广外女生木马的分析方法
木马分析
5.5木马技术5.5.1 木马技术概述木马的全称是“特洛伊木马”(Trojan horse),来源于希腊神话。
古希腊围攻特洛伊城多年无法攻下,于是有人献出木马计策,让士兵藏匿于巨大的木马中,然后佯作退兵,城中得知解围的消息后,将“木马”作为战利品拖入城内,匿于木马中的将士出来开启城门,与城外部队里应外合攻下特洛伊城,后世称这只大木马为“特洛伊木马”。
网络世界的特洛伊木马是指隐藏在正常程序中的一段具有特殊功能的恶意代码,是具备破坏和删除文件、发送密码、记录键盘和DoS攻击等特殊功能的后门程序。
它与控制主机之间建立起连接,使得控制者能够通过网络控制受害系统,通信遵照TCP/IP协议,最大的特征在于隐秘性,偷偷混入对方的主机里面,但是却没有被对方发现。
就象一个潜入敌方的间谍,为其他人的攻击打开后门,这与战争中的木马战术十分相似,因而得名木马程序。
实际上计算机网络木马不但可以窃取、破坏被植入主机的信息,而且可以通过控制主机来攻击网络中的其它主机。
木马程序不仅可能侵害到个人乃至某些公司的利益和权力,更可能危及整个社会和国家的利益和安全。
如果公安部用于采集处理人们身份证信息的计算机被安装了木马,那么这些信息就可能被木马以有线或无线的方式通过网络泄露出去,后果不堪设想。
木马是受控的,它能分清敌我,所以与分不清敌我的其它病毒和攻击技术相比,具有更大的危险性和破坏性。
木马是近几年比较流行的危害程度较严重的恶意软件,常被用作网络系统入侵的重要工具和手段。
2008年金山病毒报告监测显示,木马攻击占当前网络病毒的70%以上,已经成为当前网络危害最严重的网络病毒。
网络上各种“种马”技术加剧了木马的流行和发展,由于木马控制了被植入者的计算机,它几乎可以在被植入主机上为所欲为,破坏程度非常巨大,可以窃取账号密码、删除文件、格式化磁盘,甚至可以打开摄像头进行偷窥等;木马往往又被用做后门,植入被攻击的系统,以便为入侵者再次访问系统提供方便;或者利用被入侵的系统,通过欺骗合法用户的某种方式暗中“散发”木马,以便进一步扩大入侵成果和入侵范围,为进行其它入侵活动,如分布式拒绝服务攻击(DDoS)等提供可能。
个人对于常见木马特征的简析
个人对于常见木马特征的简析摘要:木马的危害性在于它对电脑系统强大的控制和破坏能力,窃取密码、控制系统操作、一旦木马被植入你的机器,攻击者就可以象操作自己的机器一样控制你的机器,甚至可以远程监控你的所有操作。
本文对木马共性做了一次简析,为相关问题的解决提供参考依据。
关键词:脚本植入;隐藏性;植入端口;木马端口连接一、木马的共同特性一般的木马都有客户端和服务器端两个执行程序,其中客户端是用于攻击者远程控制植入木马的机器,服务器端程序即是木马程序。
攻击者要通过木马攻击你的系统,他所做的第一步是要把木马的服务器端程序植入到你的电脑里面。
二、木马传播途径及运行原理目前木马入侵的主要途径还是先通过一定的方法把木马执行文件弄到被攻击者的电脑系统里,如邮件、下载等,然后通过一定的提示故意误导被攻击者打开执行文件,比如故意谎称这是个木马执行文件是你朋友送给你贺卡,可能你打开这个文件后,确实有贺卡的画面出现,但这时可能木马已经悄悄在你的后台运行了。
一般的木马执行文件非常小,大到都是几K到几十K,如果把木马捆绑到其它正常文件上,你很难发现的,所以,有一些网站提供的软件下载往往是捆绑了木马文件的,在你执行这些下载的文件,也同时运行了木马。
木马也可以通过Script、ActiveX及Asp、Cgi交互脚本的方式植入,由于浏览器在执行Script脚本上存在一些漏洞,攻击者可以利用这些漏洞传播木马,甚至直接对浏览者电脑进行文件操作等控制,木马还可以利用系统的一些漏洞进行植入。
木马在被植入攻击主机后,它一般会通过一定的方式把入侵主机的信息,如主机的IP地址、木马植入的端口等发送给攻击者,这样攻击者有这些信息才能够与木马里应外合控制攻击主机。
三、木马隐藏特性的主要表现在运行前,很一些木马经常故意弄成Txt、Html等你认为对你系统没有多少危害性质的文件图标。
在运行中,木马的作者也意识到如果程序打开后像早期木马一样没有什么反应的话,他们往往会有采取行动杀除木马。
个人电脑主机入侵,网站入侵,网络攻击的步骤
第一步:隐藏自已的位置为了不在目的主机上留下自己的IP地址,防止被目的主机发现,老练的攻击者都会尽量通过“跳板”或“肉鸡”展开攻击。
所谓“肉鸡”通常是指,HACK实现通过后门程序控制的傀儡主机,通过“肉鸡”开展的扫描及攻击,即便被发现也由于现场遗留环境的IP地址是“肉鸡”的地址而很难追查。
第二步:寻找目标主机并分析目标主机攻击者首先要寻找目标主机并分析目标主机。
在Internet上能真正标识主机的是IP地址,域名是为了便于记忆主机的IP地址而另起的名字,只要利用域名和IP地址就可以顺利地找到目标主机。
当然,知道了要攻击目标的位置还是远远不够的,还必须将主机的操作系统类型及其所提供服务等资料作个全面的了解。
此时,攻击者们会使用一些扫描器工具,以试图获取目标主机运行的是哪种操作系统的哪个版本,系统有哪些帐户,开启了哪些服务,以及服务程序的版本等资料,为入侵作好充分的准备。
第三步:获取帐号和密码,登录主机攻击者要想入侵一台主机,首先要有该主机的一个帐号和密码,否则连登录都无法进行。
这样常迫使他们先设法盗窃帐户文件,进行破解,从中获取某用户的帐户和口令,再寻觅合适时机以此身份进入主机。
当然,利用某些工具或系统漏洞登录主机也是攻击者常用的一种技法。
第四步:获得控制权攻击者们利用各种工具或系统漏洞进入目标主机系统获得控制权之后,就会做两件事:清除记录和留下后门。
他会更改某些系统设置、在系统中置入特洛伊木马或其他一些远程操纵程序,以便日后可以不被觉察地再次进入系统。
此外,为了避免目标主机发现,清除日志、删除拷贝的文件等手段来隐藏自己的踪迹之后,攻击者就开始下一步的行动。
第五步:窃取网络资源和特权攻击者找到攻击目标后,会继续下一步的攻击。
如:下载敏感信息;窃取帐号密码、个人资料等。
三、网络攻击的原理和手法1、从扫描开始扫描往往是攻击的前奏,通过扫描,搜集目标主机的相关信息,以期寻找目标主机的漏洞。
常见的扫描工具有X-scan、superscan、流光、X-port等。
深度剖析木马的植入与攻击
深度剖析木马的植入与攻击安全问题2010-09-18 13:57:43 阅读54 评论0 字号:大中小订阅为了学习转的:第3章深度剖析木马的植入与攻击●木马是如何实施攻击的●木马的植入与隐藏●木马信息反馈●常用木马例说●木马的清除和防范木马,也称特伊洛木马,英文名称为Trojan。
其本身就是为了入侵个人电脑而开发的,藏在电脑中和工作的时候是很隐蔽的,它的运行和黑客的入侵不会在电脑的屏幕上显示出任何痕迹。
Windows本身没有监视网络的软件,所以不借助其它工具软件,许多时候是很难知道木马的存在和黑客的入侵的。
由于很多新手对安全问题了解不多,所以并不知道自己的计算机中了“木马”该如何清除。
虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”,但它们并不能防范新出现的“木马”程序,因此最关键的还是要知道“木马”的工作原理,这样就会很容易发现自己是否中“木马”了。
3-1 木马是如何实施攻击的木马是黑客最常用的攻击方法,因此,在本章中将使用较大篇幅来介绍木马的攻防技术。
木马的危害性在于它对电脑系统强大的控制和破坏能力、窃取密码、控制系统操作、进行文件操作等,一台计算机一旦被一个功能强大的木马植入,攻击者就可以像操作自己的计算机一样控制这台计算机,甚至可以远程监控这台计算机上的所有操作。
尽管资深的黑客是不屑于使用木马的,但在对网络安全事件的分析统计里,却发现有相当部分的网络入侵是通过木马来进行的,包括2002年微软被黑一案,据说就是通过一种普通的蠕虫木马侵入微软的系统,并且窃取了微软部分产品源代码的。
3-1-1 木马是如何侵入系统的小博士,你好!可以给我讲一下木马是如何侵入系统的吗?没问题,一般的木马都有客户端和服务器端两个执行程序,其中客户端用于攻击者远程控制植入木马的计算机,服务器端程序就是通常所说的木马程序。
攻击者要通过木马攻击计算机系统,他所做的第一步就是要把木马的服务器端程序植入到被攻击的计算机里面。
2022年职业考证-软考-信息安全工程师考试全真模拟全知识点汇编押题第五期(含答案)试卷号:96
2022年职业考证-软考-信息安全工程师考试全真模拟全知识点汇编押题第五期(含答案)一.综合题(共15题)1.单选题按照行为和功能特性,特洛伊木马可以分为远程控制型木马、信息窃取型木马和破坏型木马等。
以下不属于远程控制型木马的是()。
问题1选项A.冰河B.彩虹桥C.PCShareD.Trojan-Ransom【答案】D【解析】本题考查恶意代码中特洛伊木马方面的基础知识。
典型的远程控制型木马有冰河、网络神偷、广外女生、网络公牛、黑洞、上兴、彩虹桥、Posion ivy、PCShare、灰鸽子等。
Trojan-Ransom 属于破坏型木马。
2.单选题操作系统的安全机制是指在操作系统中利用某种技术、某些软件来实施一个或多个安全服务的过程。
操作系统的安全机制不包括()。
问题1选项A.标识与鉴别机制B.访问控制机制C.密钥管理机制D.安全审计机制【答案】C【解析】本题考查操作系统安全机制方面的基础知识。
操作系统的安全机制包括安全审计机制、可信路径机制、标识与鉴别机制、客体重用机制、访问控制机制。
答案选C。
3.单选题数字水印技术是指在数字化的数据内容中嵌入不明显的记号,被嵌入的记号通常是不可见的或者不可察觉的,但是通过计算操作能够实现对该记号的提取和检测。
数字水印不能实现()。
问题1选项A.证据篡改鉴定B.数字信息版权保护C.图像识别D.电子票据防伪【答案】C【解析】本题考查数字水印技术方面的基础知识。
根据应用领域可将数字水印分为:①鲁棒水印:通常用于数字化图像、视频、音频或电子文档的版权保护。
将代表版权人身份的特定信息,如一-段文字、标识、序列号等按某种方式嵌入在数字产品中,在发生版权纠纷时,通过相应的算法提取出数字水印,从而验证版权的归属,确保著作权人的合法利益,避免非法盗版的威胁。
②易损水印:又称为脆弱水印,通常用于数据完整性保护。
当数据内容发生改变时,易损水印会发生相应的改变,从而可鉴定数据是否完整。
七种常见木马破坏表现及清除方法
七种常见木马破坏表现及清除方法木马的出现对我们的系统造成了很大的危害,但是由于木马通常植入得非常隐蔽,很难完全删除,因此,这里我们介绍一些常见木马的清除方法。
一、网络公牛(Netbull)网络公牛是国产木马,默认连接端口23444。
服务端程序newserver.exe运行后,会自动脱壳成checkdll.exe,位于C:WINDOWSSYSTEM下,下次开机checkdll.exe 将自动运行,因此很隐蔽、危害很大。
同时,服务端运行后会自动捆绑以下文件:win2000下:notepad.exe;regedit.exe,reged32.exe;drwtsn32.exe;winmine.exe。
服务端运行后还会捆绑在开机时自动运行的第三方软件(如:realplay.exe、QQ、ICQ等)上,在注册表中网络公牛也悄悄地扎下了根。
网络公牛采用的是文件捆绑功能,和上面所列出的文件捆绑在一块,要清除非常困难。
这样做也有个缺点:容易暴露自己!只要是稍微有经验的用户,就会发现文件长度发生了变化,从而怀疑自己中了木马。
清除方法:1.删除网络公牛的自启动程序C:WINDOWSSYSTEMCheckDll.exe。
2.把网络公牛在注册表中所建立的键值全部删除:3.检查上面列出的文件,如果发现文件长度发生变化(大约增加了40K左右,可以通过与其它机子上的正常文件比较而知),就删除它们!然后点击“开始→附件→系统工具→系统信息→工具→系统文件检查器”,在弹出的对话框中选中“从安装软盘提取一个文件(E)”,在框中填入要提取的文件(前面你删除的文件),点“确定”按钮,然后按屏幕提示将这些文件恢复即可。
如果是开机时自动运行的第三方软件如:realplay.exe、QQ、ICQ等被捆绑上了,那就得把这些文件删除,再重新安装。
二、Netspy(网络精灵)Netspy又名网络精灵,是国产木马,最新版本为3.0,默认连接端口为7306。
第五章 特洛伊木马
33
课后作业: 课后作业:
认识木马 学会使用冰河、 学会使用冰河、灰鸽子 学会清除常见木马
34
客户端程序是安装在攻击者(黑客)方的控制台,它 负责远程遥控指挥。 服务器端程序即是木马程序,它被隐藏安装在被攻击 (受害)方的电脑上。
11
木马攻击的第一步:把木马服务程序植入攻击对象 木马攻击的第一步: 攻击者需要通过木马对他人电脑系统进行攻击,第 一步就是把木马的服务程序植入到被攻击的电脑里面。 如果电脑没有联网,那么是不会受到木马的侵扰的, 因为木马程序不会主动攻击和传染到这样的电脑中。
22
使用冰河
配置冰河服务器 种植木马 远程控制
23
24
清除冰河
25
26
任务三、 任务三、
27
冰河木马的清除
1、打开注册表编辑器,展开 、打开注册表编辑器, HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentV ersion\Run和 和 HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentV ersion\RunServices,若其中存在 键值, ,若其中存在kerne132.exe键值,则将其删除。 键值 则将其删除。 2、打开资源管理器,执行“工具” “文件夹选项”,选择“文件类型” 、打开资源管理器,执行“工具” 文件夹选项” 选择“文件类型” 选项卡,在已注册的文件类型列表中找到“TXT文本文档 文本文档” 详细信息” 选项卡,在已注册的文件类型列表中找到“TXT文本文档”,从“详细信息” 中查看其“打开方式”有无变化(一般为记事本文件)。如果不是, )。如果不是 中查看其“打开方式”有无变化(一般为记事本文件)。如果不是,则单 高级” 删除“操作”列表中的open选项。 选项。 击“高级”,删除“操作”列表中的 选项 3、重启电脑进入DOS,删除 、重启电脑进入 下的kerne132.exe ,删除c:\windows\system32下的 下的 文件。 和sysxplr.exe文
对“广外女生”木马的分析与对策
"diagnostic configuration"=dword:1
4.2 导入注册表文件
将此文件存盘后 将系统转入DOS 注意不是 MS_DOS方式 而应该重新起动系统 后转入DOS 或点击 开始 菜单 选择 关闭系统 在出现的对话框中选择 重新启动 计算机并切换到MS DOS方式 更名Diagcfg.exe 然后重新进入Windows 此时系统无 法使用任何.EXE和.COM文件 双击fix.reg 将其内容导入系统注册表 所有.EXE和.COM 文件可以使用 系统恢复正常 此时可以将Diagcfg.exe从磁盘上删除
1 引言
近几年 由于Internet的广泛应用 计算机病毒的发展也早已由过去的单机危害 过度 到目前主要以网络为媒介的网络危害 在新形势下尤以 木马 类病毒的危害最为严重 它
在监听受感染用户的系统时 不仅可以一览无余地浏览用户硬盘资料 而且可以监视用户操
作 更为可怕的是其极有可能窃取用户的各种帐号和密码 例如用户的银行卡在网上使用
2.4 小结
经过以上分析 我们不难发现 该 木马 程序在运行期间无法删除 势必有些人会想 到进入Dos环境后删除 这样会导致两个问题将要面对 一个是重新进入Windows后导致所 有程序无法运行 另一个已经无法找回Diagcfg.exe 也就失去了 带病工作 的机会 因此 在使用 删除 功能时一定要谨慎行事 完全可以换成 更名 Rename 命令 以防万一
运行 来应答客户机的请求
在此类病毒中 即有赫赫有名的国产 冰河
广外女生 也有小有名气的 初恋
情人 网络精灵 最近本人不幸感染到了 广外女生 也曾到Internet上查找到一些清
除该 木马 程序的相关资料 然而 却没有一份资料能够完全清除 要么其会死灰复燃
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
最近又有一种新的国产木马出现了,它有个好听的名字,叫做“广外女生”。
这个木马是广东外语外贸大学“广外女生”网络小组的作品,它可以运行于WIN98,WIN98SE,WINME,WINNT,WIN2000或已经安装Winsock2.0的Win95/97上。
与以往的木马相比,它具有体积更小、隐藏更为巧妙的特点。
可以预料,在将来的日子里它会成为继“冰河”之后的又一流行的木马品种。
由于“广外女生”这个木马的驻留、启动的方法比较具有典型性,下面我就通过对这种新型木马的详细分析过程来向大家阐述对一般木马的研究方法。
下面的测试环境为Windows2000中文版。
一、所需工具1.RegSnap v2.80 监视注册表以及系统文件变化的最好工具2.fport v1.33 查看程序所打开的端口的工具3.FileInfo v2.45a 查看文件类型的工具4.ProcDump v1.6.2 脱壳工具5.IDA v4.0.4 反汇编工具二、分析步骤一切工具准备就绪了,我们开始分析这个木马。
一般的木马的服务器端一旦运行之后都会对注册表以及系统文件做一些手脚,所以我们在分析之前就要先对注册表以及系统文件做一个备份。
首先打开RegSnap,从file菜单选new,然后点OK。
这样就对当前的注册表以及系统文件做了一个记录,一会儿如果木马修改了其中某项,我们就可以分析出来了。
备份完成之后把它存为Regsnp1.rgs。
然后我们就在我们的电脑上运行“广外女生”的服务器端,不要害怕,因为我们已经做了比较详细的备份了,它做的手脚我们都可以照原样改回来的。
双击gdufs.exe,然后等一小会儿。
如果你正在运行着“天网防火墙”或“金山毒霸”的话,应该发现这两个程序自动退出了,很奇怪吗?且听我们后面的分析。
现在木马就已经驻留在我们的系统中了。
我们来看一看它究竟对我们的做了哪些操作。
重新打开RegSnap,从file菜单选new,然后点OK,把这次的snap结果存为Regsnp2.rgs。
从RegSnap的file菜单选择Compare,在First snapshot中选择打开Regsnp1.rgs,在Second snapshot中选择打开Regsnp2.rgs,并在下面的单选框中选中Show modifiedkey names and key values。
然后按OK按钮,这样RegSnap就开始比较两次记录又什么区别了,当比较完成时会自动打开分析结果文件Regsnp1-Regsnp2.htm。
看一下Regsnp1-Regsnp2.htm,注意其中的:Summary info:Deleted keys: 0Modified keys: 15New keys : 1意思就是两次记录中,没有删除注册表键,修改了15处注册表,新增加了一处注册表。
再看看后边的:File list in C:\WINNT\System32\*.*Summary info:Deleted files: 0Modified files: 0New files : 1New filesdiagcfg.exe Size: 97 792 , Date/Time: 2001年07月01日23:00:12--------------Total positions: 1这一段话的意思就是,在C:\WINNT\System32\目录下面新增加了一个文件diagcfg.exe,这个文件非常可疑,因为我们在比较两次系统信息之间只运行了“广外女生”这个木马,所以我们有理由相信diagcfg.exe就是木马留在系统中的后门程序。
不信的话你打开任务管理器看一下,会发现其中有一个DIAGCFG.EXE的进程,这就是木马的原身。
但这个时候千万不要删除DIAGCFG.EXE,否则系统就无法正常运行了。
木马一般都会在注册表中设置一些键值以便以后在系统每次重新启动时能够自动运行。
我们再来看看Regsnp1-Regsnp2.htm中哪些注册表项发生了变化,凭借经验应该注意到下面这条了:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\@Old value: String: ""%1" %*"New value: String: "C:\WINNT\System32\DIAGCFG.EXE "%1" %*"这个键值由原来的"%1" %*被修改为了C:\WINNT\System32\DIAGCFG.EXE "%1" %*,因为其中包含了木马程序DIAGCFG.EXE所以最为可疑。
那么这个注册表项有什么作用呢?它就是运行可执行文件的格式,被改成C:\WINNT\System32\DIAGCFG.EXE "%1" %*之后每次再运行任何可执行文件时都要先运行C:\WINNT\System32\DIAGCFG.EXE这个程序。
原来这个木马就是通过这里做了手脚,使自己能够自动运行,它的启动方法与一般普通木马不太一样,一般的木马是在HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*键里增加一个键值,使自己能够自启动,但这种方法被杀毒软件所熟知了,所以很容易被查杀。
而“广外女生”这个木马就比较狡猾,它把启动项设在了另外的位置。
现在我们已经掌握了这个木马的驻留位置以及在注册表中的启动项,还有重要的一点就是我们还要找出它到底监听了哪个端口。
使用fport可以轻松的实现这一点。
在命令行中运行fport.exe,可以看到:……1176 DIAGCFG-> 6267 TCP C:\WINNT\System32\DIAGCFG.EXE~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 注意这行!!!……我们可以清楚的看到,木马程序监听在TCP的6267号端口上了。
我们到目前为止就可以说掌握了“广外女生”这个木马在我们系统中的全部动作了,现在我们可以轻而易举的查杀它了。
三、查杀经过前面的分析我们已经了解了“广外女生”这种木马的工作方式,现在我们就来清除它。
下面就是彻底清除“广外女生”的方法,注意:这个步骤的次序不能颠倒,否则可能无法完全清除掉此木马。
1.按“开始”菜单,选择“运行”,输入regedit,按确定。
打开下面键值:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\,但是先不要修改,因为如果这时就修改注册表的话,DIAGCFG.EXE进程仍然会立刻把它改回来的。
2.打开“任务管理器”,找到DIAGCFG.EXE这个进程,选中它,按“结束进程”来关掉这个进程。
注意,一定也不要先关进程再打开注册表管理器,否则执行regedit.exe时就又会启动DIAGCFG.EXE。
3.把HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\的键值由原来的C:\WINNT\System32\DIAGCFG.EXE "%1" %*改为"%1" %*。
4.这时就可以删除C:\WINNT\System32\目录下的DIAGCFG.EXE了。
切记万万不可首先删除这个文件,否则的话就无法再系统中运行任何可执行文件了。
由于我们下面还打算进一步深入分析这个木马,所以现在不删除它,而是把它拷贝到其他的目录以便研究。
四、深入研究我们已经知道了“广外女生”的基本工作原理、启动流程以及如何彻底清除它了,但是还有一点我们没有彻底弄清楚,那就是它是如何对付“天网防火墙”或“金山毒霸”的。
要深入了解这一点,我们必须要去看“广外女生”的代码,这个木马并没有公布源代码,但是我们仍然可以通过反汇编它来看个究竟。
“广外女生”的服务器端只有96K,显然是使用了压缩软件进行了加壳的,我们首先就要确定它到底加了什么壳。
通过使用FileInfo这个小工具就可以侦测出来。
现在我们就把前面分析过的那个DIAGCFG.EXE复制到FileInfo的目录下,然后在命令行下fi.exe,然后按回车,就会显示:……FileInfo就已经检测出DIAGCFG.EXE是使用了ASPack v1.06b进行加壳。
知道了它的加密方法我们就可以使用ProcDump来把它脱壳了。
运行ProcDump,点击Unpack按钮,因为我们要脱ASPack v1.06b的壳,所以就在其中选中Aspack<108,然后按OK。
这时它会让你打开要脱壳的文件,我们就选DIAGCFG.EXE,打开。
然后稍微等几秒种后按“确定”,ProcDump就会把DIAGCFG.EXE脱壳,然后会出个对话框要你把脱壳过的文件存盘,我们就把它存为gwns.exe。
注意:这时候,木马又在你的系统上运行了一次,所以必须按照前面的清除步骤重新把它清除掉。
由于前面已经写过清除方法,这里就不再赘述了。
好了,现在我们已经得到了这个木马加壳前的原始文件了,看看脱壳过的gwns.exe,有194k之大,比原来的程序大了一倍还多,这就是加壳软件的功劳了。
现在就可以使用反汇编程序对其进行反汇编,然后看它的汇编程序代码了。
我们就用IDA来反汇编它,顺便说一句,这个IDA是个超强的反汇编工具,是cracker 以及Windows hacker所必备的工具。
下面我们就来看看部分反汇编过的代码:……木马首先加载了kernel32.dll,然后利用GetProcAddress来得到RegisterServiceProcess 这个API的地址,木马首先需要把自己注册为系统服务,这样在Win9x下运行时就不容易被任务管理器发现。
然后它会GetCommandLineA来得到运行参数,如果参数是可执行文件的话就调用Winexec来运行。
……然后木马会查找snfw.exe和kav9x.exe的进程,也就是“天网防火墙”或“金山毒霸”的进程,然后将其杀掉。
下面就是修改木马的注册表启动项,即HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\项,使其能够在每次系统重新启动时能够自行启动。
接下来木马就会初始化Winsock dll,绑定端口,等待木马客户端的连接。
五、总结截止目前为止,我们已经完成了对“广外女生”这个木马程序的全部分析过程,了解了木马的启动、运行机制。