本文介绍了如何手动清除gh0st远控服务端,特别是在免杀、修改或后门破坏后无法使用客户端清除时的操作。涉及步骤包括删除注册表键值、停止服务、删除相关dll及服务,以及使用批处理自动执行。同时提到了使用netstat和taskkill命令来定位并结束相关进程,以及利用svchostview工具来查找服务名称。
手动清除gh0st远控服务端
为什么我们要手动清除***呢? 我们在做免杀或者在对gh0st大的修改的时候或者后门被意外破坏,不能用客户端自带的清除,这个时候就需要手动来清除。特别是我们在对一台肉鸡进行测试失败后(被杀或者dll释放了,没有上线),就需要手动清除,否则我们永远没法再上线了。
病毒分析:
------------------------------------------------------------------------------
注册表创建如下键值:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\6to4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_6TO4
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_6TO4
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4
%SystemRoot%\System32\svchost.exe -k netsvcs
注册表LEGACY_6TO4键值是直接删除不了
Netstat -anbo
TCP 192.168.1.103:1058 59.50.199.108:12345 SYN_SENT 1028
C:\WINDOWS\system32\mswsock.dll
c:\windows\system32\WS2_32.dll
c:\documents and settings\all users\drm\xxxx.dll //这个就是我们的马,挂载IPv6上
C:\WINDOWS\system32\msvcrt.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]
svchost.exe 1028 Console 0 17,004 K
taskkill /f /pid 1028 //杀掉进程dll可以删除 但是没有用
c:\documents and settings\all users\drm\xxxx.dll对应的服务名称,我们可以用svchostview来观察自己的马对应的服务名称和服务显示名称。
我们只需要把下面的两条语句放进.bat文件里面,传到肉鸡上面执行(6to4是gh0st默认的服务名称)
net stop 6to4
sc delete 6to4
批处理执行完后,如果你知道此服务对应的进程 可以用上面taskkill这个进程,然后执行新的gh0st马就OK了;如果不知道,那你等肉鸡重启,就可以执行新的gh0st马了,要不在批处理加个shutdown –f –r肉鸡自动重启。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
