|
|
楼主 |
发表于 2007-2-18 22:00:22
|
显示全部楼层
据说这个是最新的灰鸽子
一般的灰鸽子木马会在系统盘的windows文件夹下生成G_Server.exe,G_Server.dll,G_Server_Hook.dll三个文件.还有G_serverkey.dll动态数据连接库文件是用来记录键盘的
其中G_Server.exe是服务器端程序,一旦运行后就会打开3389远程控制端口.并且默认服务器名称是G_Server.exe
如果制作这个服务器端的人将G_Server.exe更改为其他文件名称的话就麻烦了.
那么只有在windows文件夹里面一个一个的去找了,好在木马不会在子文件夹里面例如我将服务器端程序
G_Server.exe更名为HEAVY.EXE那么其他的文件就叫做HEAVY.dll HEAVY.dll 和HEAVY.dll
(小H就碰到了一个将服务器端名称更改为G2006.exe的灰鸽子木马)
一般灰鸽子木马会插入到EXPLORER.exe进程,这个是桌面,资源管理器以及外壳程序加载进程,(有的会插入其它进程如svchost.exe等)所以要进入安全模式,进入我的电脑-工具-文件夹选项-去掉"隐藏受保护的系统文件"和"不显示隐藏文件"选项再查找.因为灰鸽子的服务器端文件是会隐藏的
另外还要在开始运行中输入regedit,在上面的编辑-查找里面搜索服务器端文件的注册表相关项,并删除
如果有防火墙的话最好在防火墙层屏蔽掉3389端口.
( [s:5] 放心!小H从来都是用4778端口来入侵的!嘿嘿.....) |
|
发表于 2007-2-18 10:36:09
发表于 2007-2-18 22:48:40