发表于:
2008-08-21 16:52
|
显示全部
短消息
资料
回复: 关于历年vip和专版鸽子个人亲历(未完待续).....
06灰鸽子3月3日推出了2006VIP版,在服务端加载项的隐藏上可以说十分出色。见图1:是灰鸽子的配置端,添加了隐藏服务项的功能;还和05版有个不同;05进程里会多出一个ie进程,06vip班没有。06vip版隐藏了几乎所有的加载项目,包括进程,文件和服务的隐藏,一般的进程察看无法察觉;众所周知灰鸽子是使用服务加载,06以前的版本其服务是没有隐藏的,使用hijackthis可以扫描出来,06版只有使用IceSword底层扫描工具才可以是它显形,即使直接从管理-服务里也无从查找,可以说是这一年最大的突破和亮点;图3为冰刃图4为底层扫描
同样位于HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\下有病毒加载的服务,不过需要经验和细心判断,因为是黑客配置的,所以……
总结:清除方法
查看是否有可疑的IE端口打开,鸽子的默认端口为8000,可以自定义;
使用IceSword底层安全扫描器,发现有红色显示就说明你已经被某个加载到服务里启动的后门程序所控制,记下服务名称。
打开位置在HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\目录,寻找服务队应加载项,删除/禁用;
重启进入安全模式,显示所有系统文件,查找其对应的病毒文件,删除;
至此,清除完成
 附件:
您所在的用户组无法下载或查看附件
先编程,次汇编,此之谓正途;先学防,次为攻,此之谓王道.....
常用工具下载:http://blog.xunlei.com/web/category.html?uin=user2007333&category_id=1800
|
