实例讲解木马的分析方法

“广外女生”：一个经典国产木马的技术剖析

在网络安全的历史长廊里，有过这样一款国产木马，它的名字颇具迷惑性，叫做“广外女生”。这款出自广东外语外贸大学“广外女生”网络小组的作品，兼容性极佳，能在WIN98到WIN2000，乃至安装了Winsock2.0的Win95/97等多个主流Windows系统上运行。与当时的其他木马相比，它呈现出更小的体积和更巧妙的隐蔽性。当时业界就预判，它很可能继“冰河”之后，成为又一个风靡一时的木马品种。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

“广外女生”的驻留与启动方式，在那个年代堪称典型。今天，我们就以它为样板，深入剖析一下这类木马的标准研究方法。整个测试将在Windows 2000中文版环境中进行。

一、所需工具：磨刀不误砍柴工

工欲善其事，必先利其器。分析之前，我们需要备齐以下工具：

1. RegSnap v2.80：监控注册表和系统文件变化的利器。

2. fport v1.33：查看进程与端口关联的必备工具。

3. FileInfo v2.45a：用于识别文件类型，特别是侦测加壳情况。

4. ProcDump v1.6.2：强大的脱壳工具。

5. IDA v4.0.4：深入代码的反汇编神器。

二、分析步骤：抽丝剥茧，揭示行踪

工具准备停当，真正的分析开始了。要知道，绝大多数木马服务端一旦运行，必然会对注册表或系统文件做手脚。因此，第一步永远是：先建立一个干净的“快照”。

打开RegSnap，选择“新建”快照，保存为Regsnp1.rgs。这相当于给系统和注册表拍了一张“健康写真”。

接着，在受控环境中运行“广外女生”的服务端程序gdufs.exe。一个有趣的现象是，如果你当时正运行着“天网防火墙”或“金山毒霸”，会发现它们竟自动退出了。这背后有何玄机？我们稍后揭晓。此时，木马已悄然入驻系统。

再次使用RegSnap建立第二个快照，保存为Regsnp2.rgs。然后对比两个快照，差异便是木马的罪证。对比报告清晰地显示：注册表被修改了15处，新增了1处。而在C:\WINNT\System32\目录下，赫然多出了一个新文件——diagcfg.exe。这个97KB的文件，出现时机如此巧合，基本可以断定它就是木马的后门程序。此时打开任务管理器，一个名为DIAGCFG.EXE的进程正在运行，印证了猜测。不过切记，此刻千万别急于删除它。

木马需要持久化，通常会修改注册表实现自启动。报告中的一处关键修改吸引了我们的注意：

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\@
原值: “%1″ %*
新值: C:\WINNT\System32\DIAGCFG.EXE “%1” %*

这个键值定义了可执行文件的打开方式。木马将自己嵌入其中，意味着此后系统运行任何.exe文件，都会先触发这个DIAGCFG.EXE。这与当时常见木马将自身写入Run启动项的做法截然不同，后者早已是杀毒软件的重点监控对象。“广外女生”的启动方式无疑更加隐蔽和狡猾。

接下来，我们需要找到它的通信端口。在命令行运行fport，输出列表中一行信息尤为刺眼：

1176 DIAGCFG -> 6267 TCP C:\WINNT\System32\DIAGCFG.EXE

至此，木马的所有关键行为——驻留文件、启动方式、监听端口——都已暴露无遗。

三、查杀：精准清除，步骤不容有失

基于以上分析，我们可以制定精准的清除步骤。注意，顺序至关重要，一步错可能导致清除失败。

1. 打开注册表编辑器，定位到 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\，但先不要修改。如果此时修改，活跃的木马进程会立即将其恢复原状。

2. 打开任务管理器，找到DIAGCFG.EXE进程并结束它。注意，不要先结束进程再开注册表编辑器，否则运行regedit.exe的行为会再次激活木马。

3. 将之前提到的注册表键值，从“C:\WINNT\System32\DIAGCFG.EXE “%1″ %*” 改回原始的 “%1″ %*。

4. 现在，才可以安全地删除C:\WINNT\System32\目录下的DIAGCFG.EXE文件。如果步骤颠倒，先删文件，会导致系统无法运行任何程序。为了进一步研究，我们可以先将该文件复制到别处。

四、深入研究：探究其反杀软机制的实现

我们已经掌握了“广外女生”的基本行为，但开头那个问题还未解答：它是如何让杀毒软件和防火墙悄然退出的？要解开这个谜团，必须深入到它的代码层面。

“广外女生”的服务端仅96KB，显然是经过加壳压缩的。使用FileInfo工具侦测，结果显示它使用了ASPack v1.06b进行加壳。知道了壳的类型，就能用ProcDump工具进行脱壳。

运行ProcDump，选择脱壳目标为Aspack，然后载入DIAGCFG.EXE，并指定一个输出文件即可获得脱壳后的程序。之后，便可以将这个“纯净”的程序载入IDA进行反汇编分析。

在代码中，我们发现了关键线索。木马在初始化阶段会加载kernel32.dll，并动态获取RegisterServiceProcess这个API的地址，目的是在Win9x系统下将自己注册为服务进程，从而隐藏于任务管理器。更为重要的是，在代码段中可以找到这样的逻辑：它会检查系统正在运行的进程，并与内置的字符串列表进行比对，例如：

0042B271 mov eax, ds:dword_42EA80
0042B276 mov edx, offset aSnfw_exe ; “snfw.exe”
0042B27B call sub_403900
…
0042B282 mov eax, ds:dword_42EA80
0042B287 mov edx, offset aKa v9x_exe ; “ka v9x.exe”

这里的“snfw.exe”和“ka v9x.exe”，对应的正是当年“天网防火墙”和“金山毒霸”的进程名。木马通过这种方式识别并终止这些安全软件的进程，从而为自己的活动扫清障碍。这种主动对抗技术，也让它比许多同时代的木马更具威胁性。