下沙论坛

 找回密码
 注册论坛(EC通行证)

QQ登录

QQ登录

下沙大学生网QQ群8(千人群)
群号:6490324 ,验证:下沙大学生网。
用手机发布本地信息严禁群发,各种宣传贴请发表在下沙信息版块有问必答,欢迎提问 提升会员等级,助你宣传
新会员必读 大学生的论坛下沙新生必读下沙币获得方法及使用
查看: 4960|回复: 3
打印 上一主题 下一主题

[原创]教大家如何清理灰鸽子

[复制链接]

该用户从未签到

跳转到指定楼层
1
发表于 2006-12-2 12:37:00 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

因为看到有人在论坛里问过这个问题,故发个帖子给大家分享下自己的经验,希望看本人帖子的朋友认同的请顶下,有什么说错或不足的地方大家请务必留下意见和批评,十分感谢,不欣赏看贴却不顶的朋友,也许我很霸道吧,呵呵,下面进入正题

灰鸽子是一款远程控制软件,现在用的一般是黑防专版和2006,中了鸽子后,对方可以轻易的对你的电脑进行任何操作,鸽子服务端程序有3种文件格式,exe,bat,com,他的隐蔽性主要有3点,

一是取名和电脑中某些服务相近,而且是任意的,比如或电脑中有这样一个服务DNS Client,配置鸽子服务端的时候就可以取一个与之相近的名字,类似DNS Clent

二是配置时可以让该程序运行隐藏,不显示在任务管理器进程中,一般取名也是用近似法比如进程中有个程序rfwsrv.exe,则鸽子程序可以取为rfwsrv.bat或rfsrv.exe等,主要是混淆,

第三点也是最重要一点是鸽子一般被做过免杀,当然在这里默认你的电脑是装了卡巴或瑞星等优秀杀毒软件,相信不装杀毒软件的朋友看此帖也没意义.做了最新免杀的鸽子是不会被卡巴或瑞星所查出的(这里不提如金山等垃圾杀毒软件,因为鸽子一个鸽子是否能过杀毒软件测试用的就是卡吧和瑞星的内存杀毒,过了这2者就表明免杀已经成功,其他杀毒软件也是杀不出的).

既然它具有这3方面的隐藏性,我们该怎么办呢,

当你发现自己电脑被控制或出现异常现象时,先断开网络,由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。

显示所有文件。打开“我的电脑”,选择菜单“工具”—“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。 打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录C:\Winnt。 经过搜索,我们在Windows目录(不包含子目录)下发现了一个名为****_Hook.dll的文件。 根据灰鸽子原理分析我们知道,如果***.DLL是灰鸽子的文件,则在操作系统安装目录下还会有****.exe.打开Windows目录,同时还有一个用于记录键盘操作的***key.dll.

然后打开注册表编辑器(点击“开始”-“运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services.点击菜单“编辑”-“查找”,“查找目标”输入***.exe,我们就可以找到灰鸽子的服务项***_Server删除整个***_Server项。 运行注册表编辑器,打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项,我们立即看到名为***exe,将***.exe项删除即可。

最后给大家给大家点个人意见,预防为主,特别是电脑里有什么重要东西的,请务必做好电脑的安全维护,因为一般发现被恶搞了已经晚了,封端口,卡巴杀毒软件,瑞星防火墙,360安全卫士,这是本人认为几个比较好的预防黑客入侵和免疫木马病毒等的方法.针对鸽子,封端口由为重要,可以通过扫1433等端口,直接通过SQL向你电脑上传木马,病毒,鸽子等,并运行他们,本人已经发表了相关帖子,有需要的朋友浏览下,能顶下最好,哈

分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏 分享分享 顶 踩

该用户从未签到

2
发表于 2007-3-17 01:37:00 | 只看该作者
我这里有个会鸽子配置工具,可是不会用~~
回复 支持 反对

使用道具 举报

该用户从未签到

3
发表于 2007-3-17 11:27:00 | 只看该作者
现在有专杀了,
回复 支持 反对

使用道具 举报

该用户从未签到

4
发表于 2007-3-26 20:28:00 | 只看该作者
啊?!好像是一个插件啊!用一些插件卸载工具就可以了啊
回复 支持 反对

使用道具 举报

本版积分规则

关闭

下沙大学生网推荐上一条 /1 下一条

快速回复 返回顶部 返回列表