二、发现灰鸽子

从目前的状况来说，基本上所有的杀毒软件都不能即时查杀灰鸽子，而灰鸽子又文件隐藏，进程隐藏，唯一能够被看到的是它在Windows“服务”窗口中的服务，但是他的服务名称，服务的显示名称黑客又都可以自定义。如图3所示，这是灰鸽子笔者误安装在自己电脑上的服务名称，不论是灰鸽子的文件名（文件名黑客也可以自定义），还是服务名称或者是该服务的描述，都非常具有迷惑性，对不熟悉Windows服务的一般用户来说，像这样的服务，岂敢禁用或删除。所以说，用一般的方法根本无法确定灰鸽子的存在。

图3 自定义的灰鸽子进程服务

那么怎样才能发现灰鸽子呢？下面是笔者的经验：

⒈根据笔者的经验，目前能够发现灰鸽子行之有效的办法还是使用天网防火墙。天网防火虽然不能拦截灰鸽子和外部的通信，但是天网防火墙能够显示本机与外部通信的所有连接。IE浏览器与服务器的80端口通讯，只有当您打开一个网页时，它才会与众多服务器连接以显示网页上的资源，而灰鸽子服务端则不同，不论您访问网页还是不访问网页，只要黑客启动了客户端并监听一个端口（这个端口黑客也能自定义，默认的监听端口是8000），它就总以IE浏览器的身份主动连接到这个端口（如果客户端没有启动，它会每隔一段时间尝试连接一次）。所以说，如果您没有使用IE浏览网页，而您的IE浏览器有长时间连接到同一个主机的某一端口（如图4），那么就可以初步断定，发起这些连接的绝对不是IE浏览器，十有八九它就是灰鸽子。

图4 用“天网”查看网络连接

⒉灰鸽子是用一个自动启动的服务在开机时加载的，但是该服务与其它自动启动的服务不同，其它自动启动的服务，它的服务状态一般都是“已启动”，但灰鸽子不同，它的服务状态却是“已停止”。如果根据天网防火墙你能初步断定自己可能中了灰鸽子，而且您的电脑中也存在这样的服务，那么现在就可以确定，这个服务就是灰鸽子注册的。

提示：在Windows的“服务”窗口中绝大多数服务项目都是Windows自带的，而且这些服务项目都已得到了微软的认证。现在，好多木马都是通过一个自动启动的服务加载的，但这些服务项目大都没有得到微软的认证。今天，给大家推荐一个工具——Autoruns，该工具能够扫描出系统中所有没有得到微软认证的服务，如图5所示，误安装在自己系统中的灰鸽子豁然在目。

图5 灰鸽子的启动项