昨日想起来收集常用黑客工具,下载后还得测试能不能用,以便对以后入侵或抓鸡能提高一定的效率。因为我习惯机器裸奔,安装了杀软或防火墙的话一定会很慢,我pc的配置又不高,所以只装了个360(也是最近装的),虽然我用裸机但中马的事真的可以用手数的出来。可能是我太自信了吧,因运行了一黑客工具我机器真的中马了。
为了不影响某黑客站点的名誉,我就不说明这个站点的网址了。我从此站下载了一款软件,我忘记了此软件的名字,当我运行了这个软件的时候,我电脑的一个指示灯开始不停的闪,我调出windows任务管理器一看CPU使用率突然上升快100%了,然后接着出现的是360安全卫士自动退出,从任务管理器中看到有个很陌生的进程出现了一下又隐藏了。这些症状很像木马的特性呀,我已经怀疑我中奖了,为了进一步确定我是否中马,我打开IE浏览器-工具-Internet选项,出现了已经被管理员禁用的提示。我打开了被强关的360,360弹出一个陌生服务正在被装载的提示,这时我已经确定我中马了。
我没有着急,按部就班的再运行里输入cmd,然后再输入netstat -an看一下这个木马到底在连接哪个IP的哪个端口,在结果的中间位置出现了一个IP:8000,我到ip138一查此ip是广东的,而且初步确定此木马可能是灰鸽子,因为鸽子的默认上线端口就是8000,我在运行中输入compmgmt.msc回车,查看会话为空,还好没有机器和我建立连接,cmd下net user也没有新用户,net start也没有新启动的服务。我试着用360扫描木马,结果还真出现了(如果免杀的话360根本扫不到),在C:\WINDOWS\system32下果然有一个exe文件,到此目录下手动查找它找不到,我重启电脑F8进入安全模式才手动删除了。再次启动电脑进入正常模式扫描木马已不在,电脑CPU占用率也正常了,而且也无木马的特征。
这次中马就是因为下载并运行了被捆绑木马的黑客软件的而导致的。对于一个黑客站点是很难做到无马的,因为每天有那么多人上传黑客工具、视频教程,要做到彻底无绑马谈何容易,我相信大型的黑客站点肯定不会干自己用石头扎自己脚的行为,也建议这些站点要尽量加大审核力度,不审核要注明来自于网络请用户自行杀毒等说明。我很看不起那些利用视频或软件绑马的人,让人觉得恶心。。。如果你是针对某个ip入侵后让人家中马的,那我只能说是你真的有实力佩服,可以戴“Hacker”的冠冕,如果对肉鸡进行了删除资源等破坏行为,大不了在说你个道德问题,但是在黑客站点上传绑马的行为是不会被原谅的,是会被唾骂的。。。
最后提醒和建议大家,如果对木马的特征和工作原理不太了解的话最好别裸奔,装个kav8,再装个天网或其他的防火墙,这样能大大减少中马的几率。不想装这些就装个虚拟机也不错,在虚拟机上进行下载和运行一些木马或带有破坏类型的工具,它是最好的测试工具。想下载最新无马黑软要到出名一点大型的黑客站点,如xfocus,77169,heibai等站点,如你e文好的话可到国外黑站逛逛,可能会有意外的收获。
更多请访问我的博客 http://sysobject.net.ru/