木马的分析方法 来源:黑盟 isno   最近又有一种新的国产木马出现了,它有个好听的名字,叫做“广外女生”。这个木马是广东外语外贸 大学“广外女生”网络小组的作品,它可以运行于WIN98,WIN98SE,WINME,WINNT,WIN2000或已经安装Win sock2.0的Win95/97上。与以往的木马相比,它具有体积更小、隐藏更为巧妙的特点。可以预料,在将来的日 子里它会成为继“冰河”之后的又一流行的木马品种。   由于“广外女生”这个木马的驻留、启动的方法比较具有典型性,下面我就通过对这种新型木马的详细 分析过程来向大家阐述对一般木马的研究方法。下面的测试环境为Windows2000中文版。 一、所需工具 1.RegSnap v2.80 监视注册表以及系统文件变化的最好工具 2.fport v1.33 查看程序所打开的端口的工具 3.FileInfo v2.45a 查看文件类型的工具 4.ProcDump v1.6.2 脱壳工具 5.IDA v4.0.4 反汇编工具 二、分析步骤 一切工具准备就绪了,我们开始分析这个木马。一般的木马的服务器端一旦运行之后都会对注册表以及 系统文件做一些手脚,所以我们在分析之前就要先对注册表以及系统文件做一个备份。   首先打开RegSnap,从file菜单选new,然后点OK。这样就对当前的注册表以及系统文件做了一个记录, 一会儿如果木马修改了其中某项,我们就可以分析出来了。备份完成之后把它存为Regsnp1.rgs。   然后我们就在我们的电脑上运行“广外女生”的服务器端,不要害怕,因为我们已经做了比较详细的备 份了,它做的手脚我们都可以照原样改回来的。双击gdufs.exe,然后等一小会儿。如果你正在运行着“天 网防火墙”或“金山毒霸”的话,应该发现这两个程序自动退出了,很奇怪吗?且听我们后面的分析。现在 木马就已经驻留在我们的系统中了。我们来看一看它究竟对我们的做了哪些操作。重新打开RegSnap,从fi l e菜单选new,然后点OK,把这次的snap结果存为Regsnp2.rgs。 从RegSnap的file菜单选择Compare,在First snapshot中选择打开Regsnp1.rgs,在Second snapshot中 选择打开Regsnp2.rgs,并在下面的单选框中选中Show modifiedkey names and key values。然后按OK按钮 ,这样RegSnap就开始比较两次记录又什么区别了,当比较完成时会自动打开分析结果文件Regsnp1-Regsnp2 .htm。   看一下Regsnp1-Regsnp2.htm,注意其中的: Summary info: Deleted keys: 0 Modified keys: 15 New keys : 1 意思就是两次记录中,没有删除注册表键,修改了15处注册表,新增加了一处注册表。再看看后边的: File list in C:\WINNT\System32\*.* Summary info: Deleted files: 0 Modified files: 0 New files : 1 New files diagcfg.exe Size: 97 792 , Date/Time: 2001年07月01日 23:00:12 -------------- Total positions: 1 这一段话的意思就是,在C:\WINNT\System32\目录下面新增加了一个文件diagcfg.exe,这个文件非常 可疑,因为我们在比较两次系统信息之间只运行了“广外女生”这个木马,所以我们有理由相信diagcfg.e xe就是木马留在系统中的后门程序。不信的话你打开任务管理器看一下,会发现其中有一个DIAGCFG.EXE的 进程,这就是木马的原身。但这个时候千万不要删除DIAGCFG.EXE,否则系统就无法正常运行了。 木马一般都会在注册表中设置一些键值以便以后在系统每次重新启动时能够自动运行。我们再来看看Reg snp1-Regsnp2.htm中哪些注册表项发生了变化,凭借经验应该注意到下面这条了: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\@ Old value: String: ""%1" %*" New value: String: "C:\WINNT\System32\DIAGCFG.EXE "%1" %*" 这个键值由原来的"%1" %*被修改为了C:\WINNT\System32\DIAGCFG.EXE "%1" %*,因为其中包含了木马程 序DIAGCFG.EXE所以最为可疑。那么这个注册表项有什么作用呢? 它就是运行可执行文件的格式,被改成C:\WINNT\System32\DIAGCFG.EXE "%1" %*之后每次再运行任何可 执行文件时都要先运行C:\WINNT\System32\DIAGCFG.EXE这个程序。 原来这个木马就是通过这里做了手脚,使自己能够自动运行,它的启动方法与一般普通木马不太一样, 一般的木马是在HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*键里增加一个键值,使自己能够 自启动,但这种方法被杀毒软件所熟知了,所以很容易被查杀。而“广外女生”这个木马就比较狡猾,它把 启动项设在了另外的位置。   现在我们已经掌握了这个木马的驻留位置以及在注册表中的启动项,还有重要的一点就是我们还要找出 它到底监听了哪个端口。使用fport可以轻松的实现这一点。在命令行中运行fport.exe,可以看到: C:\tool\fport>fport FPort v1.33 - TCP/IP Process to Port Mapper Copyright 2000 by Foundstone, Inc. http://www.foundstone.com Pid Process   Port Proto Path 584 tcpsvcs -> 7   TCP C:\WINNT\System32\tcpsvcs.exe 584 tcpsvcs -> 9   TCP C:\WINNT\System32\tcpsvcs.exe 584 tcpsvcs -> 13  TCP C:\WINNT\System32\tcpsvcs.exe 584 tcpsvcs -> 17  TCP C:\WINNT\System32\tcpsvcs.exe 584 tcpsvcs -> 19  TCP C:\WINNT\System32\tcpsvcs.exe 836 inetinfo -> 80  TCP C:\WINNT\System32\inetsrv\inetinfo.exe 408 svchost -> 135 TCP C:\WINNT\system32\svchost.exe 836 inetinfo -> 443 TCP C:\WINNT\System32\inetsrv\inetinfo.exe 8   System  -> 445 TCP 464 msdtc  -> 1025 TCP C:\WINNT\System32\msdtc.exe 684 MSTask  -> 1026 TCP C:\WINNT\system32\MSTask.exe 584 tcpsvcs -> 1028 TCP C:\WINNT\System32\tcpsvcs.exe 836 inetinfo -> 1029 TCP C:\WINNT\System32\inetsrv\inetinfo.exe 8   System  -> 1030 TCP 464 msdtc  -> 3372 TCP C:\WINNT\System32\msdtc.exe 1176 DIAGCFG -> 6267 TCP C:\WINNT\System32\DIAGCFG.EXE ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 注意这行!!! 836 inetinfo -> 7075 TCP C:\WINNT\System32\inetsrv\inetinfo.exe 584 tcpsvcs -> 7   UDP C:\WINNT\System32\tcpsvcs.exe 584 tcpsvcs -> 9   UDP C:\WINNT\System32\tcpsvcs.exe 584 tcpsvcs -> 13  UDP C:\WINNT\System32\tcpsvcs.exe 584 tcpsvcs -> 17  UDP C:\WINNT\System32\tcpsvcs.exe 584 tcpsvcs -> 19  UDP C:\WINNT\System32\tcpsvcs.exe 584 tcpsvcs -> 68  UDP C:\WINNT\System32\tcpsvcs.exe 408 svchost -> 135 UDP C:\WINNT\system32\svchost.exe 8   System  -> 445 UDP 228 services -> 1027 UDP C:\WINNT\system32\services.exe 836 inetinfo -> 3456 UDP C:\WINNT\System32\inetsrv\inetinfo.exe   我们可以清楚的看到,木马程序监听在TCP的6267号端口上了。我们到目前为止就可以说掌握了“广外女 生”这个木马在我们系统中的全部动作了,现在我们可以轻而易举的查杀它了。 三、查杀  经过前面的分析我们已经了解了“广外女生”这种木马的工作方式,现在我们就来清除它。下面就是彻底 清除“广外女生”的方法,注意:这个步骤的次序不能颠倒,否则可能无法完全清除掉此木马。 1.按“开始”菜单,选择“运行”,输入regedit,按确定。打开下面键值: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\,但是先不要修改,因为如果这时 就修改注册表的话,DIAGCFG.EXE进程仍然会立刻把它改回来的。 2.打开“任务管理器”,找到DIAGCFG.EXE这个进程,选中它,按“结束进程”来关掉这个进程。注意,一 定也不要先关进程再打开注册表管理器,否则执行regedit.exe时就又会启动DIAGCFG.EXE。 3.把HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\的键值由原来的C:\WINNT\Syst em32\DIAGCFG.EXE "%1" %*改为"%1" %*。 4.这时就可以删除C:\WINNT\System32\目录下的DIAGCFG.EXE了。切记万万不可首先删除这个文件,否则的 话就无法再系统中运行任何可执行文件了。由于我们下面还打算进一步深入分析这个木马,所以现在不删除 它,而是把它拷贝到其他的目录以便研究。 四、深入研究 我们已经知道了“广外女生”的基本工作原理、启动流程以及如何彻底清除它了,但是还有一点我们没 有彻底弄清楚,那就是它是如何对付“天网防火墙”或“金山毒霸”的。要深入了解这一点,我们必须要去 看“广外女生”的代码,这个木马并没有公布源代码,但是我们仍然可以通过反汇编它来看个究竟。   “广外女生”的服务器端只有96K,显然是使用了压缩软件进行了加壳的,我们首先就要确定它到底加 了什么壳。通过使用FileInfo这个小工具就可以侦测出来。现在我们就把前面分析过的那个DIAGCFG.EXE复 制到FileInfo的目录下,然后在命令行下fi.exe,然后按回车,就会显示:   FileInfo v2.45a (c) 1997-2001 from JUN-06-2001 FileInfo v2.45a (c) 1997-2001 by Michael Hering - herinmi@tu-cottbus.de C:\TOOL\FI\ ═─* ASPack v1.06b A.Solodovnikov .data   DIAGCFG.EXE .....98304 01.01.1997 aPack v0.98/0.99 (Jibz) {short} ....... EXETOOLS.COM .......895 10.11.2000 ! aPack v0.98/0.99 (Jibz) ............... FI.EXE ....135458 06.06.2001 ! ...................................... FILE_ID.DIZ ......1088 06.06.2001 ! ?7-bit text ........................... REG.BAT .......280 06.06.2001 ! ...................................... SUMMER.KEY  .......157 06.06.2001 ! * detected 4/6 files in 110 ms ──═ FileInfo summary ═──── Date: Mi,01.01.1997 ─ Time: 21:32:15 ─ scan path: C:\TOOL\FI file mask: *.* all size: 236182 Bytes = 230 KB    4/6 files in 110 ms (18.33 ms/file)   FileInfo就已经检测出DIAGCFG.EXE是使用了ASPack v1.06b进行加壳。知道了它的加密方法我们就可以 使用ProcDump来把它脱壳了。 木马的分析方法(二) isno 运行ProcDump,点击Unpack按钮,因为我们要脱ASPack v1.06b的壳,所以就在其中选中Aspack<108, 然后按OK。这时它会让你打开要脱壳的文件,我们就选DIAGCFG.EXE,打开。然后稍微等几秒种后按“确定 ”,ProcDump就会把DIAGCFG.EXE脱壳,然后会出个对话框要你把脱壳过的文件存盘,我们就把它存为gwns. exe。   注意:这时候,木马又在你的系统上运行了一次,所以必须按照前面的清除步骤重新把它清除掉。由于 前面已经写过清除方法,这里就不再赘述了。   好了,现在我们已经得到了这个木马加壳前的原始文件了,看看脱壳过的gwns.exe,有194k之大,比原 来的程序大了一倍还多,这就是加壳软件的功劳了。现在就可以使用反汇编程序对其进行反汇编,然后看它 的汇编程序代码了。   我们就用IDA来反汇编它,顺便说一句,这个IDA是个超强的反汇编工具,是cracker以及Windows hacke r所必备的工具。下面我们就来看看部分反汇编过的代码: 0042B1AC   push  offset aKernel32_dll ; "kernel32.dll" 0042B1B1   call  j_LoadLibraryA 0042B1B6   mov   [ebx], eax 0042B1B8   push  offset aRegisterservic ; "RegisterServiceProcess" 0042B1BD   mov   eax, [ebx] 0042B1BF   push  eax 0042B1C0   call  j_GetProcAddress 0042B1C5   mov   ds:dword_42EA5C, eax 0042B1CA   cmp   ds:dword_42EA5C, 0 0042B1D1   jz   short loc_42B1E1 0042B1D3   push  1 0042B1D5   call  j_GetCurrentProcessId 0042B1DA   push  eax 0042B1DB   call  ds:dword_42EA5C   木马首先加载了kernel32.dll,然后利用GetProcAddress来得到RegisterServiceProcess这个API的地址,木马首先需要把自己注册为系统服务,这样在Win9x下运行时就不容易被任务管理器发现。然后它会GetCommandLineA来得到运行参数,如果参数是可执行文件的话就调用Winexec来运行。 0042B271   mov   eax, ds:dword_42EA80 0042B276   mov   edx, offset aSnfw_exe ; "snfw.exe" 0042B27B   call  sub_403900 0042B280   jz   short loc_42B293 0042B282   mov   eax, ds:dword_42EA80 0042B287   mov   edx, offset aKav9x_exe ; "kav9x.exe"   然后木马会查找snfw.exe和kav9x.exe的进程,也就是“天网防火墙”或“金山毒霸”的进程,然后将 其杀掉。 0042B6AD   push  ebx 0042B6AE   push  0 0042B6B0   push  0 0042B6B2   push  offset aSoftwareMicr_0 ; "Software\\Microsoft\\Windows\\CurrentVersi"... 0042B6B7   push  80000002h 0042B6BC   call  j_RegOpenKeyExA_0 0042B6C1   push  offset aKingsoftAntivi ; "Kingsoft AntiVirus" 0042B6C6   mov   eax, [ebx] 0042B6C8   push  eax 0042B6C9   call  j_RegDeleteValueA 0042B6CE   mov   eax, [ebx] 0042B6D0   push  eax 0042B6D1   call  j_RegCloseKey_0   木马还会修改“天网防火墙”或“金山毒霸”在注册表中的启动项,使其在下次系统重新启动时无法自 动运行。 0042B820   mov   dword ptr [esi], 100h 0042B826   push  esi 0042B827   push  edi 0042B828   push  offset a_exe_1 ; ".exe" 0042B82D   push  80000000h 0042B832   call  j_RegQueryValueA 0042B837   push  8 0042B839   push  offset a1 ; "\"%1\" %*" 0042B83E   push  1 0042B840   lea   eax, [ebp+var_10] 0042B843   mov   edx, edi 0042B845   mov   ecx, 100h 0042B84A   call  sub_4037A0 0042B84F   lea   eax, [ebp+var_10] 0042B852   mov   edx, offset aShellOpenComma ; "\\shell\\open\\command" 0042B857   call  sub_4037F8 0042B85C   mov   eax, [ebp+var_10] 0042B85F   call  sub_4039A4 0042B864   push  eax 0042B865   push  80000000h 0042B86A   call  j_RegSetValueA 0042B86F   push  0 0042B871   mov   eax, ds:dword_42D040 0042B876   mov   eax, [eax] 0042B878   push  eax 0042B879   call  j_WinExec   下面就是修改木马的注册表启动项,即HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\ command\项,使其能够在每次系统重新启动时能够自行启动。接下来木马就会初始化Winsock dll,绑定端 口,等待木马客户端的连接。 五、总结 截止目前为止,我们已经完成了对“广外女生”这个木马程序的全部分析过程,了解了木马的启动、运 行机制。当然,我写本文的目的并不是简单的介绍“广外女生”这一种木马,而是通过对这个具有典型意义 的木马的详细分析,来向大家介绍对一般木马的分析方法。利用本文的分析方法,你完全对任何一种未知的 木马品种进行分析。最后我们再来总结一下对木马分析的方法及步骤:   首先对系统注册表以及系统文件进行备份,然后运行木马服务器端,再对运行过木马的注册表以及系统 文件进行记录,利用注册表分析工具对两次记录结果进行比较,这样就可以了解木马在系统中做了哪些手脚 。利用fport来查看木马监听端口。然后利用所获取的信息做出木马的清除方法。   如果想要对木马进行深入的分析,还应该对木马服务器端进行脱壳、反汇编。这样就可以完全掌握木马 的任何动作,当然,这需要你对汇编语言有相当的掌握程度以及一定的耐心,因为冗长的汇编代码不是一般 的新手所能完全阅读的。   如果还想进一步分析木马报文格式的话,就用sniffer对木马的端口进行监听,然后进行比较分析,这 种分析方法比较复杂,本文就不举例说明了。   只是阅读文章还不行,要想完全分析清楚一只木马,还需要实际操练一下!祝你好运!(完)