关于一款远控木马的简单分析
2012-08-24 17:23
225 查看
其实很多朋友都不明白木马是如何简简单单的窃取了你的帐号密码乃至你的网银帐号,趁其你使用网银U盾还没有拔下来,直接操纵你的计算机进行转账,或者更高级的在你转账之时修改网页内容,甚至在你不知不觉中开启你计算机的摄像头,对你进行一个全方位360度兼后空翻720度的监控。
下面我以一款木马作为实例为大家做一个简单的分析。
这是一款体积非常小的控制软件,并且它还具备着较强的穿透防火墙和杀毒软件的主动防御能力。
进入配置,设置上线的方法,3322或者FTP获取,上线是指服务端,也就是你的计算机中了某一款木马后,与控制端进行数据交换,以这款木马为列,控制端是在不停的监听本机的2010端口,服务端会预先配置好一个连接的域名或者是IP(如果你是个人计算机就需要配置动态域名随时更新你的IP)请求连接到控制端的2010特定的端口。
包含了上线信息的服务端运行后,连接3322域名地址,由3322域名地址转到该木马的控制端。有的朋友就问了,为什么要通过3322转发一次呢?这是因为我们家庭上网大都是分配的动态IP,每次拨号分配的IP是不同的。而3322使用了域名解析,机器间互相只认IP地址,要域名与IP地址之间是一一对应的,还得使用域名解析服务。域名解析需要由专门的域名解析服务器来完成,整个过程是自动进行的。
这款木马是属于反弹木马型,终究是要通过解析出它所需要连接的ip。才能自动上线。
如果你想了解更多服务端配置原理,可以参考Miku_fl0的《灰鸽子-冰山的一角》
启动方式有两种选择,Active和服务。
启动方式简要说明
1.Active启动
更新安装:文件及时替换完成不重复上线
2.新建服务:
更新安装:文件及时替换完成不上线(防止重复上线发生)
已经生成服务端,运行该服务端。
已经及时上线
分析该计算机的信息。
可以执行命令,我演示的是关机命令,该命令为shutdown -s -t 。
进入主题,曾经对灰鸽子的客户端源码分析了一个通宵就主界面有8000多行代码.还有被引用的其它单元没算呢,感觉灰鸽子的客户端生成服务端的时候,其实是调用了CServer.bat资源文件,生成出来.只是把客户端的配置信息写入服务端里.程序体积都差不多.所以以前使用鸽子的人只要把CServer.bat弄成免杀那么配置出来的木马就免杀!看了鸽子的服务端源码时是使用了加密算法生成.奇怪的是葛军竟然不是用控制台写服务端,这样木马的体积会比较大.也许是技术问题或别的原因吧!作者在客户端的配置生成里弄了算法加密.让我无法一个一个模块拆分.没MSN上线提示.
上兴的远控多了个插入进程,服务端单元文件调用了DLL单元文件生成.调用DLL生成EXE.无法分析!
小熊的远控和鸽子差不多.不过想找"熊宝宝版的灰鸽子"就一个客户端,不用调用资源文件,因为客户端里已集成了服务端代码.
再来说说暗组的远控,在下测试了一下.界面比较简洁.窗口也就那几个窗口.比较不占用内存.其实暗组的远控的源码是从国外进口的.源码的注释不像是英文.不知道是哪个国家的?而其在服务端的卸载代码里嵌入了汇编代码!
没想到客户端和服务端用的是偏移地址,真郁闷!
代码以下:
Const //定义全局常量
WM_POP_MESSAGE=WM_USER+1; //主机上线的提示窗口
WM_ICon_TRAY=WM_USER+2; //托盘图标
NIF_INFO=บ
NIF_MESSAGE=1;
NIF_ICON=2;
NOTIFYICon__VERSION=3;
NIF_TIP=4;
NIM_SETVERSION=?
NIM_SETFOCUS=?
NIIF_INFO=?
NIIF_WARNING=?
NIIF_ERROR=?
//偏移地址 段地址+偏移地址=物理地址 如班里的第三组(段地址)的第五个坐位(偏移地址)=物理位置(物理地址)
综所上述,其实这款木马没有经过免杀与插花, 关于免杀有入口点、加花指、加壳、修改特征码等,有兴趣的朋友可以去谷歌。
但是,在今天杀毒与反杀毒技术不断发展的同时,安全技术也在不断的发展,只要能找到它们存在的弱点,防范和清除它们也是完全可以做到的,病毒或者木马通常以进程及DLL文件注入、TCP/IP堆栈旁通、反弹连接技术等,对于DLL文件注入的木马,可以通过验证系统文件的数字签名,来发现系统的DLL文件是否已经被修改过,这可以通过Windows系统中的“系统信息”中的数字签名验证程序来完成。对于进程注入,可以通过使用IceSword软件来查看进行所加载的模块,只要发现不是Windows系统本身的,就说明已经有木马注入。然后,就可以通过IceSword来强行终止这个非法模块,再在相应位置完全删除它。现在,还有一些杀毒软件已经可以查杀注入型的木马,例如360杀毒软件,要想阻止TCP/IP堆栈旁通这种方式的木马攻击,只要在防火墙中设置一条规则,禁止所有非标准Windows系统所产生的TCP/IP堆栈通过。现在一些个人防火墙的最新版本,都已经具有了这些功能。因此,计算机网络用户最好不断升级自己的防火墙软件,以此来防止这种木马穿墙术,而要防范反弹式木马。第一就是使用具有应用程序过滤功能的个人防火墙,它们一般对请求网络连接的应用程序都进行拦截并提示用户是否通过。现在大部份最新版本的个人防火墙都已经具有了这种功能。例如360等。第二就是使用具有免重组深度检测技术的硬件式网络防火墙,就有可能防范利用隧道方式进行攻击的木马。
在最后提醒一下大家,要保持好良好的使用计算机的习惯,不要随意打开陌生人发来的照片与文件,经常更新杀毒软件与升级病毒库,给自己的计算机多一点爱护打点补丁,尽量不要使用GHOST版本的系统,当你做到上面几点,防范病毒都是可以做到的,也真诚的希望这篇文章能够帮到更多的朋友们。
下面我以一款木马作为实例为大家做一个简单的分析。
这是一款体积非常小的控制软件,并且它还具备着较强的穿透防火墙和杀毒软件的主动防御能力。
进入配置,设置上线的方法,3322或者FTP获取,上线是指服务端,也就是你的计算机中了某一款木马后,与控制端进行数据交换,以这款木马为列,控制端是在不停的监听本机的2010端口,服务端会预先配置好一个连接的域名或者是IP(如果你是个人计算机就需要配置动态域名随时更新你的IP)请求连接到控制端的2010特定的端口。
包含了上线信息的服务端运行后,连接3322域名地址,由3322域名地址转到该木马的控制端。有的朋友就问了,为什么要通过3322转发一次呢?这是因为我们家庭上网大都是分配的动态IP,每次拨号分配的IP是不同的。而3322使用了域名解析,机器间互相只认IP地址,要域名与IP地址之间是一一对应的,还得使用域名解析服务。域名解析需要由专门的域名解析服务器来完成,整个过程是自动进行的。
这款木马是属于反弹木马型,终究是要通过解析出它所需要连接的ip。才能自动上线。
如果你想了解更多服务端配置原理,可以参考Miku_fl0的《灰鸽子-冰山的一角》
启动方式有两种选择,Active和服务。
启动方式简要说明
1.Active启动
更新安装:文件及时替换完成不重复上线
2.新建服务:
更新安装:文件及时替换完成不上线(防止重复上线发生)
已经生成服务端,运行该服务端。
已经及时上线
分析该计算机的信息。
可以执行命令,我演示的是关机命令,该命令为shutdown -s -t 。
进入主题,曾经对灰鸽子的客户端源码分析了一个通宵就主界面有8000多行代码.还有被引用的其它单元没算呢,感觉灰鸽子的客户端生成服务端的时候,其实是调用了CServer.bat资源文件,生成出来.只是把客户端的配置信息写入服务端里.程序体积都差不多.所以以前使用鸽子的人只要把CServer.bat弄成免杀那么配置出来的木马就免杀!看了鸽子的服务端源码时是使用了加密算法生成.奇怪的是葛军竟然不是用控制台写服务端,这样木马的体积会比较大.也许是技术问题或别的原因吧!作者在客户端的配置生成里弄了算法加密.让我无法一个一个模块拆分.没MSN上线提示.
上兴的远控多了个插入进程,服务端单元文件调用了DLL单元文件生成.调用DLL生成EXE.无法分析!
小熊的远控和鸽子差不多.不过想找"熊宝宝版的灰鸽子"就一个客户端,不用调用资源文件,因为客户端里已集成了服务端代码.
再来说说暗组的远控,在下测试了一下.界面比较简洁.窗口也就那几个窗口.比较不占用内存.其实暗组的远控的源码是从国外进口的.源码的注释不像是英文.不知道是哪个国家的?而其在服务端的卸载代码里嵌入了汇编代码!
没想到客户端和服务端用的是偏移地址,真郁闷!
代码以下:
Const //定义全局常量
WM_POP_MESSAGE=WM_USER+1; //主机上线的提示窗口
WM_ICon_TRAY=WM_USER+2; //托盘图标
NIF_INFO=บ
NIF_MESSAGE=1;
NIF_ICON=2;
NOTIFYICon__VERSION=3;
NIF_TIP=4;
NIM_SETVERSION=?
NIM_SETFOCUS=?
NIIF_INFO=?
NIIF_WARNING=?
NIIF_ERROR=?
//偏移地址 段地址+偏移地址=物理地址 如班里的第三组(段地址)的第五个坐位(偏移地址)=物理位置(物理地址)
综所上述,其实这款木马没有经过免杀与插花, 关于免杀有入口点、加花指、加壳、修改特征码等,有兴趣的朋友可以去谷歌。
但是,在今天杀毒与反杀毒技术不断发展的同时,安全技术也在不断的发展,只要能找到它们存在的弱点,防范和清除它们也是完全可以做到的,病毒或者木马通常以进程及DLL文件注入、TCP/IP堆栈旁通、反弹连接技术等,对于DLL文件注入的木马,可以通过验证系统文件的数字签名,来发现系统的DLL文件是否已经被修改过,这可以通过Windows系统中的“系统信息”中的数字签名验证程序来完成。对于进程注入,可以通过使用IceSword软件来查看进行所加载的模块,只要发现不是Windows系统本身的,就说明已经有木马注入。然后,就可以通过IceSword来强行终止这个非法模块,再在相应位置完全删除它。现在,还有一些杀毒软件已经可以查杀注入型的木马,例如360杀毒软件,要想阻止TCP/IP堆栈旁通这种方式的木马攻击,只要在防火墙中设置一条规则,禁止所有非标准Windows系统所产生的TCP/IP堆栈通过。现在一些个人防火墙的最新版本,都已经具有了这些功能。因此,计算机网络用户最好不断升级自己的防火墙软件,以此来防止这种木马穿墙术,而要防范反弹式木马。第一就是使用具有应用程序过滤功能的个人防火墙,它们一般对请求网络连接的应用程序都进行拦截并提示用户是否通过。现在大部份最新版本的个人防火墙都已经具有了这种功能。例如360等。第二就是使用具有免重组深度检测技术的硬件式网络防火墙,就有可能防范利用隧道方式进行攻击的木马。
在最后提醒一下大家,要保持好良好的使用计算机的习惯,不要随意打开陌生人发来的照片与文件,经常更新杀毒软件与升级病毒库,给自己的计算机多一点爱护打点补丁,尽量不要使用GHOST版本的系统,当你做到上面几点,防范病毒都是可以做到的,也真诚的希望这篇文章能够帮到更多的朋友们。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 一款用于定向攻击的JavaScript远控木马分析
- SQL SERVER中关于exists 和 in的简单分析
- 【木马分析】白利用的集大成者:新型远控木马上演移形换影大法
- 关于剪贴板内不断出现“中国网络游戏木马外挂黑客技术大全.."的病毒分析
- 关于手游网络协议的简单分析
- 对一款病毒(木马)程序的分析
- 一款手机制作软件类工具的简单分析
- 关于HuffmanCoding的简单分析
- 关于HuffmanCoding的简单分析
- 【木马分析】远控盗号木马伪装成850Game作恶
- 关于嵌入式下系统自动kill进程的简单分析
- 关于数字证书理解的简单整理以及12306网站证书简单分析
- 关于成本核算方法、步骤、成本分析的简单回复
- 关于一个简单的网络爬虫源码分析
- 看!我写的关于“简单异或”加密的破解分析演示程序!
- 一款全面高效的日志分析工具,操作更简单
- 简单木马分析
- 关于语义分析的简单总结
- 关于ms06-012的简单分析
- 关于未将对象引用设置到对象实例简单原理分析,与解决方法