有没有谁用毛豆测过灰鸽子啊?

sky1987

我手动给自己的电脑装了灰鸽子
测了一下毛豆的防御，结果只能拦截到屏幕监控和键盘监控
其它的一点都拦不到，比如读取文件，删除文件，结束进程等都拦不到
这是怎么回事啊

sky1987

而且拦截截屏貌似有点慢，第一次的时候成功读取到了屏幕内容，不过之后几次都能第一时间成功拦截

紫涵

灰鸽子带驱动不？

sky1987

紫涵 发表于 2011-11-6 16:20
灰鸽子带驱动不？

不带，注入一个win目录下的文件启动，我也用XT看过了，没用异常驱动，只有一个启动项

a256886572008

開隱身模式，還能 作壞事？

sky1987

a256886572008 发表于 2011-11-6 16:26
開隱身模式，還能 作壞事？

你是指防火墙吗？
那个拦不了反向连接的，只能防端口扫描吧

紫涵

sky1987 发表于 2011-11-6 16:31
你是指防火墙吗？
那个拦不了反向连接的，只能防端口扫描吧

嗯，灰鸽子是反向连接的木马。
好像利用IE反向连接的。
不过如果开了沙盘，木马的服务端应该运行在沙盘里。
如果真的是利用IE反向连接防火墙应该会有提示了。

sky1987

紫涵 发表于 2011-11-6 16:39
嗯，灰鸽子是反向连接的木马。
好像利用IE反向连接的。
不过如果开了沙盘，木马的服务端应该运行在沙盘 ...

我是就他问的问题来说的
其实防火墙还是能拦到一些的，看注入哪个进程了
一般都是系统文件下的，防火墙的规则里很多默认放行的，所以基本是拦不住的
就隐身模式而言，只能防端口扫描吧，开不开对现在的木马毫无影响

紫涵

sky1987 发表于 2011-11-6 16:50
我是就他问的问题来说的
其实防火墙还是能拦到一些的，看注入哪个进程了
一般都是系统文件下的，防火墙 ...

所以关健在木马进入本机前就拦截，都不给他运行。
我也觉得默认的防火墙全局规则比较简单。
就是不知这个木马连网用了什么，防火墙要拦截些什么才能拦截到？

sky1987

紫涵 发表于 2011-11-6 16:54
所以关健在木马进入本机前就拦截，都不给他运行。
我也觉得默认的防火墙全局规则比较简单。
就是不知这 ...

一般木马的启动方式就是注入系统进程启动，像svchost，explorer这些
还有就是IE，毛豆对系统程序规则是全放行的，手动去加规则我觉得还是很麻烦的
开了D+的情况下木马基本是进不来的
我是手动允许了这些动作装上去的，就是想看看毛豆的防御过程
结果只防到了屏幕监控和读取键盘记录
我把全部的项都设为阻止，仍然不行
进程都可以直接结束无提示