有没有谁用毛豆测过灰鸽子啊?

sky1987

柯林 发表于 2011-11-6 21:48
可能的原因：
1、程序运行时释放了个驱动加载了
2、程序早已注入系统进程乃至操控了内核

没有加驱动，我用XT看了，如果没看错的话
注入了userinit这个进程，我把这个进程加到了毛豆规则里了
本来想看看那些行为毛豆是怎么提示的
木马很多功能，有个禁止使用鼠标的功能，我试了直接另一台电脑的鼠标不能动了

柯林

sky1987 发表于 2011-11-6 21:54
没有加驱动，我用XT看了，如果没看错的话
注入了userinit这个进程，我把这个进程加到了毛豆规则里了
...

userinit开机启动比较早的进程，这个都废了，后面一堆也成问题。

XT没检测到钩子等问题？

qqq123123

sky1987 发表于 2011-11-6 17:08
一般木马的启动方式就是注入系统进程启动，像svchost，explorer这些
还有就是IE，毛豆对系统程序规则是全 ...

我很好奇的是你如何在安装过程中进行允许的？是直接允许么？还是选择“更多选项”中仅允许本次请求？

sky1987

柯林 发表于 2011-11-6 21:59
userinit开机启动比较早的进程，这个都废了，后面一堆也成问题。

XT没检测到钩子等问题？

不理解柯大这句话？是指userinit启动比较早，被注入后毛豆就会防不了？
可我是开机后在运行的木马啊

sky1987

qqq123123 发表于 2011-11-6 22:03
我很好奇的是你如何在安装过程中进行允许的？是直接允许么？还是选择“更多选项”中仅允许本次请 ...

直接允许啊，开着D+木马当然进不去，这个我知道啊
我就是想看看毛豆对之后的动作会怎么提示

柯林

不知道你现在玩的版本到了哪个阶段？
依据早期的资料，你说的毛豆拦截，基本算是在正常范围内——主要是键盘记录和远程通信两大动作。

早期资料是：“灰鸽子G_Server.exe运行后，拷贝自己到系统目录下，从体内释放G_Server.dll和G_Server_Hook.dll到系统目录（有些灰鸽子会多释放一个G_ServerKey.dll来记录键盘）。系统目录下的G_Server.exe将自己注册为服务，每次开机都自动运行，运行后加载几个dll文件，加载完毕自动退出，所以进程表里看不到任何进程。G_Server.dll负责与远控端的通信，G_Server_Hook.dll则通过拦截API调用来隐藏病毒。”从这资料来看，灰鸽子没啥特别动作，主要是网络连接，外加键盘记录的窃密，你1楼说的情况，毛豆的表现基本正常。（注，灰鸽子可以是任意名称，例如A.exe，A.dll，A_Hook.dll等）。

qqq123123

sky1987 发表于 2011-11-6 22:14
直接允许啊，开着D+木马当然进不去，这个我知道啊
我就是想看看毛豆对之后的动作会怎么提示

也就是没有选择“更多选项”中的“仅允许本次请求”么》？额···那你就等于允许了该程序所有行为了，而且是优先级最高的！！如果想看行为，去掉该规则，或者打开更多选项！···

sky1987

柯林 发表于 2011-11-6 22:15
不知道你现在玩的版本到了哪个阶段？
依据早期的资料，你说的毛豆拦截，基本算是在正常范围内——主要是键 ...

也不是原版的灰鸽子吧，不过都是在灰鸽子基础上改的远控，灰鸽子名声大点，知道的人多些吧
木马有很多功能，截屏和键盘记录的两个有提示，其他全无提示
比如结束进程，去C盘创几个文件，删几个文件，我设置了受保护的文件了
还有几个恶作剧的，隐藏桌面，鼠标键盘失效，完全不能阻止

qqq123123

sky1987 发表于 2011-11-6 22:20
木马有很多功能，截屏和键盘记录的两个有提示，其他全无提示
比如结束进程，去C盘创几个文件，删几个文件 ...

受保护文件设置了，还要看你的沙盒设置的！不是D+设置了保护就能保护的，懂么？

qqq123123

sky1987 发表于 2011-11-6 22:20
木马有很多功能，截屏和键盘记录的两个有提示，其他全无提示
比如结束进程，去C盘创几个文件，删几个文件 ...

隐藏桌面，鼠标键盘失效？如果毛豆本身能防，那就是你的规则问题！你的注册表防护不全，入沙程序没有在D+的全局里面设置下直接键盘访问为阻止，必须是阻止！询问啊、允许啊都是浮云···自动入沙的程序只看阻止，询问和允许都直接跳过（事实上就是允许）···受保护文件同理···