灰鸽子远程监控软件分两部分：客户端和服务端。黑客（姑且这么称呼吧）操纵着客户端，利用客户端配置生成出一个服务端程序服务端文件的名字默认为g_server.exe，然后黑客通过各种渠道传播这个服务端（俗称种木马）。种木马的手段有很多，比如，黑客可以将它与一张图片绑定，然后假冒成一个羞涩的mm通过qq把木马传给你，诱骗你运行；也可以建立一个个人网页，诱骗你点击，利用ie漏洞把木马下载到你的机器上并运行；还可以将文件上传到某个软件下载站点，冒充成一个有趣的软件诱骗用户下载……，这正违背了我们开发灰鸽子的目的，所以本文适用于那些让人非法安装灰鸽子服务端的用户，帮助用户删除灰鸽子 vip 2005 的服务端程序。本文大部分内容摘自互联网。

　　g_server.exe运行后将自己拷贝到windows目录下(98/xp下为系统盘的windows目录，2k/nt下为系统盘的winnt目录)，然后再从体内释放g_server.dll和g_server_hook.dll到windows目录下。g_server.exe、g_server.dll和g_server_hook.dll三个文件相互配合组成了灰鸽子服务端，有些灰鸽子会多释放出一个名为g_serverkey.dll的文件用来记录键盘操作。注意，g_server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为a.exe时，生成的文件就是a.exe、a.dll和a_hook.dll。

　　windows目录下的g_server.exe文件将自己注册成服务（9x系统写注册表启动项），每次开机都能自动运行，运行后启动g_server.dll和g_server_hook.dll并自动退出。g_server.dll文件实现后门功能，与控制端客户端进行通信；g_server_hook.dll则通过拦截api调用来隐藏病毒。因此，中毒后，我们看不到病毒文件，也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同，g_server_hook.dll有时候附在explorer.exe的进程空间中，有时候则是附在所有进程中。

　　灰鸽子的手工检测

　　由于灰鸽子拦截了api调用，在正常模式下服务端程序文件和它注册的服务项均被隐藏，也就是说你即使设置了"显示所有隐藏文件"也看不到它们。此外，灰鸽子服务端的文件名也是可以自定义的，这都给手工检测带来了一定的困难。[1] [2]