网络安全：手动清除gh0st远控服务端

网络安全：手动清除gh0st远控服务端

手动清除gh0st远控服务端   为什么我们要手动清除木马呢？ 我们在做免杀或者在对gh0st大的修改的时候或者后门被意外破坏，不能用客户端自带的清除，这个时候就需要手动来清除。特别是我们在对一台肉鸡进行测试失败后（被杀或者dll释放了，没有上线），就需要手动清除，否则我们永远没法再上线了。   病毒分析： ------------------------------------------------------------------------------ 注册表创建如下键值： HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\6to4 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_6TO4    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_6TO4 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4   %SystemRoot%\System32\svchost.exe -k netsvcs   注册表LEGACY_6TO4键值是直接删除不了   Netstat -anbo  TCP    192.168.1.103:1058     59.50.199.108:12345    SYN_SENT        1028  C:\WINDOWS\system32\mswsock.dll  c:\windows\system32\WS2_32.dll  c:\documents and settings\all users\drm\xxxx.dll    //这个就是我们的马，挂载IPv6上  C:\WINDOWS\system32\msvcrt.dll  C:\WINDOWS\system32\kernel32.dll  [svchost.exe]   svchost.exe                 1028 Console                 0     17,004 K   taskkill  /f /pid  1028    //杀掉进程dll可以删除 但是没有用   c:\documents and settings\all users\drm\xxxx.dll 对应的服务名称，我们可以用svchostview来观察自己的马对应的服务名称和服务显示名称。   我们只需要把下面的两条语句放进.bat文件里面，传到肉鸡上面执行（6to4是gh0st默认的服务名称）   net stop 6to4 sc delete 6to4   批处理执行完后，如果你知道此服务对应的进程 可以用上面taskkill这个进程，然后执行新的gh0st马就OK了；如果不知道，那你等肉鸡重启，就可以执行新的gh0st马了，要不在批处理加个shutdown –f –r 肉鸡自动重启。   我最近在玩和讯微博，很方便，很实用，你也来和我一起玩吧！去看看我的微博吧！http://t.hexun.com/3006897/default.html

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。