3)不但可以连继的捕获远程电脑屏幕，还能把本地的鼠标及键盘操作传送到被控制电脑，实现远程实时控制功能；

4)可以监控被控电脑上的摄像头,还有语音监听和发送功能，可以和被控电脑进行语音对话。

5)灰鸽子还能模拟注册表编辑器，操作远程注册表就像操作本地注册表一样方便；

6)命令广播，如关机、重启或打开网页等，这样单击一个按钮就可以让多台机器同时关机、重启或打开网页等。

灰鸽子除了以上的功能外，它的隐藏性和自我保护也是其它木马不可比拟的。它的文件是隐藏的，进程也是隐藏的，您在任务管理器中也找不到它的踪迹。

朋友们，经过上面的介绍，您是否也和笔者一样感觉到了灰鸽子的厉害之处。虽然杀毒软件和防火墙拿它没办法，但电脑还是要用的，网还是要上的，文件还是要下载的。不要害怕，下面，就一起来发现它并铲除它。

二、发现灰鸽子

从目前的状况来说，基本上所有的杀毒软件都不能即时查杀灰鸽子，而灰鸽子又文件隐藏，进程隐藏，唯一能够被看到的是它在Windows“服务”窗口中的服务，但是他的服务名称，服务的显示名称黑客又都可以自定义。如图3所示，这是灰鸽子笔者误安装在自己电脑上的服务名称，不论是灰鸽子的文件名（文件名黑客也可以自定义），还是服务名称或者是该服务的描述，都非常具有迷惑性，对不熟悉Windows服务的一般用户来说，像这样的服务，岂敢禁用或删除。所以说，用一般的方法根本无法确定灰鸽子的存在。

图3 自定义的灰鸽子进程服务

那么怎样才能发现灰鸽子呢？下面是笔者的经验：

⒈根据笔者的经验，目前能够发现灰鸽子行之有效的办法还是使用天网防火墙。天网防火虽然不能拦截灰鸽子和外部的通信，但是天网防火墙能够显示本机与外部通信的所有连接。IE浏览器与服务器的80端口通讯，只有当您打开一个网页时，它才会与众多服务器连接以显示网页上的资源，而灰鸽子服务端则不同，不论您访问网页还是不访问网页，只要黑客启动了客户端并监听一个端口（这个端口黑客也能自定义，默认的监听端口是8000），它就总以IE浏览器的身份主动连接到这个端口（如果客户端没有启动，它会每隔一段时间尝试连接一次）。所以说，如果您没有使用IE浏览网页，而您的IE浏览器有长时间连接到同一个主机的某一端口（如图4），那么就可以初步断定，发起这些连接的绝对不是IE浏览器，十有八九它就是灰鸽子。

图4 用“天网”查看网络连接

⒉灰鸽子是用一个自动启动的服务在开机时加载的，但是该服务与其它自动启动的服务不同，其它自动启动的服务，它的服务状态一般都是“已启动”，但灰鸽子不同，它的服务状态却是“已停止”。如果根据天网防火墙你能初步断定自己可能中了灰鸽子，而且您的电脑中也存在这样的服务，那么现在就可以确定，这个服务就是灰鸽子注册的。

提示：在Windows的“服务”窗口中绝大多数服务项目都是Windows自带的，而且这些服务项目都已得到了微软的认证。现在，好多木马都是通过一个自动启动的服务加载的，但这些服务项目大都没有得到微软的认证。今天，给大家推荐一个工具——Autoruns，该工具能够扫描出系统中所有没有得到微软认证的服务，如图5所示，误安装在自己系统中的灰鸽子豁然在目。

图5 灰鸽子的启动项

三、清除灰鸽子

确定了您的电脑被植入了灰鸽子以后，就可以清除它了。打开Windows的“服务”窗口，双击灰鸽子的服务名称打开其属性对话框，在该对话框的“可执行文件路径”文本框中您能看到灰鸽子的文件名和该文件的路径，记下这个文件名和路径，然后在“启动类型”中选择“已禁用”，最后单击“确定”并重新启动电脑。

重新启动电脑以后，灰鸽子已不能自动加载了，接下来，就可以根据上面记下的文件名和路径删除灰鸽子的文件了。需要说明的是，灰鸽子（灰鸽子的安装程序就是服务端程序，安装时，他会把自己复制到事先定义好的目录中，复制完成后，根据自定义的设置，有时还会删除安装程序以便“焚尸灭迹”）的那个文件是“隐藏”属性，删除时您可能找不到。在资源管理器中选择“工具→文件夹选项”打开“文件夹选项”对话框，清除“隐藏受保护的操作系统文件”复选框中的小钩（如图6），最后单击确定，现在，您就可以看到灰鸽子的那个文件了。