好久没搞远程控制了，说到远程控制就首先会想到灰鸽子，想当初我也交了100元做了灰鸽子会员。

　　大家都知道灰鸽子是靠服务启动的。今天我在虚拟机里做了个小小的实验，研究了一下灰鸽子的服务隐藏。首先我想说的是我并不喜欢灰鸽子VIP2007，因为当初记得它在我的2003系统下服务无法隐藏。还是喜欢VIP2006！

　　我在虚拟机里种上了灰鸽子服务端，不一会儿，就上线了。下面我来查找它的服务，我配置的服务显示名为ReNetSvr。打开windows的服务肯定是找不到的，不然我也不用研究这个了。说到查找隐藏服务，大家百度搜索一下肯定会搜索到一款名为knlsc13.exe的小工具。这款工具在原理是直接解读注册表文件(%SystemRoot%\System32\config\system)，历遍全部Service Key，与RegEnumKeyEx()的结果进行对比，在查找ROOTKIT方面效果不错。可是我要告诉你在查找灰鸽子VIP2006的隐藏服务时却完全失效，显示为：

　　还有我告诉一下knlsc13的作者，你在knlsc13.exe的说明书里写错了，用SC通过服务名来显示此服务的显示名用的是“sc getkeyname"，而不是"sc GetServiceKeyName"。

　　试试我一向比较喜欢的hijackthis，结果也令我失望。再试试鼎鼎大名的冰刃，结果也令人失望：

　　接着再试试葛军自己写的木马辅助查找器2005，结果也没有显示出隐藏服务。

　　最后再试试可以跟冰刃媲美的syscheck。结果是什么？还是没有显示出来：

　　其实灰鸽子的服务就驻留在注册表的
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ReNetSvr。
为什么这些安全工具都没有找出来呢？它们好像在HKEY_LOCAL_MACHINE\SYSTEM\ControlSet1\Services下寻找。具体怎么样我们也不得而知，只有程序作者自己知道。

　　可能有些人会说灰鸽子刚写入注册表，电脑重启之前注册不会立即生效，所以这些安全工具检测不出来。我也想到了这个问题，那好，我们重启虚拟机。看看重启之后这些安全工具能不能找出灰鸽子的隐藏服务。

　　重启之后我再用以上的那些安全工具检测，结果是：只有冰刃显示出了隐藏的服务项！！：

　　大家知不知道灰鸽子在VISTA下可不可以运行的？VISTA的安全性不是大大提高了吗？我告诉大家是可以的，不能不能乱改灰鸽子的服务端图标，不然也无法运行。

　　最后，灰鸽子通过调用系统的API函数来隐藏自身的服务，写木马时非常值得学习。