马上注册,结交更多好友,享用更多功能。
您需要 登录 才可以下载或查看,没有帐号?注册
x
手动清除灰鸽子的一点心得
今天上了会网感觉网速忽然慢了下来,恩?怎么?被人入侵?这是我当时的第一感觉。黑基论坛,培训,动画,教程,攻击,入侵,挂站,破解,漏洞,扫描,共享,木马,病毒,跳板,监听,嗅探,炸弹,伪装,拒绝服务,防火墙,杀毒软件,入侵检测,身份认证,缓冲溢出,蠕虫,安全工具,攻击程序,加密,解密,外挂,私服,ddos,webshell,sql注入,灰鸽子,冰河,熊猫烧香4};E0H5G/Z E8D/V&m
★●黑基论坛●★"c7E [1J6@7\.H
而事后证明了我猜测的正确性。 ★●黑基论坛●★+x!c2w$T;\)q/X
-A-@(|-e7R5?bbs.hackbase.com (1)首先ctrl+alt+del打开进程查看,没什么异常。。
!s t&m6{)s G,A!C黑基论坛,培训,动画,教程,攻击,入侵,挂站,破解,漏洞,扫描,共享,木马,病毒,跳板,监听,嗅探,炸弹,伪装,拒绝服务,防火墙,杀毒软件,入侵检测,身份认证,缓冲溢出,蠕虫,安全工具,攻击程序,加密,解密,外挂,私服,ddos,webshell,sql注入,灰鸽子,冰河,熊猫烧香 bbs.hackbase.com,E2K2r"a.~9y2p.d2x
可是网速还是忽快忽慢,不甘心。
培训,动画,教程,攻击,入侵,挂站,破解,漏洞,扫描,共享,木马,病毒,跳板,监听,嗅探,炸弹,伪装,拒绝服务,防火墙,杀毒软件,入侵检测,身份认证,缓冲溢出,蠕虫,安全工具,攻击程序,加密,解密,外挂,私服,ddos,webshell,sql注入,灰鸽子,冰河,熊猫烧香)H+a4j#F0O,W8r
用绝招咯---重起。哈哈。当我重起打开机器的一瞬,知觉让我再次打开了进程,哈哈。这一看让我抓
到尾巴咯,原来多了个wsc...的进程,还没高兴完,它的名字都没记清,它就消失了,郁闷。怎么办泥★●黑基论坛●★/},l4C5}2t3|*A(o1G5C
bbs.hackbase.com+i+A;`%B-?0T6?8e1u
?思考中。。。那东西既然是开机自启动,对,就去msconfig里看看究竟。开始--运行--输入msconfig,'|9T,s1f/k7l2F1g;}
&v/U0|&v4g
切换到启动项,恩,不错,有个新增的启动项,不过启动项目的名称被隐藏了,郁闷。3T+Z.y$R1E$r*B
黑基论坛,培训,动画,教程,攻击,入侵,挂站,破解,漏洞,扫描,共享,木马,病毒,跳板,监听,嗅探,炸弹,伪装,拒绝服务,防火墙,杀毒软件,入侵检测,身份认证,缓冲溢出,蠕虫,安全工具,攻击程序,加密,解密,外挂,私服,ddos,webshell,sql注入,灰鸽子,冰河,熊猫烧香7f*t m2Y"S/X+z8^0u
最起码知道了点线索。继续努力中。。。
怎么才能弄到它的启动名称呢?。。。。 哈哈。想到了---截图。(原来这就叫灵感啊,嘎嘎)
教程,攻击,入侵,挂站,破解,漏洞,扫描,共享,木马,病毒,跳板,监听,嗅探,炸弹,伪装,拒绝服务,防火墙,杀毒软件,入侵检测,身份认证,缓冲溢出,蠕虫,安全工具,攻击程序,加密,解密,外挂,私服,ddos,webshell,sql注入,灰鸽子,冰河,熊猫烧香0c!h9I;A#R(r9F
重起机器,刚刚显示桌面的时候迅速按下ctrl+alt+del切换到进程项,并以迅雷不及掩耳之势按下/|-X/^!g;U;K*N Y)~%{&^
●★黑基论坛★● - 全球最大中文黑客社区2`%f6K-~;?
Print Screen(哈哈,键盘上F12右下方的位置),哈哈,此时它居然还在(看出配置低的优点了吧,就是
慢,慢有慢的好处哦,当有异常的入侵等活动的时候一下就感觉到了,:)偷笑中...),正当我高兴的
时候,它就消失了,至此第一步目的达到了。-----弄清那个家伙到底叫什么。它的名字就是wscsvic.exe★●黑基论坛●★+A,E6O1F%F"W*g H
★●黑基论坛●★*s6t!H'u)c6c$B y P:^
。&C$g,p+v8q(j1J(G:G
bbs.hackbase.com&j3x%@5J3]5t
下面是进程的截图:
,挂站,破解,漏洞,扫描,共享,木马,病毒,跳板,监听,嗅探,炸弹,伪装,拒绝服务,防火墙,杀毒软件,入侵检测,身份认证,缓冲溢出,蠕虫,安全工具,攻击程序,加密,解密,外挂,私服,ddos,webshell,sql注入,灰鸽子,冰河,熊猫烧香2|:A7a)z+@;A/F
★●黑基论坛●★/V%~&C5}+Z*e(`2_
★●黑基论坛●★6Z-_+S#j8e0h M
(u;w0m0K*@&\8S/{
(2)接下来就该确定路径了,我是这么做的:bbs.hackbase.com!?9d4E2\1Q"t8d$P'C
开始--运行---输入regedit,打开注册表编辑器,查找,彻底的查找,从我的电脑根键下开始。ctrl+F
输入wscsvic,查找。不一会找到了。F3继续找。找完共两处。经与我装系统时备份的注册表比较后确定
新建键值为
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Security Cente和k
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SECURITY_CENTE8c5j
k
8Q6~#x2w)k)g2[9J9C
可知原文件是c:\windows下的wscsvic.exe,呵呵,很有诱惑力的名字哦。象它的键值一样有诱惑●★黑基论坛★● - 全球最大中文黑客社区5x7O/T"F"b$|8C
力,由此可见备份是多么的重要啊。黑基论坛,培训,动画,教程,攻击,入侵,挂站,破解,漏洞,扫描,共享,木马,病毒,跳板,监听,嗅探,炸弹,伪装,拒绝服务,防火墙,杀毒软件,入侵检测,身份认证,缓冲溢出,蠕虫,安全工具,攻击程序,加密,解密,外挂,私服,ddos,webshell,sql注入,灰鸽子,冰河,熊猫烧香3c.E5N$R"b*Z*\.w-E
(3)寻找原文件c:\windows\wscsvic.exe,Kill之。bbs.hackbase.com&~'T)o:c+J H$[0l-I:S0I/^
可是到了windows下,把 ”工具--文件夹选项--查看下的显示所有文件和文件夹“选中,”隐藏受保护的
系统文件“前的勾去掉后,还是找不到目标文件。再次陷入了郁闷中......
过了一会灵感又来了--安全模式。(高手可能早就想到了,见笑了。)黑基论坛,培训,动画,教程,攻击,入侵,挂站,破解,漏洞,扫描,共享,木马,病毒,跳板,监听,嗅探,炸弹,伪装,拒绝服务,防火墙,杀毒软件,入侵检测,身份认证,缓冲溢出,蠕虫,安全工具,攻击程序,加密,解密,外挂,私服,ddos,webshell,sql注入,灰鸽子,冰河,熊猫烧香*V5z.A'\5d6s3l+Y
黑基论坛,培训,动画,教程,攻击,入侵,挂站,破解,漏洞,扫描,共享,木马,病毒,跳板,监听,嗅探,炸弹,伪装,拒绝服务,防火墙,杀毒软件,入侵检测,身份认证,缓冲溢出,蠕虫,安全工具,攻击程序,加密,解密,外挂,私服,ddos,webshell,sql注入,灰鸽子,冰河,熊猫烧香.p'b)[#K3s*W$P
呵呵,果然工夫不负有心人,在重起按下F8进入安全模式后,凶手终于被我逮住了。哈哈,高兴啊。然后
右键--排列图标--按修改日期排列,发现与其同时生成的还有两个文件wscsvic.dll和wscvsic_hook.dll★●黑基论坛●★7J*j;K'M9R:J7X
由其文件特征判断为灰鸽子后门程序,至此,灰鸽子三兄弟全部被捕。下面就该法官出场了。经审判。法
官宣布:死刑,立即执行。呵呵,台下响起阵阵掌声....(注册表里的两兄弟应涉嫌协助鸽子三兄弟作案★●黑基论坛●★([)T3O9q(\#T0W7Q!O0R7D
●★黑基论坛★● - 全球最大中文黑客社区6f-o4I!s(z
也没能幸免)bbs.hackbase.com:K8N'~0Z4F9}
●★黑基论坛★● - 全球最大中文黑客社区.f1i%M!I3N
死刑现场如下
(4)总结:首先,重重的困难(可能对于高手们来说不算什么,哈哈)诞生了这篇文章。
得到经验教训如下:★●黑基论坛●★,k'\.].F'z3L&W f
A.进程中重要的进程名称记住,知道那些是系统进程,那些不是。最起码要熟悉。★●黑基论坛●★'f&M.}$n2w;i-T8I F
黑基论坛,培训,动画,教程,攻击,入侵,挂站,破解,漏洞,扫描,共享,木马,病毒,跳板,监听,嗅探,炸弹,伪装,拒绝服务,防火墙,杀毒软件,入侵检测,身份认证,缓冲溢出,蠕虫,安全工具,攻击程序,加密,解密,外挂,私服,ddos,webshell,sql注入,灰鸽子,冰河,熊猫烧香6C;Z%g)A*i"i"l!f,R%l8Z0t
B.及时做好备份,我个人认为注册表备份最重要。&f0a:z O0x'g R$S'z
C.有困难多找安全模式,哈哈。4?!q#x1['z,q9E
●★黑基论坛★● - 全球最大中文黑客社区/k)s4O$J(L:W'O:Y
D.心里还是有不少的疑惑,例如那东西是怎么隐藏的那么隐蔽的等等,还望高手不吝赐教。
E.问题攒多了,灵感就来了,多多思考。 |
IP卡
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
