第一阶段:熟悉Process Moniter的使用
利用Process Moniter监视WinRAR的解压缩过程。
设置过滤器:进程名称 包含 winrar.exe。应用。
利用Process Moniter分析WinRAR的临时文件存放在哪个文件夹中。
临时文件保存在:C:Documents and SettingsLQLocal SettingsTemp
先打开压缩文件。
双击txt文件。
查看Process Moniter
可见位置为C:Documents and SettingsLQLocal SettingsTemp
C:Documents and SettingsLQLocal SettingsTempRar$DIa3108.17821
WinRAR压缩包内文件直接打开后,有两种关闭方式:先关闭打开的文件,再关闭打开的压缩包。另外一种方式是先关闭打开的压缩包,再关闭打开的文件。利用Process Moniter分析上述两种方式的不同点。
这里采用word文档观察。因为txt文档在打开状态下也可以被删除,而word则不会。
先关文档:
打开压缩包:
此时temp文件夹下不会创建相应的文件夹。
打开文档:
此时temp文件夹下创建了相应的文件夹
以上即为不同点。
第二阶段:熟悉抓包工具Wireshark的使用
熟练Wireshark软件的使用,着重掌握Wireshark的过滤器使用。
设置:
然后start
第三阶段:VMware的熟悉和使用
着重掌握VMware的 络设置方式,主要有NAT连接、桥接和Host-Only模式。
在VMware虚拟机右键,可以设置各项属性。这里可以看到XP的虚拟机采用NAT连接。
然后点击自动上线进行设置 (灰鸽子采用主动连接,控制端服务器端口2121) ip文件内容就是主机(服务器)ip地址以及开启的端口
服务端设置(被控端) 通知访问控制端的ip
之后将server拷贝到目标虚拟机,安装,重启。可以看到右下角的灰鸽子小图标(鼠标左右键均无法操作)
上方还有录屏录音功能
文件行为:复制自身到C:Windows目录
利用Wireshark监控灰鸽子木马与控制端的 络通信。
TCP三次握手连接
被控端与控制端之间的通信过程
设置:
提出灰鸽子木马的清除方案
- 卸载软件。灰鸽子可能附着于某些软件,要卸载。
- 清除生成的恶意文件。Server会生成一些恶意文件,卸载软件也不会清除,要手动清除
G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端, G_Server_Hook.dll负责隐藏灰鸽子。通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项,甚至是进程中的模块名。截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。所以,有些时候用户感觉中了毒,但仔细检查却又发现不了什么异常。有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。
3.清除注册表。清除相关注册表。
文章知识点与官方知识档案匹配,可进一步学习相关知识云原生入门技能树首页概览8932 人正在系统学习中 相关资源:灰色系统模型计算软件-物流工具类资源-CSDN文库
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!