好了，用Restorator2007打开刚才配置完毕的灰鸽子服务端。

    需要说明一下，看图4左侧的树状资源名称列表里面RCDATA资源列表展开后下面的一些资源其中HACKER这个资源里面包含着鸽子的配置信息，看右侧框框里面的字串既是加了密的配置信息。但是网络上一些人为了使鸽子躲过金山2007杀毒软件数据流的查杀，将RCDATA中的资源名称修改过。

    其中HACKER的资源名称被更改为CCODIY，其他的资源名称也被更改了。识别RCDATA里面究竟哪个资源是配置信息很简单，我们看到HACKER是由六个英文字母组成的，即使更改了，这个名称组成的位数是不能变的，RCDATA里面的资源名称是6位的只有两个，用鼠标点资源名称后在右侧显示是一行字串的就是更改过的HACKER资源项。将一行字串全部复制出来到记事本上。忘了说了，图5的是最开始配置出来的。将CCODIY资源里字串复制到记事本上。

    接下来用UltraEdit-32（以下简称UE），打开无壳鸽子控制端搜索，7238C73A2A6EDD28B190D473D483DDE5C58B155FB8CEA2376474FC324EE15CEB看到了右侧的这些字串。我们曾把配置信息复制了出来。

    采用记事本自动换行的方式每行32个字母数字组合，两行蓝色选中为64个，首先将前两行复制出来0AA690A8D7B6A7306E60B08E496271002A707CCAA8D64967DC05476F784D7738F937替换掉刚才在UE中替换出来的那一行即用0AA690A8D7B6A7306E60B08E496271002A707CCAA8D64967DC05476F784D7738替换7238C73A2A6EDD28B190D473D483DDE5C58B155FB8CEA2376474FC324EE15CEB。然后用UE将文件另存为1.exe。打开1.exe，看到鸽子的标题栏。

    其中配置过的上线IP通知那里配置过的yanshi.3322.org显示在鸽子控制端的标题栏里了。依次复制后面的64位继续替换得到下面情况。

    然后将这些标题栏的信息整合起来得到下面：Yanshi.3322.orgafffa33860c77794c:\test.exe50破译测试测试180000001110test_111111test222222test_33333301080guesthuigezi。

    其中192.168.1.66是本机IP，信息整合时候不要填写。和前面对照得到了一些需的信息，上线ip为：yanshi.3322.org,安装路径：c:\test.exe,显示名称：test_111111,服务名称：test_222222,描述信息：test_333333.

    其中IP可以帮助我们查找到给我们机器种植鸽子的IP地址。安装路径和显示名称、服务名称、描述信息可以帮助我们迅速清除鸽子。通过分析可以知道，这个服务端的配置信息为：

    上线IP：pi11o.3322.org, 安装路径：c:\$(windir)\ftg.exe（其中\ftg前面的代表系统根目录）,显示名称：t_server,服务名称：t_server,描述信息：微软服务管理。

    我们也会发现在例子中获取的整合信息最后有01080guesthuigezi这样一部分，这个是SOCKS5代理的信息，如果是例子中的一样那是很可能没被开SOCKS5如果不和例子中的一样是很可能被开了SOCKS5代理，看01080guesthuigezi这串，其中1080是开放端口，guest是用户名huigezi是密码。而我最后破译的这个服务端最后和例子不一样，那就几乎被开了SOCKS代理，以前一段时间你的电脑被人狂刷了Q币等服务就是被鸽子开了这个代理。