一.黑防鸽子隐蔽配置

黑防鸽子如果安照默认配置,隐蔽性非常差,但我们通过个性化的配置,在隐蔽

性方面会大大增强.

1.反向连接端口的配置技巧:

默认端口:8000

为增强隐蔽性建议设置成:80

2.服务显示名的设置技巧:尽量伪装成与系统类似的服务.

显示名称:WINS

服务名称:WINS

描述信息:提供系统域名解析服务.

3.鸽子服务端默认安装路径设置技巧:

默认安装路径:$(winDir)\hacker.com.cn

为增强隐藏性建议设置成:$(winDir)\system32\hacker.com.cn

                     二.鸽子服务端个性化修改

默认情况,在上线列表中的服务端版本里显示"黑防专版"如果把黑防专版改成自己想要的显示的信息呢?

操作步骤:

第一步:用UE打开黑防鸽子服务端

第二步:搜索-----替换-----在查找里输入"黑防专版",在替换为中输入网安

专版.替换后,保存修改结果便可成功.

注意:要替换的内容字节数一定要与黑防专版一样大,也就是8个字节.

                    三.黑防鸽子默认改插入进程修改

改后优点:增加别人对鸽子的手工查杀难度,自然增强了鸽子的隐蔽性.

由于黑防鸽子默认设置是插入iexplore.exe这个进程的,我们可以改生其它进

程.

操作步骤:

第一步:用C32Asm 以十六进制模式打开鸽子服务端.

第二步:搜索字符串"iexplore.exe" 找到一处:

:\Program Files\Internet Explorer\IEXPLORE.EXE

上面就是黑防鸽子默认插入的进程iexplore.exe 和路径.

我们可以把它替换成系统的其它进程名称.

比如:

svchost.exe

conime.exe

services.exe

winlogon.exe

lsass.exe

以上都是系统必需的.都可以插入.我们拿services.exe做实验,具体如何操作.

系统进程调用的文件路径在  :\windows\system32\services.exe

把:\Program Files\Internet Explorer\IEXPLORE.EXE  改成-----

:\windows\system32\services.exe ,其余的用0填充.

第三步:找到下一处iexplore.exe ,直接替换成services.exe 保存便可成功.

第四步:测试是否能成功上线.

                      四.作业

把黑防的鸽子进程插入到svchost.exe.

改完后并测试是否可以正常上线.