baohe - 2007-2-27 15:09:00
早就听说鸽子出了2007版。以为有了很大改进。
拿到样本一看————还是那么烂。
1、
附件:
1558472007227151232.jpg
baohe - 2007-2-27 15:09:00
misaboa - 2007-2-27 15:10:00
猫叔的贴一定要顶
baohe - 2007-2-27 15:10:00
饭后点心 - 2007-2-27 15:35:00
不过MS07鸽子可以绕过防火墙的.但岁于手杀还是没有什么进步...
spiritfire - 2007-2-27 21:25:00
猫叔,那个红色的IE进程是被鸽子的dll调用的么?
天天泡泡 - 2007-2-27 21:56:00
没什么变化啊
我爱吃橘子 - 2007-2-27 22:38:00
又看到猫猫的帖了
Hackings - 2007-3-1 7:19:00
一点也不滥 有本事来试验下我的鸽子过全世界31种杀毒软件 我插入ie进程了 做了变种 楼主想测试的话加我q84881239 我发你样本
afkp4e7 - 2007-3-1 8:29:00
过再多的杀毒软件有什么用
能无形才强
能过手杀么
zjjmj2002 - 2007-3-1 9:00:00
原因很简单,灰鸽子要绕过防火墙最好的办法就是通过IE,所以这个木马一运行就打开一个IE进程,当然是SHOW_HIDE了哈,然后远程注入到IE进程中,这样木马对网络的访问就变成了IE对网络的访问了,由于是同一个进程还可以同时使用80端口,的确是很不错!
zjjmj2002 - 2007-3-1 9:04:00
晕,添加服务的时候直接就说俺是灰鸽子,可见灰鸽子的编写者已经从良了哈!
taylor05771 - 2007-3-1 10:02:00
不就多个 隐藏进程么 中止掉 就和06 没啥区别了
至于防火墙 的问题
瑞星墙+http://bbs.hzva.org的 规则包早已经可以拦截了
taylor05771 - 2007-3-1 10:04:00
baohe 你那个鸽子 不是触发进程的服务端
触发进程 IE在冰刃里面不会变红 因为不插 IE的
小李飞一把菜刀 - 2007-3-6 10:54:00
学习
zjjmj2002 - 2007-3-6 10:56:00
不算太烂吧,虽然在内核模式通过修改SSDT来HOOK ZWQuerySytemInfomation隐藏进程并不是什么高新科技,但也还算可以啦,俺只知道通过直接修改ntoskrnl.exe内核来HOOK这个函数算是更高级的技术,可以防止有人绕过SSDT,不过还是不能骗过icesword,貌似icesword启动时会检查内存中的ntoskrnl.exe是否与硬盘上那个一样?(猜想而已啦!高手莫笑哈!)
zjjmj2002 - 2007-3-6 10:57:00
不算太烂吧,虽然在内核模式通过修改SSDT来HOOK ZWQuerySytemInfomation隐藏进程并不是什么高新科技,但也还算可以啦,俺只知道通过直接修改ntoskrnl.exe内核来HOOK这个函数算是更高级的技术,可以防止有人绕过SSDT,不过还是不能骗过icesword,貌似icesword启动时会检查内存中的ntoskrnl.exe是否与硬盘上那个一样?(猜想而已啦!高手莫笑哈!)
妖怪的妖 - 2007-3-6 11:15:00
确实。用灰鸽子专杀工具杀不了我机子里的灰鸽子病毒……
yx314944969 - 2007-4-7 20:51:00
灰鸽子专杀貌似没用啊。我没做过手脚的黑防版会鸽子文件都没看见!
© 2000 - 2026 Rising Corp. Ltd.