Windows应急响应-灰鸽子远控木马

最新推荐文章于 2025-06-22 13:18:31 发布
原创 最新推荐文章于 2025-06-22 13:18:31 发布 · 1.6k 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows #网络安全 #安全

文章目录

应急背景

历某今天刚入职公司,拿到公司电脑后准备下载一些接下来工作中要用的办公软件,他就去某度上直接搜索,由于刚入职,兴奋的他并没有仔细看是否为官方下载,下载下来后也是无视风险双击安装,但是他发现安装完成后,安装包自动消失,且在电脑上也没有对应的程序可启动,他这时候意识到可能是中病毒木马了,喊来安全人员竹某来帮他排查一下。
竹某了解情况后开始下面的应急操作。

木马查杀

1.查看异常连接

#findstr "ESTABLISHED"表示查看已建立连接的ip&&端口
netstat -ano | findstr "ESTABLISHED"

在这里插入图片描述
正常真实背景中需要拿ip去查看归属地是否属于公司的,但是这里我自己搭建的环境就忽略了。

2.根据端口号查看对应进程文件

在这里插入图片描述

开始查找进程文件,这里直接用windows查找没找到,只找到一个类似的,那么基本可以确定做了一个文件隐藏,这时候只能上工具了。
在这里插入图片描述
这里本来是要用xuetr,但是xuetr在我这个win7中用不了了,如果能用的话最好还是上xuetr,这个工具还是挺吊的,但是现在网上好像找不到,没了。
我们可以使用PChunter这款工具能看到隐藏的文件,同时还能帮你排查进程,PChunter用的比较多,还是挺牛的,但是后面排查进程这些我会更多的用其他工具来辅助,因为最近在了解学习其他工具。
PChunter工具分享地址:https://pan.baidu.com/s/1_OMmoe5aFGDu3–q0u94pw?pwd=w3rb
打开PChunter后其实你也会发现他存在没有官方签名的进程模块,再次印证了他的可疑性。
在这里插入图片描述
在这里插入图片描述

然后就可以定位文件了
在这里插入图片描述
然后来到下图位置,这里就能看到文件了
在这里插入图片描述
这里先不删除,先右键拷贝出来,保留样本
在这里插入图片描述
丢到沙箱上跑,就可以确定是木马后门了。
在这里插入图片描述

线索卡
1.已确定了木马后门以及他的文件路径

3.排查异常服务

接下来我会使用Process Hacker和微软自带的Process Explorer
Process Hacker工具分享地址:
https://pa

最低0.47元/天 解锁文章
灰鸽子软件使用及xuetr查杀
weixin_46476861的博客
04-02 330
灰鸽子软件 这里靶机是2003,别的不一定管用 重新配一个 壳的左右除了减小体积,还可以对其加密 假如这个木马做了免杀,我们怎么去发现他 按进程,启动项,服务,计划任务等一个一个找 手工删除 ...
---实验十:灰鸽子软件使用实验
weixin_70557959的博客
05-06 8958
一、实验目的及要求 1、掌握经典木马的原理 2、掌握“灰鸽子木马的使用方法 二、实验原理 “灰鸽子”是现在网络上非常流行的一种木马,由两部分组成,一是制端(主程序),一是服务端(也叫受端)。任一部分都会被主流的杀毒软件查杀,但随着其不断衍生新的变种和一些免杀技巧经常绕过一些主动防御软件,使得用户防不胜防。 灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型(如等待连接还是主动连接)、主动连接时使用的公网IP(域名)、连接密码..
程访问型木马——灰鸽子软件的使用,零基础入门到精通,收藏这一篇就够了
Javachichi的博客
09-01 6251
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
渗透测试-灰鸽子木马
热门推荐
道阻且长,行则将至
02-15 1万+
木马概述 灰鸽子( Huigezi),原本该软件适用于公司和家庭管理,其功能十分强大,不但能监视摄像头、键盘记录、监桌面、文件操作等。还提供了黑客专用功能,如:伪装系统图标、随意更换启动项名称和表述、随意更换端口、运行后自删除、毫无提示安装等,并采用反弹链接这种缺陷设计,使得使用者拥有最高权限,一经破解即无法制。最终导致被黑客恶意使用。原作者的灰鸽子被定义为是一款集多种制方式于一体的木马程序...
程访问型木马——灰鸽子软件的使用(含免杀)
weixin_50464560的博客
06-02 1万+
程访问型木马——灰鸽子 先来了解下什么是程访问型木马: 1.它在受害者主机上运行一个服务端,监听某个特定端口;入侵者则使用木马的客户端连接到该端口上,向服务端发送各种指令,访问受害者计算机资源。 2.使用这类木马,只需有人运行了服务端程序,如果客户知道了服务端的IP地址,就可以实现制。 3.这类程序可以实现观察受害者正在干什么。 再来了解下灰鸽子: 1.自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发了安全领域的高度关注。2004年、2005年、2006年,灰鸽
灰鸽子制病毒实验
xiao_ZHEDA的博客
08-21 1142
灰鸽子制病毒
阿一网络安全学院干货科普篇之应急响应【上】
qq_69775412的博客
06-17 1414
安全人员在遇到突发事件后所采取的措施和行动。发生在计算机系统或网络上威胁安全的事件。如黑客入侵、信息窃取等。信息安全生命周期的必要组成部分,这个生命周期包括:对策、检测和响应。运维人员无法迅速处理安全事件时,需要第三方厂商提供一种能发现并解决问题的有效服务手段。制影响范围确保业务正常运转、还原攻击场景、找到问题根源、最后追溯攻击源。以最快速度恢复系统的保密性、完整性和可用性,阻止和减小安全事件带来的影响。积极预防、及时发现、快速反应、确保恢复。
应急响应Windows权限维持--后门篇
最新发布
鹿鸣天涯
06-22 973
利用COM劫持技术,最为关键的是dll的实现以及CLSID的选择,通过修改CLSID下的注册表键值,实现对CAccPropServicesClass和MMDeviceEnumerator劫持,而系统很多正常程序启动时需要调用这两个实例。如果攻击者能够制其中的某一 个目录,并且放一个恶意的DLL文件到这个目录下,这个恶意的DLL便会被进程所加载,从而造成代码执行。管理员在平时运维过程应当保持警惕,掌握一定的入侵排查技巧,及时进行系统补丁更新,定期对服务器安全检查,才能有效地预防后门。
应急响应Windows权限维持--后门篇
明哥哥知识分享
01-04 879
在获取服务器权限后,通常会用一些后门技术来维持服务器权限,服务器一旦被植入后门,攻击者便如入无人之境。本文将对常见的window服务端自启动后门技术进行解析,知己知彼方能杜绝后门。 1、 注册表自启动 通过修改注册表自启动键值,添加一个木马程序路径,实现开机自启动。 常用的注册表启动键: # Run键 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\W
网络安全应急响应
赤赤三的博客
03-30 1851
应急响应(是有一整套流程的): 原理: 一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施 阶段: 准备->启动->抑制->根除->恢复->跟进 准备应急工具,相应的应急文档、合同、保密协议,开会沟通 启动:讨论这个是怎么进来的 抑制:切断受感染主机,拔网线,网络隔离 根除:查找病毒木马,分析日志,溯源,打补丁 恢复:业务恢复 跟进:监,看是否还会进来 详细流程: 准备阶段: ..
灰鸽子--木马、后门实验
mr__sheng的博客
05-28 3759
目录 实验目的 实验要求 实验原理 实验环境 实验步骤 实验目的 1.了解木马攻击的原理。 2. 掌握木马与后门工作机制 3. 掌握木马与后门的防范措施 实验要求 利用灰鸽子客户端配置服务器程序并生成服务端 配置并生成服务器 进行木马植入,通过灰鸽子客户端界面进行连接 实验原理 一个完整的特洛伊木马套装程序含了两部分:服务端(服务器部分)和客户端(制器部分)。植入对方电脑的是服务端,而黑客正是利用客户端进入运行了服...
灰鸽子软件使用实验
justoneu的博客
06-24 466
灰鸽子”是现在网络上非常流行的一种木马,由两部分组成,一是制端(主程序),一是服务端(也叫受端)。任一部分都会被主流的杀毒软件查杀,但随着其不断衍生新的变种和一些免杀技巧经常绕过一些主动防御软件,使得用户防不胜防。 灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型(如等待连接还是主动连接)、主动连接时使用的公网IP(域名)、连接密码、使用的端口、启动项名称、服务名称,进程隐藏方式,使用的壳,代理,图标等等。 “灰鸽子”的服务端是由制端
灰鸽子”网页木马从原理、制作到防范
[木子]的专栏
08-18 3073
如果你访问××网站(国内某门户网站),你就会中灰鸽子木马。这是我一黑客朋友给我说的一句说。打开该网站的首页,经检查,我确实中了灰鸽子。怎 么实现的呢?他说,他侵入了该网站的服务器并在网站主页上挂了网页木马;一些安全专家常说,不要打开陌生人发来的网址,为什么?因为该网址很有可能就是一 些不怀好意者精心制作的网页木马。  以上只是网页木马的两种形式,实际上网页木马还可以挂在多媒体文件(RM、RMV
灰鸽子木马程序再度重现升级为“黑鸽子”
gzblog的专栏
06-11 1276
    昨日记者获悉,国家防病毒应急中心联合实验室(China Lab)发出警报,横扫网络的“灰鸽子木马程序再度重现,并升级为盗取网银账号能力强百倍的“黑鸽子”。    专家指出,两个多月前,数以万计的灰鸽子变种木马程序现身网络而此次被拦截到的“黑鸽子”则是共计6万多种系列“灰鸽子”变种的统称,因其攻击方式由明转暗(非显性攻击)而得名。也就是说,和以前“灰鸽子”的大规模显性攻击不同的是,“黑鸽
类似灰鸽子木马的清除 Backdoor.Gpigeon.bhv Backdoor.Gpigeon.cdd
Yu Mu's Blog
05-20 3233
     记不得下载什么东西中了木马,当时瑞星监报了病毒,并且清除了,所以没有放在心上,现在下载站的木马太多了,所以下载软件最好到一些比较大的站点去(www.skycn.com),速度快,软件新,我一直用它。      过了几天,我偶然发现右键菜单弹出很慢,用瑞星杀内存,结果发现Backdoor.Gpigeon.bhv和Backdoor.Gpigeon.cdd,瑞星又报成功清除!我重起之后发现竟
灰鸽子木马的原理和清除方法
魔拉宝
07-24 7909
 灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型(如等待连接还是主动连接)、主动连接时使用的公网IP(域名)、连接密码、使用的端口、启动项名称、服务名称,进程隐藏方式,使用的壳,代理,图标等等。连接密码的设定使得灰鸽子服务端程序只能被配置它的黑客制,避免了黑客之间的竞争。服务端对客户端连接方式有多种,使得处于各种网络环境的用户都
灰鸽子木马来源追踪
loveboom's Reverse Enginering
01-11 5230
【目     标】:N/A【工     具】:OllyDBG 1.1【任     务】:木马来源追踪 【操作平台】:Windows xp sp2 【作     者】: LOVEBOOM[DFCG][FCG][CUG]【相关链接】: N/A【简要说明】: 今天在硬盘里找到个木马,用几款杀毒软件杀了下没有结果。自己用OD看了下,发现是灰鸽子的修改版(很反感灰鸽子的作者,搞的到处是“垃圾”)。在网上简单
如何快速的清除 灰鸽子 木马病毒 【附清除工具 以及 清除原理】
FreeXploiT
03-09 5011
本文转至 灰鸽子官方网站 本文内容仅供参考 一切操作后果 本blog皆不负责先给出清除工具地址方便大家 有两个清除工具 对应不同的版本 请注意灰鸽子专用卸载程序 ·本程序只能卸载:灰鸽子 [辐射正式版] 和 DLL版服务端 牵手版服务端其它版本暂不支持!  下载地址 http://www.huigezi.net/showdown.asp?soft_id=72灰鸽子VIP2005
为什么不要随便点击下载链接:过时的程病毒灰鸽子木马示范
来到了学渣的博客
02-11 4396
实验环境: 2003系统靶机 ip:192.168.10.128 2007黑客攻击机 灰鸽子软件 要说的话 1.灰鸽子木马是很古老的木马,早已经列入检测的范围内,即使关闭了杀软、防火墙,生成的exe病毒还是会被干掉。所以所有的步骤,最好都以虚拟机作为实验环境。 2.为什么不要随便点击下载链接,因为下载内容里边很可能会携带一些木马病毒程序,一但下载,很可能会自动运行、并且受害者电脑毫无变化,但是攻...
上兴制2009:媲美灰鸽子工具
该软件的描述中提到“一框不逊色于灰鸽子的软件”,这表明它在功能完整性、易用性和稳定性方面达到了与灰鸽子(一款经典的制工具)相当的水平。以下将从标题、描述、标签以及压缩包子文件文件名称列表四个...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

竹等寒

谢过道友支持,在下就却之不恭了

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值