中华网络安全联盟 收藏本站
设为主页
商务合作
首页 新闻中心 行业动态 软件新闻 安全资讯 病毒预警 漏洞发布 操作系统 Dos Win9x Win2000 WinXP Win2003 WinVista Linux Unix
数据库 DB2 Access MSSQL MySQL Oracle Sybase 编程技术 ASP PHP JSP CGI/Perl XML .Net C/C++/C# VB VC Delphi Java 汇编
安全技术 安全教学 工具介绍 漏洞利用 病毒防范 入侵检测 防火墙 安全防范 汉化破解 攻击实例 加密解密 进程知识 技术论坛
中华网络安全联盟 >> 安全技术 >> 病毒防范 >> 一招克死所有插入进程版本的灰鸽子
安全技术
安全资讯
病毒预警
漏洞发布
安全教学
工具介绍
漏洞利用
病毒防范
入侵检测
防火墙
安全防范
汉化破解
攻击实例
加密解密
  • 灰鸽子2005的清理

    		•
    一招克死所有插入进程版本的灰鸽子
    字体:

    中华网络安全联盟    作者:yxj1799    来源:剑盟    时间:2006-8-18

        大家都知道,所有程序都需要调用dll文件,它的寻找顺序是从自己程序所在的目录,找不到再找windows目录,传奇终结者木马就是利用这点,把病毒文件做成dll文件,名称是wsock32.dll,然后复制到各个目录下,一旦程序启动调用了这个文件,你就有被盗号的危险了.本人最近迷上了灰鸽子,一直再研究免杀,以前做的鸽子除了小红伞,drweb和卡巴斯基能查,其他都免杀,可是最近好多其他的杀软也查出来了,于是做了个最新的免杀,我在另外一台机器上试验服务端的时候,偶然发现了免疫所有鸽子的方法。

        大家都知道鸽子是插入internet explorer进程来反向连接客户端的,所以防火墙没用,internet explorer运行的时候也要调用wsock32.dll,于是我在internet explorer目录下新建一个0字节的wsock32.dll,wsock32.dll是Windows Sockets应用程序接口,用于支持很多Internet和网络应用程序,根据我的试验结果,在其目录下新建的wsock32.dll对浏览网页无任何影响(可能有,但是我没有发现),internet explorer最先调用的是其目录下的无效的wsock32.dll,所以使得灰鸽子失效,大家可以在internet explorer目录下新建个wsock32.dll,避免灰鸽子的入侵。
    字体:
     
    设为主页 收藏本站 联系我们 友情连接 商务合作 网友留言
    Copyright©2006-2008 中华网络安全联盟 All rights reserved.