对baohe斑竹的““新版灰鸽子”的一些特点及手工查杀举例”的补充 bbs.ikaka.com

breach - 2006-8-30 11:44:00

今天baohe斑竹送给俺几只鸽子，高兴地不得了，就再测试下新版灰鸽子，情况就跟斑竹的《“新版灰鸽子”的一些特点及手工查杀举例》差不多。具体的处理方法，请看http://forum.ikaka.com/topic.asp?board=28&artid=7156227 .不过我发现了一些其他新的东西,不敢独自享受，就帖出来这里。

木马文件在%windows%\Internet Explorer\文件夹中（这个文件夹是灰鸽子创建的）。
(斑竹的原话)，是的，就是这样的情况，并且用系统的资源管理器是看不到木马的文件的(就算你在文件夹选项那里设置成显示所有文件及系统隐藏文件，一样是显示不出来的)，用IceSword就可以看到,如下图

附件: 7317492006830120321.JPG

breach - 2006-8-30 11:50:00

baohe斑竹曾在《Tiny Personal Firewall 2005 Pro的MD5被更改》说到TPF2005的MD5被篡改了，我现在想说的就是Tiny默认的情况下对自己的进程的保护做的十分不好，很容易被篡改。这只新版灰鸽子就可以插入Tiny的任何一个进程(我的Tiny版本是v6.5.126)。不过还好，SSM保护了自己的进程(我的SSM的版本是v2.0.8.574),IceSword保护了自己的进程不被其他进程插入(我的版本是v1.18)

附件: 7317492006830120125.JPG

breach - 2006-8-30 11:53:00

SSM保护了自己的进程

附件: 7317492006830120202.JPG

breach - 2006-8-30 11:59:00

IceSword也保护了自己的进程不被其他进程插入

附件: 7317492006830120233.JPG

baohe - 2006-8-30 12:01:00

【回复“breach”的帖子】
拜托呀——老大！
不要总贴这类bmp图片。打开太慢了。
不能贴jpg格式的图？

从头爱你 - 2006-8-30 12:05:00

引用:

【baohe的贴子】【回复“breach”的帖子】
拜托呀——老大！
不要总贴这类bmp图片。打开太慢了。
不能贴jpg格式的图？
………………

截图发给Q上好友在保存就是jpg的......

breach - 2006-8-30 12:07:00

引用:

【baohe的贴子】【回复“breach”的帖子】
拜托呀——老大！
不要总贴这类bmp图片。打开太慢了。
不能贴jpg格式的图？
………………

好的。老大。我马上改。

baohe - 2006-8-30 12:08:00

引用:

【breach的贴子】SSM保护了自己的进程
………………

Tiny也有这种功能。
那只是设置问题。

頂尖貨銫 - 2006-8-30 12:09:00

学习``

breach - 2006-8-30 12:13:00

引用:

【baohe的贴子】
Tiny也有这种功能。
那只是设置问题。
………………

恩,是可以自己来设置。但是Tiny应该默认也像SSM(IceSword)那样对自己的进程进行保护才是最佳方案。

神秘的小白 - 2006-8-30 12:14:00

SSM 和IceSword 的下载连接网可以直接给我不???就是我一按就直接下载那种网,

breach - 2006-8-30 12:17:00

引用:

【神秘的小白的贴子】SSM 和IceSword 的下载连接网可以直接给我不???就是我一按就直接下载那种网,
………………

你上去http://forum.ikaka.com/topic.asp?board=28&artid=6979213这里看下吧，这里的资源很多的。

breach - 2006-8-30 12:32:00

引用:

【从头爱你的贴子】
截图发给Q上好友在保存就是jpg的......
………………

谢谢你的提议，不过就用系统自带的看图工具一样可以转换。开Q实在有点麻烦。呵

炫Oo逍遥oO - 2006-8-30 12:36:00

学习了``不错`顶`！

breach - 2006-8-30 14:08:00

引用:

【神秘的小白的贴子】SSM 和IceSword 的下载连接网可以直接给我不???就是我一按就直接下载那种网,
………………

SSM的下载地址：
http://www.syssafety.com/files.html

如下内容转摘于天天泡泡斑竹的文章《反病毒论坛管理条例（2006.08.27修订）及本版常用小工具》
IceSword目前只为使用32位的x86兼容CPU的系统设计，另外运行IceSword需要管理员权限。
②最新版本下载地址：
中文：ftp://202.38.76.151/pub2/Kernel/Windows/tools/IceSword1.18.rar MD5: 3FC619D8447939EEB80F4E5F6B29CBA4

英文：ftp://202.38.76.151/pub2/Kernel/Windows/tools/IceSword1.18en.rar MD5: FD20378C7FC63AEE03A173F79D2B5482

breach - 2006-8-30 20:39:00

自己顶下。

dady欢欢 - 2006-8-30 21:02:00

写的很好啊,呵呵,鼓励鼓励~~~~~这种文章多多益善~~~~

dady欢欢 - 2006-8-30 21:02:00

写的很好啊,呵呵,鼓励鼓励~~~~~这种文章多多益善~~~~

breach - 2006-9-1 12:54:00

鸽子服务端在运行的过程中所谓的会删除掉自己，是下面的一个过程：
首先鸽子服务端会创建一个uninstal.bat文件，里面的内容是：
uninstal.bat:
:try
del "E:\Documents and Settings\Administrator\桌面\一个鸽子\G_Server2[1].03\G_Server2.03.exe"
if exist "E:\Documents and Settings\Administrator\桌面\一个鸽子\G_Server2[1].03\G_Server2.03.exe" goto try
del %0
exit

接着鸽子会调用cmd.exe执行uninstal.bat批处理文件，紧接着又删除掉uninstal.bat。就是说假如你没有仔细留意的话，你是得不到uninstal.bat这个批处理文件的。

瑞星卡卡安全论坛