网络游戏代码墨香完整全部原代码及SDK - Delphi K.Top 討論區

發文回覆瀏覽次數：2873

推到 Plurk!

推到 Facebook!

网络游戏 代码 墨香完整全部原代码及SDK

fafafa123 一般會員發表：1 回覆：0 積分：0 註冊：2006-09-20 發送簡訊給我	#1 引用回覆回覆發表時間：2006-09-06 23:48:59 IP:222.245.xxx.xxx 訂閱 http://www.gameofwol.com/MHServerDEVS.rar http://www.gameofwol.com/sdk.rar
johnlp 一般會員發表：2 回覆：13 積分：8 註冊：2004-10-31 發送簡訊給我	#2 引用回覆回覆發表時間：2006-09-07 00:25:43 IP:59.120.xxx.xxx 未訂閱小弟下載了然後執行了然後好像中木馬了在工作管理員中看到g_server.exe在執行用google查了一下，是傳說中的冰河木馬，又稱灰鴿子... 上來跟大家回報一下，希望不要有人再受害...
johnlp 一般會員發表：2 回覆：13 積分：8 註冊：2004-10-31 發送簡訊給我	#3 引用回覆回覆發表時間：2006-09-07 01:50:25 IP:59.120.xxx.xxx 未訂閱剛研究了一下這隻木馬用到的技術分別是hook CreateRemoteProcess ... 這隻木馬有三個檔案，g_server2006.exe , g_server2006.dll , g_server2006key.dll 這個程式會把本自己隱藏放到C:\windows 並且掛hook到檔案總管，所以用檔案總管看不到這三個檔案必須用cmd執行dir/a 才看的到而且他也用隱藏行程(hook?)的技術，用工作管理員或一般的process list(如process xp)看不到這個行程但用IceSword看的到還有他也有用CreateRemoteProcess嵌入其他程式，類似病毒的作法另外，他會嵌入iexplore.exe並且連線到222.245.216.166:8000以及61.155.107.8:80 查過兩個ip應該都是來自澳洲(au) 以上，給大家做參考如果想玩玩看的人，請回覆，我在想辦法上傳檔案
johnlp 一般會員發表：2 回覆：13 積分：8 註冊：2004-10-31 發送簡訊給我	#4 引用回覆回覆發表時間：2006-09-07 01:55:54 IP:59.120.xxx.xxx 未訂閱再補充一下，我的電腦有灌卡巴還有另外兩套防間諜程式(ad-aware,spyware-terminator) 三者都掃不到這隻木馬，照他的檔名看來(g_server2006.exe)，應該是2006年最新木馬吧..... =.= 所以小弟已經把檔案傳給卡巴的病毒實驗室，希望過幾天後就可以攔的到這隻木馬了...
johnlp 一般會員發表：2 回覆：13 積分：8 註冊：2004-10-31 發送簡訊給我	#5 引用回覆回覆發表時間：2006-09-07 04:14:21 IP:59.120.xxx.xxx 未訂閱ㄟ...有個問題想提問在這個木馬執行的時候，用TcpView這個程式可以看到木馬對外的連線但是由於行程被隱藏，所以在程序名稱的欄位顯示<不存在的>:1640 1640是pid，而在processxp中同樣看不到行程在執行，但用 Find Handle or Dll功能搜尋"1640"字串，卻可以找到許多其他執行中的程式已被嵌入木馬的module其中程序名稱也同樣顯示 non-existent process ，也就是說一樣無法偵測到程序名稱。而用google查詢"non-existent process"，得到的線索是使用rootkit才可以得到這種效果。那麼，我的疑問是，rootkit究竟是利用已知的系統api來突破windows的權限還是用未知的api配合未知的windows漏洞達到這種效果的呢？用google查到這方面的技術細節似乎不多，請問有人知道嗎？
aftcast 站務副站長發表：81 回覆：1485 積分：1763 註冊：2002-11-21 發送簡訊給我	#6 引用回覆回覆發表時間：2006-09-07 05:18:38 IP:61.229.xxx.xxx 未訂閱 rootkit 是使用kernel mode hook 的方式。它算是driver級 ap，故可以透過native api等呼叫使用nt kernel mode service... 一般所知的hook都是在user mode上，但它是建立在kernel mode上的hook。當程序(包含許多windows本身的系統程式)使用一般api去顯示process list等資料時，會透過native api呼叫kernel，kernel完成功能後再傳回原來的api，而這中間的過程被hook的話…api看到的答案就並非原來它api想要的答案! 這些技術要對nt core 很了解，包含NT client/server 架構與server 對NT execute kernel了解… 目前我也了解不算很深入，也是研究中! ===================引用文章=================== 那麼，我的疑問是，rootkit究竟是利用已知的系統api來突破windows的權限還是用未知的api配合未知的windows漏洞達到這種效果的呢？用google查到這方面的技術細節似乎不多，請問有人知道嗎？ ------ 蕭沖 --All ideas are worthless unless implemented-- C++ Builder Delphi Taiwan G+ 社群 http://bit.ly/cbtaiwan
G01 高階會員發表：249 回覆：379 積分：215 註冊：2002-05-21 發送簡訊給我	#7 引用回覆回覆發表時間：2006-09-07 06:03:50 IP:61.64.xxx.xxx 未訂閱散播病毒或是木馬程式 , 最為人所不齒請發表人自行參詳!!
johnlp 一般會員發表：2 回覆：13 積分：8 註冊：2004-10-31 發送簡訊給我	#8 引用回覆回覆發表時間：2006-09-08 11:12:10 IP:59.120.xxx.xxx 未訂閱 to aftcast 你說的native api是指zw開頭的api嗎？如zwTerminateProcess,zwOpenProcess等 btw: 卡巴回信給我了，說下一次的病毒碼就會抓的到這隻了！

系統時間：2024-05-07 20:59:55

聯絡我們 | Delphi K.Top討論版

本站聲明

1. 本論壇為無營利行為之開放平台，所有文章都是由網友自行張貼，如牽涉到法律糾紛一切與本站無關。
2. 假如網友發表之內容涉及侵權，而損及您的利益，請立即通知版主刪除。
3. 請勿批評中華民國元首及政府或批評各政黨，是藍是綠本站無權干涉，但這裡不是政治性論壇！

5151線上健康照護網 | 台灣西醫網 | 台灣中醫網 | 台灣牙科網 | 台灣照護網 | 趴趴狗旅遊網
大花蓮旅遊網 | 大花蓮民宿網 | 花蓮旅遊網 | 花蓮旅遊 | 花蓮旅遊 | 花蓮住宿
花蓮民宿網 | 花蓮旅遊 | 花蓮住宿 | 花蓮民宿 | 花蓮旅遊 | 花蓮民宿
花蓮住宿 | 大南投旅遊網 | 大南投民宿網 | 日月潭風景區 | 日月潭旅遊網 | 日月潭民宿網
日月潭住宿網 | 宜蘭旅遊網 | 宜蘭民宿網 | 宜蘭住宿網 | 宜蘭旅遊網 | 宜蘭民宿網
宜蘭住宿網 | 宜蘭旅遊網 | 宜蘭民宿網 | 宜蘭住宿網 | 台東旅遊網 | 台東民宿網
台東住宿網 | 台東旅遊網 | 台東民宿網 | 台東住宿網 | 台東旅遊 | 台東民宿
台東住宿 | 綠島旅遊網 | 綠島民宿網 | 綠島住宿網 | 綠島旅遊網 | 綠島民宿網
綠島住宿網 | 綠島旅遊網 | 綠島民宿網 | 綠島住宿網 | 集集旅遊網 | 集集民宿網
集集住宿網 | 關子嶺旅遊網 | 關子嶺民宿網 | 白河旅遊網 | 白河民宿網 | 心脈大師
尊榮牙醫診所 |