黑客经验之实例讲解木马的分析方法

以前有过一款国产木马，它有个好听的名字，叫做“广外女生”。这个木马是广东外语外贸大学“广外女生”网络小组的作品，它可以运行于WIN98，WIN98SE，WINME，WINNT，WIN2000或已经安装Winsock2.0的Win95/97上。与以往的木马相比，它具有体积更小、隐藏更为巧妙的特点。可以预料，在将来的日子里它会成为继“冰河”之后的又一流行的木马品种。

由于“广外女生”这个木马的驻留、启动的方法比较具有典型性，下面我就通过对这种新型木马的详细分析过程来向大家阐述对一般木马的研究方法。下面的测试环境为Windows2000中文版。

一、所需工具

1.RegSnap v2.80 监视注册表以及系统文件变化的最好工具

2.fport v1.33 查看程序所打开的端口的工具

3.FileInfo v2.45a 查看文件类型的工具

4.ProcDump v1.6.2 脱壳工具

5.IDA v4.0.4 反汇编工具

二、分析步骤

一切工具准备就绪了，我们开始分析这个木马。一般的木马的服务器端一旦运行之后都会对注册表以及系统文件做一些手脚，所以我们在分析之前就要先对注册表以及系统文件做一个备份。

首先打开RegSnap，从file菜单选new,然后点OK。这样就对当前的注册表以及系统文件做了一个记录，一会儿如果木马修改了其中某项，我们就可以分析出来了。备份完成之后把它存为Regsnp1.rgs。

然后我们就在我们的电脑上运行“广外女生”的服务器端，不要害怕，因为我们已经做了比较详细的备份了，它做的手脚我们都可以照原样改回来的。双击gdufs.exe，然后等一小会儿。如果你正在运行着“天网防火墙”或“金山毒霸”的话，应该发现这两个程序自动退出了，很奇怪吗？且听我们后面的分析。现在木马就已经驻留在我们的系统中了。我们来看一看它究竟对我们的做了哪些操作。重新打开RegSnap，从file菜单选new,然后点OK，把这次的snap结果存为Regsnp2.rgs。

从RegSnap的file菜单选择Compare，在First snapshot中选择打开Regsnp1.rgs，在Second snapshot中选择打开Regsnp2.rgs，并在下面的单选框中选中Show modifiedkey names and key values。然后按OK按钮，这样RegSnap就开始比较两次记录又什么区别了，当比较完成时会自动打开分析结果文件Regsnp1-Regsnp2.htm。

看一下Regsnp1-Regsnp2.htm，注意其中的：

Summary info:

Deleted keys: 0

Modified keys: 15

New keys : 1

File list in C:\WINNT\System32\*.*



Summary info:

Deleted files: 0

Modified files: 0

New files : 1



New files

diagcfg.exe Size: 97 792 , Date/Time: 2001年07月01日 23:00:12

--------------

Total positions: 1

这一段话的意思就是，在C:\WINNT\System32\目录下面新增加了一个文件diagcfg.exe，这个文件非常可疑，因为我们在比较两次系统信息之间只运行了“广外女生”这个木马，所以我们有理由相信diagcfg.exe就是木马留在系统中的后门程序。不信的话你打开任务管理器看一下，会发现其中有一个DIAGCFG.EXE的进程，这就是木马的原身。但这个时候千万不要删除DIAGCFG.EXE，否则系统就无法正常运行了。

木马一般都会在注册表中设置一些键值以便以后在系统每次重新启动时能够自动运行。我们再来看看Regsnp1-Regsnp2.htm中哪些注册表项发生了变化，凭借经验应该注意到下面这条了：

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\@



Old value: String: ""%1" %*"

New value: String: "C:\WINNT\System32\DIAGCFG.EXE "%1" %*"

这个键值由原来的"%1" %*被修改为了C:\WINNT\System32\DIAGCFG.EXE "%1" %*，因为其中包含了木马程序DIAGCFG.EXE所以最为可疑。那么这个注册表项有什么作用呢？

它就是运行可执行文件的格式，被改成C:\WINNT\System32\DIAGCFG.EXE "%1"。%*之后每次再运行任何可执行文件时都要先运行C:\WINNT\System32\DIAGCFG.EXE这个程序。

原来这个木马就是通过这里做了手脚，使自己能够自动运行，它的启动方法与一般普通木马不太一样，一般的木马是在

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run* 标签： 版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com 特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有 上一篇：防范入侵之文件对比查杀嵌入式木马 下一篇：系统安全基础之另类方法解除CMOS密码 相关文章 IDC资讯： 主机资讯 注册资讯 托管资讯 vps资讯 网站建设 网站运营： 建站经验 策划盈利 搜索优化 网站推广 免费资源 网站联盟： 联盟新闻 联盟介绍 联盟点评 网赚技巧 行业资讯： 搜索引擎 网络游戏 电子商务 广告传媒 网络编程： Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它 服务器技术： Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护 软件技巧： 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷 网页制作： FrontPages Dreamweaver Javascript css photoshop fireworks Flash 程序设计： Java技术 C/C++ VB delphi 网络知识： 网络协议 网络安全 网络管理 组网方案 Cisco技术 操作系统： Win2000 WinXP Win2003 Mac OS Linux FreeBSD 热门词条 最新资讯 Photoshop绘制立体风格的微笑表情 PS文字特效教程：制作公路上个性的涂鸦 Photoshop设计卷边效果的变形金刚电影 PS色彩修复教程：利用色阶工具快速给红 PS半透明物体抠图：利用通道选区工具抠 PS海报设计技巧教程：学习制作个性的扭 PS图片特效制作教程：学习给铁塔图片制 学习用photoshop把浑浊的海水照片后期 PS古风照片教程：给古风美女打造出女侠 PS个性人物海报制作：设计创意时尚的玻 热门关注 看上去很美 黄色网站背后隐藏的安全危 震惊 不用黑客软件盗QQ的简单方法 利用网站解析在线视频下载地址 五招教你“调教”网上邻居 多家厂商test-cgi脚本目录远程遍历漏洞 黄毒蔓延 害人不浅！上网防黄有技巧 Microsoft Windows MSRPC SVCCTL服务枚 Microsoft Windows远程桌面协议服务程 IBM HTTP Server 根目录访问漏洞 Trojan.QQ3344.af.enc 热门标签 为学习和知识分享目的，本站文章部分自网络，本站文章部分自网络，如有侵权，请联系：2653426586@qq.com QQ：2653426586 如有其他需求，请联系：2653426586@qq.com QQ：2653426586 友情链接：  网络安全  运维经验  IT技术分享  运维随笔录  鲜花  东郊到家  往约到家