1. 廣外女生木馬的介紹
廣外女生木馬(Trojan.GWGirls10a.192000)類似灰鴿子,是在灰鴿子之後,2001年左右出現的遠程監控工具。1這個木馬是廣東外語外貿大學「廣外女生」網路小組的作品,並因此得名。它可以運行於WIN98,WIN98SE,WINME,WINNT,WIN2000或已經安裝Winsock2.0的Win95/97上。與以往的木馬相比,它具有體積更小、隱藏更為巧妙的特點。
2. 中了廣外女生病毒怎麼辦
使用「Autorun病毒防禦者」升級後,使用左側「修復工具」裡面的「系統修復工具」——「全選」——修復所選,即可修復被病毒限制的一切東西,要你可是試著使用這個軟體殺一下毒,有一些作用!其次,採用「Windows清除助手」升級後,反復掃描清理木馬程序!然後在使用殺毒軟體全面查殺,如果殺毒完成以後發現某些系統文件丟失,可以使用安裝盤,配合命令進行修復!開始——運行——輸入 CMD——sfc /scannow 即可。
3. 怎樣手動清除廣外女生木馬病毒
你好手動清除是清理不幹凈的,查殺處理木馬 ,個人建議你使用360安全衛士比較好,用在安全模式下全盤掃描查殺處理應當可以解決 ,360安全衛士運用雲安全技術,在攔截和查殺木馬的效果、速度以及專業性上表現出色,能有效防止個人數據和隱私被木馬竊取,被譽為「防範木馬的第一選擇」。用它比較給力。
4. 木馬是什麼啊
「木馬程序」,是黑客常用的攻擊方法。它通過在你的電腦系統隱藏一個會在Windows啟動時悄悄運行的程序,採用伺服器/客戶機的運行方式,從而達到在你上網時控制你的電腦的目的。黑客可以利用它竊取你的口令、瀏覽你的驅動器、修改你的文件、登錄注冊表等等。
5. 中國有幾大木馬,最知名的木馬。
冰河(國人的驕傲,中國第一款木馬),灰鴿子,上興,PCshare,網路神偷,FLUX流光,廣外女生木馬
與熊貓燒香病毒
。
6. 廣外女生木馬怎麼添加用戶啊
廣外女生木馬是一種新出現的遠程監控工具,破壞性很大,能遠程修改注冊表。據稱這一惡意程序是廣東外語外貿大學「廣外...
7. 那種病毒為什麼叫木馬
木馬,全稱為:特洛伊木馬(Trojan Horse)。
「特洛伊木馬」這一詞最早出先在希臘神話傳說中。相傳在3000年前,在一次希臘戰爭中。麥尼勞斯(人名)派兵討伐特洛伊(王國),但久攻不下。他們想出了一個主意:首先他們假裝被打敗,然後留下一個木馬。而木馬裡面卻藏著最強悍的勇士!最後等時間一到,木馬里的勇士全部沖出來把敵人打敗了!
這就是後來有名的「木馬計」。—— 把預謀的功能隱藏在公開的功能里,掩飾真正的企圖。
至於黑客程序里的特洛伊木馬和故事裡的特洛伊木馬差不多。
黑客程序里的特洛伊木馬有以下的特點:
(1)主程序有兩個,一個是服務端,另一個是控制端。
(2)服務端需要在主機執行。
(3)一般特洛伊木馬程序都是隱蔽的進程。
(4)當控制端連接服務端主機後,控制端會向服務端主機發出命令。而服務端主機在接受命令後,會執行相應的任務。
(5)每個系統都存在特洛伊木馬。(包括Windows,Unix,liunx等)
在許多人眼中,特洛伊木馬是一種病毒。其實特洛伊木馬並不是一種病毒,它沒有完全具備病毒的性質。(包括:轉播,感染文件等。)
特洛伊木馬程序的發展歷史:
第一代木馬:控制端 —— 連接 —— 服務端
特點:屬於被動型木馬。能上傳,下載,修改注冊表,得到內存密碼等。
典型木馬:冰河,NetSpy,back orifice(簡稱:BO)等。
第二代木馬:服務端 —— 連接 —— 控制端
特點:屬於主動型木馬。隱蔽性更強,有利用ICMP協議隱藏埠的,有利用DLL(動態連接庫)隱藏進程的,甚至出現能傳播的木馬。
典型木馬:網路神偷,廣外女生等。(反彈埠型木馬)
參考資料:http://www.54master.com/bbs/cgi-bin/topic.cgi?forum=3&topic=6548
8. 如果自己安裝了廣外女生這個軟體,自己電腦中會有木馬嗎
我覺得你最好在虛擬機裡面用這種軟體
9. 中了廣外女生木馬怎麼辦,我的系統是win10的
進入安全模式用360殺一下 在修復一下。
10. !!!急求 廣外女生 最高版本
一種國產木馬出現了,它有個好聽的名字,叫做「廣外女生」。這個木馬是廣東外語外貿大學「廣外女生」網路小組的作品,它可以運行於WIN98,WIN98SE,WINME,WINNT,WIN2000或已經安裝Winsock2.0的Win95/97上。與以往的木馬相比,它具有體積更小、隱藏更為巧妙的特點。可以預料,在將來的日子裡它會成為繼「冰河」之後的又一流行的木馬品種。
由於「廣外女生」這個木馬的駐留、啟動的方法比較具有典型性,下面我就通過對這種新型木馬的詳細分析過程來向大家闡述對一般木馬的研究方法。下面的測試環境為Windows2000中文版。
一、所需工具
1.RegSnap v2.80 監視注冊表以及系統文件變化的最好工具
2.fport v1.33 查看程序所打開的埠的工具
3.FileInfo v2.45a 查看文件類型的工具
4.ProcDump v1.6.2 脫殼工具
5.IDA v4.0.4 反匯編工具
二、分析步驟
一切工具准備就緒了,我們開始分析這個木馬。一般的木馬的伺服器端一旦運行之後都會對注冊表以及系統文件做一些手腳,所以我們在分析之前就要先對注冊表以及系統文件做一個備份。
首先打開RegSnap,從file菜單選new,然後點OK。這樣就對當前的注冊表以及系統文件做了一個記錄,一會兒如果木馬修改了其中某項,我們就可以分析出來了。備份完成之後把它存為Regsnp1.rgs。
然後我們就在我們的電腦上運行「廣外女生」的伺服器端,不要害怕,因為我們已經做了比較詳細的備份了,它做的手腳我們都可以照原樣改回來的。雙擊gfs.exe,然後等一小會兒。如果你正在運行著「天網防火牆」或「金山毒霸」的話,應該發現這兩個程序自動退出了,很奇怪嗎?且聽我們後面的分析。現在木馬就已經駐留在我們的系統中了。我們來看一看它究竟對我們的做了哪些操作。重新打開RegSnap,從file菜單選new,然後點OK,把這次的snap結果存為Regsnp2.rgs。
從RegSnap的file菜單選擇Compare,在First snapshot中選擇打開Regsnp1.rgs,在Second snapshot中選擇打開Regsnp2.rgs,並在下面的單選框中選中Show modifiedkey names and key values。然後按OK按鈕,這樣RegSnap就開始比較兩次記錄又什麼區別了,當比較完成時會自動打開分析結果文件Regsnp1-Regsnp2.htm。
看一下Regsnp1-Regsnp2.htm,注意其中的:
Summary info:
Deleted keys: 0
Modified keys: 15
New keys : 1
意思就是兩次記錄中,沒有刪除注冊表鍵,修改了15處注冊表,新增加了一處注冊
表。再看看後邊的:
File list in C:\WINNT\System32\*.*
Summary info:
Deleted files: 0
Modified files: 0
New files : 1
New files
diagcfg.exe Size: 97 792 , Date/Time: 2001年07月01日 23:00:12
--------------
Total positions: 1
這一段話的意思就是,在C:\WINNT\System32\目錄下面新增加了一個文件diagcfg.exe,這個文件非常可疑,因為我們在比較兩次系統信息之間只運行了「廣外女生」這個木馬,所以我們有理由相信diagcfg.exe就是木馬留在系統中的後門程序。不信的話你打開任務管理器看一下,會發現其中有一個DIAGCFG.EXE的進程,這就是木馬的原身。但這個時候千萬不要刪除DIAGCFG.EXE,否則系統就無法正常運行了。
木馬一般都會在注冊表中設置一些鍵值以便以後在系統每次重新啟動時能夠自動運行。我們再來看看Regsnp1-Regsnp2.htm中哪些注冊表項發生了變化,憑借經驗應該注意到下面這條了:
HKEY_LOCAL_MACHINESOFTWAREClasses\exefile\shell\open\command\@
Old value: String: ""%1" %*"
New value: String: "C:\WINNT\System32\DIAGCFG.EXE "%1" %*"
這個鍵值由原來的"%1" %*被修改為了C:\WINNT\System32\DIAGCFG.EXE "%1" %*,因為其中包含了木馬程序DIAGCFG.EXE所以最為可疑。那麼這個注冊表項有什麼作用呢?它就是運行可執行文件的格式,被改成C:\WINNT\System32\DIAGCFG.EXE "%1" %*之後每次再運行任何可執行文件時都要先運行C:\WINNT\System32\DIAGCFG.EXE這個程序。
原來這個木馬就是通過這里做了手腳,使自己能夠自動運行,它的啟動方法與一般普通木馬不太一樣,一般的木馬是在HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*
鍵里增加一個鍵值,使自己能夠自啟動,但這種方法被殺毒軟體所熟知了,所以很容易被查殺。而「廣外女生」這個木馬就比較狡猾,它把啟動項設在了另外的位置。
現在我們已經掌握了這個木馬的駐留位置以及在注冊表中的啟動項,還有重要的一點就是我們還要找出它到底監聽了哪個埠。使用fport可以輕松的實現這一點。在命令行中運行fport.exe,可以看到:
……
1176 DIAGCFG-> 6267 TCP C:\WINNT\System32\DIAGCFG.EXE
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 注意這行!!!
……
我們可以清楚的看到,木馬程序監聽在TCP的6267號埠上了。我們到目前為止就可以說掌握了「廣外女生」這個木馬在我們系統中的全部動作了,現在我們可以輕而易舉的查殺它了。
三、查殺
經過前面的分析我們已經了解了「廣外女生」這種木馬的工作方式,現在我們就來清除它。下面就是徹底清除「廣外女生」的方法,注意:這個步驟的次序不能顛倒,否則可能無法完全清除掉此木馬。
1.按「開始」菜單,選擇「運行」,輸入regedit,按確定。打開下面鍵值:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\,但是先不要修改,因為如果這時就修改注冊表的話,DIAGCFG.EXE進程仍然會立刻把它改回來的。
2.打開「任務管理器」,找到DIAGCFG.EXE這個進程,選中它,按「結束進程」來關掉這個進程。注意,一定也不要先關進程再打開注冊表管理器,否則執行regedit.exe時就又會啟動DIAGCFG.EXE。
3.把HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\的鍵值由原來的C:\WINNT\System32\DIAGCFG.EXE "%1" %*改為"%1" %*。
4.這時就可以刪除C:\WINNT\System32\目錄下的DIAGCFG.EXE了。切記萬萬不可首先刪除這個文件,否則的話就無法再系統中運行任何可執行文件了。由於我們下面還打算進一步深入分析這個木馬,所以現在不刪除它,而是把它拷貝到其他的目錄以便研究。
四、深入研究
我們已經知道了「廣外女生」的基本工作原理、啟動流程以及如何徹底清除它了,但是還有一點我們沒有徹底弄清楚,那就是它是如何對付「天網防火牆」或「金山毒霸」的。要深入了解這一點,我們必須要去看「廣外女生」的代碼,這個木馬並沒有公布源代碼,但是我們仍然可以通過反匯編它來看個究竟。
「廣外女生」的伺服器端只有96K,顯然是使用了壓縮軟體進行了加殼的,我們首先就要確定它到底加了什麼殼。通過使用FileInfo這個小工具就可以偵測出來。現在我們就把前面分析過的那個DIAGCFG.EXE復制到FileInfo的目錄下,然後在命令行下fi.exe,然後按回車,就會顯示:
……
FileInfo就已經檢測出DIAGCFG.EXE是使用了ASPack v1.06b進行加殼。知道了它的加密方法我們就可以使用ProcDump來把它脫殼了。
運行ProcDump,點擊Unpack按鈕,因為我們要脫ASPack v1.06b的殼,所以就在其中選中Aspack<108,然後按OK。這時它會讓你打開要脫殼的文件,我們就選DIAGCFG.EXE,打開。然後稍微等幾秒種後按「確定」,ProcDump就會把DIAGCFG.EXE脫殼,然後會出個對話框要你把脫殼過的文件存檔,我們就把它存為gwns.exe。
注意:這時候,木馬又在你的系統上運行了一次,所以必須按照前面的清除步驟重新把它清除掉。由於前面已經寫過清除方法,這里就不再贅述了。
好了,現在我們已經得到了這個木馬加殼前的原始文件了,看看脫殼過的gwns.exe,有194k之大,比原來的程序大了一倍還多,這就是加殼軟體的功勞了。現在就可以使用反匯編程序對其進行反匯編,然後看它的匯編程序代碼了。
我們就用IDA來反匯編它,順便說一句,這個IDA是個超強的反匯編工具,是cracker以及Windows hacker所必備的工具。下面我們就來看看部分反匯編過的代碼:
……
木馬首先載入了kernel32.dll,然後利用GetProcAddress來得到RegisterServiceProcess這個API的地址,木馬首先需要把自己注冊為系統服務,這樣在Win9x下運行時就不容易被任務管理器發現。然後它會GetCommandLineA來得到運行參數,如果參數是可執行文件的話就調用Winexec來運行。
……
然後木馬會查找snfw.exe和kav9x.exe的進程,也就是「天網防火牆」或「金山毒霸」的進程,然後將其殺掉。
下面就是修改木馬的注冊表啟動項,即HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\項,使其能夠在每次系統重新啟動時能夠自行啟動。接下來木馬就會初始化Winsock dll,綁定埠,等待木馬客戶端的連接。
五、總結
截止目前為止,我們已經完成了對「廣外女生」這個木馬程序的全部分析過程,了解了木馬的啟動、運行機制。當然,我寫本文的目的並不是簡單的介紹「廣外女生」這一種木馬,而是通過對這個具有典型意義的木馬的詳細分析,來向大家介紹對一般木馬的分析方法。利用本文的分析方法,你完全對任何一種未知的木馬品種進行分析。最後我們再來總結一下對木馬分析的方法及步驟:
首先對系統注冊表以及系統文件進行備份,然後運行木馬伺服器端,再對運行過木馬的注冊表以及系統文件進行記錄,利用注冊表分析工具對兩次記錄結果進行比較,這樣就可以了解木馬在系統中做了哪些手腳。利用fport來查看木馬監聽埠。然後利用所獲取的信息做出木馬的清除方法。
如果想要對木馬進行深入的分析,還應該對木馬伺服器端進行脫殼、反匯編。這樣就可以完全掌握木馬的任何動作,當然,這需要你對匯編語言有相當的掌握程度以及一定的耐心,因為冗長的匯編代碼不是一般的新手所能完全閱讀的。
如果還想進一步分析木馬報文格式的話,就用sniffer對木馬的埠進行監聽,然後進行比較分析,這種分析方法比較復雜,本文就不舉例說明了。
只是閱讀文章還不行,要想完全分析清楚一隻木馬,還需要實際操練一下!祝你好運