黑客经验之实例讲解木马的分析方法(4)

2008-02-23 07:10:11来源：互联网阅读 ()

0042B820　　 mov　　 dword ptr [esi], 100h

0042B826　　 push　　esi

0042B827　　 push　　edi

0042B828　　 push　　offset a_exe_1 ; ".exe"

0042B82D　　 push　　80000000h

0042B832　　 call　　j_RegQueryValueA

0042B837　　 push　　8

0042B839　　 push　　offset a1　; "\"%1\" %*"

0042B83E　　 push　　1

0042B840　　 lea　　 eax, [ebp var_10]

0042B843　　 mov　　 edx, edi

0042B845　　 mov　　 ecx, 100h

0042B84A　　 call　　sub_4037A0

0042B84F　　 lea　　 eax, [ebp var_10]

0042B852　　 mov　　 edx, offset aShellOpenComma ; "\\shell\\open\\command"

0042B857　　 call　　sub_4037F8

0042B85C　　 mov　　 eax, [ebp var_10]

0042B85F　　 call　　sub_4039A4

0042B864　　 push　　eax

0042B865　　 push　　80000000h

0042B86A　　 call　　j_RegSetValueA

0042B86F　　 push　　0

0042B871　　 mov　　 eax, ds:dword_42D040

0042B876　　 mov　　 eax, [eax]

0042B878　　 push　　eax

0042B879　　 call　　j_WinExec

下面就是修改木马的注册表启动项，即

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\

项，使其能够在每次系统重新启动时能够自行启动。接下来木马就会初始化Winsock dll，绑定端口，等待木马客户端的连接。

五、总结

截止目前为止，我们已经完成了对“广外女生”这个木马程序的全部分析过程，了解了木马的启动、运行机制。当然，我写本文的目的并不是简单的介绍“广外女生”这一种木马，而是通过对这个具有典型意义的木马的详细分析，来向大家介绍对一般木马的分析方法。利用本文的分析方法，你完全对任何一种未知的木马品种进行分析。最后我们再来总结一下对木马分析的方法及步骤：

首先对系统注册表以及系统文件进行备份，然后运行木马服务器端，再对运行过木马的注册表以及系统文件进行记录，利用注册表分析工具对两次记录结果进行比较，这样就可以了解木马在系统中做了哪些手脚。利用fport来查看木马监听端口。然后利用所获取的信息做出木马的清除方法。

如果想要对木马进行深入的分析，还应该对木马服务器端进行脱壳、反汇编。这样就可以完全掌握木马的任何动作，当然，这需要你对汇编语言有相当的掌握程度以及一定的耐心，因为冗长的汇编代码不是一般的新手所能完全阅读的。

如果还想进一步分析木马报文格式的话，就用sniffer对木马的端口进行监听，然后进行比较分析，这种分析方法比较复杂，本文就不举例说明了。

只是阅读文章还不行，要想完全分析清楚一只木马，还需要实际操练一下！祝你好运！