史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 資訊系統安全備援防護技術文件
忘記密碼?
註冊帳號 論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2006-04-02, 10:10 AM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 灰鴿子2006手動式查殺

灰鴿子2006手動式查殺

灰鴿子2006手動式查殺
netpatch 2006/03/31
如需轉載,請保留作者訊息!

今天朋友電腦中招了,叫我幫忙查查。
雖然卡巴報警了,但是沒有清除掉,上網GOOGLE下,也沒發現灰鴿子2006的查殺方法
灰鴿子專殺0.52也沒能查到。
所以寫了下這文章,希望對中招的朋友有說明 !

判斷方法
開始》》執行》》輸入CMD Enter鍵
按下面順序執行如下指令
cd \ Enter鍵
dir *.dll,*.exe /A:S /s (等待搜尋)

如果真的是中灰鴿子,那麼會在搜尋結果中出現兩個DLL文件,一個EXE

兩DLL是:
一個是XXXXXX.dll
一個是XXXXXXkey.dll

EXE是:
XXXXXX.EXE

且產生日期是一樣,時間就在1分鍾中內的差別!

如果符合以上訊息,那麼可以恭喜你,你中招了!

手動式查殺
首先我們已經定位了其安裝名是XXXXXX.exe了!
我們只要找相應的系統服務就行了!
由於鴿子2006採取了隱藏工作、註冊表、相應系統服務的方式,使我們用正常的方法是沒辦法看到的!
開啟IceSword1.12
結束相關IE工作!
檢視服務項目
找到使用XXXXXX.EXE文件的服務!(一個快捷搜尋方法:找服務啟動方式為:「自啟動」但服務已停止的!)
找到後,記住服務名
然後移除該服務!
移除方法:

SC移除法
sc delete service_name

或用我寫的批處版SC移除
移除方法:np service_name /x

然後用IceSwrod1.12找到並移除XXXXXX.dll,XXXXXXkey.dll,XXXXXX.EXE三個文件!
鴿子2006就從你的電腦上清除了!
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2006-04-22, 07:32 PM   #2 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

怎麼樣清除灰鴿子


手動式清除方法
這個木馬具說是才編的,對方是一個專門靠開發木馬的獄之門伙,(哈哈,聽起還蠻厲害的)我斷網後用了現目今所有查木馬的軟體,包括木馬終結者,The Cleaner 3.1,諾盾,金山等都查不出來(但是後來我發現如果用正版KV3000在純DOS下應該可以查殺,還沒試過),此木馬執行後除了可以執行Windows所有功來外,甚至連你的一舉一動包括你用QQ和別人聊天的內容都可以監聽,是有點可怕哈~~!至今為止絕大部分的木馬都是在註冊表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run鍵下增加一個鍵值來讓木馬自動執行。


但該木馬卻沒有這樣,在RUN鍵值下沒有任何變化,由於木馬是關於遠端控制的程序,因此中木馬的機器會開有特定的連接阜。這點是破解的關鍵,一般一台個人用的系統在開機後最多只有137、138、139三個連接阜。若上網衝浪會有其他連接阜,這是本地機與網上主機通訊時開啟的,IE一般會開啟連續的連接阜:1025,1026,1027……,QQ會開啟4000、4001……等連接阜。我在DOS指令行下用netstat -na發現了一個可疑連接阜被佔用8225,此木馬為內嵌式木馬,執行後會在SYSTEM32.DLL內產生一個和系統檔案C:\WINDOWS\system32\vschost.exe很像的文件SVCHOST.EXE,每次開機後這個文件被自動載入,如果和客戶端連上後SVCHOST.EXE每一個工作的執行緒數迅速增加到100個以上。此時系統執行速度非常慢,CPU佔用率急速上升,甚至癱瘓。



通過用IDA反彙編,發現它還偷竊系統密碼並建立 %systemroot%\system\mapis32a.dll,(我QQ就是這樣被盜的),實際上這個木馬多是使用DLL進行監聽,一旦發現控制端的連接請求就啟動自身,綁在一個工作上進行正常的木馬操作。這樣做的好處是沒有增加新的文件,沒有新的工作,使用一般的方法監測不到它,在正常執行時木馬幾乎沒有任何症狀,而一旦木馬的控制端向被控制端發出特定的訊息後,隱藏的程序就立即開始運作,所以說雖然你可以看到VSCHOST.EXE的路C:\WINDOWS\system32\VSCHOST.EXE,但你在這個木錄下是跟本搜尋不到,該木馬原有的文件元件服務工具,真是很恐怖。黑客可以在網上隨便找一個小動畫或者小程序,把它作為「寄生」的目標。


下面說說手動式清除方法:首先要禁止他開機自動執行,點開始--執行,輸入msconfig,點確定。在系統組態實用程序裡面選啟動項,然後把SVCHOST前面的勾去了,點確定後結束,不要忙著重新啟動,當然這一步用WINDOWS最佳化大師等工具都可以做到。



然後再在執行裡面輸regedit 進入註冊表,點編輯---搜尋--在裡面輸SVCHOST,把搜尋到的SVCHOST(注意是大寫的),SVchost.ini,mapis32a.dll,%systemroot%,F4.Jpg全刪了,如果沒找到就一個個的找,然後關機,重啟,如果你還不方心可以檢查你的8225連接阜是否開著,如果裝的有天網直接就可以看到,沒有在DOS下看也可以了,還說一點,木馬執行的時候在Windows的工作視窗中是看不到的。


不要相信Windows的工作視窗——點工作條上的「開始」、「執行」、「msinfo32」(就是Windows原有的的系統資訊,在「附件」中)。

看其中的軟體環境→正在執行的工作。


這才是Windows現在全部執行的工作,看看還有沒有SVCHOST.EXE。這樣就大功告成了!

灰鴿子專殺v0.52



灰鴿子專殺簡介:本工具為純綠色工具,軟體採用獨特的查殺技巧可完全查殺灰鴿子全系列(VIP2005、vip2006、免殺處理)木馬,本軟體已經過嚴格測試,備用本工具可以讓您免受灰鴿子木馬的困饒.更新內容:軟體增加在線更新功能,增加對VIP2006系列及免殺處理的鴿子的查殺,解決對虛擬光碟的誤殺問題。v0.5系列可直接在線更新到v0.52版。

官方下載頁面
http://www.mmsk.cn/

未來軟體園下載頁面(下載後請昇級)
http://www.orsoon.com/Software/catalog179/5265.html
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 03:44 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2020, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1