木马还会修改“天网防火墙”或“金山毒霸”在注册表中的启动项,使其在下次系统重新启动时无法自动运行。
0042B820 mov dword ptr [esi], 100h 0042B826 push esi 0042B827 push edi 0042B828 push offset a_exe_1 ; ".exe" 0042B82D push 80000000h 0042B832 call j_RegQueryValueA 0042B837 push 8 0042B839 push offset a1 ; "\"%1\" %*" 0042B83E push 1 0042B840 lea eax, [ebp+var_10] 0042B843 mov edx, edi 0042B845 mov ecx, 100h 0042B84A call sub_4037A0 0042B84F lea eax, [ebp+var_10] 0042B852 mov edx, offset aShellOpenComma ; "\\shell\\open\\command" 0042B857 call sub_4037F8 0042B85C mov eax, [ebp+var_10] 0042B85F call sub_4039A4 0042B864 push eax 0042B865 push 80000000h 0042B86A call j_RegSetValueA 0042B86F push 0 0042B871 mov eax, ds:dword_42D040 0042B876 mov eax, [eax] 0042B878 push eax 0042B879 call j_WinExec
下面就是修改木马的注册表启动项,即
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\
项,使其能够在每次系统重新启动时能够自行启动。接下来木马就会初始化Winsock dll,绑定端口,等待木马客户端的连接。
五、总结
截止目前为止,我们已经完成了对“广外女生”这个木马程序的全部分析过程,了解了木马的启动、运行机制。当然,我写本文的目的并不是简单的介绍“广外女生”这一种木马,而是通过对这个具有典型意义的木马的详细分析,来向大家介绍对一般木马的分析方法。利用本文的分析方法,你完全对任何一种未知的木马品种进行分析。最后我们再来总结一下对木马分析的方法及步骤:
首先对系统注册表以及系统文件进行备份,然后运行木马服务器端,再对运行过木马的注册表以及系统文件进行记录,利用注册表分析工具对两次记录结果进行比较,这样就可以了解木马在系统中做了哪些手脚。利用fport来查看木马监听端口。然后利用所获取的信息做出木马的清除方法。
如果想要对木马进行深入的分析,还应该对木马服务器端进行脱壳、反汇编。这样就可以完全掌握木马的任何动作,当然,这需要你对汇编语言有相当的掌握程度以及一定的耐心,因为冗长的汇编代码不是一般的新手所能完全阅读的。
如果还想进一步分析木马报文格式的话,就用sniffer对木马的端口进行监听,然后进行比较分析,这种分析方法比较复杂,本文就不举例说明了。
只是阅读文章还不行,要想完全分析清楚一只木马,还需要实际操练一下!祝你好运!(完
