荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: Mic (至酷霸王丸), 信区: Virus
标 题: [合集]杀“马“小记
发信站: 荔园晨风BBS站 (Tue Jun 12 21:18:41 2001), 站内信件
michaelx (大家一起玩cs) 于Fri Jun 8 13:52:05 2001提到:
本来写了个很长的,不过halt机了,又没有save.现在写篇短的。
(1)begin:在F:发现一个“目录“ser,竟然是exe文件,logo是
(2)装火墙zone alarm(平时无装,我很少用98,所以就...)
(3)norton antivirus + the cleaner扫了遍硬盘。
没发现!!!!
(4)火墙突然接住notepad.exe!!它也要连接internet?!
中木马的可能性很高!
(5)super scanner扫端口,faint!5个这么多!
80
135
1114 |
1415 |
2000 |这三个什么来的,一时想不起是什么木马
这时,火墙又有发现了,IEXPLORE.EXE与internet连接,正常
啊,那时我在看网页。让它通过吧!
(6)看看那些端口是什么软件开的。无意发现system目录里又有
个ser.exe,把他move到一个安全的目录里。研究研究。
这时,系统出错!哈哈,看来找对了!
(7)reboot,再scan ports.还有5个!怎么了?
哎~~~,猜错了!
这时,火墙又接住了IEXPLORE.EXE,这时我不让它与internet
连接。我那时根本没看网页。
有新发现,只剩3个端口了。哈哈,这招够觉,IEXPLORE.EXE
感染了。
(8)好办了!删了它,重装?不,先看看自己中了什么木马。
2000,什么木马呢?一时想不起。
(9)过了一会儿,想起了。那天在我个friend那里看到我个
friend玩别人是那个种木马的端口就是2000
好彩有“远程卸载“,一按!ok,就这样杀了,够简单吧!
(上次,说我不会杀马,只会吹水的那个人信了吧,哈哈!)
~~~~~~~~~~~~~~~~~
(11)扫了扫别人的机,哎~~~有n条友中了。
(12)上网查资料,这个木马原来是几个月前出的,还不是太出名
不过功能还可以。我没用过冰河,不知那个强。
大家小心啊,这个木马目前的杀毒软件查不出啊。装个火墙吧!
不过也要小心,一些常用的上网软件可能会被感染啊!
//end
michaelx
2001/6/8
Orc (给点事我做好不好?) 于Fri Jun 8 14:37:13 2001提到:
上次跟你开玩笑的,那么认真干吗?
装了zone alarm之后,我也想过,
会不会有一些常用的上网软件被感染木马,例如IE,OICQ等等,如果有就大锅!
没想到竟然真的有人这么毒辣啊!!!
其实你写的我也不怎么看得懂,毕竟我是文学院的,这方面的学识有限。
不过十分荣幸看了你的杀马经验,
多少也学到点东西啦。
michaelx (大家一起玩cs) 于Fri Jun 8 15:29:44 2001提到:
那里不懂啊,说出来,研究研究
Orc (给点事我做好不好?) 于Fri Jun 8 15:57:13 2001提到:
在这里大庭广众说,会让人笑的。
首先我实际上不是太懂得端口的知识,至少肯定懂得比你少!
你的操作步骤5、10就不太明白。
那个super scanner是什么软件?刚才看了你的文章后,
我上网四处找,但都找不到,只找到一个叫super scan的软件而已,是同一个吗?
以为自己天资聪明啦,装上去试一试,都不懂那些设置是怎么用法的。
第十部骤的“远程卸载”是什么?是你的“super scanner”里提供的一个命令吗?
就是这些不太明白了。
(我上了“极品黑客帝国”网站里找网络安全工具,
天啊又让我发现了一些听起来挺厉害的工具和木马,真是不好意思了。
包括Mic叫我up给他试试的木马捆绑工具,这次是另一个,中文版呢。
还有些该网站声称少见的或目前尚没有杀毒软件可杀的木马。
……
不过大家放心,我不会害人的啦)
michaelx (大家一起玩cs) 于Fri Jun 8 17:16:23 2001提到:
(1)每一种木马都有默认的端口,你去security看看吧,我和mic都post过。
例如:54320=Back Orifice 2000
当然,这些端口都可以用木马的服务端来改,改了后别人就很比较难
确定那是什么木马啦。
(2)super scan 和我说的super scanner,我想应该是一样吧。
不过不一样也没关系。扫描器主要的主要的参数就是ip和port的范围。
添好了,按scan或start就可以了。
(3)远程卸载,不是每种木马都有。你木马服务端的功能,不是
scanner的功能啊!
(4)捆绑的工具也厉害?faint!很早就有啊。中文版有什么用?
ps:本人不是很喜欢玩木马,太无聊了。要玩就自己写个来玩
可惜还没这水平啊!哈哈。
Mic (至酷霸王丸) 于Fri Jun 8 18:33:26 2001提到:
对了,我没有用防火墙,有空你发些包过来炸下,呵呵
我想看看会有什么后果,炸时通知一下:)
Orc (给点事我做好不好?) 于Fri Jun 8 18:47:06 2001提到:
这点我知道,很多上网软件也有特定端口呢,你们的post我也看过,
车~!天网里都有列出来啦,跟你们post的差不多。
刚刚我扫了一次,不知到设置对不对,要很久来扫啊!
扫描结果是我的机开放了3个端口啊:139
2580
4899
我的机不会也出事了吧?
你作“哈哈”状时呵出来的口气好臭!
michaelx (大家一起玩cs) 于Fri Jun 8 18:54:03 2001提到:
那就不客气了,呵呵,有什么后果我可不负责啊
Orc (给点事我做好不好?) 于Fri Jun 8 18:54:17 2001提到:
2580和4899是什么端口啊?
michaelx (大家一起玩cs) 于Fri Jun 8 18:59:40 2001提到:
~~~~~faint!
你用98还是2k
没办法啦,故意给你闻的
Orc (给点事我做好不好?) 于Fri Jun 8 19:01:14 2001提到:
不好意思,我还在用98。
lvyou (GO→GO→GO——→) 于Fri Jun 8 20:57:32 2001提到:
顺便通知一下我。我去看看mic怎么死法。嘿嘿~!
Mic (至酷霸王丸) 于Fri Jun 8 21:17:29 2001提到:
你死我都不会死,呵呵
michaelx (大家一起玩cs) 于Fri Jun 8 21:19:31 2001提到:
lvyou死机是,功击你的信号阿!
lvyou (GO→GO→GO——→) 于Sat Jun 9 11:09:40 2001提到:
!~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~这句话有语法错误,很难理解.解释一下?
michaelx (大家一起玩cs) 于Sat Jun 9 12:30:27 2001提到:
sorry,打错字,哈哈。不用解释了吧
Mic (至酷霸王丸) 于Tue Jun 12 21:17:29 2001提到:
【 原文由 aben 所发表 】
1114,1415是Internet Explorer开的。
如果没猜错的话,剩下的3个端口是80,135,2000
因为你把iexplore block了,所以他开的两个端口就没了。
所以剩下先前提到3个端口。
Mic (至酷霸王丸) 于Tue Jun 12 21:17:32 2001提到:
【 原文由 michaelx 所发表 】
是吗?你怎知的?肯定?
哈哈,你猜错了!剩的是80 135 1114,之后80离奇消失.
我可以肯定iexplore被感染了!因为我知道中了那种木马.
你是cnns的?你的oicq才5位!厉害!
Mic (至酷霸王丸) 于Tue Jun 12 21:17:38 2001提到:
【 原文由 aben 所发表 】
我到现在还不明白,Internet Explorer 为什么要开一些端口出来 。
其实你可以在本机上装一个监听的软件,就sniffer软件吧。
你会发现,当你浏览网页时,会有本机IP连本地IP的的情况。
呵呵,你不会现在才发现吧?
Mic (至酷霸王丸) 于Tue Jun 12 21:17:43 2001提到:
【 原文由michaelx 所发表 】
~~~~~~我都说了ie被感染了
正常的是不会开那些端口的。
其实我也装了。不过我没有浏览网页时,2000和1415还是开着的
不好意思现在才发现啊
Mic (至酷霸王丸) 于Tue Jun 12 21:17:47 2001提到:
【 原文由 aben 所发表 】
你还是误会了我的意思,我不是说你的机器,
而是ie本来就用这个情况。
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店