灰鸽子2006VIP亲密接触-分析-清除 by大胆的瞎子@LJF

楼层直达

flyingfish42

级别: 光盘中级

发帖: 1140

飞翔币: 335

威望: 303

飞扬币: 8460

信誉值: 0

只看楼主更多操作 0 发表于: 2007-04-10

[size=12px]

引用:
灰鸽子于3月3日推出了2006VIP版，其功能大大超越了05以前的版本，特别是在服务端加载项的隐藏上真正可以说做到了无色无味，下面我将从它的服务端配置的选项，分析它的加载象和怎么判断以及清除的方法来详细说明。
服务端的配置（从中可以了解一些它的一些特性）。
它的配置除了继承了05所有的功能以外，还添加了隐藏服务项的功能，这给判断是否中灰鸽子上设立了障碍，请看下图：

由于它不单隐藏了进程还隐藏了服务，传统的使用HIJACKTHIS扫描判断是否中灰鸽子的方法已经失效！

加载和判断
06版和05以前的版本一样，都是使用服务加载启动，并插入IE进程，所不同的是新版隐藏了几乎所有的加载项目，包括进程，文件，06版还增加了服务的隐藏，可以说作到了真正的隐身，使你豪无察觉，但再狡猾的狐狸也逃不出好猎手的手掌，下面我将说明怎么才知道判断中了灰鸽子它和以前的版本一样，都是要插入IE进程运行，所以开放端口是没办法隐藏的，OK，那我们就用Tcpview看看，请看下图：

关闭你所有的IE进程后，如果发现仍然有IE在某个端口监听，这就说明即使你没用中鸽子也是中了其它的后门。大家都知道灰鸽子是使用服务加载，06以前的版本其服务是没有隐藏的，使用hijackthis一下就可以扫描出来，但06版服务是完全隐藏的，只有使用IceSword底层扫描工具才可以是它显形，即使直接从管理-服务里也无从查找，这个就是06版最大的亮点，请看下图：

搜索注册表后才能找到其加载的服务，但由于其服务名称可以自定义，给搜索判断带来了很大的困难，下图是我使用默认名称搜索到的，其位置在HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\

清除
综上所描，06版的清除要比旧版困难的多，其难点就在于服务项的判断和删除，由于可以自定义服务项的名称，传统的扫描判断方法都已经失效，这给清除它带来了重重阻碍，建议做如下判断和清除处理：
1。使用Tcpview查看是否有可疑的IE端口打开，鸽子的默认端口为8000，但也可以自定义，一点发现有可疑端口说明你已经中后门，
2 。使用IceSword查看系统服务项，由于IceSword是一款系统底层安全扫描器，所以可疑的系统服务等加载都显示无疑，如果发现有红色显示就说明你已经被某个加载到服务里启动的后门程序所控制，记下它的服务名称。
3 。打开注册表找到位置在HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\再找到使用IceSword所查找到的服务项目，找到后展开它记下这项服务所加载的文件名称后整个删除其加载的注册表值。
4 。删除注册表加载的服务项值以后重起进入安全模式，打开隐藏的文件和系统保护的隐藏文件，查找刚才所在注册表里找到并记下的文件和它所释放的DLL文件，例如 ***.exe ***.dll ***_hook.dll ***Key.DLL 全部删除。
至此，灰鸽子已经完全清除完毕。