灰鸽子如何能够在众多木马中脱颖而出，受到众多安全爱好者的追捧，灰鸽子是如何实现各种远程控制功能的？下
面我们一起跟随灰鸽子的开发者揭开灰鸽子的神秘面纱。

灰鸽子历程

2000 年第一个版本的灰鸽子诞生，并被各大安全厂商“关注”。
2002 年灰鸽子被安全厂商列入病毒库。
2003 年灰鸽子“牵手版”受到安全爱好者的追捧，使用人数超过冰河。
2003 年灰鸽子工作室开始进行商业运作，对用户实行会员制。
2004 年灰鸽子变种病毒泛滥，广大网友谈“灰”色变。
2005 年灰鸽子发展迅速，灰鸽子工作室网站访问量保持上升状态，论坛注册会员突破90000 人。灰鸽子功能介绍
模仿Windows 资源管理器，对被控制电脑上的文件操作简单易用；监视被控制电脑的内存信息，连续捕获远程电脑屏幕；使用虚拟驱动，监控被控电脑上的摄像头,具备语音监听和发送功能；隐藏性和自我保护强，不在进程中现形。

灰鸽子工作室简介

葛军

安徽潜山人,灰鸽子工作室管理员,精通Delphi 、ASP 、数据库编程,2001 年首次将反弹连接应用到远程控制软件上,随
后掀起了国内远程控制软件使用反弹连接的热潮,2005 年4月,将虚拟驱动技术应用到灰鸽子屏幕控制上,使灰鸽子的屏幕
控制达到了国际先进水平。

黄土平
广东茂名人,灰鸽子工作室管理员,擅长Delphi 编程,2000 年~2004 年就读广州体育学院体育教育学系,在校期间曾任学
院网络维护小组成员及广州某计算机有限公司网络主管,2002 年与葛军创办了灰鸽子工作室,2004 年毕业于广州体育学院
并开始从事IT软件行业工作。

反弹连接，刺穿防火墙

当灰鸽子第一次出现在我们面前时，是什么吸引了我们呢？没错，是其内置的反弹连接功能。反弹连接又是什么
呢？我们曾经使用的远程控制软件，例如“冰河”，在被控制计算机上运行远程控制软件的服务端后，我们需要使用远
程控制软件的客户端来连接服务端，从而控制目标计算机，这称为“主动连接”。而使用“反弹技术”的远程控制软
件，在被控制计算机上运行服务端后，该计算机会主动连接客户端，无须我们再进行下一步操作。“反弹连接”是远程
控制软件的一大进步，其优点：一、当被控制计算机数量较多时，无须一个一个进行连接，而被控机会主动连接客户
机，方便管理。二、当被控制计算机上有防火墙存在时，使用“主动连接”的远程控制软件很有可能被拒之门外，而
“反弹连接”技术则可以很轻松地刺穿防火墙，因为防火墙通常对外部连接过滤严密，而对于本机主动连接则疏于防
范。

那么灰鸽子的“反弹连接’功能是如何实现的呢？其实，实现这个功能很简单，只是在“主动连接”上进行了加工
而已。“灰鸽子”是使用Delphi 开发的，在客户端使用了TServerSocket 组件，在打开自动上线端口等待服务端连接部
分使用了TClientSocket 组件，TServerSocket 作为服务器方使用，TClientSocket 作为客户端使用，这两个组件本身并不
提供Socket 连接，但是他们都有一个Socket 属性，这个属性才提供了Socket 连接。这两个组件提供了强大的网络功能，
是“灰鸽子”的核心部分。“灰鸽子”在此基础上将传统的主动连接改为了无人值守型，让服务端主动连接客户端，这
样看来就是服务端自动上线反弹连接了。

编辑点评：灰鸽子是国内第一款使用反弹连接的木马。因此，“灰鸽子”在反弹连接功能上比其他反弹类木马功能

更强大、更稳定。其提供“免费域名更新IP”和“FTP 更新IP”两种反弹连接方式，注册灰鸽子后还可以使用其“注册用
户专用上线”功能，这使得其他反弹木马相形见绌。

虚拟驱动，监控摄像头

“灰鸽子”在进行摄像头监控时的步骤可以分为两部分。首先当客户端发出控制摄像头的命令后，服务端会在被控
制计算机上检测是否存在视频设备，如果有则启动。当摄像头监控启动后，服务端会将当前的摄像头捕获的影像截屏，
保存为图片，然后将该幅图片发送到客户端。如果网速很快，那么每秒传送的图片也就越多，根据电影的原理，我们看
到的已经是视频而非“图像”。（图1）。
[attach]195714[/attach]

编辑点评：灰鸽子在“屏幕控制”功能上率先使用了“虚拟驱动”技术，这项技术可以使“屏幕监控”更加流畅，
大大提高了控制的准确性。即使在网络并不畅通的情况下仍可提供较为流畅的画面，而没有采用该项技术的木马软件在
这种情况下则更像是在看幻灯片。

服务端的遁形术

“灰鸽子”的服务端运行后会将自身拷贝到系统盘的“windows”目录下（windows2000 为winnt 目录），然后再从服
务端中释放G_Server.dll 和G_Server_Hook.dll 到windows 目录下。这三个文件相互配合组成了灰鸽子服务端，如果在生
成服务端的时候选择了“文件运行后启用键盘记录”选项，那么就会多释放出一个名为G_ServerKey.dll 的文件用来记录
键盘操作。

“灰鸽子”之所以能隐藏生成的文件和服务是因为软件编写时使用了madCollection 组件对系统API 进行了拦截过
滤，在对特定的系统事件进行挂钩后，一旦发生已挂钩的事件，对该事件进行挂钩的程序就会收到系统的通知，这时程
序就能在第一时间对该事件作出响应。“灰鸽子”就是利用了此原理通过挂钩系统本地调用来隐藏自己，所有通过调用
Windows API 查看系统服务和文件的方法将都失去作用，因此，即使我们在“文件夹选项”中勾选“显示所有文件和文件
夹”，也是无法看到灰鸽子所生成的文件的。

其实要让遁形的文件现身也不难，首先要进入系统的安全模式，因为在正常模式下我们是无法找到其踪迹的。然后
我们打开“文件夹选项”，取消“隐藏受保护的操作系统文件”前面的钩，接着勾选“显示所有文件和文件夹”选项，
就可以找到“灰鸽子”所释放的隐藏文件了。

编辑点评：灰鸽子的服务端一旦运行，就会和系统“融为一体”，因为服务端释放的文件会和系统挂钩，并且对系
统API 进行拦截。因此在正常模式下很难清除“灰鸽子”，即使杀毒软件也很难将其查杀干净。服务端释放文件和防删除
功能后来被很多木马类软件模仿。

进程插入，让进程蒸发

当我们怀疑自己中了木马病毒后，通常做的第一件事就是使用“任务管理器”查看是否有可疑进程，因此插入进程
对远程控制软件隐蔽自身来说是十分有必要的。“灰鸽子”在配置服务端的时候可以选择插入“explorer.exe”或者
“iexplore.exe ”进程，如果选择插入的是前者，那么当被控计算机运行服务端后，病毒进程将插入所有当前正在运行
的进程中。如果选择插入的是“iexplore.exe ”进程，那么只能隐藏在IE进程中。当然，插入“iexplore.exe ”进程有
其优点，就是更容易穿透防火墙。如果防火墙开启有应用程序规则，当服务端连接客户端时，防火墙显示的将是“是否
允许‘Internet Explorer’访问网络”，相信很多人都会毫不犹豫地点击“允许”（图2）。

[attach]195715[/attach]

进程插入功能的实现需要通过系统的挂钩机制来插入进程，调用SetWindowsHookEx 函数来完成这一过程。当“灰鸽
子”的DLL 文件进入另一个进程的地址空间后，就可以完全控制该进程，例如服务端利用“iexplore.exe ”进程刺穿防火
墙。

编辑点评：可以说，进程插入是隐藏服务端进程和刺穿防火墙的最好形式，只要使进程从“任务管理器”中消失，
一般的用户是根本不知道自己已经“中招”的。因此该项功能危害很大。但是该项技术实现难度较高，很少有木马软件
能掌握该项技术。

灰鸽子的免杀绝技

给文件加壳是现在用得最多的免杀技术，壳能够将文件包住，然后在文件被运行时，首先运行文件外面的壳，然后
释放并运行包裹着的文件体。给文件加上壳后不仅可以大幅度减少文件的体积，还能给文件加上一层保护的外衣，防止
文件被非法修改。目前使用最为广泛的壳包括：aspack 、upx 、nspack 、PECompact 等。对于一个已经能被杀毒软件查杀
的文件，如果想给它换一层“外衣”，必须脱去其原有的壳，其步骤如下：首先使用language2000 或者peid 等侦壳工具
查看文件所加的壳（图3），然后使用相应的脱壳工具或者手工脱壳，最后使用其它加壳工具进行加壳即可。然而随着很
多木马病毒加壳后大肆传播，杀毒软件也增加了加壳软件的查杀能力，通常会将文件的壳脱去后再进行查杀，只有使用
一些罕见的加壳工具才有可能使文件逃脱杀毒软件的眼睛，这也是为什么“灰鸽子”的服务端加壳后仍被查杀的原因。


图3
[attach]195716[/attach]

杀毒软件对一个文件是不是病毒都是根据特征码来判断的，即只要在文件中发现某一段代码，和杀毒软件病毒库中
的病毒特征码对上号，那杀毒软件就将该文件宣布为病毒。因此，只要我们修改了文件的特征码，就可以彻底躲过杀毒
软件。对于特征码的提取，我们可以使用“特征码定位器（ccl）”确定特征码所处的位置，然后使用WinHex 等16进制编
辑器对特征码进行修改，或者使用Ollydbg 这款动态调试工具定位特征码后进行修改。找到特征码后，可以修改代码的组
合，只要结果不变即可，例如2+2=4 可以修改1+1+1+1=4，其效果是一样的。但是这种方法的缺点也很明显，因为每种杀
毒软件设定的特征码都是不同的，根据A杀毒软件修改特征码，逃过了A杀毒软件，但是在B杀毒软件面前就无能为力了。

编辑点评：灰鸽子的加壳更新率是当前所有木马中最高的。根据官方的资料显示，灰鸽子的特征码可以领先国内安
全厂商的破译速度两个月的时间。也就是说在两个月内，国内很多杀毒软件对最新的灰鸽子版本将束手无策。这也是灰
鸽子能够得到安全爱好者追捧的一大原因。