广外女生木马的分析保护 如何查杀广外女生木马?
以前有过一款国产木马,它有个好听的名字,叫做“广外女生”。这个木马是广东外语外贸大学“广外女生”网络小组的作品,它可以运行于WIN98,WIN98SE,WINME,WINNT,WIN2000或已经安装Winsock2.0的Win95/97上。与以往的木马相比,它具有体积更小、隐藏更为巧妙的特点。可以预料,在将来的日子里它会成为继“冰河”之后的又一流行的木马品种。
由于“广外女生”这个木马的驻留、启动的方法比较具有典型性,下面我就通过对这种新型木马的详细分析过程来向大家阐述对一般木马的研究方法。下面的测试环境为Windows2000中文版。
一、所需工具
1.RegSnap v2.80 监视注册表以及系统文件变化的最好工具
2.fport v1.33 查看程序所打开的端口的工具
3.FileInfo v2.45a 查看文件类型的工具
4.ProcDump v1.6.2 脱壳工具
5.IDA v4.0.4 反汇编工具
二、分析步骤
一切工具准备就绪了,我们开始分析这个木马。一般的木马的服务器端一旦运行之后都会对注册表以及系统文件做一些手脚,所以我们在分析之前就要先对注册表以及系统文件做一个备份。
首先打开RegSnap,从file菜单选new,然后点OK。这样就对当前的注册表以及系统文件做了一个记录,一会儿如果木马修改了其中某项,我们就可以分析出来了。备份完成之后把它存为Regsnp1.rgs。
然后我们就在我们的电脑上运行“广外女生”的服务器端,不要害怕,因为我们已经做了比较详细的备份了,它做的手脚我们都可以照原样改回来的。双击gdufs.exe,然后等一小会儿。如果你正在运行着“天网防火墙”或“金山毒霸”的话,应该发现这两个程序自动退出了,很奇怪吗?且听我们后面的分析。现在木马就已经驻留在我们的系统中了。我们来看一看它究竟对我们的做了哪些操作。重新打开RegSnap,从file菜单选new,然后点OK,把这次的snap结果存为Regsnp2.rgs。
从RegSnap的file菜单选择Compare,在First snapshot中选择打开Regsnp1.rgs,在Second snapshot中选择打开Regsnp2.rgs,并在下面的单选框中选中Show modifiedkey names and key values。然后按OK按钮,这样RegSnap就开始比较两次记录又什么区别了,当比较完成时会自动打开分析结果文件Regsnp1-Regsnp2.htm。
看一下Regsnp1-Regsnp2.htm,注意其中的:
Summary info:
Deleted keys: 0
Modified keys: 15
New keys : 1
意思就是两次记录中,没有删除注册表键,修改了15处注册表,新增加了一处注册表。再看看后边的:
File list in C:\WINNT\System32\*.*
Summary info:
Deleted files: 0
Modified files: 0
New files : 1
New files
diagcfg.exe Size: 97 792 , Date/Time: 2001年07月01日 23:00:12
--------------
Total positions: 1
这一段话的意思就是,在C:\WINNT\System32\目录下面新增加了一个文件diagcfg.exe,这个文件非常可疑,因为我们在比较两次系统信息之间只运行了“广外女生”这个木马,所以我们有理由相信diagcfg.exe就是木马留在系统中的后门程序。不信的话你打开任务管理器看一下,会发现其中有一个DIAGCFG.EXE的进程,这就是木马的原身。但这个时候千万不要删除DIAGCFG.EXE,否则系统就无法正常运行了。
木马一般都会在注册表中设置一些键值以便以后在系统每次重新启动时能够自动运行。我们再来看看Regsnp1-Regsnp2.htm中哪些注册表项发生了变化,凭借经验应该注意到下面这条了:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\@
Old value: String: ""%1" %*"
New value: String: "C:\WINNT\System32\DIAGCFG.EXE "%1" %*"
这个键值由原来的"%1" %*被修改为了C:\WINNT\System32\DIAGCFG.EXE "%1" %*,因为其中包含了木马程序DIAGCFG.EXE所以最为可疑。那么这个注册表项有什么作用呢?
它就是运行可执行文件的格式,被改成C:\WINNT\System32\DIAGCFG.EXE "%1"。%*之后每次再运行任何可执行文件时都要先运行C:\WINNT\System32\DIAGCFG.EXE这个程序。
原来这个木马就是通过这里做了手脚,使自己能够自动运行,它的启动方法与一般普通木马不太一样,一般的木马是在
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*
键里增加一个键值,使自己能够自启动,但这种方法被杀毒软件所熟知了,所以很容易被查杀。而“广外女生”这个木马就比较狡猾,它把启动项设在了另外的位置。
现在我们已经掌握了这个木马的驻留位置以及在注册表中的启动项,还有重要的一点就是我们还要找出它到底监听了哪个端口。使用fport可以轻松的实现这一点。在命令行中运行fport.exe,可以看到:
C:\tool\fport>fport
FPort v1.33 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com
Pid Process Port Proto Path
584 tcpsvcs -> 7 TCP C:\WINNT\System32\tcpsvcs.exe
584 tcpsvcs -> 9 TCP C:\WINNT\System32\tcpsvcs.exe
584 tcpsvcs -> 13TCP C:\WINNT\System32\tcpsvcs.exe
584 tcpsvcs -> 17TCP C:\WINNT\System32\tcpsvcs.exe
584 tcpsvcs -> 19TCP C:\WINNT\System32\tcpsvcs.exe
836 inetinfo -> 80TCP C:\WINNT\System32\inetsrv\inetinfo.exe
408 svchost -> 135 TCP C:\WINNT\system32\svchost.exe
836 inetinfo -> 443 TCP C:\WINNT\System32\inetsrv\inetinfo.exe
8 System -> 445 TCP
464 msdtc -> 1025 TCP C:\WINNT\System32\msdtc.exe
684 MSTask -> 1026 TCP C:\WINNT\system32\MSTask.exe
584 tcpsvcs -> 1028 TCP C:\WINNT\System32\tcpsvcs.exe
836 inetinfo -> 1029 TCP C:\WINNT\System32\inetsrv\inetinfo.exe
8 System -> 1030 TCP
464 msdtc -> 3372 TCP C:\WINNT\System32\msdtc.exe
1176 DIAGCFG -> 6267 TCP C:\WINNT\System32\DIAGCFG.EXE
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 注意这行!!!
836 inetinfo -> 7075 TCP C:\WINNT\System32\inetsrv\inetinfo.exe
584 tcpsvcs -> 7 UDP C:\WINNT\System32\tcpsvcs.exe
584 tcpsvcs -> 9 UDP C:\WINNT\System32\tcpsvcs.exe
584 tcpsvcs -> 13UDP C:\WINNT\System32\tcpsvcs.exe
584 tcpsvcs -> 17UDP C:\WINNT\System32\tcpsvcs.exe
584 tcpsvcs -> 19UDP C:\WINNT\System32\tcpsvcs.exe
584 tcpsvcs -> 68UDP C:\WINNT\System32\tcpsvcs.exe
408 svchost -> 135 UDP C:\WINNT\system32\svchost.exe
8 System -> 445 UDP
228 services -> 1027 UDP C:\WINNT\system32\services.exe
836 inetinfo -> 3456 UDP C:\WINNT\System32\inetsrv\inetinfo.exe
我们可以清楚的看到,木马程序监听在TCP的6267号端口上了。我们到目前为止就可以说掌握了“广外女生”这个木马在我们系统中的全部动作了,现在我们可以轻而易举的查杀它了。
三、查杀
经过前面的分析我们已经了解了“广外女生”这种木马的工作方式,现在我们就来清除它。下面就是彻底清除“广外女生”的方法,注意:这个步骤的次序不能颠倒,否则可能无法完全清除掉此木马。
1.按“开始”菜单,选择“运行”,输入regedit,按确定。打开下面键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\
但是先不要修改,因为如果这时就修改注册表的话,DIAGCFG.EXE进程仍然会立刻把它改回来的。
2.打开“任务管理器”,找到DIAGCFG.EXE这个进程,选中它,按“结束进程”来关掉这个进程。注意,一定也不要先关进程再打开注册表管理器,否则执行regedit.exe时就又会启动DIAGCFG.EXE。
3.把
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\
的键值由原来的C:\WINNT\System32\DIAGCFG.EXE "%1" %*改为"%1" %*。
4.这时就可以删除C:\WINNT\System32\目录下的DIAGCFG.EXE了。切记万万不可首先删除这个文件,否则的话就无法再系统中运行任何可执行文件了。由于我们下面还打算进一步深入分析这个木马,所以现在不删除它,而是把它拷贝到其他的目录以便研究。
四、深入研究
我们已经知道了“广外女生”的基本工作原理、启动流程以及如何彻底清除它了,但是还有一点我们没有彻底弄清楚,那就是它是如何对付“天网防火墙”或“金山毒霸”的。要深入了解这一点,我们必须要去看“广外女生”的代码,这个木马并没有公布源代码,但是我们仍然可以通过反汇编它来看个究竟。
“广外女生”的服务器端只有96K,显然是使用了压缩软件进行了加壳的,我们首先就要确定它到底加了什么壳。通过使用FileInfo这个小工具就可以侦测出来。现在我们就把前面分析过的那个DIAGCFG.EXE复制到FileInfo的目录下,然后在命令行下fi.exe,然后按回车,就会显示:
FileInfo v2.45a (c) 1997-2001 from JUN-06-2001
FileInfo v2.45a (c) 1997-2001 by Michael Hering - herinmi@tu-cottbus.de
C:\TOOL\FI\
═─*
ASPack v1.06b A.Solodovnikov .data DIAGCFG.EXE .....98304 01.01.1997
aPack v0.98/0.99 (Jibz) {short} ....... EXETOOLS.COM .......895 10.11.2000 !
aPack v0.98/0.99 (Jibz) ............... FI.EXE ....135458 06.06.2001 !
...................................... FILE_ID.DIZ ......1088 06.06.2001 !
?7-bit text ........................... REG.BAT .......280 06.06.2001 !
...................................... SUMMER.KEY.......157 06.06.2001 !
* detected 4/6 files in 110 ms
──═ FileInfo summary ═──── Date: Mi,01.01.1997 ─ Time: 21:32:15 ─
scan path: C:\TOOL\FI
file mask: *.*
all size: 236182 Bytes = 230 KB
4/6 files in 110 ms (18.33 ms/file)
FileInfo就已经检测出DIAGCFG.EXE是使用了ASPack v1.06b进行加壳。知道了它的加密方法我们就可以使用ProcDump来把它脱壳了。
运行ProcDump,点击Unpack按钮,因为我们要脱ASPack v1.06b的壳,所以就在其中选中Aspack
0042B1AC pushoffset aKernel32_dll ; "kernel32.dll"
0042B1B1 callj_LoadLibraryA
0042B1B6 mov [ebx], eax
0042B1B8 pushoffset aRegisterservic ; "RegisterServiceProcess"
0042B1BD mov eax, [ebx]
0042B1BF pusheax
0042B1C0 callj_GetProcAddress
0042B1C5 mov ds:dword_42EA5C, eax
0042B1CA cmp ds:dword_42EA5C, 0
0042B1D1 jz short loc_42B1E1
0042B1D3 push1
0042B1D5 callj_GetCurrentProcessId
0042B1DA pusheax
0042B1DB callds:dword_42EA5C
木马首先加载了kernel32.dll,然后利用GetProcAddress来得到RegisterServiceProcess这个API的地址,木马首先需要把自己注册为系统服务,这样在Win9x下运行时就不容易被任务管理器发现。然后它会GetCommandLineA来得到运行参数,如果参数是可执行文件的话就调用Winexec来运行。
0042B271 mov eax, ds:dword_42EA80
0042B276 mov edx, offset aSnfw_exe ; "snfw.exe"
0042B27B callsub_403900
0042B280 jz short loc_42B293
0042B282 mov eax, ds:dword_42EA80
0042B287 mov edx, offset aKav9x_exe ; "kav9x.exe"
怎么入侵unix操作系统?unix操作系统的入侵步骤
偶然的机会发现了一篇名为hacking unix的文章,大概看了看觉得价值十分的大,所以决定翻译出来,我觉得这篇文章一定能够成为中国unix黑客的基石 呵呵,也许有点夸大,不过等你看完了这篇文章以后,你的态度绝对会有
详情2018-01-04 15:53:55责编:llp 来源:驱动管家黑客入侵在线影院遇阻 怎么寻找vod电影?
首先运行Windows XP自带远程登录器mstsc exe,填入对方的IP地址218 147 * *,确定后在登录界面填上我刚创建的用户名hacker和密码12345,顺利地进入了对方的Windows 2000桌面。 可随后的情况让我呆住了,这台机器一共就C盘和D盘两个
详情2018-01-28 13:16:35责编:llp 来源:驱动管家php一句话后门集锦 有哪些有意思的php一句话木马?
强悍的PHP一句话后门这类后门让网站、服务器管理员很是头疼,经常要换着方法进行各种检测,而很多新出现的编写技术,用普通的检测方法是没法发现并处理的。今天我们细数一些有意思的PHP一句话木马。利用404页面隐
详情2018-03-01 14:39:55责编:llp 来源:驱动管家oracle 8i版本怎么进行系统入侵的?系统入侵的步骤是什么?
最近看了些有关 Oracle 的安全资料,看后随手做了一个渗透测试,把过程记录下来方便日后查阅 。先用 SuperScan4 0 扫描下要测试的主机,速度很快,结果如图 1 所示:图 1端口 1521 是 Oracle 的 TNS List
详情2018-01-25 11:28:40责编:llp 来源:驱动管家3389远程连接器的shift后门容易被破解的预防办法
首先3389的SHIFT后门极少其次大部分SHIFT后门都加密所以手工一个一个尝试是挺傻的,写成自动扫描的话,还能让人忍受需要用到的工具 roboclientsmclient -f:shift_backdoor txt -s:125 91 15 254 -l:1 -v -d
详情2018-01-23 09:35:04责编:llp 来源:驱动管家人人网存在csrf漏洞的修复方案是什么?
CSRF(Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,
详情2018-02-14 10:17:56责编:llp 来源:驱动管家验证码无法显示怎么办?验证码无法显示的解决方法
晚上检测一个站的时候,猜解出了密码,扫出了后台,可验证码就是无法显示,难道管理员故意弄的?不太可能吧?于是上网一搜,没想到还真找到了解决的方法。我的是Vista Ultimate,部分XP SP2也会有这个问题。好
详情2018-01-02 16:13:09责编:llp 来源:驱动管家怎么安装和运行加密软件?加密软件怎么加密?
如果你在笔记本电脑上保存了很有价值的文件,当然也就知道保护这些数据的重要性。不过,知道应当做某事并不意味着一定正在做它,因为每天都有大量的报告表明,许多公司的敏感数据发生丢失或被从公司的笔记本电脑
详情2018-01-27 19:00:13责编:llp 来源:驱动管家一个iptables脚本 分享iptables脚本的用法
在网上闲逛的时候,发现这个不错的iptables脚本,作者不知道是哪位,向原作者来致敬!也分享出来,供大家来参考 INPUT键 iptables -P INPUT DRO
详情2018-03-01 17:27:17责编:llp 来源:驱动管家什么是正向连接木马?什么是反弹连接木马?
目前常见的木马有三种 正向连接木马 反弹连接木马 收信木马正向连接木马,所谓正向,就是在中马者在机器上开个端口,而我们去连接他的端口。而我们要知道他的IP,才能够连接他。123就是他机器上开的端口由于到
详情2018-02-14 08:51:30责编:llp 来源:驱动管家
- 得到nt的管理员密码有哪些入侵手法可以用?
- pdf转换成ppt文档的方法是什么?四步帮你将pdf转换成ppt
- 万能格式转换器有哪些功能?万能格式转换器的介绍
- 什么是机械键盘?机械键盘和普通键盘有什么区别?
- 一千元左右买什么显卡 开学买显卡必看攻略
- 微信安卓版v6.6.5版本内测:暂无新功能加入
- AGM三防手机会有质的提升 希望能成为用户主力机
- 想要更新win10系统的时候更新失败有什么办法解决
- ie浏览器在上网的时候弹出加载项故障且需要关闭的提示解决的方法
- 锤子t3发布会在哪里直播?手机配置如何?
- 如何打开坚果pro2后盖?坚果pro2怎么换后盖?
- 180个非常有用的电脑知识 36个大类电脑知识
- 新买的电脑CPU温度过高怎么解决?CPU温度过高这样解决
- IDS特征如何识别?IDS特征有什么用?
- 解决sql注入攻击问题的方法 如何保护隐蔽域信息?
- 12306提示操作频率过快怎么办 12306提示您的操作频率过快情况的解决方法
- PowerDesigner软件怎么创建概念数据模型
- R5 1600X和1600哪个好?AMD锐龙5 1600X和1600区别对比
- 怎么看显示器好坏?无需专业工具秒懂显示器好坏
- 人人车与滴滴出行达成合作协议