大数据

灰鸽子木马实验指导

来源:admin日期:2020/04/26 浏览:

      灰鸽子变种木马运转后,会自我复制到Windows目次下,并自即将装置顺序剔除。

      近段时刻很多人的adsl帐号或QQ被盗,不出万一的话,这普通都是中了灰鸽子木马。

      种木马的手腕有很多,例如,盗码者得以将它与一张图样绑定,然后冒充成一个羞涩的MM通过QQ把木马传给你,诱骗你运转;也得以成立一个匹夫网页,诱骗你点击,采用IE漏子把木马下载到你的机器上并运转;还得以将文书上传到某软件下载站点,冒充成一个风趣的软件诱骗用户下载……G_Server。

      故此,中毒后,咱看不到病毒文书,也看不到病毒登记的服务项。

      通过这一些,咱得以较为准细工检测出灰鸽子服务端。

      聊天工具传布:通过立时聊天工具传布随带灰鸽子的网页链接或文书。

      病毒犯时,会积极连病毒笔者的统制端,胜利连病毒笔者的统制端后,病毒笔者能实时获取用户屏幕情节、实时监/统制用户摄像头、记要国语聊天记要、查阅/下载用户机器上的肆意文书、查阅/停止用户肆意过程,也能统制被感染机器关机或重启。

      dll并机动退出。

      dll和A_Hook。

      病毒开释的灰鸽木马会连下载i.txt文书,依据i.txt文书中的情节连盗码者并领受其统制。

      故此,中毒后,咱看不到病毒文书,也看不到病毒登记的服务项。

      exe文书外的一切文书,实则本人并没希望瑞星能全体查杀,但是瑞星现实上给我帮了一个大忙,即帮我规定了所中灰鸽子病毒的品类,我在应用瑞星查杀时查杀了G_server。

      exe、A。

      dll的文书。

      点击布置服务顺序,在机动上线设立里,布置本土长机的IP和连密码;

      图5布置IP和密码(5)为了保证服务端顺序运转的隐蔽性,把装置选项里的装置后机动剔除装置文书选中;

      图6机动剔除装置包(6)在启动项设立里,设立服务器端顺序登记为服务以后,在保管工具/服务中显得的本服务的名目和信息,得以起到躲藏木马顺序的效果。

      随着灰鸽子服务端文书的设立不一样,G_Server_Hook.dll有时节附在Explorer.exe的过程空中中,有时节则是附在一切过程中。

      png_(34.31KB)_下载备件360社区2016-11-2322:29上传灰鸽子被360踢蹬,拦截,事第一被料理过的(咱是特许管理资质)惋惜名跟灰鸽子木马重名,招致连咱开花阳台账户也给封了。

      剔除整个Game_Server项。

      依据灰鸽子原理辨析咱懂得,如其Game_Hook.DLL是灰鸽子的文书,则在操作系装置目次下还会有Game.exe和Game.dll文书。

      从上的运转原理辨析得以看出,不论自界说的服务器端文书名是何,普通都会在操作系的装置目次下生成一个以_hook.dll结尾的文书。

      dll结尾的文书。

      剔除灰鸽子顺序言件剔除灰鸽子顺序言件异常简略,只需求在安好模式下剔除Windows目次下的G_Server.exe、G_Server.dll、G_Server_Hook.dll以及G_Serverkey.dll文书,然后重新启动计算机。

      试验步调下载应用木马步调说明:下载和应用木马1.在winxp计算机上,开曾经下载好的木马所在的文书夹qs2004,双击里的客户端H_client(该例子中如其碰到客户端没辙开的情况,请从_牵手.zip重新解压生成一个新的客户端顺序再履行。

0
首页
电话
短信