2007-12-23 23:48
我使用的是pcshare2007.11.25free版,vip版什么的工作方式应该差不多,稳定性和过hips的功能可能要好~~
先了解pcshare,这个马采用驱动隐藏,隐藏端口,dll注射SVCHOST.EXE或者ie进程来穿墙,安装随机服务(注册表里没有隐藏)
其实杀这个马的思路很简单,dll和sys驱动直接利用bk里的文本导入强制删除功能删除,服务在服务管理里删除,就ok了,下面是过程~~
|
2007-12-22 23:20
1:远程控制木马是怎样工作的?
远程控制木马一般都分为客户端和服务端,C/S模型
客户端给所谓的"hacker"使用,服务端给受害者运行,服务端通过各种隐蔽的手段在受害者的主机上运行后.会自动连接到hacker的主机上,这样hacker们就可以操纵客户端(一个软件,仅此而已)控制其他机子了
所以我们手动只要清除掉被偷偷安装在自己机子上的服务端即可
|
2007-12-22 23:19
今天来测试一个新的木马----byshell,开发者XXX和xxx等都是安全界很出名的人物,可惜~~~~~~~~~~~
先看下介绍
过主动防御的功能的确很强
服务端配置,这里主要是让很多没接触过的人看下 |
2007-12-14 18:56
第三个木马是外国进口,名气很大,叫poison ivy,功能也是巨强的那种,生成的服务端仅8kb,却完成了远程控制的大马的功能
下面来看看bk的清除步骤
配置服务端
|
2007-12-14 18:45
上 次拿鸽子开刀,今天咱来拿另一种木马-----上兴开刀
我用的是07年v4.5共享版来测试
这个木马功能强大,危害极大下面是引用作者的一段说明
"服务端不但能插入IE进程穿防火墙,又可选随意插系统目录的文件,不用生成DLL文件,无驱动隐藏,内存占用少。
使用自我克隆双进程插入,相互进程保护,服务项保护,程序文件保护,只要程序运行后手工极难以 |
2007-12-14 18:38
第一次咱拿灰鸽子这款国内名气最大,传播最广的木马开刀,我测试用的是 黑防版本05鸽子,也是使用的很广的木马
设置安装的服务名,一般这里会写的ms很专业的样子,不象我这么直白
|
2007-12-14 00:15
快考试了,没时间弄了,先发布下,有问题和建议请留言~~谢谢
感谢旅行者2号,蜗牛,蓝田,intargent,chenhui530等人的帮助与测试~~
下载地址
adwwy2005.ys168.com
|
|
|
|
加为好友
送他礼物
发送消息
