[技巧] 变质的灰鸽子

178311022

鸽子的技术的确很高明,这也是作者下费苦心的结果,作者肯定也不希望看到灰鸽子被恶意利用的结果.文章只是针对那些中了恶意使用灰鸽子的人圈套的受害者而写此文.希望大家都把自己掌握的技术用在合理之处,造福他人,利于自己,创造一个和谐的上网环境.本文风格有些"另类",望诸位看官见谅.文中指代见后面.



   



      鸽子以它的“色泽鲜美”、“营养丰富”、“便于携带”①等特点被人们所称赞,许多喜欢它的人对其赞不绝口.树大招风,它的优势也被一些居心叵测的“请客人”②所利用，他们一般会主动的设下"鸿门宴",“被邀请的客人”③一般集中在一些手无寸铁又没有聘请保安的群众或者是一些防范意识不强的小GG，小MM等人群。请客人发“请柬”④的方式不能千篇一律无新意，手法越高明，方式越隐蔽，能够躲过有上岗证的专职“餐厅保安”⑤的检查，让被邀请者一直蒙在鼓里始终不知自己在吃什么的为"高手"。这样，在被邀者食后邀请者会“任其摆布”⑥。变质的鸽子在刚出现不久就被查出含有恶意成分，食用者均会出现不良反应，轻者会出现“行动缓慢，思维迟钝等，过量食用会造成四肢麻木，神智不清甚至假死”⑦等严重后果。因为这点，许多“餐厅”⑧都禁止在店内出售这种变质烤鸽，又让保安仔细观察该烤鸽的形态特和辨别味道后24小时巡逻监控，发现有客人正在食用，一律当即禁止并代替客人处理掉。一时间，这变质的鸽子没有了市场。可有些人为了非法的利益,在“外包装”⑨上下足了功夫，由以前的全裸风格变成了各种各样丰富迷人的外包装。这样一来，又蒙蔽了许多没有练成“火眼金睛”⑩的保安的眼睛，甚至它还通过不断变换风味和造型、添加进“餐厅菜单”⑾和融入“正常菜肴”⑿等卑劣手段来躲避各家公司保安的检查与处理。前不久，它又被不法者巧立名目推出了变相的优惠措施：“以前是买一送二，现在更是买一送三，特别赠送了障眼用的餐具”。⒀于是，变质的鸽子又随着成功的包装火了起来，不良的报道与影响又随之卷土重来。保安们日感力不从心，餐厅业主们也纷纷连带包装一起邮寄到保安公司”⒁让他们研究并且拿出有效对策以让保安们应对新情况的发生。有的保安公司要求严格而且保安功力较高，通过不断钻研与培训，保安们可以从容面对了。有的保安公司虽然严格管理但无奈于保安的功力较差，于是让“保安连包装盒子带鸽子”⒂一起吃下去，避免了打包后就不认识的情况。受这些情况影响与促进，有些保安近期武功见长，遇到情况时面不改色心不跳，身轻如燕腾空起，手持利剑双目瞪地如雷般大吼一声：“小心！”又以不及掩耳之势将变质的鸽子消灭。有的保安则因为食入过多包装而造成体态臃肿，但也算气喘吁吁赶上了别人的水平。不过，这道灰色风味流行的趋势依旧强势，望广大保安公司积极研究策略并争分夺秒抓紧培训，提高保安的从业水平，更要从提高保安本身功力上下手，让保安练就如同“千里眼，点石成灰”⒃那样的硬功，来保障广大餐厅业主的安全。也希望那些还在经营变质鸽子的人早日认清自己的行为所带来的危害,毕竟，餐厅业主花钱建餐厅不容易，保安一个月的工资也不低！




①：灰鸽子的客户端界面精美，便于操作，整体功能强大，服务端体积较小，便于上传和下载。
②：指远程控制者，给你“下马”的人。
③：就是中灰鸽子服务端被控制的人。
④：指多种让你中毒的方式，比如恶意网站，捆绑等方法。
⑤：就是病毒防火墙。
⑥：指通过客户端远程控制你。可以做任意常见操作。
⑦：系统和网络资源被占用，鼠标指针等被控制，甚至远程被控制者强制关机、重启。
⑧：你的电脑和操作系统。
⑨：指加壳伪装。
⑩：指脱壳能力，现在的杀软脱壳能力参差不齐，但没有一款杀软可以脱全部壳。加了壳的程序运行后在内存中还原，如果杀毒软件有特征码仍然可以查杀。
⑾：注册表启动项或者是系统服务中。
⑿：注入正常系统进程，防止被清除。
⒀：灰鸽子前期由主程序释放出两个文件，后来为了保护自己在正常模式下不被发现，又多释放了一个用来隐藏的文件。该隐藏手段在安全模式下不起作用。
⒁：将加壳的灰鸽子上报给杀毒软件厂商。
⒂：有的杀毒软件无法脱某种壳，于是将加了这种壳的灰鸽子算作变种与壳一起做成了特征码，所以特征码体积特别庞大。
⒃：千里眼指很灵敏的监控以及可疑未知病毒的识别，点石成灰指完全彻底的清除。




若正在“品尝”此味，有如下之方法供各位参考，其实还是老生常谈了：



1.进入安全模式下，把系统的隐藏属性打开,具体方法是:打开我的电脑--工具--文件夹选项--查看选项卡--将“显示文件和文件夹”的选项“显示所有文件”选中.再去掉“隐藏已知文件类型的扩展名”选项前面的对勾。现在的杀毒软件为什么清除不干净灰鸽子，多数是因为没有识别母鸽子，而且灰鸽子的命名都是有规律的，所以手动清除要按如下方法查找：母鸽子.exe、母鸽子.dll、母鸽子key.dll(个别还会出现key1、key2等释放文件)、母鸽子_hook.dll这些文件，并且删除。



2.打开注册表编辑器，点击菜单中的编辑－－查找，填入“母鸽子”的名称，即可，这样和母鸽子本身相关的键值和项都会被搜索出来，依次删除。98下更方便，在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run中删除母鸽子.exe就可以了。



近期,又流行了一种新的变质的鸽子,它已经没有了以前的特征,现在说一下它的体貌特征,以及捕捉方法



1.新流行的变质鸽不再生成大量的dll文件,而是在windows文件夹下生成了一个Internet Explorer的文件夹或者在系统文件中的drivers文件夹里生成了一个名字随机的exe文件和一个名称随机的.dat文件.这个dat会通过正常ie进程来注入到其他的进程中,所以一样难以清除干净,并且他们在正常windows模式下不可见,不过和第一种情况一样的是,它仍然会在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\下生成一个服务项.这个服务可以使用SREng生成的日志来查看到,也就是日志中服务这项所列出的与上述windows路径相对应的内容.然后通过在安全模式下删除.

CAVEL1314

这也会吗....不是好明白