12   2  /  2  页   跳转

灰鸽子2007——还是那么烂

收藏
zjjmj2002
头像
初生襁褓狮
  • 帖子:87
  • 注册: 2007-01-31
  • 来自:
发表于: 2007-03-01 09:00 | 短消息 资料
字号: 11楼

原因很简单,灰鸽子要绕过防火墙最好的办法就是通过IE,所以这个木马一运行就打开一个IE进程,当然是SHOW_HIDE了哈,然后远程注入到IE进程中,这样木马对网络的访问就变成了IE对网络的访问了,由于是同一个进程还可以同时使用80端口,的确是很不错!
gototop
 
zjjmj2002
头像
初生襁褓狮
  • 帖子:87
  • 注册: 2007-01-31
  • 来自:
发表于: 2007-03-01 09:04 | 短消息 资料
字号: 12楼

晕,添加服务的时候直接就说俺是灰鸽子,可见灰鸽子的编写者已经从良了哈!
gototop
 
taylor05771
头像
社区嘉宾
  • 帖子:7232
  • 注册: 2003-12-24
  • 来自:
发表于: 2007-03-01 10:02 | 短消息 资料
字号: 13楼

不就多个 隐藏进程么  中止掉 就和06 没啥区别了


至于防火墙 的问题

瑞星墙+http://bbs.hzva.org的 规则包早已经可以拦截了
gototop
 
taylor05771
头像
社区嘉宾
  • 帖子:7232
  • 注册: 2003-12-24
  • 来自:
发表于: 2007-03-01 10:04 | 短消息 资料
字号: 14楼

baohe 你那个鸽子 不是触发进程的服务端

触发进程 IE在冰刃里面不会变红  因为不插 IE的
gototop
 
独孤豪侠
头像
横据古稀狮
  • 帖子:11896
  • 注册: 2005-08-10
  • 来自:花果山
发表于: 2007-03-06 10:27 | 短消息 资料
字号: 15楼

呵呵...学习...
gototop
 
小李飞一把菜刀
头像
初生襁褓狮
  • 帖子:355
  • 注册: 2004-06-04
  • 来自:
发表于: 2007-03-06 10:54 | 短消息 资料
字号: 16楼

学习
gototop
 
zjjmj2002
头像
初生襁褓狮
  • 帖子:87
  • 注册: 2007-01-31
  • 来自:
发表于: 2007-03-06 10:56 | 短消息 资料
字号: 17楼

不算太烂吧,虽然在内核模式通过修改SSDT来HOOK ZWQuerySytemInfomation隐藏进程并不是什么高新科技,但也还算可以啦,俺只知道通过直接修改ntoskrnl.exe内核来HOOK这个函数算是更高级的技术,可以防止有人绕过SSDT,不过还是不能骗过icesword,貌似icesword启动时会检查内存中的ntoskrnl.exe是否与硬盘上那个一样?(猜想而已啦!高手莫笑哈!)
gototop
 
zjjmj2002
头像
初生襁褓狮
  • 帖子:87
  • 注册: 2007-01-31
  • 来自:
发表于: 2007-03-06 10:57 | 短消息 资料
字号: 18楼

不算太烂吧,虽然在内核模式通过修改SSDT来HOOK ZWQuerySytemInfomation隐藏进程并不是什么高新科技,但也还算可以啦,俺只知道通过直接修改ntoskrnl.exe内核来HOOK这个函数算是更高级的技术,可以防止有人绕过SSDT,不过还是不能骗过icesword,貌似icesword启动时会检查内存中的ntoskrnl.exe是否与硬盘上那个一样?(猜想而已啦!高手莫笑哈!)
gototop
 
妖怪的妖
头像
初生襁褓狮
  • 帖子:13
  • 注册: 2007-03-06
  • 来自:
发表于: 2007-03-06 11:15 | 短消息 资料
字号: 19楼

确实。用灰鸽子专杀工具杀不了我机子里的灰鸽子病毒……
gototop
 
yx314944969
头像
初生襁褓狮
  • 帖子:64
  • 注册: 2007-01-10
  • 来自:
发表于: 2007-04-07 20:51 | 短消息 资料
字号: 20楼

灰鸽子专杀貌似没用啊。我没做过手脚的黑防版会鸽子文件都没看见!
gototop
 
<<上一主题|下一主题>>
12   2  /  2  页   跳转
页面顶部
Powered by Discuz!NT