通用型灰鸽子检测法

对于2005以后的版本应该都有用。

只需要SREng最新版即可。

打开SREng，打开“智能扫描”，随便选择一个扫描速度很快的项目，例如Autorun.inf，其它的全部去掉。

点击扫描，通常在3秒内扫描完毕，查看报告中的API Hook项目。

如果有鸽子的话，它为了达到隐藏服务、进程、文件、注册表项的目的，会挂钩NtQuerySystemInformation，Nt/

ZwTerminateProcess，RegEnumKeyEx，EnumServicesStatus，FindNextFile。以下是一个例子：

==================================

API HOOK

入口点错误：NtQuerySystemInformation (危险等级: 高, 被下面模块所HOOK: C:\WINDOWS\D1LHOSTKEY.DLL)

入口点错误：NtTerminateProcess (危险等级: 高, 被下面模块所HOOK: C:\WINDOWS\D1LHOSTKEY.DLL)

入口点错误：ZwTerminateProcess (危险等级: 高, 被下面模块所HOOK: C:\WINDOWS\D1LHOSTKEY.DLL)

入口点错误：RegEnumKeyExA (危险等级: 高, 被下面模块所HOOK: C:\WINDOWS\D1LHOSTKEY.DLL)

入口点错误：RegEnumKeyExW (危险等级: 高, 被下面模块所HOOK: C:\WINDOWS\D1LHOSTKEY.DLL)

入口点错误：EnumServicesStatusA (危险等级: 高, 被下面模块所HOOK: C:\WINDOWS\D1LHOSTKEY.DLL)

入口点错误：EnumServicesStatusW (危险等级: 高, 被下面模块所HOOK: C:\WINDOWS\D1LHOSTKEY.DLL)

入口点错误：FindNextFileA (危险等级: 高, 被下面模块所HOOK: C:\WINDOWS\D1LHOSTKEY.DLL)

入口点错误：FindNextFileW (危险等级: 高, 被下面模块所HOOK: C:\WINDOWS\D1LHOSTKEY.DLL)

==================================

隐藏进程

[1592] C:\WINDOWS\Explorer.EXE

==================================

这时就可以断定C:\WINDOWS\D1LHOSTKEY.DLL为灰鸽子的辅助DLL之一（灰鸽子有两个辅助DLL），且在C:\Windows目录下还有至少两个鸽子的文件。只要将这个文件删了，注销或者重启后灰鸽子就和Win 9x时代的木马没什么区别了。尽情斩杀吧～

另：最近灰鸽子又有抬头的迹象，很可能是从地上转入地下了，大家要注意防范。