瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 关于历年vip和专版鸽子个人亲历(未完待续).....

1   1  /  1  页   跳转

[原创] 关于历年vip和专版鸽子个人亲历(未完待续).....

关于历年vip和专版鸽子个人亲历(未完待续).....

放假这几天体验了一下灰鸽子,因为实在没找着高级的、最新出的(貌似网上报价5000......不过还是找齐了05
05vip06 vip、08专版还有算是最近的梦想专版.......


希望同志们有点用吧,不过明天就军训了,今天只体验了0506版的,军训完了给大家补上......


用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)
先编程,次汇编,此之谓正途;先学防,次为攻,此之谓王道.....
常用工具下载:http://blog.xunlei.com/web/category.html?uin=user2007333&category_id=1800
分享到:
gototop
 

回复: 关于历年vip和专版鸽子个人亲历(未完待续).....

05鸽子
官方给出的特点:

运行后,病毒进程插入所有当前正在运行的进程中
隐藏病毒自身进程、隐藏病毒文件
将自身注册为系统服务,实现启动加载。因此,染毒后很难在WINDOWS下将病毒杀净。



手工查杀,一定要病毒注册的系统服务名,删除其在注册标的对应建值;
由于鸽子是黑客自己配的,所以其加载的系统服务名字五花八门;我的默认服务是spoolvs

因为毕竟是3年前的病毒了,所以还是比较简单的;扫一下日志,可以查出灰鸽子注册的系统服务名;如D:\WINDOWS\spoolvs.exe;

删除/禁用其位于HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES的系统服务名;

重启后进入安全模式,找到注册表病毒项对应的文件,删除;


比较简单,就不给图勒,至此清除完成。
先编程,次汇编,此之谓正途;先学防,次为攻,此之谓王道.....
常用工具下载:http://blog.xunlei.com/web/category.html?uin=user2007333&category_id=1800
gototop
 

回复: 关于历年vip和专版鸽子个人亲历(未完待续).....

06灰鸽子


33推出了2006VIP版,在服务端加载项的隐藏上可以说十分出色。

见图1:

是灰鸽子的配置端,添加了隐藏服务项的功能;


还和05版有个不同;05进程里会多出一个ie进程,06vip班没有。


06vip版隐藏了几乎所有的加载项目,包括进程,文件和服务的隐藏,一般的进程察看无法察觉;
众所周知灰鸽子是使用服务加载,06以前的版本其服务是没有隐藏的,使用hijackthis可以扫描出来,06版只有使用IceSword底层扫描工具才可以是它显形,即使直接从管理-服务里也无从查找,可以说是这一年最大的突破和亮点;


图3为冰刃

图4为底层扫描

同样位于HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\下有病毒加载的服务,不过需要经验和细心判断,因为是黑客配置的,所以……

总结:清除方法
查看是否有可疑的IE端口打开,鸽子的默认端口为8000,可以自定义;
使用IceSword底层安全扫描器,发现有红色显示就说明你已经被某个加载到服务里启动的后门程序所控制,记下服务名称。
打开位置在HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\目录,寻找服务队应加载项,删除/禁用;
重启进入安全模式,显示所有系统文件,查找其对应的病毒文件,删除;
至此,清除完成

附件附件:

文件名:tupian.rar
下载次数:210
文件类型:application/octet-stream
文件大小:
上传时间:2008-8-21 16:51:50
描述:rar

先编程,次汇编,此之谓正途;先学防,次为攻,此之谓王道.....
常用工具下载:http://blog.xunlei.com/web/category.html?uin=user2007333&category_id=1800
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT