zoukankan      html  css  js  c++  java
  • 网络安全:手动清除gh0st远控服务端

    手动清除gh0st远控服务端

     

    为什么我们要手动清除木马呢? 我们在做免杀或者在对gh0st大的修改的时候或者后门被意外破坏,不能用客户端自带的清除,这个时候就需要手动来清除。特别是我们在对一台肉鸡进行测试失败后(被杀或者dll释放了,没有上线),就需要手动清除,否则我们永远没法再上线了。

     

    病毒分析:

    ------------------------------------------------------------------------------

    注册表创建如下键值:

    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\6to4

    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_6TO4 

     

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_6TO4

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4

     

    %SystemRoot%\System32\svchost.exe -k netsvcs

     

    注册表LEGACY_6TO4键值是直接删除不了

     

    Netstat -anbo

     TCP    192.168.1.103:1058     59.50.199.108:12345    SYN_SENT        1028

     C:\WINDOWS\system32\mswsock.dll

     c:\windows\system32\WS2_32.dll

     c:\documents and settings\all users\drm\xxxx.dll    //这个就是我们的马,挂载IPv6

     C:\WINDOWS\system32\msvcrt.dll

     C:\WINDOWS\system32\kernel32.dll

     [svchost.exe]

     

    svchost.exe                 1028 Console                 0     17,004 K

     

    taskkill  /f /pid  1028    //杀掉进程dll可以删除 但是没有用

     

    c:\documents and settings\all users\drm\xxxx.dll 对应的服务名称,我们可以用svchostview来观察自己的马对应的服务名称和服务显示名称。

     

    我们只需要把下面的两条语句放进.bat文件里面,传到肉鸡上面执行(6to4gh0st默认的服务名称)

     

    net stop 6to4

    sc delete 6to4

     

    批处理执行完后,如果你知道此服务对应的进程 可以用上面taskkill这个进程,然后执行新的gh0st马就OK了;如果不知道,那你等肉鸡重启,就可以执行新的gh0st马了,要不在批处理加个shutdown –f –r 肉鸡自动重启。

     

    我最近在玩和讯微博,很方便,很实用,你也来和我一起玩吧!
    去看看我的微博吧!http://t.hexun.com/3006897/default.html

  • 相关阅读:
    清除控件某个事件的所有响应函数
    docker常用命令
    WPF 如何自定义一个弹框
    C#目录:藏锋
    杂谈001:晨曦Dawn的重新连接
    SpringBoot-08:SpringBoot采用json的方式实现前后台通用的配置文件
    Mysql:存储过程游标不进循环的原因详解
    Java中如何创建一个确保唯一的名字,文件名
    C#:设置CefSharp的一些参数,比如忽略安全证书
    C#:在AnyCPU模式下使用CefSharp
  • 原文地址:https://www.cnblogs.com/Gemgin/p/3136244.html
Copyright © 2011-2022 走看看