H4x0r's Blog

昨天去火狐下了个上兴2006,自己生成了个服务端,运行没上线(后来才想起来是因为我装了微点主动防御软件,鸽子这些远程控制即使我中了别人也控制不了),日...后来用卡巴把把系统盘下的后门程序和DLL杀了,但开机时老要弹出个对话框,意思就是说系统盘下的那后门程序不见了,虽然无伤大雅,但每次都弹出来,也很烦的,我想这应该是启动里做了手脚,但在注册表没发现可疑的启动项,郁闷了半天,这时候我才想起来,好像上兴运用了ROOKIT技术.....昏,跑去黑鹰基地下了两个传说中很强的ROOKIT清除程序,结果运行了一样没用.想想还是用他自己的卸载服务端的功能吧,但我自己的电脑也不上线(我用的他的新功能:FTP上线),怎么卸载呢?弄了半天,干脆把微点防御软件退出后,又重新设置了个服务端,这次用的直接连接IP的方式,运行后,终于上线了,顺便浏览下功能,发现那什么DDOS功能有屁用,假的!其他功能也不怎么样,吹嘘无进程,无端口,无新生成文件,我KAO....卡巴杀出来的那个EXE和DLL文件不知道是谁的?!任务管理器里的IE进程也不知道哪儿来的?!无语了.....看来这个也不怎么样,听说前个版本还有后门...怕怕...算了,不玩了,卸载吧,这时候点"卸载服务端"后门,explorer.exe进程会被结束,然后会自动重启explorer.exe,结束了IE进程,看着自己的机子下线了,然后重启,终于没弹那对话框了....虽然卸载干净了,但不知道他到底怎么启动的,那位大哥知道告诉小弟一下....

顺便教大家几招怎么防止这些远程控制软件迫害的方法:
1:装个防火墙,很多人只装个杀毒软件就以为万事大吉了,其实不然,很多时候防火墙比你杀毒软件好用!我以前用的ZA,但占用资源太多了,换天网了.装好防火墙后,把Internet Explorer,Windows Explorer,Winlogon全都禁止访问INTERNET!这步重要,因为这些远处控制基本都是靠插入这3个进程其中一个来接受远程命令的,禁止后,你即使中了这些木马,别人也控制不了你.有人说把IE禁止怎么浏览网页呢?你可以装个火狐或者MAXTHON(傲游)浏览器啊,这些都比IE好,安全性也别IE高很多了,用他们上网!

2:装个微点主动防御软件(http://www.micropoint.com.cn),这款软件查杀未知木马很强的!你的鸽子能过瑞星内存?厉害!能过微点吗?做梦去吧!PCSHARE,上兴,PCVIEW这些木马在他面前根本没自尊可言,呵呵,开个玩笑.不过他的确很强的,采用行为方式查杀病毒,所以那些免杀木马也过不了他!

3:下面推荐的就是SSM,这个软件是国外的,他能实时监视每一个进程的运行情况,像鸽子这些木马都要插入IE的,所以在他插入IE时,SSM就会报警,提示有其他文件要插入IE进程,这时候你可以选择禁止,免杀的鸽子一样拿他没办法,也很厉害的!

4:最后装个卡巴,可以用来扫描特定文件和网页木马,弥补微点的不足.至于卡巴的使用这里就不做介绍.

做到以上几点,保证你系统固若金汤,还中木马来找我,呵呵~!特别服务器,在ROOKIT流行的年代,微点是他们的最大克星,这也是我极力推荐他的原因,说时话,现在我手里控制着的服务器全是靠ROOKIT,如果有一天管理员装了微点,我也就完啦,希望我手里的肉鸡的管理员不要看到这篇文章,嘿嘿!