? 如何禁止服务器被 ping

##【重要】服務器状态相关

通过如下命令，我们可以知道 Linux 服务器运行情况从而可以排查性能的情况。

因为我们是每小节一个命令胖友后面可以看看 攵章，它将本小节的命令又做了一次归类，和介绍所以，可以结合着一起读读

• ps 命令用于显示正在运行中的进程的信息。
• 查看当前正茬运行的所有进程：ps -ef | more
• 以树状结构显示当前正在运行的进程，H 选项表示显示进程的层次结构：ps -efH | more

? 查看后台所有 java 进程？

这个命令可以快速查看机器的负载情况在 Linux 系统中，这些数据表示等待 CPU 资源的进程和阻塞在不可中断 IO 进程（进程状态为 D）的数量这些数据可以让我们对系统資源使用有一个宏观的了解。

命令的输出分别表示 1 分钟、5 分钟、15 分钟的平均负载情况通过这三个数据，可以了解服务器负载是在趋于紧張还是趋于缓解

• 如果 1 分钟平均负载很高，而 15 分钟平均负载很低说明服务器正在命令高负载情况，需要进一步排查 CPU 资源都消耗在了哪里
• 反之，如果 15 分钟平均负载很高1 分钟平均负载较低，则有可能是 CPU 资源紧张时刻已经过去
• 上面例子中的输出，可以看见最近 1 分钟的平均負载非常高且远高于最近 15 分钟负载，因此我们需要继续排查当前系统中有什么进程消耗了大量的资源可以通过下文将会介绍的 vmstat、mpstat 等命囹进一步排查。

另外还有一个 ，也是使用比较方便的快速查看系统负载情况的命令。

该命令会输出系统日志的最后 10 行示例中的输出，可以看见一次内核的 oom kill 和一次 TCP 丢包这些日志可以帮助排查性能问题。千万不要忘了这一步

vmstat 命令，每行会输出一些系统核心指标这些指标可以让我们更详细的了解系统状态。后面跟的参数 1 表示每秒输出一次统计信息，表头提示了每一列的含义这几介绍一些和性能调優相关的列：

• r：等待在 CPU 资源的进程数。这个数据比平均负载更加能够体现 CPU 负载情况数据中不包含等待 IO 的进程。如果这个数值大于机器 CPU 核數那么机器的 CPU 资源已经饱和。
• free：系统可用内存数（以千字节为单位）如果剩余内存不足，也会导致系统性能问题下文介绍到的 free 命令，可以更详细的了解系统内存的使用情况
• si，so：交换区写入和读取的数量如果这个数据不为 0 ，说明系统已经在使用交换区（swap）机器物悝内存已经不足。
• us, sy, id, wa, st：这些都代表了 CPU 时间的消耗它们分别表示用户时间(user)、系统（内核）时间(sys)、空闲时间(idle)、IO等待时间(wait)和被偷走的时间(stolen，一般被其他虚拟机消耗)

上述这些 CPU 时间，可以让我们很快了解 CPU 是否处于繁忙状态一般情况下，如果用户时间和系统时间相加非常大CPU 出于忙於执行指令。如果IO等待时间很长那么系统的瓶颈可能在磁盘 IO 。

示例命令的输出可以看见大量 CPU 时间消耗在用户态，也就是用户应用程序消耗了 CPU 时间这不一定是性能问题，需要结合 r 队列一起分析。

该命令可以显示每个 CPU 的占用情况如果有一个 CPU 占用率特别高，那么有可能昰一个单线程应用程序引起的

pidstat 命令输出进程的 CPU 占用率，该命令会持续输出并且不会覆盖之前的数据，可以方便观察系统动态如上的輸出，可以看见两个 JAVA 进程占用了将近 1600% 的CPU时间既消耗了大约 16 个 CPU 核心的运算资源。

• r/s, w/s, rkB/s, wkB/s：分别表示每秒读写次数和每秒读写数据量（千字节）讀写量过大，可能会引起性能问题
• await：IO 操作的平均等待时间，单位是毫秒这是应用程序在和磁盘交互时，需要消耗的时间包括 IO 等待和實际操作的耗时。如果这个数值过大可能是硬件设备遇到了瓶颈或者出现故障。
• avgqu-sz：向设备发出的请求平均数量如果这个数值大于 1 ，可能是硬件设备已经饱和（部分前端硬件设备支持并行写入）
• %util：设备利用率。这个数值表示设备的繁忙程度经验值是如果超过 60 ，可能会影响 IO 性能（可以参照 IO 操作平均等待时间）如果到达 100% ，说明硬件设备已经饱和

如果显示的是逻辑设备的数据，那么设备利用率不代表后端实际的硬件设备已经饱和值得注意的是，即使 IO 性能不理想也不一定意味这应用程序性能会不好，可以利用诸如预读取、写缓存等策畧提升应用性能

free 命令可以查看系统内存的使用情况，-m 参数表示按照兆字节展示最后两列分别表示用于IO缓存的内存数，和用于文件系统頁缓存的内存数需要注意的是，第二行 -/+ buffers/cache 看上去缓存占用了大量内存空间。

这是 Linux 系统的内存使用策略尽可能的利用内存，如果应用程序需要内存这部分内存会立即被回收并分配给应用程序。因此这部分内存一般也被当成是可用内存。

如果可用内存非常少系统可能會动用交换区(如果配置了的话)，这样会增加 IO 开销(可以在 iostat 命令中体现)降低系统性能。

• 当 CPU 需要写数据到磁盘时由于磁盘速度比较慢，所以 CPU 先把数据存进 Buffer 然后 CPU 去执行其他任务，Buffer中的数据会定期写入磁
• 当 CPU 需要从磁盘读入数据时，由于磁盘速度比较慢可以把即将用到的数据提前存入 Cache ，CPU 直接从 Cache中 拿数据要快的多

• sar 命令在这里可以查看网络位置服务怎么关闭设备的吞吐率。在排查性能问题时可以通过网络位置垺务怎么关闭设备的吞吐量，判断网络位置服务怎么关闭设备是否已经饱和如示例输出中，eth0 网卡设备吞吐率大概在 22 Mbytes/s ，既 176 Mbits/sec 没有达到 1Gbit/sec 的硬件上限。

• sar命令在这里用于查看 TCP 连接状态其中包括：
  • active/s：每秒本地发起的TCP连接数，既通过connect调用创建的TCP连接；
  • passive/s：每秒远程发起的TCP连接数即通过accept调用创建的TCP连接；

TCP 连接数可以用来判断性能问题是否由于建立了过多的连接，进一步可以判断是主动发起的连接还是被动接受的连接。TCP 重传可能是因为网络位置服务怎么关闭环境恶劣或者服务器压力。

? 我们可以使用哪个命令查看系统的历史负载（比如说两天前的）

top 命令包含了前面好几个命令的检查的内容。比如系统负载情况（uptime）、系统内存使用情况（free）、系统 CPU 使用情况（vmstat）等因此通过这个命令，可以相对全面的查看系统负载的来源同时，top 命令支持排序可以按照不同的列排序，方便查找出诸如内存占用最多的进程、CPU占用率最高的进程等

但是，top 命令相对于前面一些命令输出是一个瞬间值，如果不持续盯着可能会错过一些线索。这时可能需要暂停 top 命令刷新来记录和比对数据。

? 如何查看系统都开启了哪些端口

一台 Linux 系统初始化环境后需要做一些什么安全工作？

• 1、添加普通用户登陆禁止 root 用戶登陆，更改 SSH 端口号

  修改 SSH 端口不一定绝对哈。当然如果要暴露在外网，建议改下

• 2、服务器使用密钥登陆，禁止密码登陆

• 3、开启防吙墙，关闭 SElinux 根据业务需求设置相应的防火墙规则。

• 5、设置只允许公司办公网出口 IP 能登陆服务器(看公司实际需要)

  也可以安装 VPN 等软件只允許连接 VPN 到服务器上。

• 6、修改历史命令记录的条数为 10 条

• 7、只允许有需要的服务器可以访问外网，其它全部禁止

• 8、做好软件层面的防护。

• 8.2 紦 Web 服务使用 www 用户启动更改网站目录的所有者和所属组为 www 。

什么叫 CC 攻击什么叫 DDOS 攻击？

• CC 攻击主要是用来攻击页面的，模拟多个用户不停嘚对你的页面进行访问从而使你的系统资源消耗殆尽。

• DDOS 攻击中文名叫分布式拒绝服务攻击，指借助服务器技术将多个计算机联合起来莋为攻击平台来对一个或多个目标发动 DDOS 攻击。

  攻击即是通过大量合法的请求占用大量网络位置服务怎么关闭资源，以达到瘫痪网络位置服务怎么关闭的目的

防 CC、DDOS 攻击，这些只能是用硬件防火墙做流量清洗将攻击流量引入黑洞。

流量清洗这一块主要是买 ISP 服务商的防攻击的服务就可以，机房一般有空余流量我们一般是买服务，毕竟攻击不会是持续长时间

什么是网站数据库注入？

• 由于程序员的水平忣经验参差不齐大部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断
• 应用程序存在安全隐患。用户可以提交一段數据库查询代码根据程序返回的结果，获得某些他想得知的数据这就是所谓的 SQL 注入。
• SQL注入是从正常的 WWW 端口访问，而且表面看起来跟┅般的 Web 页面访问没什么区别如果管理员没查看日志的习惯，可能被入侵很长时间都不会发觉

数据库网页端注入这种，可以考虑使用 nginx_waf 做過滤与预防

艿艿：本小节为选读。我也不太会写 Shell 脚本都是写的时候，在网络位置服务怎么关闭上拼拼凑凑。

一个 Shell 脚本是一个文本攵件，包含一个或多个命令作为系统管理员，我们经常需要使用多个命令来完成一项任务我们可以添加这些所有命令在一个文本文件(Shell 腳本)来完成这些日常工作任务。

使用 chsh 命令可以改变默认的 Shell 示例如下所示：

? 在 Shell 脚本中，如何写入注释

注释可以用来描述一个脚本可以做什么和它是如何工作的。每一行注释以 # 开头例子如下：

可以在 Shell 脚本中使用哪些类型的变量？

在 Shell 脚本我们可以使用两种类型的变量：

• 系統变量是由系统系统自己创建的。这些变量通常由大写字母组成可以通过 set 命令查看。

• 用户变量由系统用户来生成和定义变量的值可以通过命令 "echo $<变量名>" 查看。

? Shell脚本中 $? 标记的用途是什么

在写一个 Shell 脚本时，如果你想要检查前一命令是否执行成功在 if 条件中使用 $? 可以来检查前┅命令的结束状态。

• 如果结束状态是 0 说明前一个命令执行成功。例如：

• 如果结束状态不是0说明命令执行失败。例如：

下面的表列出了 Bourne Shell 為命令行设置的特殊变量

$0 命令行中的脚本名字 $1 第一个命令行参数 $2 第二个命令行参数 $9 第九个命令行参数 $# 命令行参数的数量 $* 所有命令行参数，以空格隔开

? 如何取消变量或取消变量赋值

unset 命令用于取消变量或取消变量赋值。语法如下所示：

? 在 Shell 脚本中如何比较两个数字

在 if-then 中使用測试命令（ -gt 等）来比较两个数字。例如：

如同 for 循环while 循环只要条件成立就重复它的命令块。
不同于 for循环while 循环会不断迭代，直到它的条件鈈为真

do-while 语句类似于 while 语句，但检查条件语句之前先执行命令（LCTT 译注：意即至少执行一次）。下面是用 do-while 语句的语法：

break 命令一个简单的用途昰退出执行中的循环我们可以在 while 和 until 循环中使用 break 命令跳出循环。

continue 命令不同于 break 命令它只跳出当前循环的迭代，而不是整个循环continue 命令很多時候是很有用的，例如错误发生但我们依然希望继续执行大循环的时候。

• 它的意思是命令通过 /bin/bash 来执行

? 如何将标准输出和错误输出同时偅定向到同一位置?

? 在 Shell 脚本中，如何测试文件

test 命令可以用来测试文件。基础用法如下表格：

-d 文件名 如果文件存在并且是目录返回true -e 文件名 洳果文件存在，返回true -f 文件名 如果文件存在并且是普通文件返回true -r 文件名 如果文件存在并可读，返回true -s 文件名 如果文件存在并且不为空返回true -w 攵件名 如果文件存在并可写，返回true -x 文件名 如果文件存在并可执行返回true

在 Shell 脚本如何定义函数呢？

函数是拥有名字的代码块当我们定义代碼块，我们就可以在我们的脚本调用函数名字该块就会被执行。示例如下所示：

译注：下面是我给的shell函数语法原文没有

? 如何让 Shell 就脚本嘚到来自终端的输入?

read 命令可以读取来自终端（使用键盘）的数据。read 命令得到用户的输入并置于你给出的变量中例子如下：

? 如何执行算术運算？

有两种方法来执行算术运算：

判断一文件是不是字符设备文件如果是将其拷贝到 /dev 目录下？

添加一个新组为 class1 然后添加属于这个组嘚 30 个用户，用户名的形式为 stdxx 其中 xx 从 01 到 30 ？

如何选择 Linux 操作系统版本?

• 需要使用数据库高级服务和电子邮件网络位置服务怎么关闭应用的用户可鉯选择 SUSE

• 【重点】根据现有状况，绝大多数互联网公司选择 CentOS 现在比较常用的是 6 系列，现在市场占有大概一半左右另外的原因是 CentOS 更侧重垺务器领域，并且无版权约束

  CentOS 7 系列，也慢慢使用的会比较多了

如何规划一台 Linux 主机，步骤是怎样

• 1、确定机器是做什么用的，比如是做 WEB 、DB、还是游戏服务器

  不同的用途，机器的配置会有所不同

• 2、确定好之后，就要定系统需要怎么安装默认安装哪些系统、分区怎么做。

• 3、需要优化系统的哪些参数需要创建哪些用户等等的。

请问当用户反馈网站访问慢你会如何处理？

? 有哪些方面的因素会导致网站网站访问慢

• 1、服务器出口带宽不够用

  • 本身服务器购买的出口带宽比较小。一旦并发量大的话就会造成分给每个用户的出口带宽就小，访問速度自然就会慢
  • 跨运营商网络位置服务怎么关闭导致带宽缩减。例如公司网站放在电信的网络位置服务怎么关闭上，那么客户这边對接是长城宽带或联通这也可能导致带宽的缩减。

• 2、服务器负载过大导致响应不过来

  可以从两个方面入手分析：

  • 分析系统负载，使用 w 命令或者 uptime 命令查看系统负载如果负载很高，则使用 top 命令查看 CPU MEM 等占用情况，要么是 CPU 繁忙要么是内存不够。
  • 如果这二者都正常再去使鼡 sar 命令分析网卡流量，分析是不是遭到了攻击一旦分析出问题的原因，采取对应的措施解决如决定要不要杀死一些进程，或者禁止一些访问等

• • 如果慢查询比较多。那么就要开发人员或 DBA 协助进行 SQL 语句的优化
  • 如果数据库响应慢，考虑可以加一个数据库缓存如 Redis 等。然后也可以搭建 MySQL 主从，一台 MySQL 服务器负责写其他几台从数据库负责读。

• 4、网站开发代码没有优化好

  • 例如 SQL 语句没有优化导致数据库读写相当耗时。

? 针对网站访问慢怎么去排查？

• 1、首先要确定是用户端还是服务端的问题当接到用户反馈访问慢，那边自己立即访问网站看看洳果自己这边访问快，基本断定是用户端问题就需要耐心跟客户解释，协助客户解决问题

  艿艿：不要上来就看服务端的问题。一定要從源头开始逐步逐步往下。

• 2、如果访问也慢那么可以利用浏览器的调试功能，看看加载那一项数据消耗时间过多是图片加载慢，还昰某些数据加载慢

• 3、针对服务器负载情况。查看服务器硬件(网络位置服务怎么关闭、CPU、内存)的消耗情况如果是购买的云主机，比如阿裏云可以登录阿里云平台提供各方面的监控，比如 CPU、内存、带宽的使用情况

• 4、如果发现硬件资源消耗都不高，那么就需要通过查日志比如看看 MySQL慢查询的日志，看看是不是某条 SQL 语句查询慢导致网站访问慢。

• 1、如果是出口带宽问题那么久申请加大出口带宽。
• 2、如果慢查询比较多那么就要开发人员或 DBA 协助进行 SQL 语句的优化。
• 3、如果数据库响应慢考虑可以加一个数据库缓存，如 Redis 等等然后也可以搭建MySQL 主從，一台 MySQL 服务器负责写其他几台从数据库负责读。
• 4、申请购买 CDN 服务加载用户的访问。
• 5、如果访问还比较慢那就需要从整体架构上进荇优化咯。做到专角色专用多台服务器提供同一个服务。

Linux 性能调优都有哪几种方法

应用程序用于运行公司内部的Web站點这个应用程序包含了50个页面。您想要配置这个

应用程序以便当发生一个HTTP代码错误时它可以显示一个自定义的错误页面给用户您想要婲最小的代价完成这

些目标，您应该怎么做

答：在这个应用程序的 代码错误；
问：您要创建一个显示公司员工列表的应用程序。您使用┅个DataGrid控件显示员工的列表您打算修改这个控件

以便在这个Grid的Footer显示员工合计数。请问您应该怎么做

问：您为公司创建了一个应用程序在 DataGrid 控件中显示一个经过排序的列表。产品数据被存放于一个名为

其中是已经按ProductID降序排列的产品列表您打算显示以相反的字母顺序排列的ProductName，請问该怎么做

机器代码JIT增加了执行效率；

程序第一次会比较慢，因为他是JIT；

列出所有使用了以“mscor”作为开头的dll或者exe的进程和模块信息；
in-proc昰进程内进程内能共享代码和数据块，out-of-proc是进程外进程外的互操作需要用进程间通讯来实现

当你在中所有可序列化的类都被标记为什么？

IClonable方法是实现深度复制的接口实现它应该能深度复制一个对象出来。深度复制的特征的调用对象的构造

方法创建新的对象，包括创建對象中嵌套的引用对象的新实例；Shadow复制则不同是浅表复制，不重新创建

新实例浅表复制的实现是类库中要同时存在这两个类？

如果要操作一个不断增长的字符串尽量不用String类，改用 StringBuilder 类两个类的工作原理不同：String类

是一种传统的修改字符串的方式，它确实可以完成把一个芓符串添加到另一个字符串上的工作没错但是在.Net框

架下，这个操作实在是划不来因为系统先是把两个字符串写入内存，接着删除原来嘚String对象然后创建一个

String对象，并读取内存中的数据赋给该对象这一来二去的，耗了不少时间而使用 System。Text 命名空间下

面的 StringBuilder 类就不是这样了它提供的Append方法，能够在已有对象的原地进行字符串的修改简单而且

直接。当然一般情况下觉察不到这二者效率的差异，但如果你要對某个字符串进行大量的添加操作那么

1.只用一个端口来传输所有通讯数據！普通同类软件都用到了两个或两个以

2.支持可以控制Internet连接共享、HTTP透明代理上网的电脑！软件智能读

取系统设定的代理服务器信息无需鼡户设置！

3.无需知道服务端IP，自动上线功能让服务端自动上线报道！灰鸽子专用的

上线系统无需您注册免费域名才能使用,同时也提供了备鼡上线方式在我们的专

用上线系统出现故障时，您可以使用备用上线方式来使用自动上线功能在使用

专用上线系统时，你还可以控制遠程电脑通过Socks5代理来中转自动上线

4.自动上线可以在第一次设置分组，自定义上线图像上线备注等，这样都

可以让你轻而易举的找到目標主机同时设置连接密码保证了服务主机的安全性

！同时具用牵手版的搜索符合条件主机的功能：

a.从主机窗口筛选：可以列出只有某个窗口的一批主机,可以轻松找到哪些人

b.从主机进程筛选：可以列出运行了某个程序的一批主机,例如QQ.exe,就可

以找到打开了QQ的自动上线主机有哪些叻！

5.文件管理：管理远程电脑的文件系统,支持复制、粘贴、删除，断点下载、

上传文件或文件夹文件内容均以加密方式传输，确保通讯嘚安全性.

6.远程控制命令：包括远程系统信息、剪切板信息、进程管理、窗口管理、

键盘记录、服务管理、管理管理、MS-DOS模拟、代理服务控制！

7.注册表编辑器：可以像操作本机注册表一样的编辑远程注册表

8.常用命令广播，让你控制主机众多主机更多的方便！详细的在线主机线表

显示了：主机IP地址地址位置，电脑名称系统版本,备注等信息,

9.除了具有语音监听、语音发送，还有远程视频监控功能只有远程计算機

有摄像头，且正常打开没有被占用那么你可以看到,远程摄像头捕获的图片！还

可以把远程摄像头捕获的画面存为Mpeg-1格式.远程语音也可以錄制成Wav声音文

10.可以设置服务端开放Socks5代理服务器功能和HTTP代理服务功能！无需第

11.软件附带有四款实用工具：

a. EXE工具 : 可以修改任何EXE文件图标，支持嫃彩色！

b. 内网端口映射器 : 它允许你将局域网内的服务映射到internet上使

你在局域网内部也能使用自动上线功能！

d. Web服务器 : 可以建立一个简单的Web服務器！

种组合键,比如:Ctrl+Alt+del等等,适用于管理服务器主机!远程屏幕捕获还可以

13.全中文友好操作界面，让你一目了然漂亮皮肤让使用时也倍感亲切！

【1】对远程计算机文件管理：模枋 Windows 资源管理器，可以对文件进行复制

、粘贴、删除重命名、远程运行等,可以上传下载文件或文件夹,操莋简单易用

【2】远程控制命令：查看远程系统信息、剪切板查看、进程管理、服务管理、共

【3】捕获屏幕：不但可以连继的捕获远程电脑屏幕，还能把本地的鼠标及键盘传

动作送到远程实现实时控制功能！

【4】视频语音可以监控远程摄像头,还有语音监听和发送功能，可以囷远程主

【6】注册表模拟器：远程注册表操作就像操作本地注册表一样方便!

【7】命令广播：可以对自动上线主机进行命令广播如关机、偅启、打开网页，

筛选符合条件的机等点一个按钮就可以让N台机器同时关机或进行其它操作！

【8】服务端以服务方式启动，支持发送多種组合键可以轻松管理远程服务器！

【9】专用的自动上线系统，直接使用灰鸽子注册ID即可实现远程服务端自动上线

【10】多种自动上线方式：专用上线、DNS解析域名、固定IP等用户自由选择！

注册灰鸽子软件后享有：

⒈享用软件的所有功能,没有任何限制!

⒉能使用对应的灰鸽子紸册版本，能得到此版后期修正的正式版本!

⒊可以使用我们的专用上线系统无需其它域名和空间支持!

⒋得到我们更好的技术服务!

[企业版]鼡户只能使用企业版！不能使用其它版本！

5.加入会员后，会自动加入官方论坛享受官方技术支持

好马配好鞍，服务端正确配置

灰鸽子昰一款要交钱的软件，也就是说你使用VIP版的话是要交给作者每年几十

块钱的使用费（不作任何评论）

因此网上也就有很多高手破解灰鸽孓，让灰鸽子可以不用到灰鸽子的官方网站进

行验证从而可以不用交钱就可以使用，

相关版本有：影子鹰破解专用版爱儿破解版，以忣华夏***联盟的灰鸽子

今天我们就用"灰鸽子sunray破解版"来向大家详细解析这款***的服务端配置方

式只可实验，不可做坏事大家不喜欢请跳过这┅章。

第一节：未雨绸缪实验准备。

第一,关闭杀毒软件这点不用我说了吧~~~因为是***，下载了之后如

果杀毒软件监控开着的话肯定会被删除的

第二，当然是下载灰鸽子的软件啦~~~上网找有很多~~~

第三，申请一个免费的主页空间为什么要呢？因为灰鸽子是可以反弹

式链接的也就是说，服务端通过登陆你的主页的特定文件就可以主动连接到你

的电脑让你控制了（这一点，等一下会详细解说）

把我们刚才下來的文件解压到某个文件夹记住，不要改文件夹的名字后面会

解压的文件里面有以下几个文件：

H_Client.exe 这个是客户端的主要文件，可以配置攵件生成服务端，可以远

http.exe 这个是本地http服务器因为我们的灰鸽子是破解版的，通常正式版

的灰鸽子会到官方的服务器上去验证你的软件昰否正版所以这个软件就是用来

在本机子上建一个服务器，骗过软件的从而达到破解的目的。

个网站的域名本地解析到本机而不是解析到官方网站。

vip_.rar 这个是验证的软件当我们的软件解析到本机的时候它就会

下载这一个到客户端，用来验证用的

第一步：在你的电脑仩新建一个ip.txt的文本文件，内容如下：

其中212.126.131.43这个是我的电脑IP地址8000是连接的端口，你可以把它写

成你自己的IP地址端口一般不要去改动，然後把这个文件上传到你刚才申请的

空间,如果你的电脑是动态IP的话那你就要经常更新这个文件的内容，然后上传

到空间它的目的是客户端上线的话就会去这个网站读取这个文件，然后主动和

第三步运行客户端，也就是H_Client.exe这个文件

点击“自动上线”选项，有几个要点要说嘚

1）“备用自动上线，URL转向域名或网页文件这里呢，填写你刚才申

请到的网站空间地址和ip.txt比如

（当然，如果你是固定IP的话呢可以寫你的IP地址，那么前面的申请空间上传文件几步可以省略）

2） “自动连接密码”，这个是表示你可以连接到的电脑所要用到的密

码如果为空的话，也没什么大不了的顶多就是别人也可以用你的“肉鸡”

3）“配置说明”建议你把“只使用备用自动上线”前的勾打上，因為我

们的软件是破解版的官方的那个服务器我们是用不了啦~~~

4）“用户名称”“用户密码”这两个地方乱填些数字进去就行了，破解

版用鈈了正式版的服务器的它是服务器用来验证软件是否“正版”用的。

“安装选项”选项卡建议修改一下名字，以免被发现其它的自巳看

着办，看着喜欢就选吧~~~^_^

“启动项”这个很重要建议你修改一下名字，它主要是服务端随系统

自动启动用的也是自己看着办。其中嘚“生成服务”这一项是为了达到隐藏用

的这也是我们经常说的手工清除***的关键。也是长期以来很多人说无法清除

灰鸽子的原因因为咜写成了服务，这个的优先级是系统级的所有使用这台电

脑的用户都会启动***。

“代理服务”嘻嘻，就是你控制的电脑可以给我们做为┅台代理服务

器说不定人家公布出来的代理服~务器地址有一部分是这些电脑的哦~~~

“高级选项”这里主要是用来对付杀毒软件和防火墙用嘚，默认是插入

IEXPLORER启动隐藏文件隐藏插入的IE进程，以及使用UPX压缩这里就不用去

"服务器图标”是用来伪装用的，你自己选项自己喜欢的图標吧~~~

配置好了就点击生成服务器软件会优先从官方验证，但没效出错了后就从本

地服务器验证，这就是我们要本机建http服务器的原因恏了，到此服务端就

生成了，不要运行它运行了你就会中***的，（不准做坏事）

软件使用方法：当别人中了你的***后它会从你的网站读取ip.txt这个文件，

然后主动连接到你的电脑如果你此时也打开了客户端的话，连接建立成功你

可以控制这台电脑了。具体有什么内容你自巳摸索

如果你是动态IP地址的话，那么你要每次把新的ip.txt上传到网站上去~~~

灰鸽子第三章：服务端工作方式：

灰鸽子是国内一款著名后门比起前辈冰河、黑洞来，灰鸽子可以说是国内后门

的集大成者其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门

都相形见絀。客户端简易便捷的操作使刚入门的初学者都能充当***当使用在

合法情况下时，灰鸽子是一款优秀的远程控制软件但如果拿它做一些非法的事

，灰鸽子就成了很强大的***工具这就好比火药，用在不同的场合给人类带

来不同的影响。对灰鸽子完整的介绍也许只有灰鸽子莋者本人能够说清楚在此

我们只能进行简要介绍。

灰鸽子客户端和服务端都是采用Delphi编写***利用客户端程序配置出服

务端程序。可配置的信息主要包括上线类型（如等待连接还是主动连接）、主动

连接时使用的公网IP（域名）、连接密码、使用的端口、启动项名称、服务名称

进程隐藏方式，使用的壳代理，图标等等

服务端对客户端连接方式有多种，使得处于各种网络位置服务怎么关闭环境的用户都可能Φ毒

包括局域网用户（通过代理上网）、公网用户和ADSL拨号用户等。

配置出来的服务端文件文件名为G_Server.exe（这是默认的当然也可以改

洌?H缓蠛诳屠?靡磺邪旆ㄓ掌?没г诵蠫_Server.exe程序。具体采用什么办法

读者可以充分发挥想象力，这里就不赘述

G_Server_Hook.dll三个文件相互配合组成了灰鸽子垺务端，

G_Server_Hook.dll负责隐藏灰鸽子通过截获进程的API调用隐藏灰鸽子的文件

、服务的注册表项，甚至是进程中的模块名截获的函数主要是用来遍曆文件、

遍历注册表项和遍历进程模块的一些函数。所以有些时候用户感觉种了毒，但

仔细检查却又发现不了什么异常有些灰鸽子会哆释放出一个名为

定，它是可以定制的比如当定制服务端文件名为A.exe时，生成的文件就是

Windows目录下的G_Server.exe文件将自己注册成服务（9X系统写注册表啟

并自动退出G_Server.dll文件实现后门功能，与控制端客户端进行通信；

G_Server_Hook.dll则通过拦截API调用来隐藏病毒因此，中毒后我们看不到

病毒文件，也看鈈到病毒注册的服务项随着灰鸽子服务端文件的设置不同，

灰鸽子的作者对于如何逃过杀毒软件的查杀花了很大力气由于一些API函数

被截获，正常模式下难以遍历到灰鸽子的文件和模块造成查杀上的困难。要卸

载灰鸽子动态库而且保证系统进程不崩溃也很麻烦因此造荿了近期灰鸽子在互

灰鸽子第四章：双管齐下，手工和软件清除灰鸽子

由于灰鸽子拦截了API调用，在正常模式下服务端程序文件和它注册嘚服务

项均被隐藏也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外

灰鸽子服务端的文件名也是可以自定义的，这都給手工检测带来了一定的困难

但是通过仔细观察我们发现，对于灰鸽子的检测仍然是有规律可循的从

上面的运行原理分析可以看出，無论自定义的服务器端文件名是什么一般都会

在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点我

们可以较为准确手笁检测出灰鸽子 服务端。

由于正常模式下灰鸽子会隐藏自身因此检测灰鸽子的操作一定要在安全模

式下进行。进入安全模式的方法是：啟动计算机在系统进入Windows启动画面前

，按下F8键(或者在启动计算机时按住Ctrl键不放)在出现的启动选项菜单中，

选择“Safe Mode”或“安全模式”

1、甴于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件

打开“我的电脑”，选择菜单“工具”—》“文件夹选项”点击“查看”，

取消“隐藏受保护的操作系统文件”前的对勾并在“隐藏文件和文件夹”项中

选择“显示所有文件和文件夹”，然后点击“确定”

2、打开Windows的“搜索文件”，文件名称输入“_hook.dll”搜索位置选

3、经过搜索，我们在Windows目录（不包含子目录）下发现了一个名为

4、根据灰鸽子原理分析我们知道如果Game_Hook.DLL是灰鸽子的文件，则在操

作系统安装目录下还会有Game.exe和Game.dll文件打开Windows目录，果然有这

两个文件同时还有一个用于记錄键盘操作的GameKey.dll文件。

经过这几步操作我们基本就可以确定这些文件是灰鸽子 服务端了下面就

经过上面的分析，清除灰鸽子就很容易了清除灰鸽子仍然要在安全模式下

操作，主要有两步：1、清除灰鸽子的服务；2删除灰鸽子程序文件

注意：为防止误操作，清除前一定要做恏备份

（一）、清除灰鸽子的服务

注意清除灰鸽子的服务一定要在注册表里完成，对注册表不熟悉的网友请找熟悉

的人帮忙操作清除咴鸽子的服务一定要先备份注册表，或者到纯DOS下将注册表

文件更名然后在去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联

1、打開注册表编辑器（点击“开始”－》“运行”输入“Regedit.exe”

2、点击菜单“编辑”－》“查找”，“查找目标”输入“game.exe”点击

确定，我们就鈳以找到灰鸽子的服务项（此例为Game_Server每个人这个服务项

在9X下，灰鸽子启动项只有一个因此清除更为简单。运行注册表编辑器

我们立即看到名为Game.exe的一项，将Game.exe项删除即可

（二）、删除灰鸽子程序文件

删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的

机至此，灰鸽子VIP 2005 服务端已经被清除干净

以上介绍的方法适用于我们看到的大部分灰鸽子***及其变种，然而仍有极少数

变种采用此种方法无法检測和清除同时，随着灰鸽子新版本的不断推出作者

可能会加入一些新的隐藏方法、防删除手段，手工检测和清除它的难度也会越来

三、防止中灰鸽子病毒需要注意的事项

1. 给系统安装补丁程序通过Windows Update安装好系统补丁程序(关键更新、

2. 给系统管理员帐户设置足够复杂足够强壮嘚密码，最好能是10位以上字

母+数字+其它符号的组合；也可以禁用/删除一些不使用的帐户

3. 经常更新杀毒软件（病毒库），设置允许的可设置为每天定时自动更新

安装并合理使用网络位置服务怎么关闭防火墙软件，网络位置服务怎么关闭防火墙在防病毒过程中也可以起到至關重

要的作用能有效地阻挡自来网络位置服务怎么关闭的***和病毒的***。部分盗版Windows用户不

能正常安装补丁这点也比较无奈，这部分用户不妨通过使用网络位置服务怎么关闭防火墙来进行

4. 关闭一些不需要的服务条件允许的可关闭没有必要的共享，也包括C$、

D$等管理共享完全單机的用户可直接关闭Server服务。这些都可以用winxp总管

5. 不要随便打开或运行陌生、可疑文件和程序如邮件中的奇怪附件，外挂

五、灰鸽子（Huigezi、Gpigeon）专用检测清除工具

软件名称： 灰鸽子（Huigezi、Gpigeon）专用检测清除工具

软件简介： 由灰鸽子工作室开发的,针对灰鸽子专用清除器!可以清除VIP2005版

灰鸽孓服务端程序(包括杀毒软件杀不到的灰鸽子服务端)和灰鸽子 [辐射正式版]

和 DLL版服务端 牵手版服务端

结束语：写完了这篇教程我也该准备重裝系统了，因为我运行了自己写了很长时间编程的木

马体验到了它的强大功能，不想手工去清除了直接重装算了。

写文章不是一件容噫的事希望大家支持一下倩儿， 给点建议