手动清除gh0st远控服务端

为什么我们要手动清除***呢? 我们在做免杀或者在对gh0st大的修改的时候或者后门被意外破坏,不能用客户端自带的清除,这个时候就需要手动来清除。特别是我们在对一台肉鸡进行测试失败后(被杀或者dll释放了,没有上线),就需要手动清除,否则我们永远没法再上线了。

病毒分析:

------------------------------------------------------------------------------

注册表创建如下键值:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\6to4

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_6TO4

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_6TO4

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4

%SystemRoot%\System32\svchost.exe -k netsvcs

注册表LEGACY_6TO4键值是直接删除不了

Netstat -anbo

TCP    192.168.1.103:1058     59.50.199.108:12345    SYN_SENT        1028

C:\WINDOWS\system32\mswsock.dll

c:\windows\system32\WS2_32.dll

c:\documents and settings\all users\drm\xxxx.dll    //这个就是我们的马,挂载IPv6上

C:\WINDOWS\system32\msvcrt.dll

C:\WINDOWS\system32\kernel32.dll

[svchost.exe]

svchost.exe                 1028 Console                 0     17,004 K

taskkill  /f /pid  1028    //杀掉进程dll可以删除 但是没有用

c:\documents and settings\all users\drm\xxxx.dll对应的服务名称,我们可以用svchostview来观察自己的马对应的服务名称和服务显示名称。

我们只需要把下面的两条语句放进.bat文件里面,传到肉鸡上面执行(6to4是gh0st默认的服务名称)

net stop 6to4

sc delete 6to4

批处理执行完后,如果你知道此服务对应的进程 可以用上面taskkill这个进程,然后执行新的gh0st马就OK了;如果不知道,那你等肉鸡重启,就可以执行新的gh0st马了,要不在批处理加个shutdown –f –r肉鸡自动重启。

删除网络信息服务器端,网络安全:手动清除gh0st远控服务端相关推荐

  1. 计算机安全工作领导小组会议讲话,郑福田副校长在网络信息与网络安全工作会议上的讲话...

    编者按:2004年3月31日下午,学校召开了全校网络信息与网络安全工作会议,各单位党政主要负责人参加了会议,会上,郑福田副校长就学校的"网络信息与网络安全工作"发表重要讲话,现将讲 ...

  2. JAVA 网络编程 Socket 详细说明,实现客户端和服务端相互推送消息

    客户端代码: package com.lcx.socket;import java.io.BufferedReader; import java.io.BufferedWriter; import j ...

  3. 网络启动安装linux客户机nfs设置,NFS服务端和客户端安装配置

    一  NFS介绍 NFS用的比较多,但是更新没有想象的那么快,Nginx一年要迭代很多个版本,而NFS最新版本4.1是2010年更新的,到目前为止还没有更新过,但这并不影响NFS使用的广泛性 RPC协 ...

  4. android 增删改查 源码_学生信息增删改查小程序案例(springboot服务端)

    项目描述: 该小程序实现了简单的管理员登录,学生信息添加,修改,删除,列表显示等功能,服务器端采用springboot框架提供接口,数据传输格式为json,适合新手学习小程序与服务端的交互,以及增删改 ...

  5. kcptun linux 客户端,网络加速暴力工具 - Kcptun 安装使用教程(服务端客户端)

    简介 Kcptun是一个非常简单和快速的,基于KCP协议的UDP隧道,它可以将TCP流转换为KCP+UDP流.而KCP是一个快速可靠协议,能以比TCP浪费10%-20%的带宽的代价,换取平均延迟降低3 ...

  6. [网络安全自学篇] 九十.远控木马详解及APT攻击中的远控和防御

    这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步.前文分享了软件来源分析,结合APT攻击中常见的判断方法,利用Python调用扩展包进 ...

  7. vue项目转换服务器端渲染,vue-server-renderer实现vue项目改造服务端渲染

    这是一篇教程,从创建项目到改造项目 vue-cli创建一个项目 在放你做demo的地方,创建一个项目 vue create vue-ssr // 如果你安装了vue-cli4,选择vue2的版本,以下 ...

  8. 基于C++6.0的Gh0st远控源码研究及在VS2019下的编译修正和测试

    最近闲着无聊,研究了一下Gh0st的源码,这个源码现在也很难白嫖到了,花了200多积分从CSDN下了好几个版本.在VC2019下都编译不了.看来只能自己修改了: 经过一天一夜的折腾(昨晚通宵到早上6点 ...

  9. 【.Net MF网络开发板研究-04】Socket编程之服务端

    前几篇文章介绍了Http相关的应用,其实从技术角度而言,应该先介绍Socket编程,然后再介绍Http,毕竟Http是用Socket相关函数编程实现的. .NET Micro Framework的So ...

最新文章

  1. 用一个创业故事串起操作系统原理(三)
  2. ftp服务器上传的文件打不开,ftp服务器文件有的上传不了
  3. Spring Boot怎么样注册Servlet三大组件[Servlet、Filter、Listener]
  4. linux history操作的路径,绝对路径和相对路径,目录命令(cd,mkdir,rm,history)
  5. 【DP】回文词 (ssl 1813)
  6. 双城记s001_双城记! (使用数据讲故事)
  7. python把字符串3des加密_Python干货之六大密码学编程库
  8. 单引号、双引号和不加引号区别
  9. sql server 2012 数据库还原方法
  10. BZOJ2769 : YY的快速排序
  11. 全国计算机一级考试题库及答案(2018)
  12. 工具说明书 - 搜索引擎推荐
  13. huobi程序化交易项目
  14. Python基础之面向对象基础
  15. python 头条新闻机器人_荐GitHub:今日头条机器人
  16. Java内存Happen-Before
  17. 记一次笔试遇到leetcode原题却没a出来的经历
  18. 新知实验室 腾讯云实时音视频产品体验
  19. Genil BOL framework merge
  20. 把路由器变成音乐播放器和网络收音机,支持摇控

热门文章

  1. 洛谷——P1652 圆
  2. v-for和v-if一起使用的坑。。。
  3. mysql表无法获取_CentOS下无法正常获取MySQL数据库表数据的问题
  4. Python知识点-py2和py3编码
  5. vSphere4.1升级到vSphere5.0连载之一
  6. 例29:哥德巴赫猜想
  7. 未来计算机技术的发展趋势有哪些,计算机技术的未来发展趋势,以及其应用范围...
  8. python requests库详解_python爬虫之路(一)-----requests库详解
  9. spring整合xfire
  10. 邮件怎发送HTML,请问怎么发送HTML电子邮件