[推荐] 经典计算机技术大暴光正更新中.

渴望酒吧 · 发表于 2005-12-10 06:02

<

align=left>第一站杀毒软件：
对于大部分计算机用户来说，计算机木马病毒都是有杀毒软件来代劳解决，但很多时候效果并不理想，下面又小弟来介绍一下我的使用心得：
第一、曾经堪称世界杀毒效果排名第一的又俄罗斯一实验室研制的杀毒软件卡巴斯基杀毒软件，其特点是对表面杀毒效果超强，在网上公布的木马病毒中基本上今天公布第二天就被杀掉了，但在大陆具我所见很大一部分人都没有用过。<<但也有个弱点只要改一下木马病毒的程序头或加点花指令就可以朵过他的追杀，所以引出了第二款杀毒软件

第二、瑞星杀毒软件，我想没有人不认识他吧（谁啊别用砖头来砸我，·##￥·##我没有在这里做广告啊，况且我也不是买瑞星杀毒软件的）瑞星的杀毒效果强是强在内存杀毒效果，就是木马病毒运行的时候会把自己释放到内存中才可以运行（也许说的不够专业我是业余爱好者别建议）它就在第一现场进行查杀，这也是很多玩木马病毒的小菜鸟们做头痛的地方，一自己不会写木马写病毒，用别人的又被瑞星杀，其实说白了也就是那么回事很多对汇编反汇编懂一点的只要在程序里面加点代码改点代码就OK了又逃过一节怎么办。慢接着往下看.....

第三款、是金山的可疑文件扫描工具，这个工具利用的是·￥·￥·￥#·什么原理呢？
我也不清楚，反正他利用了黑客们的心理（跟社会工程学有关吧）加上对系统文件的盘查把可疑文件查出来，比如有经验的黑客会吧后门隐藏的很好，做成免杀的，一上两款杀毒软件对它视而不见的时候这个工具是最好的朋友呵呵......
<a href="http://db.kingsoft.com/download/othertools/TrojanDetector.EXE" target="_blank" >金山</A> 下载 [em02]<a href="http://soft.hackbase.com/view.asp?id=20051124AVP.rar" target="_blank" >卡巴</A> 下载 [em02]
第一次发长贴 ........ 如果大家觉有用的话，能听懂的话我会接着发 [em02][em02][em02]
<a href="http://download2.77169.com/soft/safe/protec/Kaspersky%20Anti-Virus%20Personal.v5.0.388%20Final.HH.zip%20target=" target="_blank" >卡巴</A> 下载[em02][em02]

[此贴子已经被作者于2005-12-10 13:51:22编辑过]

渴望酒吧 · 发表于 2005-12-10 06:05

<

>第二站常见木马后门清除
①工具清除法
清除木马后门大家第一个肯定想到木马克星呵呵~~~~~~~ 不错但要钱的，怎么办（凉拌）
<

>呵呵上有对策下有政策，如果有需要的话我可以教大家怎么破解木马克星（使你的木马
<

>可行成为最新注册版）。这里我提几个比较好用的专杀工具比如最经典的是灰鸽子木马清
<

>除器网上有N多，我也可以提供一个呵呵但这个是有局限性的，我们做事都要靠自己不要
<

>依靠别人，别人靠的住母猪会上树！·##·#·￥￥#·#·一阵狂晕 <<小学语文一直不
<

>好，也没办法比喻句不会造啊~~~~~~~~
②手工清除法
放眼一看哇塞，手工清楚木马后门，我还二丈和尚摸不着头呢，怎么除马啊。莫怕莫怕
<

>只要你认真的看完本贴包你会除马呵呵~~~~~~
首先来了解木马是怎么启动的。在Win.ini文件中，在[WINDOWS]下面，“run=”和 
<

>“load=”是可能加载“木马”程序像这样低级的木马启动方式的清除法我就不说了，网
<

>上一大堆况且这样的木马现在不多了呵呵今天主要讲的是一系统服务方式启动的，现在
<

>一般的木马都是木马.exe和木马.dll连用的用系统启动木马.exe再木马.exe来调用动
态连接库木马.dll 来实现他们的工作的，这个工作方式的木马典型的有灰鸽子，上兴 
黑洞、pcshare等等他们都会有两部分组成的。今天给大家讲述的是如何清除灰鸽子，
上兴、黑洞。由于这三个比较典型清除方式也差不多，所以就拿来做实验呵呵；
当然虽然说是手工清楚，但还是要用到辅助工具的Resplendent Registrar这是一款非常
好使的工具，自从遇见了它我就被他深深的吸引住了（干吗干吗表白啊<a href="http://bbs.uggd.com/mailt!@$@$$%@@@@%" target="_blank" >!@$@$$%@@@@%</A>）
好了开始我们的今天之旅吧：
清除灰鸽子：先来说说老版本的,打开我的电脑>系统盘(一般都是C盘的)>windows(如果是
2000的话是winnt) 再是点工具栏里的工具>文件夹选项>查看>如图1
把“隐藏受保护的操作系统文件（推荐）”的勾去掉，下面的“隐藏文件和文件夹”这里
选择“显示所有文件和文件夹”
再点“搜索”在“要搜索的文件或文件夹名为:”这里填入_hook.dll点搜索入图二这个是
正常的
如果错出了两个的话看看名字有问题就用Resplendent Registrar这个工具来查他的注册
表位置，和启动项（<<由于我老版本的鸽子坏了不能用了，所以没有图片了大家如果有问
题可以单独M我）
接着看新版的鸽子查杀方法，由于这个木马后门是别人中的，我们没有办法知道名字，我
这里借助了上一篇的那个金山查的结果如图呵呵看有问题吧，玩过这个木马的人都知道着
是灰鸽子的服务端呵呵接着用Resplendent Registrar工具来搜索程序名看下图
<img src="attachments/dvbbs/2005-12/20051210133720779.jpg" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt=\'Click here to open new window\nCTRL+Mouse wheel to zoom in/out\';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor=\'hand\'; this.alt=\'Click here to open new window\nCTRL+Mouse wheel to zoom in/out\';}" onclick="if(!this.resized) {return true;} else {window.open(\'attachments/dvbbs/2005-12/20051210133720779.jpg\');}" onmousewheel="return imgzoom(this);" alt="" />鸽子1
<img src="attachments/dvbbs/2005-12/20051210134144272.jpg" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt=\'Click here to open new window\nCTRL+Mouse wheel to zoom in/out\';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor=\'hand\'; this.alt=\'Click here to open new window\nCTRL+Mouse wheel to zoom in/out\';}" onclick="if(!this.resized) {return true;} else {window.open(\'attachments/dvbbs/2005-12/20051210134144272.jpg\');}" onmousewheel="return imgzoom(this);" alt="" />鸽子图2
<img src="attachments/dvbbs/2005-12/20051210134214992.jpg" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt=\'Click here to open new window\nCTRL+Mouse wheel to zoom in/out\';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor=\'hand\'; this.alt=\'Click here to open new window\nCTRL+Mouse wheel to zoom in/out\';}" onclick="if(!this.resized) {return true;} else {window.open(\'attachments/dvbbs/2005-12/20051210134214992.jpg\');}" onmousewheel="return imgzoom(this);" alt="" />鸽子图三
找到后直接删掉唉计算机重起后删掉 c:\winnt\system\mdnn.exe就好了，记得千万不
要删了mdm.exe这个哦 
mdm.exe可是系统自己带的程序哦是删了的后果我不知道呵呵~~~~~~~~ （这是鸽子2.0的
删除方法）
最新鸽子2.02的删除方法
详细键植和名字如下：
新版灰鸽子的查杀方法
1、展开：HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\
删除：mchInjDrv
2、展开：HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\
删除：virtual
3、展开：HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet002\\Services\\
删除：mchInjDrv
4、展开：HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet002\\Services\\
删除：virtual
5、重启系统。此时，灰鸽子创建的文件及文件夹已全部可见。删除C:\\WINDOWS\\Intern
et Explorer\\文件夹中的所有文件，最后，删除这个文件夹。 
DZSCMF.DAT
JZVYXN.DAT
svchost.exe
由于我没有这个版本的鸽子所以不贴图片了呵呵清除方法类似
接着来说如何清除黑洞
清除这些木马可是意见不容易的事就像警察查案一样的难唉没有办法凭着直觉告诉我那
个systemer的肯定有问题，打开一看
<img src="attachments/dvbbs/2005-12/20051210134244103.jpg" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt=\'Click here to open new window\nCTRL+Mouse wheel to zoom in/out\';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor=\'hand\'; this.alt=\'Click here to open new window\nCTRL+Mouse wheel to zoom in/out\';}" onclick="if(!this.resized) {return true;} else {window.open(\'attachments/dvbbs/2005-12/20051210134244103.jpg\');}" onmousewheel="return imgzoom(this);" alt="" />黑洞图1
<img src="attachments/dvbbs/2005-12/200512101343347.jpg" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt=\'Click here to open new window\nCTRL+Mouse wheel to zoom in/out\';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor=\'hand\'; this.alt=\'Click here to open new window\nCTRL+Mouse wheel to zoom in/out\';}" onclick="if(!this.resized) {return true;} else {window.open(\'attachments/dvbbs/2005-12/200512101343347.jpg\');}" onmousewheel="return imgzoom(this);" alt="" />黑洞图2
哈哈他小子还冒充啊看到没冒充成 clipbook.exe这个文件郁闷干掉你我们把木马的
路径记下来是 c:\winnt\system\c1ipbook.exe把systemer删了，大家如果怕弄坏系统的
话不防先备份呵呵
黑洞和鸽子的清除方法类似毕竟都是木马呵呵，
上兴
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows_rejoice2006\\Imag
ePath
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows_rejoice2006\\ImagePat
h
我在检查注册表的时候发现了，Windows_rejoice2006那不是明摆着是上兴 VIP2.2版的木
马启动程序吗？
看图片
<img src="attachments/dvbbs/2005-12/2005121013446892.jpg" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt=\'Click here to open new window\nCTRL+Mouse wheel to zoom in/out\';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor=\'hand\'; this.alt=\'Click here to open new window\nCTRL+Mouse wheel to zoom in/out\';}" onclick="if(!this.resized) {return true;} else {window.open(\'attachments/dvbbs/2005-12/2005121013446892.jpg\');}" onmousewheel="return imgzoom(this);" alt="" />上兴1
<img src="attachments/dvbbs/2005-12/20051210134429406.jpg" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt=\'Click here to open new window\nCTRL+Mouse wheel to zoom in/out\';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor=\'hand\'; this.alt=\'Click here to open new window\nCTRL+Mouse wheel to zoom in/out\';}" onclick="if(!this.resized) {return true;} else {window.open(\'attachments/dvbbs/2005-12/20051210134429406.jpg\');}" onmousewheel="return imgzoom(this);" alt="" />上兴2

靠什么啊是不是写程序的人都一个想法的啊总结一下上面的清除方法看到没主要的工作
两是在对HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services和HKEY_LOCAL_MACHI
NE\SYSTEM\ControlSet001\Services的检查有发现两个都有而且名字奇怪的程序多留
意一下如果怕自己判对错误的话可以不那个.exe文件的名字复制到google里面去搜索一
下里面会告诉你是不是系统文件呵呵 .......大家就放心的做吧如果有什么不懂的可以M
我，这篇文章比较乱，<<老兄没有办法啊我大三了比较忙啊我是抽中午的一点点时间
来写文章的，好累啊我为了写文章让自己分别中了三个木马定都够可怜吧.......
没有功劳也有苦劳吧大家就顶一下吧
相关软件晚上给大家下载地址中午没有时间了下午要操作数控机床[em01][em01]

[此贴子已经被作者于2005-12-10 13:48:04编辑过]

渴望酒吧 · 发表于 2005-12-10 06:05

<

>都没有地三个人来看，看来我第三站保卫站暂时不用发了 [em06]

[此贴子已经被作者于2005-12-11 14:11:20编辑过]

UG网 · 发表于 2005-12-10 08:44

<

>好，用电脑的就要会用杀毒软件。这几款确实不错。

渴望酒吧 · 发表于 2005-12-14 06:26

<

>不知 天生流氓兄要什么样的真功夫，或者你想要知道那些内容~~~~~~~~
何内容为你心目中的真工夫我尽量满足大家的要求[em02]

阳光雨露 · 发表于 2005-12-18 05:22

<

>支持版主！我正为找什么样的杀毒软件发愁呢，好东西当然要顶！<

>谢谢！

9066137 · 发表于 2005-12-25 00:47

lixiaoyu · 发表于 2005-12-30 05:27

ding

ybm520 · 发表于 2006-1-5 06:35

<

>大家最好不要下载上面那几个杀毒软件,因为来源不好,里面很多东西都是有后面的,那个网站里面的东西,大多数东西不是有病毒是有木马的,本人做为黑客几年,这些小网站早就踩烂了,最好到正规网站下载,上面我有一些异议:卡巴是不可否认的好软件,但第二和第三种软件,瑞星和金山就差多了,本人一个月前做过一个实验,本人就是拿配作灰鸽子去做实验,第一次不加壳,三个都可以查得出来,别个我还加多几个别的杀毒软件做试验,其中一个是诺顿,别的就不说出来了,第二次, 加壳,卡巴还是可以把所以的木马查出来,(木马一共有108个)瑞星可以查21个,金山就一个查不出来,诺顿可以查到84个,第三次,就是到源程序头加点花指令,卡巴可以查到72个,诺顿可以查到8个,其它的(瑞星和金山)一个也查不出来,就这样别的不多说了.<

>最后再忠告一下别的读者,最好不要到不正规的网站下载,免得自己找麻烦~~

渴望酒吧 · 发表于 2006-1-12 02:10

<DIV class=quote>以下是引用ybm520在2006-1-4 22:35:11的发言：
<

>大家最好不要下载上面那几个杀毒软件,因为来源不好,里面很多东西都是有后面的,那个网站里面的东西,大多数东西不是有病毒是有木马的,本人做为黑客几年,这些小网站早就踩烂了,最好到正规网站下载,上面我有一些异议:卡巴是不可否认的好软件,但第二和第三种软件,瑞星和金山就差多了,本人一个月前做过一个实验,本人就是拿配作灰鸽子去做实验,第一次不加壳,三个都可以查得出来,别个我还加多几个别的杀毒软件做试验,其中一个是诺顿,别的就不说出来了,第二次, 加壳,卡巴还是可以把所以的木马查出来,(木马一共有108个)瑞星可以查21个,金山就一个查不出来,诺顿可以查到84个,第三次,就是到源程序头加点花指令,卡巴可以查到72个,诺顿可以查到8个,其它的(瑞星和金山)一个也查不出来,就这样别的不多说了.</DIV>
<

>看来老兄你是只知其一不知其二了，对你说的瑞星他在表面查杀功能上是比其他的差，但你说你自己是一个黑客你总知道什么叫内存免杀吧呵呵瑞星我说他强就强在内存杀毒上，不信你去试一下黑洞的就知道了，很难定位出他的特征码（初定位100个字节可以定位出来4、8、16、32个字节的都定位不出来），也就是说他杀木马病毒的功能上是绝对是占优势的，你说的金山和诺顿我想用过的朋友都知道他的防御功能确实不错，但查杀功能上就迅了好多。你说的至于你说的上面几个连接我只是提供一下，大家不放心可以到其他网站上去下。我个人觉得没有必要担心，因为我觉得一个技术好的黑客他是不会用这样的方法来抓去肉鸡的呵呵，再加上那些软件都是安装形式的不是绿色版的专业的打包软件我想小菜鸟们也没有那个能力去搞这些.当然这样做的人也有，里面放病毒的概率是存在的，但在杀毒软件上放病毒....................我自己用的也在用那里下的杀毒软件，用到现在还没有人说控制我的电脑什么之类的呵呵大家各有见解各自选择我只是发表一下我自己的看法好的就顶一下说不好的可以回贴发表意见我会定期来看的接受大家的意见

[此贴子已经被作者于2006-1-11 18:20:54编辑过]

用户名		自动登录	找回密码
密码			注册

[推荐] 经典 计算机技术大暴光 正更新中.

相关帖子

[推荐] 经典计算机技术大暴光正更新中.