以前有過一款國產(chǎn)木馬，它有個好聽的名字，叫做“廣外女生”。這個木馬是廣東外語外貿(mào)大學(xué)“廣外女生”網(wǎng)絡(luò)小組的作品，它可以運行于WIN98，WIN98SE，WINME，WINNT，WIN2000或已經(jīng)安裝Winsock2.0的Win95/97上。與以往的木馬相比，它具有體積更小、隱藏更為巧妙的特點?？梢灶A(yù)料，在將來的日子里它會成為繼“冰河”之后的又一流行的木馬品種。
由于“廣外女生”這個木馬的駐留、啟動的方法比較具有典型性，下面我就通過對這種新型木馬的詳細分析過程來向大家闡述對一般木馬的研究方法。下面的測試環(huán)境為Windows2000中文版。
一、所需工具
1.RegSnap v2.80 監(jiān)視注冊表以及系統(tǒng)文件變化的最好工具
2.fport v1.33 查看程序所打開的端口的工具
3.FileInfo v2.45a 查看文件類型的工具
4.ProcDump v1.6.2 脫殼工具
5.IDA v4.0.4 反匯編工具
二、分析步驟
一切工具準(zhǔn)備就緒了，我們開始分析這個木馬。一般的木馬的服務(wù)器端一旦運行之后都會對注冊表以及系統(tǒng)文件做一些手腳，所以我們在分析之前就要先對注冊表以及系統(tǒng)文件做一個備份。
首先打開RegSnap，從file菜單選new,然后點OK。這樣就對當(dāng)前的注冊表以及系統(tǒng)文件做了一個記錄，一會兒如果木馬修改了其中某項，我們就可以分析出來了。備份完成之后把它存為Regsnp1.rgs。
然后我們就在我們的電腦上運行“廣外女生”的服務(wù)器端，不要害怕，因為我們已經(jīng)做了比較詳細的備份了，它做的手腳我們都可以照原樣改回來的。雙擊gdufs.exe，然后等一小會兒。如果你正在運行著“天網(wǎng)防火墻”或“金山毒霸”的話，應(yīng)該發(fā)現(xiàn)這兩個程序自動退出了，很奇怪嗎？且聽我們后面的分析?，F(xiàn)在木馬就已經(jīng)駐留在我們的系統(tǒng)中了。我們來看一看它究竟對我們的做了哪些操作。重新打開RegSnap，從file菜單選new,然后點OK，把這次的snap結(jié)果存為Regsnp2.rgs。
從RegSnap的file菜單選擇Compare，在First snapshot中選擇打開Regsnp1.rgs，在Second snapshot中選擇打開Regsnp2.rgs，并在下面的單選框中選中Show modifiedkey names and key values。然后按OK按鈕，這樣RegSnap就開始比較兩次記錄又什么區(qū)別了，當(dāng)比較完成時會自動打開分析結(jié)果文件Regsnp1-Regsnp2.htm。
看一下Regsnp1-Regsnp2.htm，注意其中的：
Summary info:
Deleted keys: 0
Modified keys: 15
New keys : 1
意思就是兩次記錄中，沒有刪除注冊表鍵，修改了15處注冊表，新增加了一處注冊表。再看看后邊的：
File list in C:\WINNT\System32\*.*
Summary info:
Deleted files: 0
Modified files: 0
New files : 1
New files
diagcfg.exe Size: 97 792 , Date/Time: 2001年07月01日 23:00:12
--------------
Total positions: 1
這一段話的意思就是，在C:\WINNT\System32\目錄下面新增加了一個文件diagcfg.exe，這個文件非?？梢?，因為我們在比較兩次系統(tǒng)信息之間只運行了“廣外女生”這個木馬，所以我們有理由相信diagcfg.exe就是木馬留在系統(tǒng)中的后門程序。不信的話你打開任務(wù)管理器看一下，會發(fā)現(xiàn)其中有一個DIAGCFG.EXE的進程，這就是木馬的原身。但這個時候千萬不要刪除DIAGCFG.EXE，否則系統(tǒng)就無法正常運行了。
木馬一般都會在注冊表中設(shè)置一些鍵值以便以后在系統(tǒng)每次重新啟動時能夠自動運行。我們再來看看Regsnp1-Regsnp2.htm中哪些注冊表項發(fā)生了變化，憑借經(jīng)驗應(yīng)該注意到下面這條了：
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\@
Old value: String: ""%1" %*"
New value: String: "C:\WINNT\System32\DIAGCFG.EXE "%1" %*"
這個鍵值由原來的"%1" %*被修改為了C:\WINNT\System32\DIAGCFG.EXE "%1" %*，因為其中包含了木馬程序DIAGCFG.EXE所以最為可疑。那么這個注冊表項有什么作用呢？
它就是運行可執(zhí)行文件的格式，被改成C:\WINNT\System32\DIAGCFG.EXE "%1"。%*之后每次再運行任何可執(zhí)行文件時都要先運行C:\WINNT\System32\DIAGCFG.EXE這個程序。
原來這個木馬就是通過這里做了手腳，使自己能夠自動運行，它的啟動方法與一般普通木馬不太一樣，一般的木馬是在
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*
鍵里增加一個鍵值，使自己能夠自啟動，但這種方法被殺毒軟件所熟知了，所以很容易被查殺。而“廣外女生”這個木馬就比較狡猾，它把啟動項設(shè)在了另外的位置。
現(xiàn)在我們已經(jīng)掌握了這個木馬的駐留位置以及在注冊表中的啟動項，還有重要的一點就是我們還要找出它到底監(jiān)聽了哪個端口。使用fport可以輕松的實現(xiàn)這一點。在命令行中運行fport.exe，可以看到：
C:\tool\fport>fport
FPort v1.33 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com
Pid Process　　　Port Proto Path
584 tcpsvcs　-> 7　　 TCP C:\WINNT\System32\tcpsvcs.exe
584 tcpsvcs　-> 9　　 TCP C:\WINNT\System32\tcpsvcs.exe
584 tcpsvcs　-> 13　　TCP C:\WINNT\System32\tcpsvcs.exe
584 tcpsvcs　-> 17　　TCP C:\WINNT\System32\tcpsvcs.exe
584 tcpsvcs　-> 19　　TCP C:\WINNT\System32\tcpsvcs.exe
836 inetinfo　-> 80　　TCP C:\WINNT\System32\inetsrv\inetinfo.exe
408 svchost　-> 135 TCP C:\WINNT\system32\svchost.exe
836 inetinfo　-> 443 TCP C:\WINNT\System32\inetsrv\inetinfo.exe
8　　 System　 -> 445 TCP
464 msdtc　 -> 1025 TCP C:\WINNT\System32\msdtc.exe
684 MSTask　 -> 1026 TCP C:\WINNT\system32\MSTask.exe
584 tcpsvcs　-> 1028 TCP C:\WINNT\System32\tcpsvcs.exe
836 inetinfo　-> 1029 TCP C:\WINNT\System32\inetsrv\inetinfo.exe
8　　 System　 -> 1030 TCP
464 msdtc　 -> 3372 TCP C:\WINNT\System32\msdtc.exe
1176 DIAGCFG　-> 6267 TCP C:\WINNT\System32\DIAGCFG.EXE
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 注意這行?。?！
836 inetinfo　-> 7075 TCP C:\WINNT\System32\inetsrv\inetinfo.exe
584 tcpsvcs　-> 7　　 UDP C:\WINNT\System32\tcpsvcs.exe
584 tcpsvcs　-> 9　　 UDP C:\WINNT\System32\tcpsvcs.exe
584 tcpsvcs　-> 13　　UDP C:\WINNT\System32\tcpsvcs.exe
584 tcpsvcs　-> 17　　UDP C:\WINNT\System32\tcpsvcs.exe
584 tcpsvcs　-> 19　　UDP C:\WINNT\System32\tcpsvcs.exe
584 tcpsvcs　-> 68　　UDP C:\WINNT\System32\tcpsvcs.exe
408 svchost　-> 135 UDP C:\WINNT\system32\svchost.exe
8　　 System　 -> 445 UDP
228 services　-> 1027 UDP C:\WINNT\system32\services.exe
836 inetinfo　-> 3456 UDP C:\WINNT\System32\inetsrv\inetinfo.exe
我們可以清楚的看到，木馬程序監(jiān)聽在TCP的6267號端口上了。我們到目前為止就可以說掌握了“廣外女生”這個木馬在我們系統(tǒng)中的全部動作了，現(xiàn)在我們可以輕而易舉的查殺它了。
三、查殺
經(jīng)過前面的分析我們已經(jīng)了解了“廣外女生”這種木馬的工作方式，現(xiàn)在我們就來清除它。下面就是徹底清除“廣外女生”的方法，注意：這個步驟的次序不能顛倒，否則可能無法完全清除掉此木馬。
1.按“開始”菜單，選擇“運行”，輸入regedit，按確定。打開下面鍵值：
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\
但是先不要修改，因為如果這時就修改注冊表的話，DIAGCFG.EXE進程仍然會立刻把它改回來的。
2.打開“任務(wù)管理器”，找到DIAGCFG.EXE這個進程，選中它，按“結(jié)束進程”來關(guān)掉這個進程。注意，一定也不要先關(guān)進程再打開注冊表管理器，否則執(zhí)行regedit.exe時就又會啟動DIAGCFG.EXE。
3.把
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\
的鍵值由原來的C:\WINNT\System32\DIAGCFG.EXE "%1" %*改為"%1" %*。
4.這時就可以刪除C:\WINNT\System32\目錄下的DIAGCFG.EXE了。切記萬萬不可首先刪除這個文件，否則的話就無法再系統(tǒng)中運行任何可執(zhí)行文件了。由于我們下面還打算進一步深入分析這個木馬，所以現(xiàn)在不刪除它，而是把它拷貝到其他的目錄以便研究。
四、深入研究
我們已經(jīng)知道了“廣外女生”的基本工作原理、啟動流程以及如何徹底清除它了，但是還有一點我們沒有徹底弄清楚，那就是它是如何對付“天網(wǎng)防火墻”或“金山毒霸”的。要深入了解這一點，我們必須要去看“廣外女生”的代碼，這個木馬并沒有公布源代碼，但是我們?nèi)匀豢梢酝ㄟ^反匯編它來看個究竟。
“廣外女生”的服務(wù)器端只有96K，顯然是使用了壓縮軟件進行了加殼的，我們首先就要確定它到底加了什么殼。通過使用FileInfo這個小工具就可以偵測出來?，F(xiàn)在我們就把前面分析過的那個DIAGCFG.EXE復(fù)制到FileInfo的目錄下，然后在命令行下fi.exe，然后按回車，就會顯示：
　　FileInfo v2.45a (c) 1997-2001 from JUN-06-2001
FileInfo v2.45a (c) 1997-2001 by Michael Hering - herinmi@tu-cottbus.de
C:\TOOL\FI\
═─*
ASPack v1.06b A.Solodovnikov .data　　 DIAGCFG.EXE .....98304 01.01.1997
aPack v0.98/0.99 (Jibz) {short} ....... EXETOOLS.COM .......895 10.11.2000 !
aPack v0.98/0.99 (Jibz) ............... FI.EXE　....135458 06.06.2001 !
...................................... FILE_ID.DIZ ......1088 06.06.2001 !
?7-bit text ........................... REG.BAT　.......280 06.06.2001 !
...................................... SUMMER.KEY　　.......157 06.06.2001 !
* detected 4/6 files in 110 ms
──═ FileInfo summary ═──── Date: Mi,01.01.1997 ─ Time: 21:32:15 ─
scan path: C:\TOOL\FI
file mask: *.*
all size: 236182 Bytes = 230 KB
　　 4/6 files in 110 ms (18.33 ms/file)
FileInfo就已經(jīng)檢測出DIAGCFG.EXE是使用了ASPack v1.06b進行加殼。知道了它的加密方法我們就可以使用ProcDump來把它脫殼了。
運行ProcDump，點擊Unpack按鈕，因為我們要脫ASPack v1.06b的殼，所以就在其中選中Aspack
0042B1AC　　 push　　offset aKernel32_dll ; "kernel32.dll"
0042B1B1　　 call　　j_LoadLibraryA
0042B1B6　　 mov　　 [ebx], eax
0042B1B8　　 push　　offset aRegisterservic ; "RegisterServiceProcess"
0042B1BD　　 mov　　 eax, [ebx]
0042B1BF　　 push　　eax
0042B1C0　　 call　　j_GetProcAddress
0042B1C5　　 mov　　 ds:dword_42EA5C, eax
0042B1CA　　 cmp　　 ds:dword_42EA5C, 0
0042B1D1　　 jz　　 short loc_42B1E1
0042B1D3　　 push　　1
0042B1D5　　 call　　j_GetCurrentProcessId
0042B1DA　　 push　　eax
0042B1DB　　 call　　ds:dword_42EA5C
木馬首先加載了kernel32.dll，然后利用GetProcAddress來得到RegisterServiceProcess這個API的地址，木馬首先需要把自己注冊為系統(tǒng)服務(wù)，這樣在Win9x下運行時就不容易被任務(wù)管理器發(fā)現(xiàn)。然后它會GetCommandLineA來得到運行參數(shù)，如果參數(shù)是可執(zhí)行文件的話就調(diào)用Winexec來運行。
0042B271　　 mov　　 eax, ds:dword_42EA80
0042B276　　 mov　　 edx, offset aSnfw_exe ; "snfw.exe"
0042B27B　　 call　　sub_403900
0042B280　　 jz　　 short loc_42B293
0042B282　　 mov　　 eax, ds:dword_42EA80
0042B287　　 mov　　 edx, offset aKav9x_exe ; "kav9x.exe"

最新評論