瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 对baohe斑竹的““新版灰鸽子”的一些特点及手工查杀举例”的补充

12   1  /  2  页   跳转

对baohe斑竹的““新版灰鸽子”的一些特点及手工查杀举例”的补充

收藏
breach
头像
拙长孩提狮
  • 帖子:96
  • 注册: 2006-08-17
  • 来自:
发表于: 2006-08-30 11:44 | 只看楼主 短消息 资料
字号: 1楼

对baohe斑竹的““新版灰鸽子”的一些特点及手工查杀举例”的补充

今天baohe斑竹送给俺几只鸽子,高兴地不得了,就再测试下新版灰鸽子,情况就跟斑竹的《“新版灰鸽子”的一些特点及手工查杀举例》差不多。具体的处理方法,请看http://forum.ikaka.com/topic.asp?board=28&artid=7156227 .不过我发现了一些其他新的东西,不敢独自享受,就帖出来这里。

木马文件在%windows%\Internet Explorer\文件夹中(这个文件夹是灰鸽子创建的)。
(斑竹的原话),是的,就是这样的情况,并且用系统的资源管理器是看不到木马的文件的(就算你在文件夹选项那里设置成显示所有文件及系统隐藏文件,一样是显示不出来的),用IceSword就可以看到,如下图

附件附件:

下载次数:333
文件类型:image/pjpeg
文件大小:
上传时间:2006-8-30 11:44:44
描述:



最后编辑2006-09-01 12:54:11.937000000
分享到:
gototop
 
breach
头像
拙长孩提狮
  • 帖子:96
  • 注册: 2006-08-17
  • 来自:
发表于: 2006-08-30 11:50 | 只看楼主 短消息 资料
字号: 2楼

baohe斑竹曾在《Tiny Personal Firewall 2005 Pro的MD5被更改》说到TPF2005的MD5被篡改了,我现在想说的就是Tiny默认的情况下对自己的进程的保护做的十分不好,很容易被篡改。这只新版灰鸽子就可以插入Tiny的任何一个进程(我的Tiny版本是v6.5.126)。不过还好,SSM保护了自己的进程(我的SSM的版本是v2.0.8.574),IceSword保护了自己的进程不被其他进程插入(我的版本是v1.18)

附件附件:

下载次数:262
文件类型:image/pjpeg
文件大小:
上传时间:2006-8-30 11:50:38
描述:
gototop
 
breach
头像
拙长孩提狮
  • 帖子:96
  • 注册: 2006-08-17
  • 来自:
发表于: 2006-08-30 11:53 | 只看楼主 短消息 资料
字号: 3楼

SSM保护了自己的进程

附件附件:

下载次数:273
文件类型:image/pjpeg
文件大小:
上传时间:2006-8-30 11:53:56
描述:
gototop
 
breach
头像
拙长孩提狮
  • 帖子:96
  • 注册: 2006-08-17
  • 来自:
发表于: 2006-08-30 11:59 | 只看楼主 短消息 资料
字号: 4楼

IceSword也保护了自己的进程不被其他进程插入

附件附件:

下载次数:295
文件类型:image/pjpeg
文件大小:
上传时间:2006-8-30 11:59:03
描述:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-30 12:01 | 短消息 资料
字号: 5楼

【回复“breach”的帖子】
拜托呀——老大!
不要总贴这类bmp图片。打开太慢了。
不能贴jpg格式的图?
gototop
 
从头爱你
头像
锋芒艾服狮
  • 帖子:1791
  • 注册: 2005-06-17
  • 来自:
发表于: 2006-08-30 12:05 | 短消息 资料
字号: 6楼

引用:
【baohe的贴子】【回复“breach”的帖子】
拜托呀——老大!
不要总贴这类bmp图片。打开太慢了。
不能贴jpg格式的图?
………………

  截图发给Q上好友在保存就是jpg的......
gototop
 
breach
头像
拙长孩提狮
  • 帖子:96
  • 注册: 2006-08-17
  • 来自:
发表于: 2006-08-30 12:07 | 只看楼主 短消息 资料
字号: 7楼

引用:
【baohe的贴子】【回复“breach”的帖子】
拜托呀——老大!
不要总贴这类bmp图片。打开太慢了。
不能贴jpg格式的图?
………………



好的。老大。我马上改。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-30 12:08 | 短消息 资料
字号: 8楼

引用:
【breach的贴子】SSM保护了自己的进程
………………

Tiny也有这种功能。
那只是设置问题。
gototop
 
頂尖貨銫
头像
初生襁褓狮
  • 帖子:163
  • 注册: 2006-08-26
  • 来自:
发表于: 2006-08-30 12:09 | 短消息 资料
字号: 9楼

学习``
gototop
 
breach
头像
拙长孩提狮
  • 帖子:96
  • 注册: 2006-08-17
  • 来自:
发表于: 2006-08-30 12:13 | 只看楼主 短消息 资料
字号: 10楼

引用:
【baohe的贴子】
Tiny也有这种功能。
那只是设置问题。
………………



恩,是可以自己来设置。但是Tiny应该默认也像SSM(IceSword)那样对自己的进程进行保护才是最佳方案。
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT