实例讲解木马的分析方法
“广外女生”:一个经典国产木马的技术剖析
在网络安全的历史长廊里,有过这样一款国产木马,它的名字颇具迷惑性,叫做“广外女生”。这款出自广东外语外贸大学“广外女生”网络小组的作品,兼容性极佳,能在WIN98到WIN2000,乃至安装了Winsock2.0的Win95/97等多个主流Windows系统上运行。与当时的其他木马相比,它呈现出更小的体积和更巧妙的隐蔽性。当时业界就预判,它很可能继“冰河”之后,成为又一个风靡一时的木马品种。
“广外女生”的驻留与启动方式,在那个年代堪称典型。今天,我们就以它为样板,深入剖析一下这类木马的标准研究方法。整个测试将在Windows 2000中文版环境中进行。
一、所需工具:磨刀不误砍柴工
工欲善其事,必先利其器。分析之前,我们需要备齐以下工具:
1. RegSnap v2.80:监控注册表和系统文件变化的利器。
2. fport v1.33:查看进程与端口关联的必备工具。
3. FileInfo v2.45a:用于识别文件类型,特别是侦测加壳情况。
4. ProcDump v1.6.2:强大的脱壳工具。
5. IDA v4.0.4:深入代码的反汇编神器。
二、分析步骤:抽丝剥茧,揭示行踪
工具准备停当,真正的分析开始了。要知道,绝大多数木马服务端一旦运行,必然会对注册表或系统文件做手脚。因此,第一步永远是:先建立一个干净的“快照”。
打开RegSnap,选择“新建”快照,保存为Regsnp1.rgs。这相当于给系统和注册表拍了一张“健康写真”。
接着,在受控环境中运行“广外女生”的服务端程序gdufs.exe。一个有趣的现象是,如果你当时正运行着“天网防火墙”或“金山毒霸”,会发现它们竟自动退出了。这背后有何玄机?我们稍后揭晓。此时,木马已悄然入驻系统。
再次使用RegSnap建立第二个快照,保存为Regsnp2.rgs。然后对比两个快照,差异便是木马的罪证。对比报告清晰地显示:注册表被修改了15处,新增了1处。而在C:\WINNT\System32\目录下,赫然多出了一个新文件——diagcfg.exe。这个97KB的文件,出现时机如此巧合,基本可以断定它就是木马的后门程序。此时打开任务管理器,一个名为DIAGCFG.EXE的进程正在运行,印证了猜测。不过切记,此刻千万别急于删除它。
木马需要持久化,通常会修改注册表实现自启动。报告中的一处关键修改吸引了我们的注意:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\@
原值: “%1″ %*
新值: C:\WINNT\System32\DIAGCFG.EXE “%1” %*
这个键值定义了可执行文件的打开方式。木马将自己嵌入其中,意味着此后系统运行任何.exe文件,都会先触发这个DIAGCFG.EXE。这与当时常见木马将自身写入Run启动项的做法截然不同,后者早已是杀毒软件的重点监控对象。“广外女生”的启动方式无疑更加隐蔽和狡猾。
接下来,我们需要找到它的通信端口。在命令行运行fport,输出列表中一行信息尤为刺眼:
1176 DIAGCFG -> 6267 TCP C:\WINNT\System32\DIAGCFG.EXE
至此,木马的所有关键行为——驻留文件、启动方式、监听端口——都已暴露无遗。
三、查杀:精准清除,步骤不容有失
基于以上分析,我们可以制定精准的清除步骤。注意,顺序至关重要,一步错可能导致清除失败。
1. 打开注册表编辑器,定位到 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\,但先不要修改。如果此时修改,活跃的木马进程会立即将其恢复原状。
2. 打开任务管理器,找到DIAGCFG.EXE进程并结束它。注意,不要先结束进程再开注册表编辑器,否则运行regedit.exe的行为会再次激活木马。
3. 将之前提到的注册表键值,从“C:\WINNT\System32\DIAGCFG.EXE “%1″ %*” 改回原始的 “%1″ %*。
4. 现在,才可以安全地删除C:\WINNT\System32\目录下的DIAGCFG.EXE文件。如果步骤颠倒,先删文件,会导致系统无法运行任何程序。为了进一步研究,我们可以先将该文件复制到别处。
四、深入研究:探究其反杀软机制的实现
我们已经掌握了“广外女生”的基本行为,但开头那个问题还未解答:它是如何让杀毒软件和防火墙悄然退出的?要解开这个谜团,必须深入到它的代码层面。
“广外女生”的服务端仅96KB,显然是经过加壳压缩的。使用FileInfo工具侦测,结果显示它使用了ASPack v1.06b进行加壳。知道了壳的类型,就能用ProcDump工具进行脱壳。
运行ProcDump,选择脱壳目标为Aspack,然后载入DIAGCFG.EXE,并指定一个输出文件即可获得脱壳后的程序。之后,便可以将这个“纯净”的程序载入IDA进行反汇编分析。
在代码中,我们发现了关键线索。木马在初始化阶段会加载kernel32.dll,并动态获取RegisterServiceProcess这个API的地址,目的是在Win9x系统下将自己注册为服务进程,从而隐藏于任务管理器。更为重要的是,在代码段中可以找到这样的逻辑:它会检查系统正在运行的进程,并与内置的字符串列表进行比对,例如:
0042B271 mov eax, ds:dword_42EA80
0042B276 mov edx, offset aSnfw_exe ; “snfw.exe”
0042B27B call sub_403900
…
0042B282 mov eax, ds:dword_42EA80
0042B287 mov edx, offset aKa v9x_exe ; “ka v9x.exe”
这里的“snfw.exe”和“ka v9x.exe”,对应的正是当年“天网防火墙”和“金山毒霸”的进程名。木马通过这种方式识别并终止这些安全软件的进程,从而为自己的活动扫清障碍。这种主动对抗技术,也让它比许多同时代的木马更具威胁性。
相关攻略
“广外女生”:一个经典国产木马的技术剖析 在网络安全的历史长廊里,有过这样一款国产木马,它的名字颇具迷惑性,叫做“广外女生”。这款出自广东外语外贸大学“广外女生”网络小组的作品,兼容性极佳,能在WIN98到WIN2000,乃至安装了Winsock2 0的Win95 97等多个主流Windows系统上
Avantis (AVNT) 深度解析:Base链上RWA永续合约龙头,2025-2030年价格预测全览 在去中心化金融赛道的激烈竞争中,现实世界资产的交易正成为下一个万亿美元级别的增长引擎。而坐落于Base链生态的Avantis,凭借其在RWA永续合约领域的创新与领先地位,已成为该赛道不可忽视的领
RIVER币深度解析:暴涨180%的背后逻辑与未来前景 近日,一个名为RIVER的加密资产在市场中异军突起,成为Web3领域最炙手可热的焦点。其价格在短时间内实现了惊人涨幅,引发众多投资者与资深DeFi玩家的密切关注。作为以太坊生态中的新兴项目,RIVER致力于攻克一个DeFi领域的核心难题:如何安
Pi Network(PI)未来价格展望:2026–2030年趋势深度解析 作为全球用户基数最庞大的加密货币项目之一,Pi Network(PI)的未来价格走势已成为Web3社区的核心议题。目前,其价格表现充满高波动性与不确定性,任何长期预测都需建立在严谨的市场分析、生态进展与宏观环境评估之上。本文
以太坊的长期持有者显示出新的强劲力量 市场总是充满信号,而眼下,一个值得关注的信号正在浮现:以太坊的长期持有者们(LTHs)似乎正重新积蓄力量。观察“HODLer净头寸变化”这一指标你会发现,数据已从负值区域转向正增长。这可不是小事——它清晰地表明,长期持有者的资金流出速度正在显著放缓。从历史经验看
热门专题
热门推荐
东南亚智能手机市场第一季度平均售价同比上涨19%,达349美元。出货量虽下滑9%,但市场总规模增长8%,呈现“量减价增”态势。这表明消费者开始转向高端机型,市场增长动力正从销量扩张向价值提升转变。
代币归属期指代币在发行后按预定时间表逐步解锁的过程。该机制旨在激励项目长期发展,防止早期投资者或团队成员大量抛售导致市场波动。归属期通常包含锁定期与释放期,具体规则由项目方设定。理解此概念有助于评估代币的潜在流通量与市场风险。
近日,小鹏汽车正式宣布,基于其旗舰SUV车型GX打造的首款Robotaxi(自动驾驶出租车)量产车已成功下线。这一重要进展标志着中国L4级高阶自动驾驶技术的商业化落地,迈出了坚实而关键的一步。 根据官方披露的核心信息,这款自动驾驶车型创造了多项行业纪录:它不仅是中国首款实现全栈自研、前装量产的Rob
5月19日,一则新闻引发广泛关注与讨论:河南濮阳一位主营冷冻榴莲果肉的商家,因遭遇买家恶意发起“仅退款”操作,在沟通无果后,选择驱车数百公里前往山东进行维权。几乎在同一时间,浙江杭州萧山区盈丰街道,也因类似恶意退货退款问题频发,被部分电商商家列入“交易谨慎名单”。这两起典型事件,将长期存在于电商交易
5月19日,AMD完成了一项具有里程碑意义的战略举措:首次将其年度AI开发者大会的主会场设在中国。在上海,AMD董事会主席兼首席执行官苏姿丰博士发表了核心主题演讲,其中所传递的战略信号,其深远意义远超单纯的技术发布。 贯穿整场演讲,一个核心信息被不断强化:中国市场对于AMD的全球战略重要性,已提升至