黑客经验之实例讲解木马的分析方法(2)

2008-02-23 07:10:11来源：互联网阅读 ()

键里增加一个键值，使自己能够自启动，但这种方法被杀毒软件所熟知了，所以很容易被查杀。而“广外女生”这个木马就比较狡猾，它把启动项设在了另外的位置。

现在我们已经掌握了这个木马的驻留位置以及在注册表中的启动项，还有重要的一点就是我们还要找出它到底监听了哪个端口。使用fport可以轻松的实现这一点。在命令行中运行fport.exe，可以看到：

C:\tool\fport>fport

FPort v1.33 - TCP/IP Process to Port Mapper

Copyright 2000 by Foundstone, Inc.

http://www.foundstone.com



Pid Process　　　Port Proto Path

584 tcpsvcs　-> 7　　 TCP C:\WINNT\System32\tcpsvcs.exe

584 tcpsvcs　-> 9　　 TCP C:\WINNT\System32\tcpsvcs.exe

584 tcpsvcs　-> 13　　TCP C:\WINNT\System32\tcpsvcs.exe

584 tcpsvcs　-> 17　　TCP C:\WINNT\System32\tcpsvcs.exe

584 tcpsvcs　-> 19　　TCP C:\WINNT\System32\tcpsvcs.exe

836 inetinfo　-> 80　　TCP C:\WINNT\System32\inetsrv\inetinfo.exe

408 svchost　-> 135 TCP C:\WINNT\system32\svchost.exe

836 inetinfo　-> 443 TCP C:\WINNT\System32\inetsrv\inetinfo.exe

8　　 System　 -> 445 TCP

464 msdtc　 -> 1025 TCP C:\WINNT\System32\msdtc.exe

684 MSTask　 -> 1026 TCP C:\WINNT\system32\MSTask.exe

584 tcpsvcs　-> 1028 TCP C:\WINNT\System32\tcpsvcs.exe

836 inetinfo　-> 1029 TCP C:\WINNT\System32\inetsrv\inetinfo.exe

8　　 System　 -> 1030 TCP

464 msdtc　 -> 3372 TCP C:\WINNT\System32\msdtc.exe

1176 DIAGCFG　-> 6267 TCP C:\WINNT\System32\DIAGCFG.EXE

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 注意这行！！！

836 inetinfo　-> 7075 TCP C:\WINNT\System32\inetsrv\inetinfo.exe

584 tcpsvcs　-> 7　　 UDP C:\WINNT\System32\tcpsvcs.exe

584 tcpsvcs　-> 9　　 UDP C:\WINNT\System32\tcpsvcs.exe

584 tcpsvcs　-> 13　　UDP C:\WINNT\System32\tcpsvcs.exe

584 tcpsvcs　-> 17　　UDP C:\WINNT\System32\tcpsvcs.exe

584 tcpsvcs　-> 19　　UDP C:\WINNT\System32\tcpsvcs.exe

584 tcpsvcs　-> 68　　UDP C:\WINNT\System32\tcpsvcs.exe

408 svchost　-> 135 UDP C:\WINNT\system32\svchost.exe

8　　 System　 -> 445 UDP

228 services　-> 1027 UDP C:\WINNT\system32\services.exe

836 inetinfo　-> 3456 UDP C:\WINNT\System32\inetsrv\inetinfo.exe

我们可以清楚的看到，木马程序监听在TCP的6267号端口上了。我们到目前为止就可以说掌握了“广外女生”这个木马在我们系统中的全部动作了，现在我们可以轻而易举的查杀它了。

三、查杀

经过前面的分析我们已经了解了“广外女生”这种木马的工作方式，现在我们就来清除它。下面就是彻底清除“广外女生”的方法，注意：这个步骤的次序不能颠倒，否则可能无法完全清除掉此木马。

1.按“开始”菜单，选择“运行”，输入regedit，按确定。打开下面键值：

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\

但是先不要修改，因为如果这时就修改注册表的话，DIAGCFG.EXE进程仍然会立刻把它改回来的。

2.打开“任务管理器”，找到DIAGCFG.EXE这个进程，选中它，按“结束进程”来关掉这个进程。注意，一定也不要先关进程再打开注册表管理器，否则执行regedit.exe时就又会启动DIAGCFG.EXE。

3.把

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\

的键值由原来的C:\WINNT\System32\DIAGCFG.EXE "%1" %*改为"%1" %*。

4.这时就可以删除C:\WINNT\System32\目录下的DIAGCFG.EXE了。切记万万不可首先删除这个文件，否则的话就无法再系统中运行任何可执行文件了。由于我们下面还打算进一步深入分析这个木马，所以现在不删除它，而是把它拷贝到其他的目录以便研究。

四、深入研究

我们已经知道了“广外女生”的基本工作原理、启动流程以及如何彻底清除它了，但是还有一点我们没有彻底弄清楚，那就是它是如何对付“天网防火墙”或“金山毒霸”的。要深入了解这一点，我们必须要去看“广外女生”的代码，这个木马并没有公布源代码，但是我们仍然可以通过反汇编它来看个究竟。

“广外女生”的服务器端只有96K，显然是使用了压缩软件进行了加壳的，我们首先就要确定它到底加了什么壳。通过使用FileInfo这个小工具就可以侦测出来。现在我们就把前面分析过的那个DIAGCFG.EXE复制到FileInfo的目录下，然后在命令行下fi.exe，然后按回车，就会显示：

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有

上一篇：防范入侵之文件对比查杀嵌入式木马

下一篇：系统安全基础之另类方法解除CMOS密码

IDC资讯：主机资讯注册资讯托管资讯 vps资讯网站建设

网站运营：建站经验策划盈利搜索优化网站推广免费资源

网站联盟：联盟新闻联盟介绍联盟点评网赚技巧

行业资讯：搜索引擎网络游戏电子商务广告传媒

网络编程： Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它

服务器技术： Web服务器 Ftp服务器 Mail服务器 Dns服务器安全防护

软件技巧：其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷

网页制作： FrontPages Dreamweaver Javascript css photoshop fireworks Flash

程序设计： Java技术 C/C++ VB delphi

网络知识：网络协议网络安全网络管理组网方案 Cisco技术

操作系统： Win2000 WinXP Win2003 Mac OS Linux FreeBSD

最新资讯

热门关注