实例讲解木马的分析方法
“广外女生”:一个经典国产木马的技术剖析 在网络安全的历史长廊里,有过这样一款国产木马,它的名字颇具迷惑性,叫做“广外女生”。这款出自广东外语外贸大学“广外女生”网络小组的作品,兼容性极佳,能在WIN98到WIN2000,乃至安装了Winsock2 0的Win95 97等多个主流Windows系统上
“广外女生”:一个经典国产木马的技术剖析
在网络安全的历史长廊里,有过这样一款国产木马,它的名字颇具迷惑性,叫做“广外女生”。这款出自广东外语外贸大学“广外女生”网络小组的作品,兼容性极佳,能在WIN98到WIN2000,乃至安装了Winsock2.0的Win95/97等多个主流Windows系统上运行。与当时的其他木马相比,它呈现出更小的体积和更巧妙的隐蔽性。当时业界就预判,它很可能继“冰河”之后,成为又一个风靡一时的木马品种。
“广外女生”的驻留与启动方式,在那个年代堪称典型。今天,我们就以它为样板,深入剖析一下这类木马的标准研究方法。整个测试将在Windows 2000中文版环境中进行。
一、所需工具:磨刀不误砍柴工
工欲善其事,必先利其器。分析之前,我们需要备齐以下工具:
1. RegSnap v2.80:监控注册表和系统文件变化的利器。
2. fport v1.33:查看进程与端口关联的必备工具。
3. FileInfo v2.45a:用于识别文件类型,特别是侦测加壳情况。
4. ProcDump v1.6.2:强大的脱壳工具。
5. IDA v4.0.4:深入代码的反汇编神器。
二、分析步骤:抽丝剥茧,揭示行踪
工具准备停当,真正的分析开始了。要知道,绝大多数木马服务端一旦运行,必然会对注册表或系统文件做手脚。因此,第一步永远是:先建立一个干净的“快照”。
打开RegSnap,选择“新建”快照,保存为Regsnp1.rgs。这相当于给系统和注册表拍了一张“健康写真”。
接着,在受控环境中运行“广外女生”的服务端程序gdufs.exe。一个有趣的现象是,如果你当时正运行着“天网防火墙”或“金山毒霸”,会发现它们竟自动退出了。这背后有何玄机?我们稍后揭晓。此时,木马已悄然入驻系统。
再次使用RegSnap建立第二个快照,保存为Regsnp2.rgs。然后对比两个快照,差异便是木马的罪证。对比报告清晰地显示:注册表被修改了15处,新增了1处。而在C:\WINNT\System32\目录下,赫然多出了一个新文件——diagcfg.exe。这个97KB的文件,出现时机如此巧合,基本可以断定它就是木马的后门程序。此时打开任务管理器,一个名为DIAGCFG.EXE的进程正在运行,印证了猜测。不过切记,此刻千万别急于删除它。
木马需要持久化,通常会修改注册表实现自启动。报告中的一处关键修改吸引了我们的注意:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\@
原值: “%1″ %*
新值: C:\WINNT\System32\DIAGCFG.EXE “%1” %*
这个键值定义了可执行文件的打开方式。木马将自己嵌入其中,意味着此后系统运行任何.exe文件,都会先触发这个DIAGCFG.EXE。这与当时常见木马将自身写入Run启动项的做法截然不同,后者早已是杀毒软件的重点监控对象。“广外女生”的启动方式无疑更加隐蔽和狡猾。
接下来,我们需要找到它的通信端口。在命令行运行fport,输出列表中一行信息尤为刺眼:
1176 DIAGCFG -> 6267 TCP C:\WINNT\System32\DIAGCFG.EXE
至此,木马的所有关键行为——驻留文件、启动方式、监听端口——都已暴露无遗。
三、查杀:精准清除,步骤不容有失
基于以上分析,我们可以制定精准的清除步骤。注意,顺序至关重要,一步错可能导致清除失败。
1. 打开注册表编辑器,定位到 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\,但先不要修改。如果此时修改,活跃的木马进程会立即将其恢复原状。
2. 打开任务管理器,找到DIAGCFG.EXE进程并结束它。注意,不要先结束进程再开注册表编辑器,否则运行regedit.exe的行为会再次激活木马。
3. 将之前提到的注册表键值,从“C:\WINNT\System32\DIAGCFG.EXE “%1″ %*” 改回原始的 “%1″ %*。
4. 现在,才可以安全地删除C:\WINNT\System32\目录下的DIAGCFG.EXE文件。如果步骤颠倒,先删文件,会导致系统无法运行任何程序。为了进一步研究,我们可以先将该文件复制到别处。
四、深入研究:探究其反杀软机制的实现
我们已经掌握了“广外女生”的基本行为,但开头那个问题还未解答:它是如何让杀毒软件和防火墙悄然退出的?要解开这个谜团,必须深入到它的代码层面。
“广外女生”的服务端仅96KB,显然是经过加壳压缩的。使用FileInfo工具侦测,结果显示它使用了ASPack v1.06b进行加壳。知道了壳的类型,就能用ProcDump工具进行脱壳。
运行ProcDump,选择脱壳目标为Aspack,然后载入DIAGCFG.EXE,并指定一个输出文件即可获得脱壳后的程序。之后,便可以将这个“纯净”的程序载入IDA进行反汇编分析。
在代码中,我们发现了关键线索。木马在初始化阶段会加载kernel32.dll,并动态获取RegisterServiceProcess这个API的地址,目的是在Win9x系统下将自己注册为服务进程,从而隐藏于任务管理器。更为重要的是,在代码段中可以找到这样的逻辑:它会检查系统正在运行的进程,并与内置的字符串列表进行比对,例如:
0042B271 mov eax, ds:dword_42EA80
0042B276 mov edx, offset aSnfw_exe ; “snfw.exe”
0042B27B call sub_403900
…
0042B282 mov eax, ds:dword_42EA80
0042B287 mov edx, offset aKa v9x_exe ; “ka v9x.exe”
这里的“snfw.exe”和“ka v9x.exe”,对应的正是当年“天网防火墙”和“金山毒霸”的进程名。木马通过这种方式识别并终止这些安全软件的进程,从而为自己的活动扫清障碍。这种主动对抗技术,也让它比许多同时代的木马更具威胁性。
游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。
同类文章
GPT-Red:释放稳健的自我完善能力
GPT-Red是一种自动化红队模型,通过自我对弈强化学习训练,可规模化发现漏洞并生成对抗数据。将其用于训练GPT-5 6后,直接提示注入故障减少6倍,在保留能力的同时显著提升稳健性,为模型安全自我改进开辟新路径。
Consensys曾让朝鲜关联开发者接触系统一个月未造成影响
区块链公司Consensys证实,一名通过第三方引入的开发者与朝鲜有关联,其接触系统约一个月后被发现并切断权限。调查确认无资产或数据损失,未植入恶意代码,但事件暴露了朝鲜背景团体渗透数字资产企业的风险模式。
黑客教你破解电子邮箱账号的三种方法详细步骤
电子邮件虽然便捷高效,但你真的了解其背后的安全风险吗?从邮件发送、传输到接收的每一个环节,都可能潜藏着漏洞,让攻击者有机可乘,轻松破解邮箱账号、窃取邮件内容。接下来,我们将逐一剖析这些薄弱环节,帮助您全面掌握电子邮件安全防护要点。 一、利用邮件服务器操作系统的漏洞 邮件服务器软件通常运行在特定操作系
黑客破解验证码机制的常见方法
验证码这东西,大家应该都不陌生。简单说,就是把一串随机数字或符号生成图片,再在图片里加一些干扰像素,防止OCR直接识破。用户得靠肉眼识别出来,输入表单提交给网站验证,通过后才能继续操作。很多网站为了挡住机器人的自动注册、登录、灌水,都用了这套技术。 但问题来了——很多验证码实现其实漏洞百出。比如直接
手机数据泄露大揭秘:你的信息到底安全吗?
如果你给自己的手机设置了PIN码,甚至复杂到自己都忘了,或者用了更高级的指纹解锁,你是不是就觉得手机里的信息固若金汤了?实际上,这种做法对于大多数普通用户来说,确实算得上安全。但换个角度,对于那些真正盯上你手机里数据的人来说,一次简单的充电,就可能让所有防护形同虚设。现如今,手机早已不只是一个通信工
- 热门数据榜
相关攻略
2026-07-18 22:34
2026-07-18 22:34
2026-07-18 22:30
2026-07-18 22:29
2026-07-18 22:29
2026-07-18 22:29
2026-07-18 22:29
2026-07-18 22:09
热门教程
- 游戏攻略
- 安卓教程
- 苹果教程
- 电脑教程

