【IT168 专稿】前几天笔者去了一个大软件站下载软件，打开下载页面后，突然间机器变得很卡。由于是新装的系统，一些补丁没打，很可能是中了网页木马，这世道一些下载大站也不安全啊，下载软件的页面一定被人挂了网页木马了。打开CMD，输入命令，NETSTAT –A，回车，发现8000端口开放，种种现像看来80%中了灰鸽子，这个端口是鸽子的默认端口。接着用木马辅助查找工具纠出了鸽子的服务端。一个名为TSERVE.EXE的文件。

    笔者很想知道下究竟是哪个无聊的家伙挂的马，于是笔者用比较另类的方式用获取这个灰鸽子服务端的配置信息及控制我的人的IP地址，然后拿IP报警去。

    笔者用资源编辑工具看了下，是个无释放DLL的鸽子。接下来自己下一个鸽子配置一个演示我获取配置信息的过程。然后对获得的TSERVE.EXE这个文件用下面的对照得到了它的配置信息。

    这里用黑客防线专版鸽子（不释放DLL文件）为例子。至于VIP2005，1.23，2.0，2.03的服务端同样适用。VIP版本的释放DLL，原理上也能够破译的但没做测试。需要用到的工具有，一个无壳的黑客防线鸽子，Restorator2007，16进制编辑工具（推荐C32ASM或UltraEdit-32）。

    为了演示破译过程，首先自己先配置一个鸽子。配置信息如图1，图2，图3所示。然后生成服务端。

 
图1
 
图2
 

图3

    首先说明，我们演示生成的鸽子的服务端是没有壳的。大多数加了壳或加了密的鸽子服务端这种破译方式同样适用。如果您是脱壳高手那即使直接不能读取资源信息的您可以先脱壳。最简单的介绍一个软件，FreeRes_0.94c，用它重新建立资源可以解决。如果只能破译无壳服务端本篇文章的意义就不大了。这里演示提供的是方法思路。希望读者明白。
好了，用Restorator2007打开刚才配置完毕的灰鸽子服务端。如图4，

图4

    需要说明一下，看图4左侧的树状资源名称列表里面RCDATA资源列表展开后下面的一些资源其中HACKER这个资源里面包含着鸽子的配置信息，看右侧框框里面的字串既是加了密的配置信息。但是网络上一些人为了使鸽子躲过金山2007杀毒软件数据流的查杀，将RCDATA中的资源名称修改过。下面图5，既是此情况的截图。

图5

    其中图4里面的HACKER的资源名称被更改为CCODIY，其他的资源名称也被更改了。识别RCDATA里面究竟哪个资源是配置信息很简单，我们看到HACKER是由六个英文字母组成的，即使更改了，这个名称组成的位数是不能变的，RCDATA里面的资源名称是6位的只有两个，用鼠标点资源名称后在右侧显示是一行字串的就是更改过的HACKER资源项。将一行字串全部复制出来到记事本上。忘了说了，图5的是最开始配置出来的。将CCODIY资源里字串复制到记事本上。