实例讲解木马的分析方法 || 中国X黑客小组


	您现在的位置：中国X黑客小组 >> 技术文章 >> 黑客技术 >> 黑客教学 >> 文章正文	用户登录新用户注册

实例讲解木马的分析方法

热荐

【字体：小大】

实例讲解木马的分析方法

作者：skyxnet 文章来源：网络点击数：更新时间：2007-2-10

然后木马会查找snfw.exe和kav9x.exe的进程，也就是“天网防火墙”或“金山毒霸”的进程，然后将其杀掉。

0042B6AD　　 push　　ebx

0042B6AE　　 push　　0

0042B6B0　　 push　　0

0042B6B2　　 push　　offset aSoftwareMicr_0 ; "Software\\Microsoft\\Windows\\CurrentVersi"...

0042B6B7　　 push　　80000002h

0042B6BC　　 call　　j_RegOpenKeyExA_0

0042B6C1　　 push　　offset aKingsoftAntivi ; "Kingsoft AntiVirus"

0042B6C6　　 mov　　 eax, [ebx]

0042B6C8　　 push　　eax

0042B6C9　　 call　　j_RegDeleteValueA

0042B6CE　　 mov　　 eax, [ebx]

0042B6D0　　 push　　eax

0042B6D1　　 call　　j_RegCloseKey_0

木马还会修改“天网防火墙”或“金山毒霸”在注册表中的启动项，使其在下次系统重新启动时无法自动运行。

0042B820　　 mov　　 dword ptr [esi], 100h

0042B826　　 push　　esi

0042B827　　 push　　edi

0042B828　　 push　　offset a_exe_1 ; ".exe"

0042B82D　　 push　　80000000h

0042B832　　 call　　j_RegQueryValueA

0042B837　　 push　　8

0042B839　　 push　　offset a1　; "\"%1\" %*"

0042B83E　　 push　　1

0042B840　　 lea　　 eax, [ebp+var_10]

0042B843　　 mov　　 edx, edi

0042B845　　 mov　　 ecx, 100h

0042B84A　　 call　　sub_4037A0

0042B84F　　 lea　　 eax, [ebp+var_10]

0042B852　　 mov　　 edx, offset aShellOpenComma ; "\\shell\\open\\command"

0042B857　　 call　　sub_4037F8

0042B85C　　 mov　　 eax, [ebp+var_10]

0042B85F　　 call　　sub_4039A4

0042B864　　 push　　eax

0042B865　　 push　　80000000h

0042B86A　　 call　　j_RegSetValueA

0042B86F　　 push　　0

0042B871　　 mov　　 eax, ds:dword_42D040

0042B876　　 mov　　 eax, [eax]

0042B878　　 push　　eax

0042B879　　 call　　j_WinExec

下面就是修改木马的注册表启动项，即

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\

项，使其能够在每次系统重新启动时能够自行启动。接下来木马就会初始化Winsock dll，绑定端口，等待木马客户端的连接。

五、总结

截止目前为止，我们已经完成了对“广外女生”这个木马程序的全部分析过程，了解了木马的启动、运行机制。当然，我写本文的目的并不是简单的介绍“广外女生”这一种木马，而是通过对这个具有典型意义的木马的详细分析，来向大家介绍对一般木马的分析方法。利用本文的分析方法，你完全对任何一种未知的木马品种进行分析。最后我们再来总结一下对木马分析的方法及步骤：

首先对系统注册表以及系统文件进行备份，然后运行木马服务器端，再对运行过木马的注册表以及系统文件进行记录，利用注册表分析工具对两次记录结果进行比较，这样就可以了解木马在系统中做了哪些手脚。利用fport来查看木马监听端口。然后利用所获取的信息做出木马的清除方法。

如果想要对木马进行深入的分析，还应该对木马服务器端进行脱壳、反汇编。这样就可以完全掌握木马的任何动作，当然，这需要你对汇编语言有相当的掌握程度以及一定的耐心，因为冗长的汇编代码不是一般的新手所能完全阅读的。

如果还想进一步分析木马报文格式的话，就用sniffer对木马的端口进行监听，然后进行比较分析，这种分析方法比较复杂，本文就不举例说明了。

只是阅读文章还不行，要想完全分析清楚一只木马，还需要实际操练一下！祝你好运！(完

上一页 [1] [2]

文章录入：IceRiver 责任编辑：IceRiver

上一篇文章： Linux服务器攻防技术介绍

下一篇文章：浅谈蜜罐诱骗的基础知识

【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】

最新热点		最新推荐		相关文章
				实战讲解防范网络钓鱼技术大网络高手讲解漏洞的形成和防实例剖析：由于路由导致的故实例讲解：全程追踪入侵JSP网实例比较　详细了解加密狗的实例介绍以太网MAC地址的获取通过实例来学习与信息加密相 IDS入侵特征库创建实例解析入侵实例看虚拟主机系统的安数据库设计三大范式应用实例

　网友评论：（只显示最新5条。评论内容只代表网友观点，与本站立场无关！）


关于我们 - 版权声明 - 帮助(？) - 广告服务 - 联系我们 - 友情链接 - 用户注册 -	Powered by ICE RIVER - STUDIO

» CnXHacker.CoM