2.fport v1.33查看程序打開的端口的工具。
3.用於查看文件類型的工具。
4.ProcDump v1.6.2脫殼工具
5.IDA v4.0.4拆卸工具所有工具都準備好了,開始分析這匹特洛伊馬吧。壹般特洛伊馬的服務器端壹旦運行,就會在註冊表和系統文件上做壹些手腳,所以我們在分析之前要做好註冊表和系統文件的備份。
首先打開RegSnap,從文件菜單中選擇新建,然後單擊確定。這樣,我們就記錄了當前的註冊表和系統文件,如果特洛伊木馬後來修改了其中的壹個,我們就可以對其進行分析。備份完成後保存為Regsnp1.rgs。
然後在電腦上運行“廣外姑娘”的服務器端。不要怕,因為它已經詳細備份過了,它的手和腳都可以變回原樣。雙擊gdufs.exe,然後稍等片刻。如果妳運行的是“天網防火墻”或者“金山毒霸”,應該會發現這兩個程序自動退出。很奇怪嗎?且聽我們稍後的分析。假設特洛伊馬現在已經在我們的系統中了。讓我們看看它對我們做了什麽。重新打開RegSnap,從“文件”菜單中選擇“新建”,然後單擊“確定”將快照結果保存為Regsnp2.rgs。
從RegSnap的file菜單中選擇Compare,在第壹個快照中打開Regsnp1.rgs,在第二個快照中打開Regsnp2.rgs,在下面的單選框中選擇show modified key names and key values。然後按OK按鈕,這樣RegSnap將開始比較兩個記錄。有什麽區別?當比較完成後,分析結果文件Regsnp1-Regsnp2.htm將自動打開。
查看Regsnp1-Regsnp2.htm,並註意以下內容:
摘要信息:
已刪除的密鑰:0
修改後的密鑰:15
新密鑰:1
意味著在兩個記錄中,註冊表項沒有被刪除,修改了15個註冊表並添加了壹個新的註冊表。看後面:
C:\WINNT\System32\*中的文件列表。*
摘要信息:
刪除的文件:0
修改的文件:0
新文件:1
新文件
Diagcfg.exe大小:97 792,日期/時間:2006 54 38+0 7月06 54 38+0 7月23:00:12。
-
總倉位:1
這段話的意思是,在C:\WINNT\System32\目錄下增加了壹個新文件diagcfg.exe。這個文件非常可疑,因為我們只運行了兩個系統間名為“廣外女孩”的特洛伊信息的比對,所以我們有理由相信diagcfg.exe就是特洛伊在系統中留下的後門程序。不信的話,打開任務管理器看壹看,會發現有壹個DIAGCFG.EXE的過程,是特洛伊馬的原體。但此時不要刪除DIAGCFG.EXE,否則系統將無法正常工作。
木馬通常會在註冊表中設置壹些鍵值,以便在每次系統重啟時自動運行。我們來看看Regsnp1-Regsnp2.htm中的哪些註冊表項發生了變化。根據經驗,我們應該註意以下幾點:
HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Classes \ exefile \ shell \ open \ command \ @
舊值:字符串:%1 %*
新值:字符串:C:\WINNT\System32\DIAGCFG。EXE %1 %*
該鍵值由原來的%1 %*改為C:\ win nt \ system32 \ diag CFG . exe % 1% *,這是最可疑的,因為它包含了diagcfg.exe特洛伊馬。那麽這個註冊表項是做什麽的呢?
是運行可執行文件的格式,改為C:\WINNT\System32\DIAGCFG。EXE% 1% *。之後每次運行任何可執行文件,都要先運行程序C:\ win nt \ system32 \ diagcfg.exe。
原來,這匹特洛伊馬在這裏被人動了手腳,這樣它就能自動奔跑了。其啟動方式與普通木馬不同。普通的特洛伊馬在HKLM \軟件\微軟\ Windows \當前版本\運行*
給key加壹個鍵值,這樣就可以自己啟動了,但是這個方法被殺毒軟件熟知,所以很容易被殺。“廣外少女”的木馬更狡猾,它把啟動項設置在另壹個位置。
既然我們已經掌握了這個特洛伊木馬的位置和註冊表中的啟動項,那麽找出它正在監聽哪個端口也很重要。這可以通過使用fport輕松實現。在命令行上運行fport.exe,您可以看到:
1176 diag CFG->;6267 TCP C:\ WINNT \ System32 \ diag CFG。可執行程序的擴展名
~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ !!
可以清楚的看到木馬程序在監聽TCP端口6267。到目前為止,我們可以說已經掌握了木馬“廣外少女”在我們系統中的所有動作,現在可以輕松查殺了。經過前面的分析,我們已經了解了木馬“廣外少女”的工作模式,現在就來清除壹下。以下是徹底清除“廣州女學生”的方法。註意:此步驟的順序不能顛倒,否則特洛伊馬可能無法完全移除。
1.按開始菜單,選擇運行,輸入regedit,然後按確定。打開以下鍵值:
HKEY _ Local _ Machine \ Software \ Classes \ Exefile \ Shell \ Open \ Command \,但是先不要修改它,因為如果妳在這個時候修改註冊表,DIAGCFG.EXE進程還是會立刻把它改回來。
2.打開任務管理器,找到DIAGCFG.EXE的進程,選中它,按“結束進程”關閉該進程。請註意,在打開註冊表管理器之前,您不能關閉該進程,否則DIAGCFG.EXE將在執行regedit.exe時啟動。
3.將原c:\ win nt \ system32 \ diagcfg.exe %1 %*的HKEY _本地_機器\軟件\類\ Exefile \ shell \ open \ command \的鍵值更改為% 1% *。
4.此時,您可以刪除C:\WINNT\System32\目錄中的DIAGCFG.EXE。切記千萬不要先刪除這個文件,否則妳將無法運行系統中的任何可執行文件。由於我們打算進壹步分析這個特洛伊馬,我們現在不刪除它,但復制到其他目錄進行研究。我們已經知道了基本的工作原理、啟動過程以及如何徹底擺脫它,但是還有壹點我們還沒有完全弄明白,那就是它是如何對付“天網防火墻”或者“金山毒霸”的。要深刻理解這壹點,必須看“廣外姑娘”的代碼。這個特洛伊沒有公布源代碼,但是我們還是可以通過反匯編來看看。
《廣外少女》的服務器端只有96K,明顯裝了壓縮軟件。我們首先要確定它加了什麽樣的殼。可以通過使用小工具FileInfo來檢測。現在我們將前面分析過的DIAGCFG.EXE復制到FileInfo的目錄下,然後在命令行復制fi.exe,然後回車,就會顯示:
FileInfo已經檢測到DIAGCFG.EXE使用了ASPack v1.06b來解釋shell。知道了它的加密方法,我們就可以用ProcDump對它進行外殼了。
運行ProcDump,點擊Unpack按鈕,因為我們要脫去ASPack v1.06b的外殼,所以我們選擇Aspack < 108,然後按OK。這時,它會讓妳打開要被加殼的文件,所以我們會選擇DIAGCFG.EXE並打開它。然後等待幾秒鐘,按“確定”。ProcDump將對DIAGCFG.EXE進行shell化,然後會出現壹個對話框,要求您保存shell化的文件,我們會將其保存為gwns.exe。
註意:此時特洛伊馬再次在妳的系統上運行,所以必須按照之前的清理步驟再次清理。清潔方法之前已經寫過了,這裏就不贅述了。
現在我們有了這匹特洛伊馬去殼前的原始檔案。看看被炮轟的gwns.exe,194k,比原節目大了壹倍多。這是帶殼軟件的功勞。現在妳可以用反匯編器把它反匯編,然後看它的匯編代碼。
用IDA拆就行了。對了,這個IDA是超級反匯編工具,是破解者和Windows hacker的必備工具。讓我們來看看壹些反匯編的代碼:
首先加載kernel32.dll,然後使用GetProcAddress獲取API RegisterServiceProcess的地址。特洛伊首先需要將自己註冊為系統服務,所以在Win9x下運行時不容易被任務管理器發現。然後它會GetCommandLineA獲取運行參數,如果參數是可執行文件,它會調用Winexec運行。
然後特洛伊會找到snfw.exe和kav9x.exe的進程,也就是“天網防火墻”或者“金山毒霸”的進程,然後殺掉。
下面是修改特洛伊馬的註冊表啟動項,即HKEY _本地_機器\軟件\類\異常\外殼\打開\命令\,使其在每次系統重啟時都能自行啟動。接下來,特洛伊將初始化Winsock dll,綁定端口,並等待特洛伊客戶端的連接。到目前為止,我們已經完成了木馬程序“廣外少女”的整個分析過程,了解了特洛伊木馬的啟動和運行機制。當然,寫這篇文章的目的並不是簡單的介紹“廣外姑娘”的特洛伊馬,而是通過對這匹典型的特洛伊馬的詳細分析,來介紹壹般特洛伊馬的分析方法。使用本文的分析方法,可以完整地分析任何未知的特洛伊馬品種。最後,讓我們總結壹下特洛伊馬分析的方法和步驟:
首先備份系統註冊表和系統文件,然後運行特洛伊服務器,然後記錄特洛伊已經運行過的註冊表和系統文件,利用註冊表分析工具比較兩次記錄的結果,就可以知道特洛伊在系統中做了什麽。使用fport查看特洛伊木馬監聽端口。然後,利用獲得的信息,制定去除特洛伊馬的方法。
如果想深入分析特洛伊,還應該對特洛伊服務器進行脫殼和反匯編。這樣,妳可以完全掌握特洛伊馬的任何行動。當然,這需要妳對匯編語言有很好的掌握和壹定的耐心,因為冗長的匯編代碼不是壹般新手能完全讀懂的。
如果想進壹步分析特洛伊報文格式,可以使用sniffer來監控特洛伊端口,然後進行對比分析。這種分析方法比較復雜。