请问BT下载怎么搞啊,帮帮菜鸟小妹啊……
如果你是第一次用BT下载,甚至第一次听说BT下载这个新鲜名词的话,请你花一分钟把以下内容看完。你立即可以享受下载无穷免费资源的快感!
在这里我不详细说明原理,只是简单叙述操作过程,因为大家只需要知道怎么下载就OK了。
超简易步骤:安装下载软件——点击标题打开.torrent文件——开始下载
1、请点击下载 BT下载软件 并安装到你的系统中
2、请到我们的 万宇BT网站 寻找你想下的东西,并点击标题
【注:如选择保存该文件,则你需要用刚才安装的软件来打开这个文件;如直接打开该文件,系统会直接用刚才安装的软件为你打开】
3、程序会提醒你选择下载的存放目录,确定后立即开始下载!
就这么简单,你的第一次就成功了!如需知道更多BT的相关知识,请到 BT教学栏目 进行查看。如需帮助,请到 BT下载技术讨论区 进行提问。如需永远享受BT下载,请锁定 万宇BT下载 bt.92wy.com!
有几个BT相关的东西要告诉初学者:
1、同时进行BT下载的人越多,速度越快!
2、下载过程中,速度会越来越快!
3、BT下载不会损坏硬盘!
回答者:ryytoday - 见习魔法师 二级 1-30 23:33
--------------------------------------------------------------------------------
BT 下载长时间的事情,比方说你上班,让电脑BT,晚上回来可能有几部,五六部样子,
BT下载 的同时也在传占用大量网络带宽会拖慢局域网共享的机器的网速. 也因为边下边传,硬盘读写频繁,肯定会损伤硬盘(我不同意损坏这个词) 所以时间一长需要加以保养.万一那天有坏道了,整个盘就缩水了.
回答者:james748 - 经理 四级 1-31 00:36
--------------------------------------------------------------------------------
BT下载:新手扫盲篇+BT终极加速方法
论坛里关于BT下载的知识不少,可能比较分散,没人愿意把那么长的贴子看完。我东扯西扯写了一些适用于BT新手的文字,把它拿出来分享给大家。高手们可别笑话我呵。
1、为什么要BT?
BitTorrent简称BT,不象我们常用的FTP、HTTP下载人一多就塞车,BT是一种分布式下载,就如BT格言:下载的人越多,速度越快 。网友间用此来交流很大的文件是非常不错的选择。但不适合用于小文件,因为大家一下完了就走人了,人少了自然就慢,如果没了种子(完程度100%只要不关闭都算是做种子)大家就会卡在当前完成度最的那个点动不了。如果你中途中断下载,没关系,支持断点续传。
2、常用的BT的软件
用于BT的软件很多,常用的有如下两个:
BitTorrent S-5.8.D 中文版(我用的是这个),下载地址:
贪婪BT(GreedBT)(ABC) 2.6.4 简体中文版,下载地址:
3、BT使用方法
用搜索引擎搜BT,会出来很多的BT发布网站。
例如我常去的BT网站: 有无穷的电影、软件。
A.用BT下载必须先在网上找到.torrent文件,一般会自动启动你的BT下载软件件;
B.这个文件很小(一般20k-100k),很快就下载完了,接着就弹出对话框询问文件/文件夹 存放位置(BT可以发布整个目录);
C.接着BT开始分配空间(产生一个和目标文件一样的大小的空文件),需要1到2分钟,视下载文件大小而定。
D.分配空间完毕,就会自行下载文件。初始时下载时会比较慢,速度快慢也与你自己的网络有关,如果是拨号或者小区内网就慢得可怜了,不过没关系,挂那就是自己睡觉去。
E.如果你中途中断下载,没关系,支持断点续传。到论坛/发布页面重新点击下载链接,或者打开你的BT软件的日志,选定文件就可以续传。
F.下载完成后,请注意:此时不要马上关闭这个窗口,因为这时候你可以给别人提供下载。请记住BT的格言: 下载的人越多,速度就越快。
G.对于新手必需要提醒大家一句,下载时先看看发布日期,半个月前发布的一般是没戏了的,超过20分钟还是连接不到别的下载者的话就不用再试了。
参考资料:被封印的4WD
回答者:Xly5487 - 见习魔法师 二级 1-26 20:55
--------------------------------------------------------------------------------
问:我经常听到BT下载一词,能否具体解释一下它的含义?
答:BT下载是一个多点下载的源码公开的P2P软件,采用了多点对多点的传输原理,适于下载电影等较大的文件。使用BT下载与使用传统的HTTP站点或FTP站点下载不同,随着下载用户的增加,下载速度会越快。基于这一特
点,使用BT下载最新的电影、软件等在速度上有很大优势。BT下载软件的使用很简便,在已安装该软件的前提下,只需在网上找到与所要下载之文件相应的种子文件(*.torrrent),点击后随着系统提示的步骤即可开始下载。
所谓BT,其实是指一种新颖的下载方式,从本质上说属于P2P软件的类别。很多朋友将BT视作为一种革命性的下载
方式,但有一些ISP厂商将其视作洪水猛兽,这是为什么呢?
对HTTP、FTP、PUB等下载方式而言,一般都是首先将文件放到服务器上,然后再由服务器传送到每位用户的机器上,很显然,如果同一时刻下载的用户数量太多,势必影响到所有用户的下载速度,如果某些用户使用了多线程下载,那对带宽的影响就更严重了,可能还会导致服务器崩溃,因此几乎所有的下载服务器都有用户数量和最高下载速度的限制。
很明显,由于上述的原因,即使你使用的是宽带网,通常也很难达到运营商许诺的最高下载速度,这里面固然有网络的原因,但与服务器的限制也不无关系。正因如此,BT下载方式出现之后,很快就成为了下载迷们的最爱,许多用户利用BT软件来交流最新的电影大片或软件。
常用BT软件比较
下面,笔者对目前国内比较常用的BT软件从安装使用、操作界面、自定义设置、特色功能等方面进行一些比较,希望朋友们能挑选到一款满意的软件,既可以享受极速下载的快感,又不会对硬盘造成多大的损害。
1. BitTorrent
这是BT的官方客户端程序,其他各款BT软件都是以其为蓝本来开发的。BitTorrent支持断点续传,但遗憾的是下载窗口所提供的信息实在太简单了,所示,这里的缺省设置为“unlimited(无限制)”,当然你也可以选择其他模式,例如“SUPER-SEED”就可以做一次超级“种子”。
2. BitTorrent Plus� II
BitTorrent Plus!是BitTorrent Shadow's Experimental的加强版本,同时拥有全中文的界面,安装结束后会自动打开设置界面,这里可以自定义端口范围、设置最大上传速度或上传连接,点击“高级设置”按钮后还可以设置本地IP地址、代理服务器、默认“做种”模式等选项,如果启用Psyco模块,可以降低CPU占用率并改善程序运行速度,建议拥有256MB以上内存的用户使用这个选项,而启用安全模式后可以防止一些恶意下载者开启多个客户端以便取得更多的下载权,这个功能可以拒绝来自同一IP地址的多个连接。
我们可以在“工具”菜单下设置密码,这样从任务栏还原窗口时,你必须输入密码才行,增加了安全性。另外,这里还提供了制作“torrent”文件的功能,从“工具”菜单下选择即可,可以说是BT功能最为强大的客户端程序之一。
3. 贪婪BT
贪婪BT又名“GreedBT”,其实它只是ABC的汉化版本,使用The Shad0w's Bittorrent experimental作为内核,当然最初原始版本仍然是Bittorrent,速度与功能上有无与伦比的优势。
所示,缺省设置可以同时下载两个任务,如果你使用的是Windows 98/Me,那么建议同时进行的任务数不要超过两个,至于Windows 2000/XP则可以提高到3~6个,如果机器配置高的话还可以适当增加任务数,看来“贪婪”之名也是由此而来。
贪婪BT提供了制作发布的功能,制作选择块数时可以选择“automatic”自动模式,还有远程控制服务,可设置的命令权限包括查询、删除、添加等,不过默认设置是启动程序时关闭远程控制服务,这也是考虑到安全性。
4. 比特精灵
比特精灵的英文名称是BitSpirit,内存占用极低,无论是从外观还是界面上看,都与FlashGet非常相似,具有自下定义下载类别以及任务管理功能,由于提供了智能可控的缓存服务,因此可以最大限度地减少访问硬盘的次数。
值得说明的是,BitSpirit还有一项非常温馨的功能,那就是可以设置下载结束后自动关机,可以从“选项→个人设置→其它”标签页中选择“当所有任务完成后自动关机”选择。
另外,如果你选择了完全安装模式的话,那么会同时安装BSCC、TorrentBuilder两个组件,BSCC来自于LANSPIRIT.COM,相当于一个即时消息软件,只要在设置时输入一个你所喜欢的昵称,设置好服务器地址和端口号,以后就可以与其他下载者进行交流了;TorrentBuilder则可以指导用户快速制作发布“�.torrent”文件,你只需要选择上传的文件或文件夹,然后点击“制作”按钮就可以了。
5. 超级BT下载软件
其实超级BT下载软件就是Shareaza的汉化版本,它在国外是一款评价极高并且相当流行的P2P软件,整合了Magnet、Piolet、Gnutella、BitTorrent、eDonkey 2000等五种流行的P2P下载方式,并且可以用于HTTP下载,而且还是一款完全免费的软件。
只要将“*.torrent”文件拖曳到Shareaza的主窗口中,然后点击“立即下载”按钮即可,Shareaza会自动从BT服务器中查找可用的下载资源,连接成功后就会自动开始下载文件。比较有特色的是Shareaza提供了一个相当不错的媒体播放器,你可以用它来播放CDA、WAV、DIVX等格式的媒体文件。
6. Burst
这款软件比较特殊的是在命令行窗口中显示相应的下载信息所示,虽然看起来有些另类,但如果你看惯了Windows标准程序的白底黑字,偶尔让自己的眼睛休息一下,也算是适当放松吧,当然你也可以继续切换到主窗口的“Monitor”标签页中查看下载信息。
提示:所有的BT软件都是免费的,都需要安装后才能使用,卸载也很方便,除BitTorrent和超级BT下载软件(Shareaza)外,其他几款都可以制作发布“种子”文件,几乎所有软件都支持拖曳操作、控制下载或上传速度、控制最大连接数,因此笔者觉得选择任何一款BT软件,应该都能满足你的需要。另外,虽然Shareaza提供了媒体播放功能,但相信没有多少朋友会看中这一点,笔者比较欣赏的是比特精灵下载后自动关机这一功能。
BT软件的危机
从表面上看来,BT软件目前正红红火火、异常热烈,但也潜伏着不少危机,具体来说有如下几个方面:
1. 对硬盘的损害
很多朋友都认为BT下载会造成硬盘的损坏,其实这是因为BT下载前首先会在硬盘缓冲区写入与下载文件容量相同的一个镜像文件,然后通过填充的方法写入数据,当填充过程结束时,下载的过程也就完成了。每次下载时,软件还需要对所有区块进行校验计算,而这是相当占用资源和磨损硬盘的,如果下载上传过程中再同时进行读写操作,那硬盘可能会出现坏道。
明白了这个原理,我们就可以适当增大硬盘缓存文件的大小,另外也要注意在使用BT软件时尽量避免对硬盘进行其他读写操作,另一方面也要避免硬盘超负荷工作,这样一般就不会对硬盘生成大的伤害了。
2. 严重占用带宽
由于BT的工作原理是“多点下载”,也就是说参与进来的用户数量越多,单个用户下载的速度也越快,但实际情况下,不少用户为了避免系统资源被过多占用以及基于安全方面的考虑,一般都对上传速度进行了相应的限制,有时甚至在自己下载结束后就立即关闭BitTorrent,这样一来可用的“种子”数将越来越少,从而影响了其他用户的下载速度,有时甚至由于“种子”数为零而导致无法下载,这也是用户抱怨说BT下载速度并不快的原因所在。
3. 网络安全
从根本上来说,BT软件还是属于后台操作,无论是下载或上传文件,都存在非法入侵、隐私泄露等方面的隐患,而且由于开放端口还可能导致黑客程序或木马的侵袭,因此系统中安装杀毒软件和防火墙软件是必不可少的。
不过,笔者依然认为:即使BT软件存在上面提到的种种危机,而且其命运也一直处于飘摇不定的情况下,但其作为宽带时代一种全新的网络共享方式,“人人为我,我为人人”,相信BT的明天会更加美好。
什么是灰鸽子?我是菜鸟,回答的越详细越好
灰鸽子2005病毒的特点是:1、运行后,病毒进程插入所有当前正在运行的进程中;2、隐藏病毒自身进程;3、隐藏病毒文件;4、将自身注册为系统服务,实现启动加载。因此,染毒后很难在WINDOWS下将病毒杀净。
手工查杀灰鸽子2005的关键一步是找到病毒注册的系统服务名,将其从注册表HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES分支中删除。然而,由于黑客配置灰鸽子2005服务端时命名的系统服务名五花八门,没有一定规律可循,因而使不少人中招后难以下手清除病毒。
其实,灰鸽子2005有一个弱点,可供手工杀毒时利用。这个弱点就是——用HijackThis1.99.1扫系统日志,O23项可以显示灰鸽子注册的系统服务名(例:WindowsPowerServer)和可执行文件名(例: D:\WINDOWS\spoolvs.exe)。(注:NT系统的HiajckThis日志中才有O23项;WIN98等非NT系统不可能有此项。)
因此,建议因感染灰鸽子2005的发帖求助的网友按以下步骤操作:
1、用HijackThis1.99.1(本帖附件中的一个小工具)扫系统日志,在O23项中寻找灰鸽子2005注册的系统服务名(例:WindowsPowerServer)。如果自己看不懂HijackThis日志,可以将日志贴在帖子中,请别人帮助辨认。
2、确认灰鸽子2005注册的系统服务名后,打开注册表编辑器,定位到HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES分支,删除左栏中的病毒服务名(例: WindowsPowerServer)。
3、重启系统,在“文件夹选项”的“查看”面板中勾选“显示系统文件”、“显示所有的文件和文件夹”两项,点击“确定”按钮。然后在%windows%下寻找病毒文件名(例: D:\WINDOWS\spoolvs.exe),找到后删除之。需要注意的是:灰鸽子2005生成的病毒文件为一组,3-4个。病毒文件命名有一定规律,即:X.exe、X.dll、X_hook.dll以及XKey.dll,其中“X”指病毒文件名的可变部分。例如,你的系统感染灰鸽子2005后,在HijackThis1.99.1日志中看到“O23 - Service: RSVPS (QoS RSVPS) - Unknown owner - D:\WINDOWS\spoolvs.exe”这样的信息,那么,这个日志提示:这个灰鸽子2005服务端注册的系统服务名是“ RSVPS ”;生成的病毒文件是spoolvs.exe、spoolvs.dll、spoolvs_hook.dll,可能还有一个spoolvsKey.dll。这一组3-4个病毒文件位于D:\WINDOWS\文件夹中。
附:HijackThis日志中见到的灰鸽子2005注册的系统服务名与病毒文件名(供手工杀毒参考)
O23 - Service: WINL0G0N - Unknown - C:\WINDOWS\WINL0G0N.EXE
O23 - Service: Windows_Helper - Unknown - C:\WINDOWS\3721.exe
O23 - Service: ray-pigeon-sorver-unknwn-c:/windows/lerver.exe
O23 - Service: Remotee - Unknown - C:\WINNT\explercr.exe
O23 - Service: Gerver - Unknown - C:\WINDOWS\smcsc.exe
O23 - Service: Intelnet - Unknown - C:\WINDOWS\system.exe
O23 - Service: ssvn - Unknown - C:\WINNT\Servers.exe
O23 - Service: Distributed Coordi - Unknown - C:\WINNT\cmmon32.com
O23 - Service: Contact Information - Unknown - C:\WINDOWS\svchost.exe
O23 - Service: DNS Pigeon Server - Unknown - C:\WINDOWS\Rver.exe
O23 - Service: system Management Instrumenta - Unknown - C:\WINDOWS\comines.exe
O23 - Service: Plug and Play . - Unknown - C:\WINDOWS\crsss.exe
023- Service: Pigeon_Server-Unknown-C:\WINDOWS\Server.exe
O23 - Service: Windows Update Servers - Unknown - C:\WINDOWS\winupdate.exe
O23 - Service: Windows Management Player - Unknown - C:\WINNT\system.exe
O23 - Service: Application Performance Explor - Unknown - C:\WINDOWS\svchost.exe
O23 - Service: Windows Management Drivers - Unknown - C:\WINNT\win32help.exe
O23 - Service: WindowsPowerServer - Unknown - C:\WINNT\Server.exe
O23 - Service: RSVPS (QoS RSVPS) - Unknown owner - D:\WINDOWS\spoolvs.exe
灰鸽子(Backdoor.Huigezi)作者现在还没有停止对灰鸽子的开发,再加上有些人为了避开杀毒软件的查杀故意给灰鸽子加上各种不同的壳,造成现在网络上不断有新的灰鸽子变种出现。尽管瑞星公司一直在不遗余力地收集最新的灰鸽子样本,但由于变种繁多,还会有一些“漏网之鱼”。如果您的机器出现灰鸽子症状但用瑞星杀毒软件查不到,那很可能是中了还没有被截获的新变种。这个时候,就需要手工杀掉灰鸽子。
手工清除灰鸽子并不难,重要的是我们必须懂得它的运行原理。
灰鸽子的运行原理
灰鸽子木马分两部分:客户端和服务端。黑客(姑且这么称呼吧)操纵着客户端,利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe,然后黑客通过各种渠道传播这个木马(俗称种木马或者开后门)。种木马的手段有很多,比如,黑客可以将它与一张图片绑定,然后假冒成一个羞涩的MM通过QQ把木马传给你,诱骗你运行;也可以建立一个个人网页,诱骗你点击,利用IE漏洞把木马下载到你的机器上并运行;还可以将文件上传到某个软件下载站点,冒充成一个有趣的软件诱骗用户下载……
G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。
灰鸽子的手工检测
由于灰鸽子拦截了API调用,在正常模式下木马程序文件和它注册的服务项均被隐藏,也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。
但是,通过仔细观察我们发现,对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子木马。
由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。
1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。
2、打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。
3、经过搜索,我们在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。
4、根据灰鸽子原理分析我们知道,如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录,果然有这两个文件,同时还有一个用于记录键盘操作的GameKey.dll文件。
经过这几步操作我们基本就可以确定这些文件是灰鸽子木马了,下面就可以进行手动清除。
灰鸽子的手工清除
经过上面的分析,清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作,主要有两步:1、清除灰鸽子的服务;2删除灰鸽子程序文件。
注意:为防止误操作,清除前一定要做好备份。
一、清除灰鸽子的服务
2000/XP系统:
1、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。
2、点击菜单“编辑”-》“查找”,“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server)。
3、删除整个Game_Server项。
98/me系统:
在9X下,灰鸽子启动项只有一个,因此清除更为简单。运行注册表编辑器,打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项,我们立即看到名为Game.exe的一项,将Game.exe项删除即可。
二、删除灰鸽子程序文件
删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机。至此,灰鸽子已经被清除干净。
小结
本文给出了一个手工检测和清除灰鸽子的通用方法,适用于我们看到的大部分灰鸽子木马及其变种,然而仍有极少数变种采用此种方法无法检测和清除。同时,随着灰鸽子新版本的不断推出,作者可能会加入一些新的隐藏方法、防删除手段,手工检测和清除它的难度也会越来越大。当你确定机器中了灰鸽子木马而用本文所述的方法又检测不到时,最好找有经验的朋友帮忙解决。
同时随着瑞星杀毒软件2005版产品发布,杀毒软件查杀未知病毒的能力得到了进一步提高。经过瑞星公司研发部门的不断努力,灰鸽子病毒可以被安全有效地自动清除,需要用户手动删除它的机会也将越来越少。
病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。
灰鸽子的手动清除方法
手工清除灰鸽子并不难,重要的是我们必须懂得它的运行原理。
灰鸽子的运行原理
灰鸽子远程监控软件分两部分:客户端和服务端。黑客(姑且这么称呼吧)操纵着客户端,利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe,然后黑客通过各种渠道传播这个服务端(俗称种木马)。种木马的手段有很多,比如,黑客可以将它与一张图片绑定,然后假冒成一个羞涩的MM通过QQ把木马传给你,诱骗你运行;也可以建立一个个人网页,诱骗你点击,利用IE漏洞把木马下载到你的机器上并运行;还可以将文件上传到某个软件下载站点,冒充成一个有趣的软件诱骗用户下载……,这正违背了我们开发灰鸽子的目的,所以本文适用于那些让人非法安装灰鸽子服务端的用户,帮助用户删除灰鸽子 Vip 2005 的服务端程序。本文大部分内容摘自互联网。
如果你没有兴趣读下面的文章,请直接下载我们提供的清除器使用
G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。
灰鸽子的手工检测
由于灰鸽子拦截了API调用,在正常模式下服务端程序文件和它注册的服务项均被隐藏,也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。
但是,通过仔细观察我们发现,对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子 服务端。
由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。
1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。
2、打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。
3、经过搜索,我们在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。
手工清除灰鸽子并不难,重要的是我们必须懂得它的运行原理。
灰鸽子的运行原理
灰鸽子远程监控软件分两部分:客户端和服务端。黑客(姑且这么称呼吧)操纵着客户端,利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe,然后黑客通过各种渠道传播这个服务端(俗称种木马)。种木马的手段有很多,比如,黑客可以将它与一张图片绑定,然后假冒成一个羞涩的MM通过QQ把木马传给你,诱骗你运行;也可以建立一个个人网页,诱骗你点击,利用IE漏洞把木马下载到你的机器上并运行;还可以将文件上传到某个软件下载站点,冒充成一个有趣的软件诱骗用户下载……,这正违背了我们开发灰鸽子的目的,所以本文适用于那些让人非法安装灰鸽子服务端的用户,帮助用户删除灰鸽子 Vip 2005 的服务端程序。本文大部分内容摘自互联网。
如果你没有兴趣读下面的文章,请直接下载我们提供的清除器使用:点击这里下载
G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。
灰鸽子的手工检测
由于灰鸽子拦截了API调用,在正常模式下服务端程序文件和它注册的服务项均被隐藏,也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。
但是,通过仔细观察我们发现,对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子 服务端。
由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。
1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。
2、打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。
3、经过搜索,我们在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。
4、根据灰鸽子原理分析我们知道,如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录,果然有这两个文件,同时还有一个用于记录键盘操作的GameKey.dll文件
经过这几步操作我们基本就可以确定这些文件是灰鸽子 服务端了,下面就可以进行手动清除。
灰鸽子的手工清除
经过上面的分析,清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作,主要有两步:1、清除灰鸽子的服务;2删除灰鸽子程序文件。
注意:为防止误操作,清除前一定要做好备份。
一、清除灰鸽子的服务
2000/XP系统:
1、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。
2、点击菜单“编辑”-》“查找”,“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server)。
3、删除整个Game_Server项。
98/me系统:
在9X下,灰鸽子启动项只有一个,因此清除更为简单。运行注册表编辑器,打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项,我们立即看到名为Game.exe的一项,将Game.exe项删除即可。
二、删除灰鸽子程序文件
删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机。至此,灰鸽子VIP 2005 服务端已经被清除干净。
参考资料:;ID=426773
黑客的定义是什么?黑客和骇客有什么区别?真正意义上的黑客是怎样的?
1、真正的"黑客" 黑客起源于英文Hacker,Hack的原意时"劈斩",做一件漂亮的事情。在美国的校园里,它往往是恶作剧的代名词。如果把这些归纳做一个定义,黑客就是利用技术手段进入其权限以外的计算机系统。对于这个定义,我们应该注意两点:首先,黑客是利用技术手段而不是通过非技术手段,如色情等等;其次,进入其权限以外的计算机系统。还有一点大家也应该注意到,他进入计算机系统作了些什么?这里并没有说明。因此,黑客本身应该是一个中性词,如果做了破坏,可能就是另外一类人。如果不做这样的区分,不掌握黑客的特征,就会误用这个词! 2、黑客的行为特征 从行为特征来说,黑客一般具有以下几个特征: (1)热衷挑战。如果能发现大公司机构或安全公司的问题,当然就能证明自己的能力。 (2)崇尚自由(这是从国外黑客的角度来说的)。这种自由是一种无限的自由,可以说是自由主义者、无政府主义的理念,是20世纪60年代在美国反主流的文化中形成的。 (3)主张信息、资源的共享 (4)富有反叛精神。他们藐视传统与权威,有热情,又有冲动。 (5)由于黑客进入的是他们权限以外的计算机系统,因此,常常表现为破坏性的行为,但程度会有所不同。 3、黑客的种类、区分 在定义时,我们已经把黑客看成是一群人,他们具有年轻化、男性化的特征。一种是传统的黑客,就行我们的定义所说的,他们进入别人的计算机系统后并不会进行什么破坏性的行为,只是告诉你的密码不安全,而不会破坏你的信息,原有的东西都会保留不动;另一种情形是,他们发现你的安全漏洞,并且利用这些漏洞破坏你的网站,这些人就成了骇客(Cracker)。只要是带有破坏性目的的或者有恶意的人掌握你的信息后,向你要钱,如果不给他钱,就要把那些信息公布出来,这都是骇客。还有一类人叫做朋客,恶作剧者,他们未必具有很高的技术,但是喜欢跟你开玩笑,通常用一些简单的攻击手段去搞一搞BBS、聊天室之类的。所以,我们把这些人分为传统的网络黑客、网络朋客一及网络骇客。 一个恶意(一般是非法的)试图破解或破坏某个程序、系统及网络安全的人。这个意义常常对那些符合条件真正的黑客造成严重困扰,他们建议媒体将这群人称为"骇客"(Cracker)。有时这群人也被叫做"黑帽黑客"。 试图破解某系统或网络以提醒该系统所有者此系统有安全漏洞,这群人往往被称作"白帽黑客"或"思匿客"(Sneaker)。许多这样的认识电脑安全公司的雇员,并在完全合法的情况下攻击某系统。 一个通过知识或猜测而对某段程序(往往是好的)修改,并改变(或者增加)该程序用途的人。 "脚本小孩"(Scirpts Kids)则指那些完全没有或仅有一点点黑客技巧,而只是按照提示或运行某种骇客程序来达到破解目的的人。在中国常常被称之为"菜鸟黑客"! 4、黑客的"信仰" 真正的黑客是自由的,他们像许多死去了的优秀使人一样,试图打破束缚自己的脚链和枷锁。他们无法忍受条条框框,向往开放的未来(源代码)和自由的空气(软件),他们自称是"为自由(FREE)而战的斗士"。他们认为计算机属于每一个人(Everyone),软件不是可以贴上主义与暴利标签的摇钱树。对于软件公司把程序做成产品出售,并且不公开源代码的做法,在黑客看来既卑鄙又恶劣。黑客鄙视精神商业化,他们认为自己的使命是"追求自由"以及让"全人类获得自由",而不是"追求权利和金钱"(尽管骇客们这样)。他们把自己编写的应用程序放到网上,让人免费下载使用,并根据用户反馈信息不断的改进和完善自己的软件;他们挑战财富与权威,显得无拘无束。 真正的黑客不是网络时代的破坏者,而是守望者。当我们全力追捕黑客、大谈网络恐怖主义时,为什么我们不反思是谁发现了"陷阱"?从这个角度上说,黑客存在的意义就在于对技术的监督,没有监督的技术不堪一击。 5、黑客与骇客的区别 黑客与骇客最根本的区别在于,黑客们"建设",骇客们"破坏"。
