1. 灰鴿子是一款國內著名的后門程序，集成了多種功能，包括文件管理、系統信息獲取、剪貼板查看、進程管理、窗口管理、鍵盤記錄、服務管理、共享管理等。它也支持MS-Dos shell和代理服務，注冊表編輯，啟動telnet服務，捕獲屏幕，視頻監控，音頻監控，發送音頻，卸載自身等操作。這些功能使得灰鴿子在合法情況下是一款優秀的遠程控制軟件，但如果被用于非法目的，它就成為了一種強大的黑客工具。2. 灰鴿子的客戶端和服務端都是用Delphi編寫的。黑客通過客戶端程序配置出服務端程序，這些配置信息包括上線類型（如等待連接還是主動連接）、主動連接時使用的公網IP（域名）、連接密碼、使用的端口、啟動項名稱、服務名稱，進程隱藏方式，使用的殼，代理，圖標等。服務端對客戶端連接方式有多種，使得處于各種網絡環境的用戶都可能中毒，包括局域網用戶（通過代理上網）、公網用戶和ADSL撥號用戶等。3. 灰鴿子具有很好的隱藏性，它的服務端程序在第一次運行時會自己拷貝到Windows目錄下（98/XP操作系統為系統盤windows目錄，2K/NT為系統盤winnt目錄），并將它注冊為服務（服務名稱在上面已經配置好了），然后從體內釋放2個文件到Windows目錄下：G_Server.dll，G_Server_Hook.dll（近期灰鴿子版本會釋放3個文件，多了一個G_ServerKey.exe，主要用來記錄鍵盤操作）。然后將G_Server.exe退出，兩個動態庫繼續運行。由于病毒運行的時候沒有獨立進程，病毒隱藏性很好。以后每次開機時，Windows目錄下的G_Server.exe都會自動運行，激活動態庫后退出，以免引起用戶懷疑。4. 灰鴿子的作者對于如何逃過殺毒軟件的查殺花了很大力氣。由于一些API函數被截獲，正常模式下難以遍歷到灰鴿子的文件和模塊，造成查殺上的困難。要卸載灰鴿子動態庫而且保證系統進程不崩潰也很麻煩，因此造成了近期灰鴿子在互聯網上泛濫的局面。5. 灰鴿子2005病毒的特點是：1、運行后，病毒進程插入所有當前正在運行的進程中；2、隱藏病毒自身進程；3、隱藏病毒文件；4、將自身注冊為系統服務，實現啟動加載。因此，染毒后很難在WINDOWS下將病毒殺凈。6. 手工查殺灰鴿子2005的關鍵一步是找到病毒注冊的系統服務名，將其從注冊表HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES分支中刪除。由于黑客配置灰鴿子2005服務端時命名的系統服務名五花八門，沒有一定規律可循，因而使不少人中招后難以下手清除病毒。7. 灰鴿子（Backdoor.Huigezi）作者現在還沒有停止對灰鴿子的開發，再加上有些人為了避開殺毒軟件的查殺故意給灰鴿子加上各種不同的殼，造成現在網絡上不斷有新的灰鴿子變種出現。盡管瑞星公司一直在不遺余力地收集最新的灰鴿子樣本，但由于變種繁多，還會有一些“漏網之魚”。如果您的機器出現灰鴿子癥狀但用瑞星殺毒軟件查不到，那很可能是中了還沒有被截獲的新變種。這個時候，就需要手工殺掉灰鴿子。8. 手工清除灰鴿子并不難，重要的是我們必須懂得它的運行原理。灰鴿子的運行原理是：灰鴿子木馬分兩部分：客戶端和服務端。黑客（姑且這么稱呼吧）操縱著客戶端，利用客戶端配置生成出一個服務端程序。服務端文件的名字默認為G_Server.exe，然后黑客通過各種渠道傳播這個木馬（俗稱種木馬或者開后門）。種木馬的手段有很多，比如，黑客可以將它與一張圖片綁定，然后假冒成一個羞澀的MM通過QQ把木馬傳給你，誘騙你運行；也可以建立一個個人網頁，誘騙你點擊，利用IE漏洞把木馬下載到你的機器上并運行；還可以將文件上傳到某個軟件下載站點，冒充成一個有趣的軟件誘騙用戶下載……9. G_Server.exe運行后將自己拷貝到Windows目錄下(98/xp下為系統盤的windows目錄，2k/NT下為系統盤的Winnt目錄)，然后再從體內釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個文件相互配合組成了灰鴿子服務端，有些灰鴿子會多釋放出一個名為G_ServerKey.dll的文件用來記錄鍵盤操作。注意，G_Server.exe這個名稱并不固定，它是可以定制的，比如當定制服務端文件名為A.exe時，生成的文件就是A.exe、A.dll和A_Hook.dll。10. Windows目錄下的G_Server.exe文件將自己注冊成服務（9X系統寫注冊表啟動項），每次開機都能自動運行，運行后啟動G_Server.dll和G_Server_Hook.dll并自動退出。G_Server.dll文件實現后門功能，與控制端客戶端進行通信；G_Server_Hook.dll則通過攔截API調用來隱藏病毒。因此，中毒后，我們看不到病毒文件，也看不到病毒注冊的服務項。隨著灰鴿子服務端文件的設置不同，G_Server_Hook.dll有時候附在Explorer.exe的進程空間中，有時候則是附在所有進程中。11. 灰鴿子的手工檢測由于灰鴿子攔截了API調用，在正常模式下木馬程序文件和它注冊的服務項均被隱藏，也就是說你即使設置了“顯示所有隱藏文件”也看不到它們。此外，灰鴿子服務端的文件名也是可以自定義的，這都給手工檢測帶來了一定的困難。12. 但如果仔細觀察，我們發現，對于灰鴿子的檢測仍然是有規律可循的。從上面的運行原理分析可以看出，無論自定義的服務器端文件名是什么，一般都會在操作系統的安裝目錄下生成一個以“_hook.dll”結尾的文件。通過這一點，我們可以較為準確手工檢測出灰鴿子木馬。13. 由于正常模式下灰鴿子會隱藏自身，因此檢測灰鴿子的操作一定要在安全模式下進行。進入安全模式的方法是：啟動計算機，在系統進入Windows啟動畫面前，按下F8鍵(或者在啟動計算機時按住Ctrl鍵不放)，在出現的啟動選項菜單中，選擇“Safe Mode”或“安全模式”。