G_Server.exe 실행 후 Windows 디렉터리(98/xp 미만에서는 시스템 디스크의 Windows 디렉터리, 2k/NT 미만에서는 시스템의 Winnt 디렉터리)에 자신을 복사합니다. 디스크), 그리고 본문에서 G_Server_Hook.dll을 Windows 디렉터리로 해제합니다. G_Server.exe, G_Server.dll 및 G_Server_Hook.dll 세 파일은 서로 협력하여 Gray Pigeon 서버를 형성합니다. 일부 Gray Pigeons는 키보드 작동을 기록하기 위해 G_ServerKey.dll이라는 추가 파일을 출시합니다. G_Server.exe라는 이름은 고정되어 있지 않으며 사용자 정의할 수 있습니다. 예를 들어 사용자 정의된 서버 파일 이름이 A.exe인 경우 생성되는 파일은 A.exe, A.dll 및 A_Hook.dll입니다.

Windows 디렉터리에 있는 G_Server.exe 파일은 자신을 서비스로 등록하고(9X 시스템이 레지스트리 시작 항목을 작성함) 컴퓨터를 켤 때마다 자동으로 실행될 수 있습니다. dll 및 G_Server_Hook.dll이 시작되고 자동으로 종료됩니다. G_Server.dll 파일은 백도어 기능을 구현하고 제어 클라이언트와 통신합니다. G_Server_Hook.dll은 API 호출을 가로채서 바이러스를 숨깁니다. 따라서 중독 후에는 바이러스 파일을 볼 수 없으며, 바이러스가 등록한 서비스 항목도 볼 수 없습니다. Gray Pigeon 서버 파일의 설정에 따라 G_Server_Hook.dll이 Explorer.exe의 프로세스 공간에 붙어 있는 경우도 있고, 모든 프로세스에 붙어 있는 경우도 있습니다.

Gray Pigeon 바이러스 수동 탐지:

Gray Pigeon이 API 호출을 가로채기 때문에 일반 모드에서는 서버 프로그램 파일과 등록된 서비스 항목이 숨겨집니다. , 이는 "숨겨진 파일 모두 표시"를 설정하더라도 해당 파일을 볼 수 없음을 의미합니다. 또한 Gray Pigeon 서버의 파일 이름도 사용자 정의할 수 있으므로 수동 감지가 다소 어렵습니다.

하지만 주의 깊게 관찰한 결과, 회색비둘기의 검출이 여전히 규칙적으로 이루어지고 있음을 발견했습니다. 위의 작동 원리 분석을 통해 사용자 정의된 서버측 파일의 이름이 무엇이든 일반적으로 운영 체제의 설치 디렉터리에 ?_hook.dll?로 끝나는 파일이 생성된다는 것을 알 수 있습니다. 이를 통해 회색비둘기 서버를 보다 정확하게 수동으로 탐지할 수 있습니다.

일반 모드에서는 회색 비둘기가 몸을 숨기므로 회색 비둘기 감지 작업은 안전 모드에서 수행해야 합니다.

안전 모드로 들어가는 방법은 다음과 같습니다. 컴퓨터를 시작하고 시스템이 Windows 시작 화면으로 들어가기 전에 F8 키를 누른 다음(또는 컴퓨터를 시작할 때 Ctrl 키를 누른 채) 메뉴에서 "안전 모드" 또는 "안전 모드"를 선택합니다. 부팅 옵션 메뉴가 나타납니다. "안전 모드".

1. 회색비둘기 파일 자체에는 숨겨진 속성이 있으므로 모든 파일을 표시하도록 Windows를 설정해야 합니다. "내 컴퓨터"를 열고 "도구" "폴더 옵션" 메뉴를 선택한 다음 "보기"를 클릭하고 "보호된 운영 체제 파일 숨기기"를 선택 취소한 다음 "파일 및 폴더 숨기기"를 선택하고 ?모든 파일 및 폴더를 표시하시겠습니까?를 클릭합니다. .

2. Windows "검색 파일"을 열고 파일 이름으로 "_hook.dll"을 입력한 다음 Windows 설치 디렉터리를 검색 위치로 선택합니다(기본값은 98/xp의 경우 C:\windows, C: 2k/NT의 경우) \Winnt).

3. 검색 결과 Windows 디렉터리(하위 디렉터리 제외)에서 Game_Hook.dll이라는 파일을 발견했습니다.

4. 회색 비둘기 원리 분석을 통해 Game_Hook.DLL이 회색 비둘기 파일인 경우 운영 체제 설치 디렉터리에 Game.exe 및 Game.dll 파일도 있을 것임을 알 수 있습니다. . Windows 디렉터리를 열면 이 두 파일과 키보드 작업을 기록하기 위한 GameKey.dll 파일이 있는지 확인합니다.