前几天笔者去了一个大软件站下载软件，打开下载页面后，突然间机器变得很卡。由于是新装的系统，一些补丁没打，很可能是中了网页木马，这世道一些下载大站也不安全啊，下载软件的页面一定被人挂了网页木马了。打开CMD，输入命令，NETSTAT –A，回车，发现8000端口开放，种种现像看来80%中了灰鸽子，这个端口是鸽子的默认端口。接着用木马辅助查找工具纠出了鸽子的服务端。一个名为TSERVE.EXE的文件。

    笔者很想知道下究竟是哪个无聊的家伙挂的马，于是笔者用比较另类的方式用获取这个灰鸽子服务端的配置信息及控制我的人的IP地址，然后拿IP报警去。

    笔者用资源编辑工具看了下，是个无释放DLL的鸽子。接下来自己下一个鸽子配置一个演示我获取配置信息的过程。然后对获得的TSERVE.EXE这个文件用下面的对照得到了它的配置信息。

    这里用黑客防线专版鸽子（不释放DLL文件）为例子。至于VIP2005，1.23，2.0，2.03的服务端同样适用。VIP版本的释放DLL，原理上也能够破译的但没做测试。需要用到的工具有，一个无壳的黑客防线鸽子，Restorator2007，16进制编辑工具（推荐C32ASM或UltraEdit-32）。

    为了演示破译过程，首先自己先配置一个鸽子。然后生成服务端。

    首先说明，我们演示生成的鸽子的服务端是没有壳的。大多数加了壳或加了密的鸽子服务端这种破译方式同样适用。如果您是脱壳高手那即使直接不能读取资源信息的您可以先脱壳。最简单的介绍一个软件，FreeRes_0.94c，用它重新建立资源可以解决。如果只能破译无壳服务端本篇文章的意义就不大了。这里演示提供的是方法思路。希望读者明白。