游乐游手机版
首页/网络安全/文章详情

实例讲解木马的分析方法

时间:2026-04-28 20:08
“广外女生”:一个经典国产木马的技术剖析 在网络安全的历史长廊里,有过这样一款国产木马,它的名字颇具迷惑性,叫做“广外女生”。这款出自广东外语外贸大学“广外女生”网络小组的作品,兼容性极佳,能在WIN98到WIN2000,乃至安装了Winsock2 0的Win95 97等多个主流Windows系统上

“广外女生”:一个经典国产木马的技术剖析

在网络安全的历史长廊里,有过这样一款国产木马,它的名字颇具迷惑性,叫做“广外女生”。这款出自广东外语外贸大学“广外女生”网络小组的作品,兼容性极佳,能在WIN98到WIN2000,乃至安装了Winsock2.0的Win95/97等多个主流Windows系统上运行。与当时的其他木马相比,它呈现出更小的体积和更巧妙的隐蔽性。当时业界就预判,它很可能继“冰河”之后,成为又一个风靡一时的木马品种。

“广外女生”的驻留与启动方式,在那个年代堪称典型。今天,我们就以它为样板,深入剖析一下这类木马的标准研究方法。整个测试将在Windows 2000中文版环境中进行。

一、所需工具:磨刀不误砍柴工

工欲善其事,必先利其器。分析之前,我们需要备齐以下工具:

1. RegSnap v2.80:监控注册表和系统文件变化的利器。

2. fport v1.33:查看进程与端口关联的必备工具。

3. FileInfo v2.45a:用于识别文件类型,特别是侦测加壳情况。

4. ProcDump v1.6.2:强大的脱壳工具。

5. IDA v4.0.4:深入代码的反汇编神器。

二、分析步骤:抽丝剥茧,揭示行踪

工具准备停当,真正的分析开始了。要知道,绝大多数木马服务端一旦运行,必然会对注册表或系统文件做手脚。因此,第一步永远是:先建立一个干净的“快照”。

打开RegSnap,选择“新建”快照,保存为Regsnp1.rgs。这相当于给系统和注册表拍了一张“健康写真”。

接着,在受控环境中运行“广外女生”的服务端程序gdufs.exe。一个有趣的现象是,如果你当时正运行着“天网防火墙”或“金山毒霸”,会发现它们竟自动退出了。这背后有何玄机?我们稍后揭晓。此时,木马已悄然入驻系统。

再次使用RegSnap建立第二个快照,保存为Regsnp2.rgs。然后对比两个快照,差异便是木马的罪证。对比报告清晰地显示:注册表被修改了15处,新增了1处。而在C:\WINNT\System32\目录下,赫然多出了一个新文件——diagcfg.exe。这个97KB的文件,出现时机如此巧合,基本可以断定它就是木马的后门程序。此时打开任务管理器,一个名为DIAGCFG.EXE的进程正在运行,印证了猜测。不过切记,此刻千万别急于删除它。

木马需要持久化,通常会修改注册表实现自启动。报告中的一处关键修改吸引了我们的注意:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\@
原值: “%1″ %*
新值: C:\WINNT\System32\DIAGCFG.EXE “%1” %*

这个键值定义了可执行文件的打开方式。木马将自己嵌入其中,意味着此后系统运行任何.exe文件,都会先触发这个DIAGCFG.EXE。这与当时常见木马将自身写入Run启动项的做法截然不同,后者早已是杀毒软件的重点监控对象。“广外女生”的启动方式无疑更加隐蔽和狡猾。

接下来,我们需要找到它的通信端口。在命令行运行fport,输出列表中一行信息尤为刺眼:

1176 DIAGCFG -> 6267 TCP C:\WINNT\System32\DIAGCFG.EXE

至此,木马的所有关键行为——驻留文件、启动方式、监听端口——都已暴露无遗。

三、查杀:精准清除,步骤不容有失

基于以上分析,我们可以制定精准的清除步骤。注意,顺序至关重要,一步错可能导致清除失败。

1. 打开注册表编辑器,定位到 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\,但先不要修改。如果此时修改,活跃的木马进程会立即将其恢复原状。

2. 打开任务管理器,找到DIAGCFG.EXE进程并结束它。注意,不要先结束进程再开注册表编辑器,否则运行regedit.exe的行为会再次激活木马。

3. 将之前提到的注册表键值,从“C:\WINNT\System32\DIAGCFG.EXE “%1″ %*” 改回原始的 “%1″ %*。

4. 现在,才可以安全地删除C:\WINNT\System32\目录下的DIAGCFG.EXE文件。如果步骤颠倒,先删文件,会导致系统无法运行任何程序。为了进一步研究,我们可以先将该文件复制到别处。

四、深入研究:探究其反杀软机制的实现

我们已经掌握了“广外女生”的基本行为,但开头那个问题还未解答:它是如何让杀毒软件和防火墙悄然退出的?要解开这个谜团,必须深入到它的代码层面。

“广外女生”的服务端仅96KB,显然是经过加壳压缩的。使用FileInfo工具侦测,结果显示它使用了ASPack v1.06b进行加壳。知道了壳的类型,就能用ProcDump工具进行脱壳。

运行ProcDump,选择脱壳目标为Aspack,然后载入DIAGCFG.EXE,并指定一个输出文件即可获得脱壳后的程序。之后,便可以将这个“纯净”的程序载入IDA进行反汇编分析。

在代码中,我们发现了关键线索。木马在初始化阶段会加载kernel32.dll,并动态获取RegisterServiceProcess这个API的地址,目的是在Win9x系统下将自己注册为服务进程,从而隐藏于任务管理器。更为重要的是,在代码段中可以找到这样的逻辑:它会检查系统正在运行的进程,并与内置的字符串列表进行比对,例如:

0042B271 mov eax, ds:dword_42EA80
0042B276 mov edx, offset aSnfw_exe ; “snfw.exe”
0042B27B call sub_403900

0042B282 mov eax, ds:dword_42EA80
0042B287 mov edx, offset aKa v9x_exe ; “ka v9x.exe”

这里的“snfw.exe”和“ka v9x.exe”,对应的正是当年“天网防火墙”和“金山毒霸”的进程名。木马通过这种方式识别并终止这些安全软件的进程,从而为自己的活动扫清障碍。这种主动对抗技术,也让它比许多同时代的木马更具威胁性。

来源:https://www.jb51.net/hack/5386.html
上一篇黑客教你SQL注入Access导出WebShell的方法 下一篇serv_u提权记录: 530 Not logged in, home directory does not exist
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
Debian环境下Docker安全漏洞防范方法指南
网络安全 · 2026-07-02

Debian环境下Docker安全漏洞防范方法指南

在Debian系统下,Docker的安全防护虽然是个老话题,却始终需要高度警惕。先说几个核心判断:如果你的Docker容器使用root权限运行、镜像来源不明、系统一年不更新,那几乎等同于“裸奔”。下面这套方案虽然不是万能的,但足以抵挡绝大多数已知攻击路径。 1 定期更新系统和软件 保持系统与镜像始

深入解析Linux系统readdir安全漏洞的防范措施与技巧
网络安全 · 2026-07-02

深入解析Linux系统readdir安全漏洞的防范措施与技巧

Linuxreaddir函数存在路径遍历、信息泄露、竞争条件、缓冲区溢出、LD_PRELOAD劫持及权限问题等安全漏洞。防范需实施路径验证、最小权限原则、线程安全保护、缓冲区安全处理、日志审计、输入过滤、权限检查、限制目录深度及使用安全API等综合措施。

Linux syslog日志加密实现方法详解
网络安全 · 2026-07-02

Linux syslog日志加密实现方法详解

Linux系统可利用Syslog-ng、rsyslog或Logrotate结合GnuPG对syslog日志进行AES256加密,需特别注意密钥安全管理、性能影响及加密日志的备份,从而有效防止敏感信息泄露。

Debian系统漏洞修复难点的深度解析与应对策略
网络安全 · 2026-07-02

Debian系统漏洞修复难点的深度解析与应对策略

Debian系统的漏洞修复看似简单,实际操作却充满挑战。核心难点主要集中在系统架构的复杂性、安全更新机制的独特性、用户的使用习惯,以及社区资源的局限性。即便是资深管理员,也常常在以上环节遇到棘手问题。 系统复杂性导致的修复难题 组件数量庞大: Debian系统包含成千上万个软件包,它们之间的依赖关系

Debian系统漏洞修复技巧从入门到精通实战指南
网络安全 · 2026-07-02

Debian系统漏洞修复技巧从入门到精通实战指南

Debian系统漏洞修复需先更新系统并配置安全补丁仓库,可开启自动更新。针对特定漏洞单独修复,结合最小权限、强密码、防火墙与入侵检测,并定期备份数据。关注官方公告及使用扫描工具,对自定义应用进行代码审计。