黑客经验之实例讲解木马的分析方法

来源：互联网 作者：west263.com 时间：2008-02-23

西部数码-全国虚拟主机10强！40余项虚拟主机管理功能,全国领先!双线多线虚拟主机南北访问畅通无阻!免费赠送企业邮局,.CN域名,自助建站480元起,免费试用7天,满意再付款! P4主机租用799元/月.月付免压金!

以前有过一款国产木马，它有个好听的名字，叫做“广外女生”。这个木马是广东外语外贸大学“广外女生”网络小组的作品，它可以运行于WIN98，WIN98SE，WINME，WINNT，WIN2000或已经安装Winsock2.0的Win95/97上。与以往的木马相比，它具有体积更小、隐藏更为巧妙的特点。可以预料，在将来的日子里它会成为继“冰河”之后的又一流行的木马品种。

由于“广外女生”这个木马的驻留、启动的方法比较具有典型性，下面我就通过对这种新型木马的详细分析过程来向大家阐述对一般木马的研究方法。下面的测试环境为Windows2000中文版。

一、所需工具

1.RegSnap v2.80 监视注册表以及系统文件变化的最好工具

2.fport v1.33 查看程序所打开的端口的工具

3.FileInfo v2.45a 查看文件类型的工具

4.ProcDump v1.6.2 脱壳工具

5.IDA v4.0.4 反汇编工具

二、分析步骤

一切工具准备就绪了，我们开始分析这个木马。一般的木马的服务器端一旦运行之后都会对注册表以及系统文件做一些手脚，所以我们在分析之前就要先对注册表以及系统文件做一个备份。

首先打开RegSnap，从file菜单选new,然后点OK。这样就对当前的注册表以及系统文件做了一个记录，一会儿如果木马修改了其中某项，我们就可以分析出来了。备份完成之后把它存为Regsnp1.rgs。

然后我们就在我们的电脑上运行“广外女生”的服务器端，不要害怕，因为我们已经做了比较详细的备份了，它做的手脚我们都可以照原样改回来的。双击gdufs.exe，然后等一小会儿。如果你正在运行着“天网防火墙”或“金山毒霸”的话，应该发现这两个程序自动退出了，很奇怪吗？且听我们后面的分析。现在木马就已经驻留在我们的系统中了。我们来看一看它究竟对我们的做了哪些操作。重新打开RegSnap，从file菜单选new,然后点OK，把这次的snap结果存为Regsnp2.rgs。

从RegSnap的file菜单选择Compare，在First snapshot中选择打开Regsnp1.rgs，在Second snapshot中选择打开Regsnp2.rgs，并在下面的单选框中选中Show modifiedkey names and key values。然后按OK按钮，这样RegSnap就开始比较两次记录又什么区别了，当比较完成时会自动打开分析结果文件Regsnp1-Regsnp2.htm。

看一下Regsnp1-Regsnp2.htm，注意其中的：

Summary info:

Deleted keys: 0

Modified keys: 15

New keys : 1

意思就是两次记录中，没有删除注册表键，修改了15处注册表，新增加了一处注册表。再看看后边的：

File list in C:\WINNT\System32\*.*



Summary info:

Deleted files: 0

Modified files: 0

New files : 1



New files

diagcfg.exe Size: 97 792 , Date/Time: 2001年07月01日 23:00:12

--------------

Total positions: 1

这一段话的意思就是，在C:\WINNT\System32\目录下面新增加了一个文件diagcfg.exe，这个文件非常可疑，因为我们在比较两次系统信息之间只运行了“广外女生”这个木马，所以我们有理由相信diagcfg.exe就是木马留在系统中的后门程序。不信的话你打开任务管理器看一下，会发现其中有一个DIAGCFG.EXE的进程，这就是木马的原身。但这个时候千万不要删除DIAGCFG.EXE，否则系统就无法正常运行了。

木马一般都会在注册表中设置一些键值以便以后在系统每次重新启动时能够自动运行。我们再来看看Regsnp1-Regsnp2.htm中哪些注册表项发生了变化，凭借经验应该注意到下面这条了：

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\@



Old value: String: ""%1" %*"

New value: String: "C:\WINNT\System32\DIAGCFG.EXE "%1" %*"

这个键值由原来的"%1" %*被修改为了C:\WINNT\System32\DIAGCFG.EXE "%1" %*，因为其中包含了木马程序DIAGCFG.EXE所以最为可疑。那么这个注册表项有什么作用呢？

它就是运行可执行文件的格式，被改成C:\WINNT\System32\DIAGCFG.EXE "%1"。%*之后每次再运行任何可执行文件时都要先运行C:\WINNT\System32\DIAGCFG.EXE这个程序。

原来这个木马就是通过这里做了手脚，使自己能够自动运行，它的启动方法与一般普通木马不太一样，一般的木马是在

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

文章整理：西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!

[打印] [关闭]

相关文章

Backdoor.SdBot.an

在远程计算机的CMD内下载FTP文件

黑客网上收徒专家提醒学技术走

Trojan.PSW.LMir.pe.enc

Worm.Win32.Fasong.a

Trojan.PSW.Hooker.24.b

上一篇：防范入侵之文件对比查杀嵌入式木马
下一篇：系统安全基础之另类方法解除CMOS密码

热点关注

IDC资讯虚拟主机域名注册托管租用 vps主机智能建站
网站运营建站经验策划盈利搜索优化网站推广免费资源
网站联盟联盟新闻联盟介绍联盟点评网赚技巧
行业资讯业界动态搜索引擎网络游戏门户动态电子商务广告传媒
网络编程 Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术 Web服务器 Ftp服务器 Mail服务器 Dns服务器安全防护
软件技巧其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷 Internet Explorer
网页制作 FrontPages Dreamweaver Javascript css photoshop fireworks Flash
程序设计 Java技术 C/C++ VB delphi
网络知识网络协议网络安全网络管理组网方案 Cisco技术
操作系统 Win2000 WinXP Win2003 Mac OS Linux FreeBSD

版权所有西部数码(www.west263.com)
CopyRight (c) 2002~2007 west263.com all right reserved.
公司地址：四川成都市万和路90号天象大厦4楼　邮编：610031
电话总机：028-86263408 86263960 86264018 86267838 86262244 86263408
售前咨询：总机转201 202 203 204 205 206 207 208
售后服务：总机转211 212 213 214 217 218 晚上0点以后拔分机225