实例讲解木马的分析方法

首页

网络安全

实例讲解木马的分析方法

热心网友

转载

2026-04-28

“广外女生”：一个经典国产木马的技术剖析

在网络安全的历史长廊里，有过这样一款国产木马，它的名字颇具迷惑性，叫做“广外女生”。这款出自广东外语外贸大学“广外女生”网络小组的作品，兼容性极佳，能在WIN98到WIN2000，乃至安装了Winsock2.0的Win95/97等多个主流Windows系统上运行。与当时的其他木马相比，它呈现出更小的体积和更巧妙的隐蔽性。当时业界就预判，它很可能继“冰河”之后，成为又一个风靡一时的木马品种。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

“广外女生”的驻留与启动方式，在那个年代堪称典型。今天，我们就以它为样板，深入剖析一下这类木马的标准研究方法。整个测试将在Windows 2000中文版环境中进行。

一、所需工具：磨刀不误砍柴工

工欲善其事，必先利其器。分析之前，我们需要备齐以下工具：

1. RegSnap v2.80：监控注册表和系统文件变化的利器。

2. fport v1.33：查看进程与端口关联的必备工具。

3. FileInfo v2.45a：用于识别文件类型，特别是侦测加壳情况。

4. ProcDump v1.6.2：强大的脱壳工具。

5. IDA v4.0.4：深入代码的反汇编神器。

二、分析步骤：抽丝剥茧，揭示行踪

工具准备停当，真正的分析开始了。要知道，绝大多数木马服务端一旦运行，必然会对注册表或系统文件做手脚。因此，第一步永远是：先建立一个干净的“快照”。

打开RegSnap，选择“新建”快照，保存为Regsnp1.rgs。这相当于给系统和注册表拍了一张“健康写真”。

接着，在受控环境中运行“广外女生”的服务端程序gdufs.exe。一个有趣的现象是，如果你当时正运行着“天网防火墙”或“金山毒霸”，会发现它们竟自动退出了。这背后有何玄机？我们稍后揭晓。此时，木马已悄然入驻系统。

再次使用RegSnap建立第二个快照，保存为Regsnp2.rgs。然后对比两个快照，差异便是木马的罪证。对比报告清晰地显示：注册表被修改了15处，新增了1处。而在C:\WINNT\System32\目录下，赫然多出了一个新文件——diagcfg.exe。这个97KB的文件，出现时机如此巧合，基本可以断定它就是木马的后门程序。此时打开任务管理器，一个名为DIAGCFG.EXE的进程正在运行，印证了猜测。不过切记，此刻千万别急于删除它。

木马需要持久化，通常会修改注册表实现自启动。报告中的一处关键修改吸引了我们的注意：

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\@
原值: “%1″ %*
新值: C:\WINNT\System32\DIAGCFG.EXE “%1” %*

这个键值定义了可执行文件的打开方式。木马将自己嵌入其中，意味着此后系统运行任何.exe文件，都会先触发这个DIAGCFG.EXE。这与当时常见木马将自身写入Run启动项的做法截然不同，后者早已是杀毒软件的重点监控对象。“广外女生”的启动方式无疑更加隐蔽和狡猾。

接下来，我们需要找到它的通信端口。在命令行运行fport，输出列表中一行信息尤为刺眼：

1176 DIAGCFG -> 6267 TCP C:\WINNT\System32\DIAGCFG.EXE

至此，木马的所有关键行为——驻留文件、启动方式、监听端口——都已暴露无遗。

三、查杀：精准清除，步骤不容有失

基于以上分析，我们可以制定精准的清除步骤。注意，顺序至关重要，一步错可能导致清除失败。

1. 打开注册表编辑器，定位到 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\，但先不要修改。如果此时修改，活跃的木马进程会立即将其恢复原状。

2. 打开任务管理器，找到DIAGCFG.EXE进程并结束它。注意，不要先结束进程再开注册表编辑器，否则运行regedit.exe的行为会再次激活木马。

3. 将之前提到的注册表键值，从“C:\WINNT\System32\DIAGCFG.EXE “%1″ %*” 改回原始的 “%1″ %*。

4. 现在，才可以安全地删除C:\WINNT\System32\目录下的DIAGCFG.EXE文件。如果步骤颠倒，先删文件，会导致系统无法运行任何程序。为了进一步研究，我们可以先将该文件复制到别处。

四、深入研究：探究其反杀软机制的实现

我们已经掌握了“广外女生”的基本行为，但开头那个问题还未解答：它是如何让杀毒软件和防火墙悄然退出的？要解开这个谜团，必须深入到它的代码层面。

“广外女生”的服务端仅96KB，显然是经过加壳压缩的。使用FileInfo工具侦测，结果显示它使用了ASPack v1.06b进行加壳。知道了壳的类型，就能用ProcDump工具进行脱壳。

运行ProcDump，选择脱壳目标为Aspack，然后载入DIAGCFG.EXE，并指定一个输出文件即可获得脱壳后的程序。之后，便可以将这个“纯净”的程序载入IDA进行反汇编分析。

在代码中，我们发现了关键线索。木马在初始化阶段会加载kernel32.dll，并动态获取RegisterServiceProcess这个API的地址，目的是在Win9x系统下将自己注册为服务进程，从而隐藏于任务管理器。更为重要的是，在代码段中可以找到这样的逻辑：它会检查系统正在运行的进程，并与内置的字符串列表进行比对，例如：

0042B271 mov eax, ds:dword_42EA80
0042B276 mov edx, offset aSnfw_exe ; “snfw.exe”
0042B27B call sub_403900
…
0042B282 mov eax, ds:dword_42EA80
0042B287 mov edx, offset aKa v9x_exe ; “ka v9x.exe”

这里的“snfw.exe”和“ka v9x.exe”，对应的正是当年“天网防火墙”和“金山毒霸”的进程名。木马通过这种方式识别并终止这些安全软件的进程，从而为自己的活动扫清障碍。这种主动对抗技术，也让它比许多同时代的木马更具威胁性。

来源:https://www.jb51.net/hack/5386.html

免责声明：游乐网为非赢利性网站，所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系youleyoucom@outlook.com。

上一篇：黑客教你SQL注入Access导出WebShell的方法下一篇：serv_u提权记录: 530 Not logged in, home directory does not exist

热门推荐

业界动态

财务系统更换的风险？企业转型的隐形陷阱与应对策略

一、财务系统更换：一场不容有失的“心脏手术” 如果把企业比作一个生命体，那么财务系统就是它的“心脏”。这颗“心脏”一旦老化，更换就成了必须面对的课题。但这绝非一次简单的软件升级，而是一场精密、复杂、牵一发而动全身的“外科手术”。数据显示，超过70%的ERP（企业资源计划）项目实施未能完全达到预期，问

热心网友

04.28

业界动态

模拟人工点击软件有哪些？类型盘点与应用指南

在企业数字化转型的浪潮中，模拟人工点击软件：从效率工具到智能伙伴企业数字化转型的路上，绕不开一个话题：如何把那些重复、枯燥的电脑操作交给机器？模拟人工点击软件，正是因此而成为了提升效率、降低成本的得力助手。那么，市面上的这类软件到底有哪些？答案其实很清晰。它们大致可以归为三类：基础按键脚本、传统R

热心网友

04.28

业界动态

ai智能体发展前景：2026年AI Agent如何重塑全

一、核心结论：AI智能体是通往AGI的必经之路时间来到2026年，AI智能体这个词儿，早就跳出了PPT和实验室的范畴。它不再是飘在天上的技术概念，而是实实在在地成了驱动全球数字化转型的引擎。和那些只能一问一答的传统对话式AI不同，如今的AI智能体（Agent）本事可大多了：它们能自己规划任务步骤、

热心网友

04.28

业界动态

ai智能体主要通过哪一层与外部系统交互：深度解析Agen

一、核心结论：AI智能体交互的“桥梁”是行动层在AI智能体的标准架构里，它与外部系统打交道，关键靠的是“行动层”。可以这么理解：感知层是Agent的五官，决策层是它的大脑，而行动层，就是那双真正去执行和操作的手。这一层专门负责把大脑产出的抽象指令，“翻译”成外部系统能懂的语言，无论是调用一个API

热心网友

04.28

业界动态

ai智能体人设描述怎么写？构建高转化AI角色的深度方法论

一、核心结论：AI人设是智能体的“灵魂” 在构建AI应用时，一个核心问题摆在我们面前：如何写好AI智能体的人设描述？这个问题的答案，直接决定了智能体输出的专业度与用户端的信任感。业界实践表明，一个优秀的人设描述，离不开一个叫做RBGT的模型框架，它涵盖了角色、背景、目标和语气四个黄金维度。有研究数据

热心网友

04.28