灰鸽子木马

灰鸽子木马灰鸽子是国内一个著名的后门程序。灰鸽子变种木马运行后，会自我复制到Windows目录下，并自行将安装程序删除。修改注册表，将病毒文件注册为服务项实现开机自启。木马程序还会注入所有的进程中，隐藏自我，防止被杀毒软件查杀。自动开启IE浏览器，以便与外界进行通信，侦听黑客指令，在用户不知情的情况下连接黑客指定站点，盗取用户信息、下载其它特定程序。

几乎所有人都知道熊猫烧香，就是因为这个病毒有个明显的图标。而灰鸽子木马病毒入侵系统后，只有非常有经验的电脑用户才可能发现异常，普通用户根本毫不知情，就好比有个会隐形术的贼在你家中长驻。

灰鸽子病毒的文件名由攻击者任意定制，病毒还可以注入正常程序的进程隐藏自己， Windows的任务管理器看不到病毒存在，需要借助第三方工具软件查看。

灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来，灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时，灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事，灰鸽子就成了很强大的黑客工具。这就好比火药，用在不同的场合，给人类带来不同的影响。

灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型（如等待连接还是主动连接）、主动连接时使用的公网IP（域名）、连接密码、使用的端口、启动项名称、服务名称，进程隐藏方式，使用的壳，代理，图标等等。

服务端对客户端连接方式有多种，使得处于各种网络环境的用户都可能中毒，包括局域网用户（通过代理上网）、公网用户和ADSL拨号用户等。

灰鸽子自身并不具备传播性，一般通过捆绑的方式进行传播。灰鸽子传播的四大途径：网页传播、邮件传播、IM聊天工具传播、非法软件传播。

网页传播：病毒制作者将灰鸽子病毒植入网页中，用户浏览即感染；

邮件传播：灰鸽子被捆绑在邮件附件中进行传播；

IM聊天工具传播：通过即时聊天工具传播携带灰鸽子的网页链接或文件。

非法软件传播：病毒制作者将灰鸽子病毒捆绑进各种非法软件，用户下载解压安装即感染。

1.盗号

灰鸽子入侵用户电脑后，可通过键盘记录器等手段记录用户的键盘输入信息，无论是QQ、网络游戏、网上银行的账号密码都难逃被盗厄运。热门网络游戏魔兽争霸曾发生一个区服大量账号短时间内被盗，引起数千玩家集中投诉;此外，2006年10月，BTV7《生活面对面》节目报道网银账户内1万余元被分15次盗走，警方在事主的电脑查获灰鸽子病毒。

2.偷窥隐私

灰鸽子可通过远程控制用户电脑上的摄像头偷窥用户隐私。只要用户的机器处于开机状态，远程操控者就可以自动开启用户的摄像头，窥探用户隐私。知道自己家里隐藏了一只远在千里之外的眼睛，肯定会令你毛骨悚然。

3.敲诈

黑客利用灰鸽子病毒完全控制被感染者电脑，电脑中的任何文件都可以任意处置，黑客一旦发现对用户比较隐私或机密的东西，立刻将其转移到其他地方，然后对用户进行勒索，与现实生活中的敲诈一样，利用网络进行偷窃、敲诈的行为同样是违法行为。3月7日，BTV1《法制进行时》曾报道江西瑞金一男子使用木马程序盗走受害人裸照，并向事主索要14万元人民币，最后这名男子以敲诈勒索罪被判有期徒刑6年。

4.发展“肉鸡”

电脑被人植入木马，这台主机，就被称为“肉鸡”，远程攻击者可以对这台“肉鸡”电脑为所欲为。攻击者可控制大量“肉鸡”，进行非法获利，比如在“肉鸡”上植入点击广告的软件；利用肉鸡配置代理服务器，以此做为跳板对其它电脑发起入侵。一旦最终受害者追查时，肉鸡电脑将会成为替罪羊；此外，还可以用大量肉鸡组建僵尸网络，随时可以被用于一些特殊目的，比如发起DDoS攻击等。可以想象，如果大量肉鸡被敌对势力控制，将会对我国的网络安全造成什么样的后果。

5.盗取商业机密

通过一些非法途径让那些存放商业机密的电脑感染到灰鸽子，接下来，攻击者窃取有价值的商业文件、机密文件、个人隐私数据等等。攻击者可以偷偷将商业文件进行贩卖，充当商业间谍。如果是国家机密因此受损，后果将不堪设想。

6.间断性骚扰

感染灰鸽子病毒后，远程攻击者任意玩弄你的电脑，比如任意打开和关闭文档，远程重启电脑，使您无法完成正常任务。

7.恶搞性破坏

看谁不顺眼，就可以肆意搞破坏，攻击者可利用灰鸽子对被感染的用户电脑为所欲为，修改注册表、删除重要文件、修改共享、开启代理服务器、下载病毒等等，试想如果你电脑的注册表被恶意篡改、系统文件被删除，而且电脑中还被放了大量病毒，你的电脑将如何？

灰鸽子病毒泛滥已经数年，变种数万，因为病毒具备很好的隐形特性，让人觉得防不胜防。建议网友注意以下几点：

1.金山毒霸的用户建议使用漏洞扫描修复功能安装系统补丁，在毒霸弹出提醒安装补丁的对话框时，一定要点安装。不是毒霸的用户可以使用Windows Update进行修补。特别注意安装IE浏览器的补丁程序，很多灰鸽子是攻击者故意把病毒放在带漏洞攻击程序的网站上，有漏洞的机器访问这些网站就会中毒。

2.及时升级杀毒软件，注意检查你使用的杀毒软件是否过期，使用盗版杀毒软件（或者一个正版ID用在多台计算机上），是不能正常升级的，特别需要检查。

3.对朋友或陌生人发送来的可疑程序不要运行，别被对方的谎言蒙骗。

4.关闭所有磁盘的自动播放功能，避免插入带毒U盘，移动硬盘，数码存储卡中毒。

葛军（1982- ）安徽潜山人，灰鸽子工作室管理员，精通Delphi、ASP、数据库编程，2001年首次将反弹连接应用在远程控制软件上，随后掀起了国内远程控制软件使用反弹连接的热潮，2005年4月，将虚拟驱动技术应用到灰鸽子屏幕控制上，使灰鸽子的屏幕控制达到了国际先进水平。

葛军，“灰鸽子工作室”的创办者

葛军，“灰鸽子工作室”的创办者，一个低调而又引人注目的程序员。

配置出来的服务端文件文件名为G_Server.exe（这是默认的，当然也可以改变）。然后黑客利用一切办法诱骗用户运行G_Server.exe程序。

G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录，2k/NT下为系统盘的Winnt目录)，然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端， G_Server_Hook.dll负责隐藏灰鸽子。通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项，甚至是进程中的模块名。截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。所以，有些时候用户感觉种了毒，但仔细检查却又发现不了什么异常。有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意，G_Server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll。 

Windows目录下的G_Server.exe文件将自己注册成服务（9X系统写注册表启动项），每次开机都能自动运行，运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能，与控制端客户端进行通信；G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此，中毒后，我们看不到病毒文件，也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G_Server_Hook.dll有时候附的进程空间中，有时候则是附在所有进程中。

灰鸽子的作者对于如何逃过杀毒软件的查杀花了很大力气。由于一些API函被截获，正常模式下难以遍历到灰鸽子的文件和模块，造成查杀上的困难。要卸载灰鸽子动态库而且保证系统进程不崩溃也很麻烦，因此造成了近期灰鸽子在互联网上泛滥的局面。

黑客可以在灰鸽子工作室的网站上花100元下载灰鸽子，在网上花200元就可以找师傅学灰鸽子使用技巧。而黑客一天可以控制上百个用户，网民称之“肉鸡”。据黑客王某说，他一天可以抓20只鸡，在江浙发达地区的肉鸡可以一直卖3至4块，普通地区卖1块，一天盗几十个号，好号可以卖几十元甚至1000元，普通的也能是几块钱。平均每月3000元，据王某称这还是小的，有的骇客甚至一月上万元。

灰鸽子木马由于灰鸽子拦截了API调用，在正常模式下服务端程序文件和它注册的服务项均被隐藏，也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外，灰鸽子服务端的文件名也是可以自定义的，这都给手工检测带来了一定的困难。

但是，通过仔细观察我们发现，对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出，无论自定义的服务器端文件名是什么，一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点，我们可以较为准确手工检测出灰鸽子服务端。 

由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择“Safe Mode”或“安全模式”。 

1、由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”—》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“ 显示所有文件和文件夹”，然后点击“确定”。

2、打开Windows的“搜索文件”，文件名称输入“_hook.dll”，搜索位置选择Windows的安装目录（默认98/xp为C:\windows，2k/NT为C:\Winnt）。 

3、经过搜索，我们在Windows目录（不包含子目录）下发现了一个名为Game_Hook.dll的文件。 

4、根据灰鸽子原理分析我们知道，如果Game_Hook.DLL是灰鸽子的文件，则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录，果然有这两个文件，同时还有一个用于记录键盘操作的GameKey.dll文件。 

经过这几步操作我们基本就可以确定这些文件是灰鸽子 服务端了，下面就可以进行手动清除。

经过上面的分析，清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作，主要有两步：

1、清除灰鸽子的服务；

2、删除灰鸽子程序文件。 

注意：为防止误操作，清除前一定要做好备份。 

（一）、清除灰鸽子的服务 

注意清除灰鸽子的服务一定要在注册表里完成，对注册表不熟悉的网友请找熟悉的人帮忙操作，清除灰鸽子的服务一定要先备份注册表，或者到纯DOS下将注册表文件更名，然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联 

2000／XP系统： 

1、打开注册表编辑器（点击“开始”－》“运行”，输入“Regedit.exe”，确定。），打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。 

2、点击菜单“编辑”－》“查找”，“查找目标”输入“game.exe”，点击确定，我们就可以找到灰鸽子的服务项（此例为Game_Server，每个人这个服务项名称是不同的）。 

3、删除整个Game_Server项。 

98／me系统： 

在9X下，灰鸽子启动项只有一个，因此清除更为简单。运行注册表编辑器，打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项，我们立即看到名为Game.exe的一项，将Game.exe项删除即可。 

（二）、删除灰鸽子程序文件 

删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然后重新启动计算机。至此，灰鸽子VIP 2005 服务端已经被清除干净。

以上介绍的方法适用于我们看到的大部分灰鸽子木马及其变种，然而仍有极少数变种采用此种方法无法检测和清除。同时，随着灰鸽子新版本的不断推出，作者可能会加入一些新的隐藏方法、防删除手段，手工检测和清除它的难度也会越来越大。 

灰鸽子2007”(Win32.Hack.Huigezi)和“小木马”变种DS(Win32.Troj.Small.ds)。

“灰鸽子2007”(Win32.Hack.Huigezi)是一个后门黑客程序。

“小木马”变种DS(Win32.Troj.Small.ds)是一个会自动下载并运行其他盗号病毒的木马病毒。

一、“灰鸽子2007”(Win32.Hack.Huigezi) 威胁级别：

病毒特征：该病毒是2007年的新的灰鸽子变种,它会利用一些特殊技术,将自身伪装成电脑上的正常文件,并能躲避网络防火墙软件的监控,使其难以被用户发现。此外，黑客可以利用控制端对受感染电脑进行远程控制，并进行多种危险操作，包括查看并获取电脑系统信息，从网上下载任意的指定恶意文件，记录用户键盘和鼠标操作，盗取用户隐私信息，如QQ，网游和网上银行的帐号等有效信息，执行系统命令，关闭指定进程等。如果它发现用户的电脑上安装有摄像头，还会自动将其开启并将拍摄的屏幕画面发送给黑客。不但影响用户电脑系统的正常运作，而且会导致用户的网络私人信息和数据的泄漏。

发作症状：该病毒运行后，会将自身伪装为系统正常进程Winlogon.exe，并释放WinLog0n.dll另一个病毒文件。它会在电脑系统里添加一个名字为gs2007的伪Windows安全登录程序。同时在受感染的机器上开启端口，当成功连接黑客的控制端后，黑客便可以完全控制受感染的电脑。

1. 给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)，其中MS04-011、MS04-012、MS04-013、MS03-001、MS03-007、MS03-049、MS04-032等都被病毒广泛利用，是非常必要的补丁程序

2. 给系统管理员帐户设置足够复杂足够强壮的密码，最好能是10位以上，字母+数字+其它符号的组合；也可以禁用/删除一些不使用的帐户 

3. 经常更新杀毒软件（病毒库），设置允许的可设置为每天定时自动更新。安装并合理使用网络防火墙软件，网络防火墙在防病毒过程中也可以起到至关重要的作用，能有效地阻挡自来网络的攻击和病毒的入侵。部分盗版Windows用户不能正常安装补丁，这点也比较无奈，这部分用户不妨通过使用网络防火墙来进行一定防护 

4. 关闭一些不需要的服务，条件允许的可关闭没有必要的共享，也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。  

“灰鸽子”如何控制电脑牟利 

“黑客培训班”教网民通过“灰鸽子”控制别人电脑，“学费”最高200元，最低需要50元，学时一周到一个月不等。 

黑客通过程序控制他人电脑后，将“肉鸡”倒卖给广告商，“肉鸡”的价格在1角到1元不等。资深贩子一个月内可以贩卖10万个“肉鸡”。 

被控制电脑被随意投放广告，或者干脆控制电脑点击某网站广告，一举一动都能被监视。

直接把文件的路径复制到 Killbox里删除 

通常都是下面这样的文件 "服务名"具体通过HijackThis判断 

　　C:\windows\服务名.dll 

　　C:\windows\服务名.exe 

　　C:\windows\服务名.bat 

　　C:\windows\服务名key.dll 

　　C:\windows\服务名_hook.dll 

　　C:\windows\服务名_hook2.dll 

举例说明: 

　　C:\WINDOWS\setemykey.dll 

　　C:\WINDOWS\setemy.dll 

　　C:\WINDOWS\setemy.exe 

　　C:\WINDOWS\setemy_hook.dll 

　　C:\WINDOWS\setemy_hook2.dll 

用Killbox删除那些木马文件,由于文件具有隐藏属性,可能无法直接看到,但Killbox能直接删除. 上面的文件不一定全部存在,如果Killbox提示文件不存在或已经删除就没关系了

以上他们做了命名规则解释 去下载一个木马杀客灰鸽子专杀 下载地址 http://down911.com/SoftView/SoftView_3014.html 瑞星版本的专杀 下载地址 http://down911.com/SoftView/SoftView_3668.html 清理完后 需要重新启动计算机 服务停止 然后去找那些残留文件 参见 上面回答者 

　　软件名称： 灰鸽子（Huigezi、Gpigeon）专用检测清除工具 

　　界面语言： 简体中文 

　　软件类型： 国产软件 

　　运行环境： /Win9X/Me/WinNT/2000/XP/2003 

　　授权方式： 免费软件 

　　软件大小： 414KB 

　　软件简介： 由灰鸽子工作室开发的,针对灰鸽子专用清除器!可以清除VIP2005版灰鸽子服务端程序(包括杀毒软件杀不到的灰鸽子服务端)和灰鸽子 [辐射正式版] 和 DLL版服务端 牵手版服务端 

　　运行DelHgzvip2005Server.exe文件清除VIP2005版灰鸽子服务端程序，运行un_hgzserver.exe文件清除灰鸽子 [辐射正式版] 和 DLL版服务端 牵手版服务

灰鸽子的公告声明

　　灰鸽子工作室于2003年初成立,定位于远程控制、远程管理、远程监控软件开发，主要产品为灰鸽子远程控制系列软件产品。灰鸽子工作室的软件产品，均为商业化的远程控制软件，主要提供给网吧、企业及个人用户进行电脑软件管理使用；灰鸽子软件已获得国家颁布的计算机软件著作权登记证书，受著作权法保护。 

　　然而，我们痛心的看到，目前互联网上出现了利用灰鸽子远程管理软件以及恶意破解和篡改灰鸽子远程管理软件为工具的不法行为，这些行为严重影响了灰鸽子远程管理软件的声誉，同时也扰乱了网络秩序。这完全违背了灰鸽子工作室的宗旨和开发灰鸽子远程管理软件的初衷。在此我们呼吁、劝告那些利用远程控制技术进行非法行为的不法分子应立即停止此类非法活动。

　　应该表明的是，灰鸽子工作室自成立以来恪守国家法律和有关网络管理的规定，具有高度的社会责任感。为有效制止不法分子非法利用灰鸽子远程管理软件从事危害社会的非法活动，在此，我们郑重声明，自即日起决定全面停止对灰鸽子远程管理软件的开发、更新和注册，以实际行动和坚定的态度来抵制这种非法利用灰鸽子远程管理软件的不法行为，并诚恳接受广大网民的监督。

　　灰鸽子工作室谴责那些非法利用远程控制技术实现非法目的的行为，对于此类行为，灰鸽子工作室发布了灰鸽子服务端卸载程序，以便于广大网民方便卸载那些被非法安装于自己计算机的灰鸽子服务端。卸载程序下载页面。

灰鸽子木马灰鸽子工作室于2003年 初成立,定位于远程控制,远程管理,远程监控软件开发,主要产品为灰鸽子远程控制系列,2005年6月,正式推出使用驱动技术捕获屏幕的远程控制软件,捕获屏幕速度开始超越国外远程控制软件,灰鸽子开始被喻为远程控制的代名词。我们希望，用我们的技术和经验，打造出最好的远程控制软件，推动远程控制技术的发展！

灰鸽子工作室成员介绍

葛军:2003年初，与好友黄土平创建了灰鸽子工作室。2001年挺进版率先在远程控制软件上开发和使用了反弹连接技术。

黄土平:2003年初，与好友葛军创建了灰鸽子工作室。

1.网络人 远程控制软件　　

网络人远程控制软件是正规合法的软件，不会被杀毒软件当作病毒查杀，不会影响系统的稳定性。通过输入对方的IP和控制密码就能实现远程监控。软件使用UDP协议穿透内网，不用做端口映射，用户就能在任何一台可以上网的电脑都连接远端电脑，进行远程办公和远程管理。 　　

Netman广泛应用于远程管理及维护，使用Netman将可以极大提高您的工作效率以及管理水平。软件现已经翻译成15种不同国家的语言，在15个国家同时发布，发布仅3个月时间，现在全世界已经有近30万用户在使用此软件。 　　

【主要功能】 　

 个人版： 　　

l 实现隐蔽监控：隐藏被控端网络人程序图标及相关提示，被控时不被发觉。 　　

l 远程访问桌面：同步查看远程电脑的屏幕，能使用本地鼠标键盘如操作本机一样操作远程电脑。 　　

l 可对远程电脑屏幕进行拍照或录像。控制端只需点击功能键便可以切换双方身份。应用于远程电脑维护、远程技术支持、远程协助等。 　　

l 远程文件管理：上传、下载文件，远程修改、运行文件，实现连接双方电脑的资源共享，用于远程办公等。 　

l 远程开启视频：开启远端电脑摄像头，进行语音视频聊天。支持视频录制，可远程旋转带有旋转功能的摄像头，用于家庭安全监控等。 　

l 文字聊天。 　　

企业版： 　

网络人企业版是一款主要用于企业远程管理和办公的远程控制软件。它实现了内网穿透，在任何能上网的地方使用本地电脑就能管理和监控分布于不同地点的多台电脑，如公司内不同部门的员工电脑、各个连锁店的电脑等。同时还能实现各种方便快捷的批量化办公操作。可设置是否让对方知道自己被控。 　　

1.屏幕墙功能：同时观看多台电脑的屏幕，了解对方的电脑使用情况。可用于监督员工工作。 　　

2.视频墙功能：同时打开多台电脑的摄像头，并同时观看摄像头视频。可用于周围环境的安全监控。 　　

3.批量管理电脑：可以同时关闭、重启或注销多台电脑，方便公司电脑的统一管理。 　　

4.文件分发：把电子文件批量分发到多台指定电脑中，节约资源和时间。 　　

5.发送广播：同时向多台指定电脑发送文字信息。具有信息发布范围广，传播迅速的特点。 　　

6.访问远程电脑桌面：可以使用本地鼠标键盘如同操作本机一样操作远程电脑。支持文件上传下载、屏幕拍照和录像等。可用于远程电脑维护、远程技术支持等。 　　

7.开启远程电脑摄像头：可上下左右旋转带有旋转功能的摄像头。可进行语音视频交流和文字沟通，可对视频进行录像。 　　

8.管理远程电脑进程和窗口：对远程电脑的进程和窗口进行各种操作，如结束、保存等。 　　

9.子账户功能：方便公司多个管理者同时监控公司电脑，提高了企业的管理效率 　　

10.U盾功能：为企业版提供了电子银行安全级别的保护，大大提高了软件使用的安全性

2. 协通XT800远程控制

XT800是原快递通KDT全面升级的新系列，包括个人版、企业版和远程助手版，是一系列可穿透防火墙的远程控制软件，功能强大，操作简单。原快递通（简称KDT）是国内最早最受企业欢迎的远程控制软件。 　　

企业版适用于远程计算机的访问及管理、为客户做远程技术支持或企业内部即时协作； 　　

个人版适用于远程办公与娱乐、为远程的家人朋友电脑提供技术支持； 　　

远程助手版适用于作为被控端，适用于安装服务器或客户电脑，无需注册运行即可，绿色小巧便于传播。 　　

主要功能和特性： 　　

远程控制 　

l 轻松访问远程电脑，操作流程简单、控制速度快，实现犹如本地般的使用体验； 　　

l 共享您的桌面给远程的朋友或客户； 　　l

 通过帐号和授权码访问，可在远程电脑前无人的情景下使用。 　　

l 自动缩放远程控制窗口，或手动制定显示模式； 　　

l 适应网络状况，动态调节远控的画面质量，提升操控的流畅度； 　　

l 手动指定“画质优先”和“速度优先”等模式； 

l 支持剪贴板同步，以及常用的Win组合键。 文件共享和远程管理 　　

l 文件共享：可跨局域网建立类似Windows网上邻居的共享环境，通过简单拖拽即可完成不同计算机之间的文件和文件夹传输。并提供多种文件共享的安全策略，包括文件夹密码保护、按联系人关系或黑白名单等等。； 　l 远程文件管理功能：支持不同电脑间的上传、下载目录和文件，删除、创建、重命名等操作，可替代传统的FTP服务； 　　

l 文件传输：可传输大容量文件，支持断点续传，可直接发送的文件夹。 轻便的即时通讯服务 　　

l 内置轻便的即时通讯服务，将帮助您与同事或客户进行快捷、高效地即时协作和交流； 　　

l 可添加和管理联系人、查看远程计算机在线状态； 　

l 会话信息采用SSL/RSA加密，高度安全； 　

l 离线消息功能，并可选择性保存聊天信息。 安全&可靠性 　　

l 能轻松穿透局域网和防火墙的限制，无需公网IP； 　

l 支持远程重启，并可自动运行和连接网络； 　　

l 具备完善健壮的重连机制，即便网络闪断，仍能即刻自动恢复网络连接状态； 　　

l 支持System权限运行，远程电脑在处于屏保、锁定、或待机状态时，也能够正常链接； 　　

l 支持动态授权密码，每次运行时自动变换授权码，也可设置固定的私密授权码； 　　

l 采用授权码和登录密码分离机制，并加密存储在用户本地计算机（服务器不保存授权码），强化安全保障； 　　l 通讯数据基于SSL：RSA公开/私有密钥交换和AES 256位会话加密编码； 　　

l 灵活的黑、白名单安全策略，可自行控制被访问规则； 　　

l 软件锁定功能，防止无人值守时被非法使用或篡改配置。 

3. 同步专家远程版

同步专家远程版是一款支持局域网和互联网的免费远程控制软件及文件同步软件。主要有以下功能特点： 

1. 多机远程文件同步传送； 　　

2. 远程进程管理，可设置限制及保护重要进程； 　　

3. 屏蔽IE网址功能，阻止访问恶意网站，营造绿色上网环境； 　　

4. 远程桌面控制和桌面监视功能，可截图保存； 　　

5. 远程命令功能，从服务端可以发送命令让客户机执行指定的操作，比如执行某个程序、删除文件或文件夹等；

6. 远程文件管理，可在服务端查看及管理远程客户机的文件； 　　

7. 全面兼容Win2000, WinXP, Win2003, WinVista系列操作系统。

4. 花生壳远程控制

花生壳远程控制是一款面向企业和专业人员的远程PC管理和控制的服务软件。您在任何可连入互联网的地点，都可以轻松访问和控制安装了花生壳远程控制客户端的远程主机，整个过程完全可以通过浏览器进行，无需再安装软件。花生壳远程控制具有面对各种复杂网络环境下实现内网穿透，您可以轻松通过浏览器对远程PC的服务、进程、用户和文件等进行管理。 　　

多标签控制台界面设计及皮肤 　　

采用Web方式的远程控制台，通过网页控制远程主机的重启、关机、服务、进程、事件、用户和组等。控制台采用浏览器多标签方式在多个操控进程中随意切换，并支持快捷图标。远程控制台界面支持换肤功能，可以选择自己喜欢的颜色和样式的皮肤。 　　

独有远程桌面HSKRC传输协议 　　

采用自主研发高性能桌面图形压缩算法和HSKRC传输协议，让远程桌面的操控随心所欲。可调整远程屏幕分辨率、色彩模式，并支持远程图片浏览真彩有损压缩模式、支持多终端用户桌面切换。 　　

远程主机管理 　　

采用Web方式的主机管理，对主机进行性能检测、事件查看、进程管理、服务、用户和组等管理操作，同时还支持CMD命令行。 　　

远程文件管理 　　

支持远程主机进行文件管理，整个操作过程跟本地主机一样的方便易用，支持鼠标右键和快捷键操作。 

 5.小鬼远控远程控制软件  　  

小鬼远控是一个专业的远程文件管理与桌面管理软件，它有：多样功能供你使用；可以在远程计算机上新建文件夹、文件复制、上传下载文件、重命名、删除文件和文件夹、本地/远程打开文档或运行程序。支持远程命令提示符、远程屏幕截图、远程进程管理、观看/接管远程桌面，下载文件支持断点续传。两种支持方式供你灵活选择临时支持方式适宜暂时使用、试用，方便快捷，无需设置；专用支持方式适宜长期使用，稳定可靠，可以在局域网内访问另一个局域网内的计算机。·先进技术为你保障，UDP通信方式与P2P连接技术的结合，可以适应各种网络环境，不易受防火墙及网络结构影响，保证百分之百的远程计算机都可以访问。

病毒：木马病毒，通过网络传播，依赖系统: WIN9X/NT/2000/XP。

病毒会将自己拷贝到系统目录下命名为：Iexplorer.exe，然后在注册表的自启动项中添加“Internet Explorer”的病毒键值。运行时会每隔一分钟就连接一次病毒网站，并与病毒作者进行沟通，企图控制用户的电脑，给用户带来损失。

反病毒专家建议：建立良好的安全习惯，不打开可疑邮件和可疑网站；关闭或删除系统中不需要的服务；很多病毒利用漏洞传播，一定要及时给系统打补丁；安装专业的防毒软件进行实时监控，平时上网的时候一定要打开防病毒软件的实时监控功能。

删除办法：启动360安全卫士，点系统启动项，在里面找到Iexplorer.exe，点禁止。病毒自己就不会打开了。

特点

小鬼远程控制软件是一个专业级的远程文件访问工具，具有以下特点：

1.针对磁盘文件系统：本软件针对远程文件访问，而不是远程控制，力求“专而精”。并高度模枋 Windows 资源管理器，简单易用，我们的目标是使访问远程驱动器就象访问本地的一样方便。

2.强大的文件操作功能：可对本地及远程驱动器进行：新建文件、新建文件夹、查找文件、剪切、复制、粘贴(包括：本地文件操作、上传、下载、同远程主机的文件复制与移动)、本地运行、远程运行、重命名、删除、查看、修改驱动器属性、修改文件属性等操作，支持断点续传，并且所有操作均支持多选及文件夹操作。

3.运用了“反弹端口原理”与“HTTP 隧道技术”：

“反弹端口原理”：

由服务端主动连接客户端，因此在互联网上可以访问到局域网里通过 NAT 代理(透明代理)上网的电脑，并且可以穿过防火墙(包括：包过滤型及代理型防火墙)。

“HTTP隧道技术”：

把所有要传送的数据全部封装到 HTTP 协议里进行传送，因此在互联网上可以访问到局域网里通过 HTTP、SOCKS4/5 代理上网的电脑，而且也不会有什么防火墙会拦截。

所以，本软件支持所有的上网方式，既“只要能浏览网页的电脑，网络神偷都能访问！”。本软件可以访问以下上网方式的电脑：拨号上网、ISDN、ADSL、DDN、Cable Modem、NAT 透明代理、HTTP 的 GET 型代理、HTTP 的 CONNECT 型代理、SOCKS4 代理、SOCKS4A 代理、SOCKS5 代理。 

4.先进的服务端上线通知功能：服务端通过 UDP 协议发消息给客户端，在“服务端在线列表”里可以看到服务端的主机名、互联网的IP地址、局域网的IP地址、地址位置、上线时间、在线时长，所有信息一目了然，实时性高、安全可靠，是 Email 通知方式所不能比的。而且还有运用了“HTTP 隧道技术”的服务端上线通知功能。

5.所有公开的数据均用 RSA 数据加密。

注：软件使用前，使用者需提供一个主页空间供它使用，主页空间申请方法请看 Readme.txt。

软件原理 此类软件被统称为远程控制类软件(或黑客软件、木马软件)，它们均为 C/S 结构(Client/Server，客户机/服务器)。软件分为客户端与服务端两部分，客户端即为控制端(由控制者使用)，服务端为被控制端(由被控制者使用)，依据服务端运行时是否会显示明显的运行标志(即对方是否知道它运行有服务端)，可分为正邪两派，邪派就是传说中的黑客软件、特洛伊木马程序，是各大杀毒软件的首要目标。

同类软件原理服务端运行后，会在本机打开一个网络端口监听客户端的连接(时刻等待着客户端的连接)，连接建立后，客户端可用这个通道向服务端发送命令并接收返回数据，即可实现远程访问。

a.“反弹端口原理”简介：

如果对方装有防火墙，客户端发往服务端的连接首先会被服务端主机上的防火墙拦截，使服务端程序不能收到连接，软件不能正常工作。同样，局域网内通过代理上网的电脑，因为是多台共用代理服务器的IP地址，而本机没有独立的互联网的IP地址(只有局域网的IP地址)，所以也不能正常使用。就是说传统型的同类软件不能访问装有防火墙和在局域网内部的服务端主机。但往往是道高一尺、魔高一丈，不知哪位高人分析了防火墙的特性后发现：防火墙对于连入的连接往往会进行非常严格的过滤，但是对于连出的连接却疏于防范。于是，与一般的软件相反，反弹端口型软件的服务端(被控制端)主动连接客户端(控制端)，为了隐蔽起见，客户端的监听端口一般开在80(提供HTTP服务的端口)，这样，即使用户使用端口扫描软件检查自己的端口，发现的也是类似 TCP　UserIP:1026　ControllerIP:80 ESTABLISHED 的情况，稍微疏忽一点你就会以为是自己在浏览网页(防火墙也会这么认为的)。

看到这里，有人会问：既然不能直接与服务端通信，那如何告诉服务端何时开始连接自己呢？答案是：通过主页空间上的文件实现的，当客户端想与服务端建立连接时，它首先登录到FTP服务器，写主页空间上面的一个文件，并打开端口监听，等待服务端的连接，服务端定期用HTTP协议读取这个文件的内容，当发现是客户端让自己开始连接时，就主动连接，如此就可完成连接工作。本软件用的就是这种“反弹端口”原理，可以穿过防火墙，甚至还能访问局域网内部的电脑。据作者所知，在同类软件中，本软件是唯一使用这种方法的，祝贺你！你幸运的选择了它。

b.“HTTP 隧道技术”简介：

简单的来说，就是把所有要传送的数据全部封装到 HTTP 协议里进行传送，就可以通过 HTTP、SOCKS4/5 代理，而且也不会有什么防火墙会拦截。我们都知道其它木马只能访问拨号上网的服务端，而因为网络神偷使用了“反弹端口原理”所以它不仅能访问拨号上网的服务端，更可以访问局域网里通过 NAT 代理(透明代理)上网的服务端。而使用“HTTP 隧道技术”以后，它甚至可以访问到局域网里通过 HTTP、SOCKS4/5 代理上网的服务端。这样，网络神偷就几乎支持了所有的上网方式，也就是说“只要能浏览网页的电脑，网络神偷都能访问！”。

网络神偷服务端支持以下上网方式：

　　拨号上网

　　ISDN

　　ADSL

　　DDN

　　Cable Modem

　　NAT透明代理

　　HTTP的GET型代理

　　HTTP的CONNECT型代理

　　SOCKS4 代理

　　SOCKS4A 代理

　　SOCKS5 代理

　　在上述上网方式下，均可正常工作。

上线通知原理

互联网如此之大，覆盖全球，我们如何标识并找到上面的任何一台电脑呢？答案是：IP地址，每台连网电脑都会被分配一个IP地址，这个IP地址是全球唯一的，就象你家的门牌号码，别人可以根据这个找到你。同样，IP地址分配是有规律的，可以根据IP地址分配表查出相应的地理位置(本软件内置IP地址分配表)。现在大多数互联网用户是拨号上网的，拨号上网的IP地址是由ISP(互联网接入服务提供商，例如163、169)动态分配的。两台电脑想要连接就必须要知道对方的IP地址，就象想去你家串门就必须知道你的住址。因此，服务端如何把自己的IP地址告诉客户端就成了一个大问题，也就是服务端上线通知。

　现在最常用的方法是Email通知，即服务端上网后，发送自己的IP地址到事先指定的邮箱，客户端使用者只要去收信就行了。这种方面虽然最常用，但有很大不足，首先Email的实时性得不到保证，时慢时快，这与发信服务器的线路质量有很大关系。其次，现在越来越多的发信服务器设了“发信认证”功能，发信也要邮箱的密码(原来只有收信才要)，这就给服务端发信增加了困难，服务端不带密码无法发送，带密码则有可能被别人破出来。

本软件用的是另一种更先进的方法：UDP通知，客户端上网后，会将自己的IP地址写到主页空间的指定文件里，服务端定期读取这个文件的内容，就可得到客户端的IP地址，并将自己的一些其它信息(主机名、IP地址、上线时间等等)用UDP协议发送给客户端。客户端接收后，将数据解释并显示在“服务端在线列表”里，服务端情况一目了然。可能有人会担心：主页空间上的文件谁都可以访问(就象浏览网页)，自己的IP地址会不会让别人看到？这个问题作者当然已经想到，所有可能被别人看到的数据(包括主页空间上的)都已经加密了，就算别人拿到了也没用。而且数据加密密码是由用户自行设置的，就连软件作者也无法破解。

网络神偷还有运用了“HTTP 隧道技术”的服务端上线通知功能，即如果服务端是通过 HTTP、SOCKS4/5 代理上网的，无法再使用 UDP 上线通知方法，它就会自动使用“HTTP 隧道技术”的上线通知方法：先用“HTTP 隧道技术”与客户端建立一条 TCP 连接，以后每分钟再通过此连接向客户端发送上线通知数据。(“HTTP 隧道”主机的图标与普通主机不同，图标前面增加了一个金黄色的小管道。主要功能 个人版：小鬼远程控制软件支持三种使用方式：临时支持方式、动态域名支持方式和专用支持方式。其中，专用支持方式是由我们提供的，专用于网络神偷的支持方式。因为是由我们提供的，比起其它的支持方式更加稳定可靠！并且提供了局域网内的计算机访问外网的功能（能够内网到外网，内网到内网）全部软件支持Windows 7与Vista操作系统（包括32位、64位版本）以及联通、移动、电信、铁通 、３Ｇ无线网络使用·（总之 ，只要有网络的计算机就能正常使用）。