黑色海岸线论坛 - Powered by Discuz! Board

标题: 木马的分析方法! [打印本页]

作者: baobaobruse 时间: 2007-6-12 11:28 标题: 木马的分析方法!

木马的分析方法!本帖被 naxiaozi 执行加亮操作(2007-06-11)

以前有过一款国产木马，它有个好听的名字，叫做“广外女生”。这个木马是广东外语外贸大学“广外女生”网络小组的作品，它可以运行于WIN98，WIN98SE，WINME，WINNT，WIN2000或已经安装Winsock2.0的Win95/97上。与以往的木马相比，它具有体积更小、隐藏更为巧妙的特点。可以预料，在将来的日子里它会成为继“冰河”之后的又一流行的木马品种。

由于“广外女生”这个木马的驻留、启动的方法比较具有典型性，下面我就通过对这种新型木马的详细分析过程来向大家阐述对一般木马的研究方法。下面的测试环境为Windows2000中文版。

一、所需工具

1.RegSnap v2.80 监视注册表以及系统文件变化的最好工具

2.fport v1.33 查看程序所打开的端口的工具

3.FileInfo v2.45a 查看文件类型的工具

4.ProcDump v1.6.2 脱壳工具

5.IDA v4.0.4 反汇编工具

二、分析步骤

一切工具准备就绪了，我们开始分析这个木马。一般的木马的服务器端一旦运行之后都会对注册表以及系统文件做一些手脚，所以我们在分析之前就要先对注册表以及系统文件做一个备份。

首先打开RegSnap，从file菜单选new,然后点OK。这样就对当前的注册表以及系统文件做了一个记录，一会儿如果木马修改了其中某项，我们就可以分析出来了。备份完成之后把它存为Regsnp1.rgs。

然后我们就在我们的电脑上运行“广外女生”的服务器端，不要害怕，因为我们已经做了比较详细的备份了，它做的手脚我们都可以照原样改回来的。双击gdufs.exe，然后等一小会儿。如果你正在运行着“天网防火墙”或“金山毒霸”的话，应该发现这两个程序自动退出了，很奇怪吗？且听我们后面的分析。现在木马就已经驻留在我们的系统中了。我们来看一看它究竟对我们的做了哪些操作。重新打开RegSnap，从file菜单选new,然后点OK，把这次的snap结果存为Regsnp2.rgs。

从RegSnap的file菜单选择Compare，在First snapshot中选择打开Regsnp1.rgs，在Second snapshot中选择打开Regsnp2.rgs，并在下面的单选框中选中Show modifiedkey names and key values。然后按OK按钮，这样RegSnap就开始比较两次记录又什么区别了，当比较完成时会自动打开分析结果文件Regsnp1-Regsnp2.htm。

看一下Regsnp1-Regsnp2.htm，注意其中的：

Copy code

Summary info:
Deleted keys: 0
Modified keys: 15
New keys : 1

意思就是两次记录中，没有删除注册表键，修改了15处注册表，新增加了一处注册表。再看看后边的：

Copy code

File list in C:\WINNT\System32\*.*

Summary info:
Deleted files: 0
Modified files: 0
New files : 1

New files
diagcfg.exe Size: 97 792 , Date/Time: 2001年07月01日 23:00:12
--------------
Total positions: 1

这一段话的意思就是，在C:\WINNT\System32\目录下面新增加了一个文件diagcfg.exe，这个文件非常可疑，因为我们在比较两次系统信息之间只运行了“广外女生”这个木马，所以我们有理由相信diagcfg.exe就是木马留在系统中的后门程序。不信的话你打开任务管理器看一下，会发现其中有一个DIAGCFG.EXE的进程，这就是木马的原身。但这个时候千万不要删除DIAGCFG.EXE，否则系统就无法正常运行了。

木马一般都会在注册表中设置一些键值以便以后在系统每次重新启动时能够自动运行。我们再来看看Regsnp1-Regsnp2.htm中哪些注册表项发生了变化，凭借经验应该注意到下面这条了：

Copy code

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\@

Old value: String: ""%1" %*"
New value: String: "C:\WINNT\System32\DIAGCFG.EXE "%1" %*"

这个键值由原来的"%1" %*被修改为了C:\WINNT\System32\DIAGCFG.EXE "%1" %*，因为其中包含了木马程序DIAGCFG.EXE所以最为可疑。那么这个注册表项有什么作用呢？

它就是运行可执行文件的格式，被改成C:\WINNT\System32\DIAGCFG.EXE "%1"。%*之后每次再运行任何可执行文件时都要先运行C:\WINNT\System32\DIAGCFG.EXE这个程序。

原来这个木马就是通过这里做了手脚，使自己能够自动运行，它的启动方法与一般普通木马不太一样，一般的木马是在

Copy code

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

键里增加一个键值，使自己能够自启动，但这种方法被杀毒软件所熟知了，所以很容易被查杀。而“广外女生”这个木马就比较狡猾，它把启动项设在了另外的位置。
现在我们已经掌握了这个木马的驻留位置以及在注册表中的启动项，还有重要的一点就是我们还要找出它到底监听了哪个端口。使用fport可以轻松的实现这一点。在命令行中运行fport.exe，可以看到：

Copy code

C:\tool\fport>fport
FPort v1.33 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com

Pid Process　　　Port Proto Path
584 tcpsvcs　-> 7　　 TCP C:\WINNT\System32\tcpsvcs.exe
584 tcpsvcs　-> 9　　 TCP C:\WINNT\System32\tcpsvcs.exe
584 tcpsvcs　-> 13　　TCP C:\WINNT\System32\tcpsvcs.exe
584 tcpsvcs　-> 17　　TCP C:\WINNT\System32\tcpsvcs.exe
584 tcpsvcs　-> 19　　TCP C:\WINNT\System32\tcpsvcs.exe
836 inetinfo　-> 80　　TCP C:\WINNT\System32\inetsrv\inetinfo.exe
408 svchost　-> 135 TCP C:\WINNT\system32\svchost.exe
836 inetinfo　-> 443 TCP C:\WINNT\System32\inetsrv\inetinfo.exe
8　　 System　 -> 445 TCP
464 msdtc　 -> 1025 TCP C:\WINNT\System32\msdtc.exe
684 MSTask　 -> 1026 TCP C:\WINNT\system32\MSTask.exe
584 tcpsvcs　-> 1028 TCP C:\WINNT\System32\tcpsvcs.exe
836 inetinfo　-> 1029 TCP C:\WINNT\System32\inetsrv\inetinfo.exe
8　　 System　 -> 1030 TCP
464 msdtc　 -> 3372 TCP C:\WINNT\System32\msdtc.exe
1176 DIAGCFG　-> 6267 TCP C:\WINNT\System32\DIAGCFG.EXE
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 注意这行！！！
836 inetinfo　-> 7075 TCP C:\WINNT\System32\inetsrv\inetinfo.exe
584 tcpsvcs　-> 7　　 UDP C:\WINNT\System32\tcpsvcs.exe
584 tcpsvcs　-> 9　　 UDP C:\WINNT\System32\tcpsvcs.exe
584 tcpsvcs　-> 13　　UDP C:\WINNT\System32\tcpsvcs.exe
584 tcpsvcs　-> 17　　UDP C:\WINNT\System32\tcpsvcs.exe
584 tcpsvcs　-> 19　　UDP C:\WINNT\System32\tcpsvcs.exe
584 tcpsvcs　-> 68　　UDP C:\WINNT\System32\tcpsvcs.exe
408 svchost　-> 135 UDP C:\WINNT\system32\svchost.exe
8　　 System　 -> 445 UDP
228 services　-> 1027 UDP C:\WINNT\system32\services.exe
836 inetinfo　-> 3456 UDP C:\WINNT\System32\inetsrv\inetinfo.exe

我们可以清楚的看到，木马程序监听在TCP的6267号端口上了。我们到目前为止就可以说掌握了“广外女生”这个木马在我们系统中的全部动作了，现在我们可以轻而易举的查杀它了。

三、查杀

经过前面的分析我们已经了解了“广外女生”这种木马的工作方式，现在我们就来清除它。下面就是彻底清除“广外女生”的方法，注意：这个步骤的次序不能颠倒，否则可能无法完全清除掉此木马。

1.按“开始”菜单，选择“运行”，输入regedit，按确定。打开下面键值：

Copy code

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\

但是先不要修改，因为如果这时就修改注册表的话，DIAGCFG.EXE进程仍然会立刻把它改回来的。
2.打开“任务管理器”，找到DIAGCFG.EXE这个进程，选中它，按“结束进程”来关掉这个进程。注意，一定也不要先关进程再打开注册表管理器，否则执行regedit.exe时就又会启动DIAGCFG.EXE。

3.把

Copy code

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\

的键值由原来的C:\WINNT\System32\DIAGCFG.EXE "%1" %*改为"%1" %*。

4.这时就可以删除C:\WINNT\System32\目录下的DIAGCFG.EXE了。切记万万不可首先删除这个文件，否则的话就无法再系统中运行任何可执行文件了。由于我们下面还打算进一步深入分析这个木马，所以现在不删除它，而是把它拷贝到其他的目录以便研究。

四、深入研究

我们已经知道了“广外女生”的基本工作原理、启动流程以及如何彻底清除它了，但是还有一点我们没有彻底弄清楚，那就是它是如何对付“天网防火墙”或“金山毒霸”的。要深入了解这一点，我们必须要去看“广外女生”的代码，这个木马并没有公布源代码，但是我们仍然可以通过反汇编它来看个究竟。

“广外女生”的服务器端只有96K，显然是使用了压缩软件进行了加壳的，我们首先就要确定它到底加了什么壳。通过使用FileInfo这个小工具就可以侦测出来。现在我们就把前面分析过的那个DIAGCFG.EXE复制到FileInfo的目录下，然后在命令行下fi.exe，然后按回车，就会显示：

　　 Copy code

FileInfo v2.45a (c) 1997-2001 from JUN-06-2001

FileInfo v2.45a (c) 1997-2001 by Michael Hering - herinmi@tu-cottbus.de

C:\TOOL\FI\
═─*
ASPack v1.06b A.Solodovnikov .data　　 DIAGCFG.EXE .....98304 01.01.1997
aPack v0.98/0.99 (Jibz) {short} ....... EXETOOLS.COM .......895 10.11.2000 !
aPack v0.98/0.99 (Jibz) ............... FI.EXE　....135458 06.06.2001 !
...................................... FILE_ID.DIZ ......1088 06.06.2001 !
?7-bit text ........................... REG.BAT　.......280 06.06.2001 !
...................................... SUMMER.KEY　　.......157 06.06.2001 !

* detected 4/6 files in 110 ms

──═ FileInfo summary ═──── Date: Mi,01.01.1997 ─ Time: 21:32:15 ─

scan path: C:\TOOL\FI
file mask: *.*
all size: 236182 Bytes = 230 KB

　　 4/6 files in 110 ms (18.33 ms/file)

FileInfo就已经检测出DIAGCFG.EXE是使用了ASPack v1.06b进行加壳。知道了它的加密方法我们就可以使用ProcDump来把它脱壳了。

运行ProcDump，点击Unpack按钮，因为我们要脱ASPack v1.06b的壳，所以就在其中选中Aspack<108，然后按OK。这时它会让你打开要脱壳的文件，我们就选DIAGCFG.EXE，打开。然后稍微等几秒种后按“确定”，ProcDump就会把DIAGCFG.EXE脱壳，然后会出个对话框要你把脱壳过的文件存盘，我们就把它存为gwns.exe。

注意：这时候，木马又在你的系统上运行了一次，所以必须按照前面的清除步骤重新把它清除掉。由于前面已经写过清除方法，这里就不再赘述了。

好了，现在我们已经得到了这个木马加壳前的原始文件了，看看脱壳过的gwns.exe，有194k之大，比原来的程序大了一倍还多，这就是加壳软件的功劳了。现在就可以使用反汇编程序对其进行反汇编，然后看它的汇编程序代码了。

我们就用IDA来反汇编它，顺便说一句，这个IDA是个超强的反汇编工具，是cracker以及Windows hacker所必备的工具。下面我们就来看看部分反汇编过的代码：

Copy code

0042B1AC　　 push　　offset aKernel32_dll ; "kernel32.dll"
0042B1B1　　 call　　j_LoadLibraryA
0042B1B6　　 mov　　 [ebx], eax
0042B1B8　　 push　　offset aRegisterservic ; "RegisterServiceProcess"
0042B1BD　　 mov　　 eax, [ebx]
0042B1BF　　 push　　eax
0042B1C0　　 call　　j_GetProcAddress
0042B1C5　　 mov　　 ds:dword_42EA5C, eax
0042B1CA　　 cmp　　 ds:dword_42EA5C, 0
0042B1D1　　 jz　　 short loc_42B1E1
0042B1D3　　 push　　1
0042B1D5　　 call　　j_GetCurrentProcessId
0042B1DA　　 push　　eax
0042B1DB　　 call　　ds:dword_42EA5C

木马首先加载了kernel32.dll，然后利用GetProcAddress来得到RegisterServiceProcess这个API的地址，木马首先需要把自己注册为系统服务，这样在Win9x下运行时就不容易被任务管理器发现。然后它会GetCommandLineA来得到运行参数，如果参数是可执行文件的话就调用Winexec来运行。

Copy code

0042B271　　 mov　　 eax, ds:dword_42EA80
0042B276　　 mov　　 edx, offset aSnfw_exe ; "snfw.exe"
0042B27B　　 call　　sub_403900
0042B280　　 jz　　 short loc_42B293
0042B282　　 mov　　 eax, ds:dword_42EA80
0042B287　　 mov　　 edx, offset aKav9x_exe ; "kav9x.exe"

然后木马会查找snfw.exe和kav9x.exe的进程，也就是“天网防火墙”或“金山毒霸”的进程，然后将其杀掉。

Copy code

0042B6AD　　 push　　ebx
0042B6AE　　 push　　0
0042B6B0　　 push　　0
0042B6B2　　 push　　offset aSoftwareMicr_0 ; "Software\\Microsoft\\Windows\\CurrentVersi"...
0042B6B7　　 push　　80000002h
0042B6BC　　 call　　j_RegOpenKeyExA_0
0042B6C1　　 push　　offset aKingsoftAntivi ; "Kingsoft AntiVirus"
0042B6C6　　 mov　　 eax, [ebx]
0042B6C8　　 push　　eax
0042B6C9　　 call　　j_RegDeleteValueA
0042B6CE　　 mov　　 eax, [ebx]
0042B6D0　　 push　　eax
0042B6D1　　 call　　j_RegCloseKey_0

木马还会修改“天网防火墙”或“金山毒霸”在注册表中的启动项，使其在下次系统重新启动时无法自动运行。

Copy code

0042B820　　 mov　　 dword ptr [esi], 100h
0042B826　　 push　　esi
0042B827　　 push　　edi
0042B828　　 push　　offset a_exe_1 ; ".exe"
0042B82D　　 push　　80000000h
0042B832　　 call　　j_RegQueryValueA
0042B837　　 push　　8
0042B839　　 push　　offset a1　; "\"%1\" %*"
0042B83E　　 push　　1
0042B840　　 lea　　 eax, [ebp+var_10]
0042B843　　 mov　　 edx, edi
0042B845　　 mov　　 ecx, 100h
0042B84A　　 call　　sub_4037A0
0042B84F　　 lea　　 eax, [ebp+var_10]
0042B852　　 mov　　 edx, offset aShellOpenComma ; "\\shell\\open\\command"
0042B857　　 call　　sub_4037F8
0042B85C　　 mov　　 eax, [ebp+var_10]
0042B85F　　 call　　sub_4039A4
0042B864　　 push　　eax
0042B865　　 push　　80000000h
0042B86A　　 call　　j_RegSetValueA
0042B86F　　 push　　0
0042B871　　 mov　　 eax, ds:dword_42D040
0042B876　　 mov　　 eax, [eax]
0042B878　　 push　　eax
0042B879　　 call　　j_WinExec

下面就是修改木马的注册表启动项，即

Copy code

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\

项，使其能够在每次系统重新启动时能够自行启动。接下来木马就会初始化Winsock dll，绑定端口，等待木马客户端的连接。
五、总结

截止目前为止，我们已经完成了对“广外女生”这个木马程序的全部分析过程，了解了木马的启动、运行机制。当然，我写本文的目的并不是简单的介绍“广外女生”这一种木马，而是通过对这个具有典型意义的木马的详细分析，来向大家介绍对一般木马的分析方法。利用本文的分析方法，你完全对任何一种未知的木马品种进行分析。最后我们再来总结一下对木马分析的方法及步骤：

首先对系统注册表以及系统文件进行备份，然后运行木马服务器端，再对运行过木马的注册表以及系统文件进行记录，利用注册表分析工具对两次记录结果进行比较，这样就可以了解木马在系统中做了哪些手脚。利用fport来查看木马监听端口。然后利用所获取的信息做出木马的清除方法。

如果想要对木马进行深入的分析，还应该对木马服务器端进行脱壳、反汇编。这样就可以完全掌握木马的任何动作，当然，这需要你对汇编语言有相当的掌握程度以及一定的耐心，因为冗长的汇编代码不是一般的新手所能完全阅读的。

如果还想进一步分析木马报文格式的话，就用sniffer对木马的端口进行监听，然后进行比较分析，这种分析方法比较复杂，本文就不举例说明了。

这里只是对广外女生的分析方法,但却是个很好的例子。重在举一反三，剩下的就要靠自己摸索了，最重要的的是思路。

作者: chinanic 时间: 2007-6-13 09:53

只会用第一，第二个工具。。汗。。

作者: baobaobruse 时间: 2007-6-13 15:41

转来的,我也没用过,,,,,

而且这个鸟木马估计也见不到了,只是看看方法

作者: 逍遥乌鸦 时间: 2007-6-13 23:16

这个木马我以前到是见过，不记得是哪个单位的电脑中毒了见到的，然后是很早的时候有一本朵志上比较详细的介绍了这个东西，嘿，主要是清除方法

作者: baobaobruse 时间: 2007-6-13 23:42 标题: 不愧是元老~~

欢迎光临黑色海岸线论坛 (http://bbs.thysea.com/)