¿Cuál es el principio y método de funcionamiento del virus de la paloma gris?
Creo que todo el mundo está familiarizado con el virus remoto Gray Pigeon, ¿verdad? Alguna vez controló nuestras computadoras y difundió información de manera maliciosa. ¿Conoce los principios y métodos de operación del virus Gray Pigeon? explicación detallada a continuación. Introducción al principio y método de operación del virus Grey Pigeon. ¡Espero que le sea útil!
Introducción al principio y método de operación del virus Grey Pigeon:
Después de ejecutar G_Server.exe, se copia en el directorio de Windows (en 98/xp, es el directorio de Windows del disco del sistema, y en 2k/NT, es el directorio Winnt del sistema). disk) y luego libera G_Server del cuerpo dll y G_Server_Hook.dll al directorio de Windows. Los tres archivos G_Server.exe, G_Server.dll y G_Server_Hook.dll cooperan entre sí para formar el servidor Gray Pigeon. Algunos Gray Pigeons lanzarán un archivo adicional llamado G_ServerKey.dll para registrar las operaciones del teclado. Tenga en cuenta que el nombre G_Server.exe no es fijo, se puede personalizar. Por ejemplo, cuando el nombre del archivo del servidor personalizado es A.exe, los archivos generados son A.exe, A.dll y A_Hook.dll.
El archivo G_Server.exe en el directorio de Windows se registra como un servicio (el sistema 9X escribe el elemento de inicio del registro) y puede ejecutarse automáticamente cada vez que se enciende la computadora. Después de ejecutar, G_Server. dll y G_Server_Hook.dll se iniciarán y se cerrarán automáticamente. El archivo G_Server.dll implementa la función de puerta trasera y se comunica con el cliente de control; G_Server_Hook.dll oculta el virus interceptando llamadas API. Por lo tanto, después del envenenamiento, no podemos ver el archivo del virus ni los elementos de servicio registrados por el virus. Dependiendo de la configuración del archivo del servidor Gray Pigeon, G_Server_Hook.dll a veces se adjunta al espacio de proceso de Explorer.exe y, a veces, a todos los procesos.
Detección manual del virus Gray Pigeon:
Dado que Gray Pigeon intercepta llamadas API, en modo normal, el archivo del programa del servidor y sus elementos de servicio registrados están ocultos , lo que significa que no podrás verlos incluso si configuras "Mostrar todos los archivos ocultos". Además, el nombre del archivo del servidor Gray Pigeon también se puede personalizar, lo que plantea ciertas dificultades a la detección manual.
Sin embargo, tras una cuidadosa observación, comprobamos que la detección de palomas grises sigue siendo regular. Del análisis anterior del principio operativo, podemos ver que no importa cuál sea el nombre del archivo personalizado del lado del servidor, generalmente se generará un archivo que termina en ?_hook.dll? A través de esto, podemos detectar manualmente el servidor de la paloma gris con mayor precisión.
Dado que las palomas grises se esconden en el modo normal, la operación de detección de palomas grises debe realizarse en modo seguro.
El método para ingresar al modo seguro es: inicie la computadora, presione la tecla F8 antes de que el sistema ingrese a la pantalla de inicio de Windows (o mantenga presionada la tecla Ctrl al iniciar la computadora) y seleccione "Modo seguro" o "Modo seguro" en el menú de opciones de arranque que aparece.
1. Dado que el archivo Gray Pigeon tiene atributos ocultos, debe configurar Windows para que muestre todos los archivos. Abra "Mi PC", seleccione el menú "Herramientas" "Opciones de carpeta", haga clic en "Ver", desmarque "Ocultar archivos protegidos del sistema operativo" y seleccione "Ocultar archivos y carpetas" ?Mostrar todos los archivos y carpetas y haga clic en ?Aceptar? .
2. Abra el "Archivo de búsqueda" de Windows, ingrese "_hook.dll" como nombre de archivo y seleccione el directorio de instalación de Windows como ubicación de búsqueda (el valor predeterminado es C:\windows para 98/xp, C: para 2k/NT) \Winnt).
3. Después de buscar, encontramos un archivo llamado Game_Hook.dll en el directorio de Windows (excluyendo los subdirectorios).
4. Según el análisis del principio de la paloma gris, sabemos que si Game_Hook.DLL es un archivo de la paloma gris, también habrá archivos Game.exe y Game.dll en el directorio de instalación del sistema operativo. . Abra el directorio de Windows y, efectivamente, encontrará estos dos archivos, así como un archivo GameKey.dll para registrar las operaciones del teclado.