木马的分析方法

最近又有一种新的国产木马出现了，它有个好听的名字，叫做"广外女生"。这个木
马是广东外语外贸大学"广外女生"网络小组的作品，它可以运行于WIN98，
WIN98SE，WINME，WINNT，WIN2000或已经安装Winsock2.0的Win95/97上。与以往的木马
相比，它具有体积更小、隐藏更为巧妙的特点。可以预料，在将来的日子里
它会成为继"冰河"之后的又一流行的木马品种。

　　由于"广外女生"这个木马的驻留、启动的方法比较具有典型性，下面我就通过对这
种新型木马的详细分析过程来向大家阐述对一般木马的研究方法。下面的测
试环境为Windows2000中文版。


一、所需工具

1.RegSnap v2.80 监视注册表以及系统文件变化的最好工具
2.fport v1.33 查看程序所打开的端口的工具
3.FileInfo v2.45a 查看文件类型的工具
4.ProcDump v1.6.2 脱壳工具
5.IDA v4.0.4 反汇编工具


二、分析步骤

　　一切工具准备就绪了，我们开始分析这个木马。一般的木马的服务器端一旦运行之
后都会对注册表以及系统文件做一些手脚，所以我们在分析之前就要先对注册表以
及系统文件做一个备份。

　　首先打开RegSnap，从file菜单选new,然后点OK。这样就对当前的注册表以及系统文
件做了一个记录，一会儿如果木马修改了其中某项，我们就可以分析出来了。备份
完成之后把它存为Regsnp1.rgs。

　　然后我们就在我们的电脑上运行"广外女生"的服务器端，不要害怕，因为我们已经
做了比较详细的备份了，它做的手脚我们都可以照原样改回来的。双击gdufs.exe，
然后等一小会儿。如果你正在运行着"天网防火墙"或"金山毒霸"的话，应该发现这两个
程序自动退出了，很奇怪吗？且听我们后面的分析。现在木马就已经驻留在我们
的系统中了。我们来看一看它究竟对我们的做了哪些操作。重新打开RegSnap，从file菜
单选new,然后点OK，把这次的snap结果存为Regsnp2.rgs。
　　从RegSnap的file菜单选择Compare，在First snapshot中选择打开Regsnp1.rgs，在
Second snapshot中选择打开Regsnp2.rgs，并在下面的单选框中选中Show modified
key names and key values。然后按OK按钮，这样RegSnap就开始比较两次记录又什么区
别了，当比较完成时会自动打开分析结果文件Regsnp1-Regsnp2.htm。

　　看一下Regsnp1-Regsnp2.htm，注意其中的：

Summary info:
Deleted keys: 0
Modified keys: 15
New keys : 1

　　意思就是两次记录中，没有删除注册表键，修改了15处注册表，新增加了一处注册
表。再看看后边的：

File list in C:\WINNT\System32\*.*


Summary info:
Deleted files: 0
Modified files: 0
New files : 1


New files
diagcfg.exe Size: 97 792 , Date/Time: 2001年07月01日 23:00:12
--------------
Total positions: 1


　　这一段话的意思就是，在C:\WINNT\System32\目录下面新增加了一个文件diagcfg.e
xe，这个文件非常可疑，因为我们在比较两次系统信息之间只运行了"广外女生"这个木
马，所以我们有理由相信diagcfg.exe就是木马留在系统中的后门程序。不信的话你打开
任务管理器看一下，会发现其中有一个DIAGCFG.EXE的进程，这就是木马的原身。但这个
时候千万不要删除DIAGCFG.EXE，否则系统就无法正常运行了。
　　木马一般都会在注册表中设置一些键值以便以后在系统每次重新启动时能够自动运
行。我们再来看看Regsnp1-Regsnp2.htm中哪些注册表项发生了变化，凭借经验应该注意
到下面这条了：

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\@

Old value: String: ""%1" %*"
New value: String: "C:\WINNT\System32\DIAGCFG.EXE "%1" %*"


　　这个键值由原来的"%1" %*被修改为了C:\WINNT\System32\DIAGCFG.EXE "%1" %*，
因为其中包含了木马程序DIAGCFG.EXE所以最为可疑。那么这个注册表项有什么作用呢？
它就是运行可执行文件的格式，被改成C:\WINNT\System32\DIAGCFG.EXE "%1" %*之后每
次再运行任何可执行文件时都要先运行C:\WINNT\System32\DIAGCFG.EXE这个程序。
原来这个木马就是通过这里做了手脚，使自己能够自动运行，它的启动方法与一般普通
木马不太一样，一般的木马是在HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru
n*
键里增加一个键值，使自己能够自启动，但这种方法被杀毒软件所熟知了，所以很容易
被查杀。而"广外女生"这个木马就比较狡猾，它把启动项设在了另外的位置。

　　现在我们已经掌握了这个木马的驻留位置以及在注册表中的启动项，还有重要的一
点就是我们还要找出它到底监听了哪个端口。使用fport可以轻松的实现这一点。在
命令行中运行fport.exe，可以看到：

C:\tool\fport>fport
FPort v1.33 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com

Pid Process　　　Port Proto Path
584 tcpsvcs　-> 7　　 TCP C:\WINNT\System32\tcpsvcs.exe
584 tcpsvcs　-> 9　　 TCP C:\WINNT\System32\tcpsvcs.exe
584 tcpsvcs　-> 13　　TCP C:\WINNT\System32\tcpsvcs.exe
584 tcpsvcs　-> 17　　TCP C:\WINNT\System32\tcpsvcs.exe
584 tcpsvcs　-> 19　　TCP C:\WINNT\System32\tcpsvcs.exe
836 inetinfo　-> 80　　TCP C:\WINNT\System32\inetsrv\inetinfo.exe
408 svchost　-> 135 TCP C:\WINNT\system32\svchost.exe
836 inetinfo　-> 443 TCP C:\WINNT\System32\inetsrv\inetinfo.exe
8　　 System　 -> 445 TCP
464 msdtc　 -> 1025 TCP C:\WINNT\System32\msdtc.exe
684 MSTask　 -> 1026 TCP C:\WINNT\system32\MSTask.exe
584 tcpsvcs　-> 1028 TCP C:\WINNT\System32\tcpsvcs.exe
836 inetinfo　-> 1029 TCP C:\WINNT\System32\inetsrv\inetinfo.exe
8　　 System　 -> 1030 TCP
464 msdtc　 -> 3372 TCP C:\WINNT\System32\msdtc.exe
1176 DIAGCFG　-> 6267 TCP C:\WINNT\System32\DIAGCFG.EXE
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 注意这行！！！
836 inetinfo　-> 7075 TCP C:\WINNT\System32\inetsrv\inetinfo.exe
584 tcpsvcs　-> 7　　 UDP C:\WINNT\System32\tcpsvcs.exe
584 tcpsvcs　-> 9　　 UDP C:\WINNT\System32\tcpsvcs.exe
584 tcpsvcs　-> 13　　UDP C:\WINNT\System32\tcpsvcs.exe
584 tcpsvcs　-> 17　　UDP C:\WINNT\System32\tcpsvcs.exe
584 tcpsvcs　-> 19　　UDP C:\WINNT\System32\tcpsvcs.exe
584 tcpsvcs　-> 68　　UDP C:\WINNT\System32\tcpsvcs.exe
408 svchost　-> 135 UDP C:\WINNT\system32\svchost.exe
8　　 System　 -> 445 UDP
228 services　-> 1027 UDP C:\WINNT\system32\services.exe
836 inetinfo　-> 3456 UDP C:\WINNT\System32\inetsrv\inetinfo.exe


　　我们可以清楚的看到，木马程序监听在TCP的6267号端口上了。我们到目前为止就可
以说掌握了"广外女生"这个木马在我们系统中的全部动作了，现在我们可以轻而易
举的查杀它了。


三、查杀

　　经过前面的分析我们已经了解了"广外女生"这种木马的工作方式，现在我们就来清
除它。下面就是彻底清除"广外女生"的方法，注意：这个步骤的次序不能颠倒，否
则可能无法完全清除掉此木马。

1.按"开始"菜单，选择"运行"，输入regedit，按确定。打开下面键值：
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\，但是先不要修
改，因为如果这时就修改注册表的话，DIAGCFG.EXE进程仍然会立刻把它改回来的。

2.打开"任务管理器"，找到DIAGCFG.EXE这个进程，选中它，按"结束进程"来关掉这个进
程。注意，一定也不要先关进程再打开注册表管理器，否则执行regedit.exe时
就又会启动DIAGCFG.EXE。

3.把HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\的键值由原
来的C:\WINNT\System32\DIAGCFG.EXE "%1" %*改为"%1" %*。

4.这时就可以删除C:\WINNT\System32\目录下的DIAGCFG.EXE了。切记万万不可首先删除
这个文件，否则的话就无法再系统中运行任何可执行文件了。由于我们下面还打算进一
步
深入分析这个木马，所以现在不删除它，而是把它拷贝到其他的目录以便研究。


四、深入研究

　　我们已经知道了"广外女生"的基本工作原理、启动流程以及如何彻底清除它了，但
是还有一点我们没有彻底弄清楚，那就是它是如何对付"天网防火墙"或"金山毒霸"的。
要深入了解这一点，我们必须要去看"广外女生"的代码，这个木马并没有公布源代码，
但是我们仍然可以通过反汇编它来看个究竟。

　　"广外女生"的服务器端只有96K，显然是使用了压缩软件进行了加壳的，我们首先就
要确定它到底加了什么壳。通过使用FileInfo这个小工具就可以侦测出来。现在我们就
把
前面分析过的那个DIAGCFG.EXE复制到FileInfo的目录下，然后在命令行下fi.exe，然后
按回车，就会显示：

　　FileInfo v2.45a (c) 1997-2001 from JUN-06-2001

FileInfo v2.45a (c) 1997-2001 by Michael Hering - [email]herinmi@tu-cottbus.de[/email]

C:\TOOL\FI\
═─*
ASPack v1.06b A.Solodovnikov .data　　 DIAGCFG.EXE .....98304 01.01.1997
aPack v0.98/0.99 (Jibz) {short} ....... EXETOOLS.COM .......895 10.11.2000 !
aPack v0.98/0.99 (Jibz) ............... FI.EXE　....135458 06.06.2001 !
...................................... FILE_ID.DIZ ......1088 06.06.2001 !
?7-bit text ........................... REG.BAT　.......280 06.06.2001 !
...................................... SUMMER.KEY　　.......157 06.06.2001 !

* detected 4/6 files in 110 ms

──═ FileInfo summary ═──── Date: Mi,01.01.1997 ─ Time: 21:32:15 ─

scan path: C:\TOOL\FI
file mask: *.*
all size: 236182 Bytes = 230 KB

　　 4/6 files in 110 ms (18.33 ms/file)


　　FileInfo就已经检测出DIAGCFG.EXE是使用了ASPack v1.06b进行加壳。知道了它的
加密方法我们就可以使用ProcDump来把它脱壳了。
　　运行ProcDump，点击Unpack按钮，因为我们要脱ASPack v1.06b的壳，所以就在其中
选中Aspack<108，然后按OK。这时它会让你打开要脱壳的文件，我们就选DIAGCFG.EXE，
打开。然后稍微等几秒种后按"确定"，ProcDump就会把DIAGCFG.EXE脱壳，然后会出个对
话框要你把脱壳过的文件存盘，我们就把它存为gwns.exe。

　　注意：这时候，木马又在你的系统上运行了一次，所以必须按照前面的清除步骤重
新把它清除掉。由于前面已经写过清除方法，这里就不再赘述了。

　　好了，现在我们已经得到了这个木马加壳前的原始文件了，看看脱壳过的gwns.exe
，有194k之大，比原来的程序大了一倍还多，这就是加壳软件的功劳了。现在就可以使
用反汇编程序对其进行反汇编，然后看它的汇编程序代码了。

　　我们就用IDA来反汇编它，顺便说一句，这个IDA是个超强的反汇编工具，是cracker
以及Windows hacker所必备的工具。下面我们就来看看部分反汇编过的代码：

0042B1AC　　 push　　offset aKernel32_dll ; "kernel32.dll"
0042B1B1　　 call　　j_LoadLibraryA
0042B1B6　　 mov　　 [ebx], eax
0042B1B8　　 push　　offset aRegisterservic ; "RegisterServiceProcess"
0042B1BD　　 mov　　 eax, [ebx]
0042B1BF　　 push　　eax
0042B1C0　　 call　　j_GetProcAddress
0042B1C5　　 mov　　 ds:dword_42EA5C, eax
0042B1CA　　 cmp　　 ds:dword_42EA5C, 0
0042B1D1　　 jz　　 short loc_42B1E1
0042B1D3　　 push　　1
0042B1D5　　 call　　j_GetCurrentProcessId
0042B1DA　　 push　　eax
0042B1DB　　 call　　ds:dword_42EA5C

　　木马首先加载了kernel32.dll，然后利用GetProcAddress来得到RegisterServicePr
ocess这个API的地址，木马首先需要把自己注册为系统服务，这样在Win9x下运行时就不
容易被任务管理器发现。然后它会GetCommandLineA来得到运行参数，如果参数是可执行
文件的话就调用Winexec来运行。

0042B271　　 mov　　 eax, ds:dword_42EA80
0042B276　　 mov　　 edx, offset aSnfw_exe ; "snfw.exe"
0042B27B　　 call　　sub_403900
0042B280　　 jz　　 short loc_42B293
0042B282　　 mov　　 eax, ds:dword_42EA80
0042B287　　 mov　　 edx, offset aKav9x_exe ; "kav9x.exe"

　　然后木马会查找snfw.exe和kav9x.exe的进程，也就是"天网防火墙"或"金山毒霸"的
进程，然后将其杀掉。
0042B6AD　　 push　　ebx
0042B6AE　　 push　　0
0042B6B0　　 push　　0
0042B6B2　　 push　　offset aSoftwareMicr_0 ;
"Software\\Microsoft\\Windows\\CurrentVersi"...
0042B6B7　　 push　　80000002h
0042B6BC　　 call　　j_RegOpenKeyExA_0
0042B6C1　　 push　　offset aKingsoftAntivi ; "Kingsoft AntiVirus"
0042B6C6　　 mov　　 eax, [ebx]
0042B6C8　　 push　　eax
0042B6C9　　 call　　j_RegDeleteValueA
0042B6CE　　 mov　　 eax, [ebx]
0042B6D0　　 push　　eax
0042B6D1　　 call　　j_RegCloseKey_0

　　木马还会修改"天网防火墙"或"金山毒霸"在注册表中的启动项，使其在下次系统重
新启动时无法自动运行。

0042B820　　 mov　　 dword ptr [esi], 100h
0042B826　　 push　　esi
0042B827　　 push　　edi
0042B828　　 push　　offset a_exe_1 ; ".exe"
0042B82D　　 push　　80000000h
0042B832　　 call　　j_RegQueryValueA
0042B837　　 push　　8
0042B839　　 push　　offset a1　; "\"%1\" %*"
0042B83E　　 push　　1
0042B840　　 lea　　 eax, [ebp+var_10]
0042B843　　 mov　　 edx, edi
0042B845　　 mov　　 ecx, 100h
0042B84A　　 call　　sub_4037A0
0042B84F　　 lea　　 eax, [ebp+var_10]
0042B852　　 mov　　 edx, offset aShellOpenComma ; "\\shell\\open\\command"
0042B857　　 call　　sub_4037F8
0042B85C　　 mov　　 eax, [ebp+var_10]
0042B85F　　 call　　sub_4039A4
0042B864　　 push　　eax
0042B865　　 push　　80000000h
0042B86A　　 call　　j_RegSetValueA
0042B86F　　 push　　0
0042B871　　 mov　　 eax, ds:dword_42D040
0042B876　　 mov　　 eax, [eax]
0042B878　　 push　　eax
0042B879　　 call　　j_WinExec

　　下面就是修改木马的注册表启动项，即HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exe
file\shell\open\command\项，使其能够在每次系统重新启动时能够自行启动。接下来
木马就会初始化Winsock dll，绑定端口，等待木马客户端的连接。
　　截止目前为止，我们已经完成了对"广外女生"这个木马程序的全部分析过程，了解
了木马的启动、运行机制。当然，我写本文的目的并不是简单的介绍"广外女生"这一种
木马，而是通过对这个具有典型意义的木马的详细分析，来向大家介绍对一般木马的分
析方法。利用本文的分析方法，你完全对任何一种未知的木马品种进行分析。最后我们
再来总结一下对木马分析的方法及步骤：

　　首先对系统注册表以及系统文件进行备份，然后运行木马服务器端，再对运行过木
马的注册表以及系统文件进行记录，利用注册表分析工具对两次记录结果进行比较，这
样就可以了解木马在系统中做了哪些手脚。利用fport来查看木马监听端口。然后利用所
获取的信息做出木马的清除方法。

就可以完全掌握木马的任何动作，当然，这需要你对汇编语言有相当的掌握程度以及一
定的耐心，因为冗长的汇编代码不是一般的新手所能完全阅读的。

　　如果还想进一步分析木马报文格式的话，就用sniffer对木马的端口进行监听，然后
进行比较分析，这种分析方法比较复杂，本文就不举例说明了。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课