广外女生木马的分析方法
木马分析
5.5木马技术5.5.1 木马技术概述木马的全称是“特洛伊木马”(Trojan horse),来源于希腊神话。
古希腊围攻特洛伊城多年无法攻下,于是有人献出木马计策,让士兵藏匿于巨大的木马中,然后佯作退兵,城中得知解围的消息后,将“木马”作为战利品拖入城内,匿于木马中的将士出来开启城门,与城外部队里应外合攻下特洛伊城,后世称这只大木马为“特洛伊木马”。
网络世界的特洛伊木马是指隐藏在正常程序中的一段具有特殊功能的恶意代码,是具备破坏和删除文件、发送密码、记录键盘和DoS攻击等特殊功能的后门程序。
它与控制主机之间建立起连接,使得控制者能够通过网络控制受害系统,通信遵照TCP/IP协议,最大的特征在于隐秘性,偷偷混入对方的主机里面,但是却没有被对方发现。
就象一个潜入敌方的间谍,为其他人的攻击打开后门,这与战争中的木马战术十分相似,因而得名木马程序。
实际上计算机网络木马不但可以窃取、破坏被植入主机的信息,而且可以通过控制主机来攻击网络中的其它主机。
木马程序不仅可能侵害到个人乃至某些公司的利益和权力,更可能危及整个社会和国家的利益和安全。
如果公安部用于采集处理人们身份证信息的计算机被安装了木马,那么这些信息就可能被木马以有线或无线的方式通过网络泄露出去,后果不堪设想。
木马是受控的,它能分清敌我,所以与分不清敌我的其它病毒和攻击技术相比,具有更大的危险性和破坏性。
木马是近几年比较流行的危害程度较严重的恶意软件,常被用作网络系统入侵的重要工具和手段。
2008年金山病毒报告监测显示,木马攻击占当前网络病毒的70%以上,已经成为当前网络危害最严重的网络病毒。
网络上各种“种马”技术加剧了木马的流行和发展,由于木马控制了被植入者的计算机,它几乎可以在被植入主机上为所欲为,破坏程度非常巨大,可以窃取账号密码、删除文件、格式化磁盘,甚至可以打开摄像头进行偷窥等;木马往往又被用做后门,植入被攻击的系统,以便为入侵者再次访问系统提供方便;或者利用被入侵的系统,通过欺骗合法用户的某种方式暗中“散发”木马,以便进一步扩大入侵成果和入侵范围,为进行其它入侵活动,如分布式拒绝服务攻击(DDoS)等提供可能。
个人对于常见木马特征的简析
个人对于常见木马特征的简析摘要:木马的危害性在于它对电脑系统强大的控制和破坏能力,窃取密码、控制系统操作、一旦木马被植入你的机器,攻击者就可以象操作自己的机器一样控制你的机器,甚至可以远程监控你的所有操作。
本文对木马共性做了一次简析,为相关问题的解决提供参考依据。
关键词:脚本植入;隐藏性;植入端口;木马端口连接一、木马的共同特性一般的木马都有客户端和服务器端两个执行程序,其中客户端是用于攻击者远程控制植入木马的机器,服务器端程序即是木马程序。
攻击者要通过木马攻击你的系统,他所做的第一步是要把木马的服务器端程序植入到你的电脑里面。
二、木马传播途径及运行原理目前木马入侵的主要途径还是先通过一定的方法把木马执行文件弄到被攻击者的电脑系统里,如邮件、下载等,然后通过一定的提示故意误导被攻击者打开执行文件,比如故意谎称这是个木马执行文件是你朋友送给你贺卡,可能你打开这个文件后,确实有贺卡的画面出现,但这时可能木马已经悄悄在你的后台运行了。
一般的木马执行文件非常小,大到都是几K到几十K,如果把木马捆绑到其它正常文件上,你很难发现的,所以,有一些网站提供的软件下载往往是捆绑了木马文件的,在你执行这些下载的文件,也同时运行了木马。
木马也可以通过Script、ActiveX及Asp、Cgi交互脚本的方式植入,由于浏览器在执行Script脚本上存在一些漏洞,攻击者可以利用这些漏洞传播木马,甚至直接对浏览者电脑进行文件操作等控制,木马还可以利用系统的一些漏洞进行植入。
木马在被植入攻击主机后,它一般会通过一定的方式把入侵主机的信息,如主机的IP地址、木马植入的端口等发送给攻击者,这样攻击者有这些信息才能够与木马里应外合控制攻击主机。
三、木马隐藏特性的主要表现在运行前,很一些木马经常故意弄成Txt、Html等你认为对你系统没有多少危害性质的文件图标。
在运行中,木马的作者也意识到如果程序打开后像早期木马一样没有什么反应的话,他们往往会有采取行动杀除木马。
个人电脑主机入侵,网站入侵,网络攻击的步骤
第一步:隐藏自已的位置为了不在目的主机上留下自己的IP地址,防止被目的主机发现,老练的攻击者都会尽量通过“跳板”或“肉鸡”展开攻击。
所谓“肉鸡”通常是指,HACK实现通过后门程序控制的傀儡主机,通过“肉鸡”开展的扫描及攻击,即便被发现也由于现场遗留环境的IP地址是“肉鸡”的地址而很难追查。
第二步:寻找目标主机并分析目标主机攻击者首先要寻找目标主机并分析目标主机。
在Internet上能真正标识主机的是IP地址,域名是为了便于记忆主机的IP地址而另起的名字,只要利用域名和IP地址就可以顺利地找到目标主机。
当然,知道了要攻击目标的位置还是远远不够的,还必须将主机的操作系统类型及其所提供服务等资料作个全面的了解。
此时,攻击者们会使用一些扫描器工具,以试图获取目标主机运行的是哪种操作系统的哪个版本,系统有哪些帐户,开启了哪些服务,以及服务程序的版本等资料,为入侵作好充分的准备。
第三步:获取帐号和密码,登录主机攻击者要想入侵一台主机,首先要有该主机的一个帐号和密码,否则连登录都无法进行。
这样常迫使他们先设法盗窃帐户文件,进行破解,从中获取某用户的帐户和口令,再寻觅合适时机以此身份进入主机。
当然,利用某些工具或系统漏洞登录主机也是攻击者常用的一种技法。
第四步:获得控制权攻击者们利用各种工具或系统漏洞进入目标主机系统获得控制权之后,就会做两件事:清除记录和留下后门。
他会更改某些系统设置、在系统中置入特洛伊木马或其他一些远程操纵程序,以便日后可以不被觉察地再次进入系统。
此外,为了避免目标主机发现,清除日志、删除拷贝的文件等手段来隐藏自己的踪迹之后,攻击者就开始下一步的行动。
第五步:窃取网络资源和特权攻击者找到攻击目标后,会继续下一步的攻击。
如:下载敏感信息;窃取帐号密码、个人资料等。
三、网络攻击的原理和手法1、从扫描开始扫描往往是攻击的前奏,通过扫描,搜集目标主机的相关信息,以期寻找目标主机的漏洞。
常见的扫描工具有X-scan、superscan、流光、X-port等。
深度剖析木马的植入与攻击
深度剖析木马的植入与攻击安全问题2010-09-18 13:57:43 阅读54 评论0 字号:大中小订阅为了学习转的:第3章深度剖析木马的植入与攻击●木马是如何实施攻击的●木马的植入与隐藏●木马信息反馈●常用木马例说●木马的清除和防范木马,也称特伊洛木马,英文名称为Trojan。
其本身就是为了入侵个人电脑而开发的,藏在电脑中和工作的时候是很隐蔽的,它的运行和黑客的入侵不会在电脑的屏幕上显示出任何痕迹。
Windows本身没有监视网络的软件,所以不借助其它工具软件,许多时候是很难知道木马的存在和黑客的入侵的。
由于很多新手对安全问题了解不多,所以并不知道自己的计算机中了“木马”该如何清除。
虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”,但它们并不能防范新出现的“木马”程序,因此最关键的还是要知道“木马”的工作原理,这样就会很容易发现自己是否中“木马”了。
3-1 木马是如何实施攻击的木马是黑客最常用的攻击方法,因此,在本章中将使用较大篇幅来介绍木马的攻防技术。
木马的危害性在于它对电脑系统强大的控制和破坏能力、窃取密码、控制系统操作、进行文件操作等,一台计算机一旦被一个功能强大的木马植入,攻击者就可以像操作自己的计算机一样控制这台计算机,甚至可以远程监控这台计算机上的所有操作。
尽管资深的黑客是不屑于使用木马的,但在对网络安全事件的分析统计里,却发现有相当部分的网络入侵是通过木马来进行的,包括2002年微软被黑一案,据说就是通过一种普通的蠕虫木马侵入微软的系统,并且窃取了微软部分产品源代码的。
3-1-1 木马是如何侵入系统的小博士,你好!可以给我讲一下木马是如何侵入系统的吗?没问题,一般的木马都有客户端和服务器端两个执行程序,其中客户端用于攻击者远程控制植入木马的计算机,服务器端程序就是通常所说的木马程序。
攻击者要通过木马攻击计算机系统,他所做的第一步就是要把木马的服务器端程序植入到被攻击的计算机里面。
2022年职业考证-软考-信息安全工程师考试全真模拟全知识点汇编押题第五期(含答案)试卷号:96
2022年职业考证-软考-信息安全工程师考试全真模拟全知识点汇编押题第五期(含答案)一.综合题(共15题)1.单选题按照行为和功能特性,特洛伊木马可以分为远程控制型木马、信息窃取型木马和破坏型木马等。
以下不属于远程控制型木马的是()。
问题1选项A.冰河B.彩虹桥C.PCShareD.Trojan-Ransom【答案】D【解析】本题考查恶意代码中特洛伊木马方面的基础知识。
典型的远程控制型木马有冰河、网络神偷、广外女生、网络公牛、黑洞、上兴、彩虹桥、Posion ivy、PCShare、灰鸽子等。
Trojan-Ransom 属于破坏型木马。
2.单选题操作系统的安全机制是指在操作系统中利用某种技术、某些软件来实施一个或多个安全服务的过程。
操作系统的安全机制不包括()。
问题1选项A.标识与鉴别机制B.访问控制机制C.密钥管理机制D.安全审计机制【答案】C【解析】本题考查操作系统安全机制方面的基础知识。
操作系统的安全机制包括安全审计机制、可信路径机制、标识与鉴别机制、客体重用机制、访问控制机制。
答案选C。
3.单选题数字水印技术是指在数字化的数据内容中嵌入不明显的记号,被嵌入的记号通常是不可见的或者不可察觉的,但是通过计算操作能够实现对该记号的提取和检测。
数字水印不能实现()。
问题1选项A.证据篡改鉴定B.数字信息版权保护C.图像识别D.电子票据防伪【答案】C【解析】本题考查数字水印技术方面的基础知识。
根据应用领域可将数字水印分为:①鲁棒水印:通常用于数字化图像、视频、音频或电子文档的版权保护。
将代表版权人身份的特定信息,如一-段文字、标识、序列号等按某种方式嵌入在数字产品中,在发生版权纠纷时,通过相应的算法提取出数字水印,从而验证版权的归属,确保著作权人的合法利益,避免非法盗版的威胁。
②易损水印:又称为脆弱水印,通常用于数据完整性保护。
当数据内容发生改变时,易损水印会发生相应的改变,从而可鉴定数据是否完整。
七种常见木马破坏表现及清除方法
七种常见木马破坏表现及清除方法木马的出现对我们的系统造成了很大的危害,但是由于木马通常植入得非常隐蔽,很难完全删除,因此,这里我们介绍一些常见木马的清除方法。
一、网络公牛(Netbull)网络公牛是国产木马,默认连接端口23444。
服务端程序newserver.exe运行后,会自动脱壳成checkdll.exe,位于C:WINDOWSSYSTEM下,下次开机checkdll.exe 将自动运行,因此很隐蔽、危害很大。
同时,服务端运行后会自动捆绑以下文件:win2000下:notepad.exe;regedit.exe,reged32.exe;drwtsn32.exe;winmine.exe。
服务端运行后还会捆绑在开机时自动运行的第三方软件(如:realplay.exe、QQ、ICQ等)上,在注册表中网络公牛也悄悄地扎下了根。
网络公牛采用的是文件捆绑功能,和上面所列出的文件捆绑在一块,要清除非常困难。
这样做也有个缺点:容易暴露自己!只要是稍微有经验的用户,就会发现文件长度发生了变化,从而怀疑自己中了木马。
清除方法:1.删除网络公牛的自启动程序C:WINDOWSSYSTEMCheckDll.exe。
2.把网络公牛在注册表中所建立的键值全部删除:3.检查上面列出的文件,如果发现文件长度发生变化(大约增加了40K左右,可以通过与其它机子上的正常文件比较而知),就删除它们!然后点击“开始→附件→系统工具→系统信息→工具→系统文件检查器”,在弹出的对话框中选中“从安装软盘提取一个文件(E)”,在框中填入要提取的文件(前面你删除的文件),点“确定”按钮,然后按屏幕提示将这些文件恢复即可。
如果是开机时自动运行的第三方软件如:realplay.exe、QQ、ICQ等被捆绑上了,那就得把这些文件删除,再重新安装。
二、Netspy(网络精灵)Netspy又名网络精灵,是国产木马,最新版本为3.0,默认连接端口为7306。
第五章 特洛伊木马
33
课后作业: 课后作业:
认识木马 学会使用冰河、 学会使用冰河、灰鸽子 学会清除常见木马
34
客户端程序是安装在攻击者(黑客)方的控制台,它 负责远程遥控指挥。 服务器端程序即是木马程序,它被隐藏安装在被攻击 (受害)方的电脑上。
11
木马攻击的第一步:把木马服务程序植入攻击对象 木马攻击的第一步: 攻击者需要通过木马对他人电脑系统进行攻击,第 一步就是把木马的服务程序植入到被攻击的电脑里面。 如果电脑没有联网,那么是不会受到木马的侵扰的, 因为木马程序不会主动攻击和传染到这样的电脑中。
22
使用冰河
配置冰河服务器 种植木马 远程控制
23
24
清除冰河
25
26
任务三、 任务三、
27
冰河木马的清除
1、打开注册表编辑器,展开 、打开注册表编辑器, HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentV ersion\Run和 和 HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentV ersion\RunServices,若其中存在 键值, ,若其中存在kerne132.exe键值,则将其删除。 键值 则将其删除。 2、打开资源管理器,执行“工具” “文件夹选项”,选择“文件类型” 、打开资源管理器,执行“工具” 文件夹选项” 选择“文件类型” 选项卡,在已注册的文件类型列表中找到“TXT文本文档 文本文档” 详细信息” 选项卡,在已注册的文件类型列表中找到“TXT文本文档”,从“详细信息” 中查看其“打开方式”有无变化(一般为记事本文件)。如果不是, )。如果不是 中查看其“打开方式”有无变化(一般为记事本文件)。如果不是,则单 高级” 删除“操作”列表中的open选项。 选项。 击“高级”,删除“操作”列表中的 选项 3、重启电脑进入DOS,删除 、重启电脑进入 下的kerne132.exe ,删除c:\windows\system32下的 下的 文件。 和sysxplr.exe文
对“广外女生”木马的分析与对策
"diagnostic configuration"=dword:1
4.2 导入注册表文件
将此文件存盘后 将系统转入DOS 注意不是 MS_DOS方式 而应该重新起动系统 后转入DOS 或点击 开始 菜单 选择 关闭系统 在出现的对话框中选择 重新启动 计算机并切换到MS DOS方式 更名Diagcfg.exe 然后重新进入Windows 此时系统无 法使用任何.EXE和.COM文件 双击fix.reg 将其内容导入系统注册表 所有.EXE和.COM 文件可以使用 系统恢复正常 此时可以将Diagcfg.exe从磁盘上删除
1 引言
近几年 由于Internet的广泛应用 计算机病毒的发展也早已由过去的单机危害 过度 到目前主要以网络为媒介的网络危害 在新形势下尤以 木马 类病毒的危害最为严重 它
在监听受感染用户的系统时 不仅可以一览无余地浏览用户硬盘资料 而且可以监视用户操
作 更为可怕的是其极有可能窃取用户的各种帐号和密码 例如用户的银行卡在网上使用
2.4 小结
经过以上分析 我们不难发现 该 木马 程序在运行期间无法删除 势必有些人会想 到进入Dos环境后删除 这样会导致两个问题将要面对 一个是重新进入Windows后导致所 有程序无法运行 另一个已经无法找回Diagcfg.exe 也就失去了 带病工作 的机会 因此 在使用 删除 功能时一定要谨慎行事 完全可以换成 更名 Rename 命令 以防万一
运行 来应答客户机的请求
在此类病毒中 即有赫赫有名的国产 冰河
广外女生 也有小有名气的 初恋
情人 网络精灵 最近本人不幸感染到了 广外女生 也曾到Internet上查找到一些清
除该 木马 程序的相关资料 然而 却没有一份资料能够完全清除 要么其会死灰复燃
恶意代码分析防治讲解
恶意代码分析与防治姓名:学号:班级:学院摘要:在Internet安全事件中,恶意代码造成的经济损失占有最大的比例。
恶意代码主要包括计算机病毒(Virus)、蠕虫(Worm)、木马程序(Trojan Horse)、后门程序(Backdoor)、逻辑炸弹(Logic Bomb)等等。
与此同时,恶意代码成为信息战、网络战的重要手段。
日益严重的恶意代码问题,不仅使企业及用户蒙受了巨大经济损失,而且使国家的安全面临着严重威胁。
关键词:恶意代码分析防治Abstract: Economic losses caused by malicious code accounted for a large proportion in Internet security incidents. Malicious code mainly includes Computer Virus, Worm, Trojan Horse, Backdoor, Logic Bomb ect.Meanwhile, malicious code become important means of information warfare and cyber warfare. Malicious code is a growing problem, which not only causes companies and users great economic damage, but also threatening gravely national security.Key words: Malicious code Analysis Prevention一.恶意代码概述恶意代码(Unwanted Code)是指没有作用却会带来危险的代码,一个最安全的定义是把所有不必要的代码都看作是恶意的,不必要代码比恶意代码具有更宽泛的含义,包括所有可能与某个组织安全策略相冲突的软件。
木马介绍
清除方案:
进入注册表中的HKEY_LOCAL_MACHINE\Software\microsoft\
windows\CurrentVersion\Run\,删除Netspy项及其键值,然后重新启动计算机即可。
广外女生
广外女生是广东外语外贸大学“广外女生”网络小组编写的一种新出现的远程监控工具,能远程上传、下载、删除文件、修改注册表等,破坏性很大。服务端程序体积小,而且占用系统资源少,隐蔽性好。木马程序运行后,会自动终止“金山毒霸”、“防火墙”、“iparmor”、“tcmonitor”、“实时监控”、“lockdown”、“kill”、“天网”等防火墙,使基完全失去作用,并能在系统的SYSTEM目录下生成一份自己的拷贝(文件名DIAGCFG.EXE),并关联.EXE文件的打开方式。
2. 在注册表的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run分支下,删除串值“MainBroad BackManager”及其键值C:\WINDOWS\MBBManager.exe;
3.恢复TXT文件关联。将注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认键值由C:\WINDOWS\system\editor.exe %1更改为C:\WINDOWS\NOTEPAD.EXE %1,将注册表的HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下的默认键值由C:\WINDOWS\system\editor.exe %1改为C:\WINDOWS\NOTEPAD.EXE %1。
特洛伊木马也叫“Trojan”,其名称取自希腊神话的特洛伊木马记,它是一种基于远程控制的黑客工具。它通过在你的电脑系统隐藏一个会在Windows启动时悄悄运行的程序,采用服务器/客户机的运行方式,从而达到在你上网时监视和控制你的电脑的目的。黑客可以利用它窃取你的口令、浏览你的驱动器、修改你的数据文件和注册表甚至控制鼠标、键盘直至格式化硬盘等等。
木马病毒原理及特征分析PPT演示课件
木马程序一般非常小,只有是几K到几十K,如果把木马捆绑到 其它正常文件上,用户是很难发现的,所以,有一些网站被人 利用,提供的下载软件往往捆绑了木马文件,在用户执行这些 下载的文件的同时,也运行了木马
通过一般的病毒和蠕虫传播
通过带木马的磁盘和光盘进行传播
2.记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框 中出现过的口令信息;
3.获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前 显示分辨率、物理及逻辑磁盘信息等多项系统数据;
4.限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册 表等多项功能限制;
木马病毒的原理及特征分 析
08:47:32
1
特洛伊木马的定义
特洛伊木马(Trojan Horse),简称木马,是一 种恶意程序,是一种基于远程控制的黑客工具, 一旦侵入用户的计算机,就悄悄地在宿主计算 机上运行,在用户毫无察觉的情况下,让攻击 者获得远程访问和控制系统的权限,进而在用 户的计算机中修改文件、修改注册表、控制鼠 标、监视/控制键盘,或窃取用户信息
08:47:32
18
特洛伊木马技术的发展
木马的发展及成熟,大致也经历了两个阶段 Unix阶段 Windows阶段
木马技术发展至今,已经经历了4代 第一代木马
只是进行简单的密码窃取、发送等,没有什么特别之处
第二代木马
在密码窃取、发送等技术上有了很大的进步,冰河可以说是国内木马 的典型代表之一
Infis作为内核模式驱动程序驻留内存,并且挂钩文件 操作,它能够在文件打开时立即感染该文件。
安装程序把病毒拷贝到系统内存中,并在系统注册表 中添加该病毒的注册项。该病毒把自己的可执行代码 连同自己的PE文件头一起追加到目标文件的末尾, 然后从自己代码中提取出一个名为INF.SYS的独立驱 动程序,把这个程序保存在%SystemRoot%\ system32 \drivers目录下,修改注册表,保证下一次 系统启动时病毒也能够进入运行状态。
木马的分析方法
好了,现在我们已经得到了这个木马加壳前的原始文件了,看看脱壳过的gwns.exe,有194k之大,比原来的程序大了一倍还多,这就是加壳软件的功劳了。现在就可以使用反汇编程序对其进行反汇编,然后看它的汇编程序代码了。
木马的分析方法
isno
运行ProcDump,点击Unpack按钮,因为我们要脱ASPack v1.06b的壳,所以就在其中选中Aspack<108,然后按OK。这时它会让你打开要脱壳的文件,我们就选DIAGCFG.EXE,打开。然后稍微等几秒种后按“确定”,ProcDump就会把DIAGCFG.EXE脱壳,然后会出个对话框要你把脱壳过的文件存盘,我们就把它存为gwns.exe。
五、总结
截止目前为止,我们已经完成了对“广外女生”这个木马程序的全部分析过程,了解了木马的启动、运行机制。当然,我写本文的目的并不是简单的介绍“广外女生”这一种木马,而是通过对这个具有典型意义的木马的详细分析,来向大家介绍对一般木马的分析方法。利用本文的分析方法,你完全对任何一种未知的木马品种进行分析。最后我们再来总结一下对木马分析的方法及步骤:
0042B6CE mov eax, [ebx]
0042B6D0 push eax
0042B6D1 call j_RegCloseKey_0
木马还会修改“天网防火墙”或“金山毒霸”在注册表中的启动项,使其在下次系统重新启动时无法自动运行。
0042B820 mov dword ptr [esi], 100h
0042B271 mov eax, ds:dword_42EA80
木马和冰河的使用!【教程】
木马和冰河的使用!【教程】木马大家对他的名字很熟悉吧??是啊木马作为一个远程控制的软件已经深入人心,木马是什么那?如何使用木马程序控制他人那??先不要着急,我们来看看木马的发展,对这个工具作一个简单的介绍:黑客程序里的特洛伊木马有以下的特点:(1)主程序有两个,一个是服务端,另一个是控制端。
(如果你下载了,请千万不要用鼠标双击服务器端)(2)服务端需要在主机(被你控制的电脑)执行。
(3)一般特洛伊木马程序都是隐蔽的进程。
(需要专业的软件来查杀,也有不用软件查杀的办法,我会介绍)(4)当控制端连接服务端主机后,控制端会向服务端主机发出命令。
而服务端主机在接受命令后,会执行相应的任务。
(5)每个系统都存在特洛伊木马。
(包括Windows,Unix,liunx等)眼中,特洛伊木马是一种病毒。
其实特洛伊木马并不是一种病毒,它没有完全具备病毒的性质。
(包括:转播,感染文件等,但是很多的杀毒软件还是可以查杀,毕竟这是一种使用简单但是危害比较大的软件)木马的发展:第一代木马:控制端-- 连接-- 服务端特点:属于被动型木马。
能上传,下载,修改注册表,得到内存密码等。
典型木马:冰河,NetSpy,back orifice(简称:BO)等。
第二代木马:服务端-- 连接-- 控制端特点:属于主动型木马。
隐蔽性更强,有利用ICMP协议隐藏端口的,有利用DLL(动态连接库)隐藏进程的,甚至出现能传播的木马。
典型木马:网络神偷,广外女生等。
(反弹端口型木马)第二代木马象广外女生可以使用WINDOWS的漏洞,越过许多防火墙从而进行对系统的监控(像金山,天网等)随着木马的发展,并且作为很多人使用的软件,杀毒软件也越来越对这个传播很广的半病毒不病毒的软件越来越关注(因为作为服务器端可以夹带在任何文件中传播,只要你打开这个文件,你就肯定会被中上木马,甚至可以在网络上通过下载来传播)所以查杀木马的工具很多,但是道高一尺,魔高一丈,木马又不断演化出新的品种来对抗杀毒软件,毕竟中国的广大网民的安全意识不高,加上盗版猖狂,可以正式在网络上进行升级的并不多,所以木马还是很有使用空间的。
广外女生木马的分析方法
注意:这时候,木马又在你的系统上运行了一次,所以必须按照前面的清除步骤重新把它清除掉。由于前面已经写过清除方法,这里就不再赘述了。
好了,现在我们已经得到了这个木马加壳前的原始文件了,看看脱壳过的gwns.exe,有194k之大,比原来的程序大了一倍还多,这就是加壳软件的功劳了。现在就可以使用反汇编程序对其进行反汇编,然后看它的汇编程序代码了。
Old value: String: ""%1" %*"
New value: String: "C:\WINNT\System32\DIAGCFG.EXE "%1" %*"
这个键值由原来的"%1" %*被修改为了C:\WINNT\System32\DIAGCFG.EXE "%1" %*,因为其中包含了木马程序DIAGCFG.EXE所以最为可疑。那么这个注册表项有什么作用呢?
4.这时就可以删除C:\WINNT\System32\目录下的DIAGCFG.EXE了。切记万万不可首先删除这个文件,否则的话就无法再系统中运行任何可执行文件了。由于我们下面还打算进一步深入分析这个木马,所以现在不删除它,而是把它拷贝到其他的目录以便研究。
四、深入研究
我们已经知道了“广外女生”的基本工作原理、启动流程以及如何彻底清除它了,但是还有一点我们没有彻底弄清楚,那就是它是如何对付“天网防火墙”或“金山毒霸”的。要深入了解这一点,我们必须要去看“广外女生”的代码,这个木马并没有公布源代码,但是我们仍然可以通过反汇编它来看个究竟。
三、查杀
经过前面的分析我们已经了解了“广外女生”这种木马的工作方式,现在我们就来清除它。下面就是彻底清除“广外女生”的方法,注意:这个步骤的次序不能颠倒,否则可能无法完全清除掉此木马。
木马的防范基本方法
木马的防范基本方法一、防范木马应该注意的一些问题1、不到不受信任的网站上下载软件运行2、不随便点击来历不明邮件所带的附件3、及时安装相应的系统补丁程序4、为系统选用合适的正版杀毒软件,并及时升级相关的病毒库5、为系统所有的用户设置合理的用户口令口令设置要求:1.口令应该不少于8个字符;2.不包含字典里的单词、不包括姓氏的汉语拼音;3.同时包含多种类型的字符,比如o大写字母(A,B,C,..Z)o小写字母(a,b,c..z)o数字(0,1,2,…9)o标点符号(@,#,!,$,%,& …)win2000口令设置方法:当前用户口令:在桌面环境下按crtl+alt+del键后弹出选项单,选择其中的更改密码项后按要求输入你的密码(注意:如果以前administrator没有设置密码的话,旧密码那项就不用输入,只需直接输入新的密码)。
其他用户口令:在开始->控制面板->用户和密码->选定一个用户名->点击设置密码二、检查和清除木马可能会使用到命令1、如何进入命令行方式?win98下在开始-->运行中输入command点确定winnt、win2000、winxp下在开始-->运行中输入cmd后点确定2、如何使用netstat命令?netstat是用来显示网络连接、路由表和网络接口信息的命令,使用方法是在命令行下输入netstat -an后回车,输出结果格式如下:Active ConnectionsProto Local Address Foreign Address StateTCP 0.0.0.0:135 0.0.0.0:0 LISTENINGTCP 0.0.0.0:445 0.0.0.0:0 LISTENINGTCP 0.0.0.0:1025 0.0.0.0:0 LISTENINGTCP 0.0.0.0:1026 0.0.0.0:0 LISTENINGUDP 0.0.0.0:445 *:*UDP 0.0.0.0:2967 *:*UDP 0.0.0.0:38037 *:*这其中Proto项代表是协议类型,Local Address项代表的是本地IP地址和端口(冒号后面为端口号),Foreign Address项代表的是外部IP地址和端口,State 表示的是当前状态。
木马简单分析
木马的工作原理木马在实质上只是—个网络客户端,服务器程序。
是一种基于远程控制的黑客工具,木马一般有两部分组成:服务器端,客户端。
在Windows系统中,木马一般是—个网络服务程序,服务器端运行于感染的机器上监听它的一些特定端口,这个端口号多数比较大(5000以上,但也有部分是5000以下的)。
当该木马相应的客户端程序在此端口上请求连接时,木马的客户端和服务器端就建立—个TCP连接.这样客户端就可以控触感染木马的机器,以达到攻击的目的。
1.1利用木马对目标进行攻击。
1.1.1传播木马。
木马的传播方式主要有两种:一种是通过E—MAIL黑客把木马程序以附件的形式用邮件中发送出去,收信人只要打开附件,系统就会感染木马:另—种是软件下载,—些非正规的网站以提供软件下载为名义,将木马捆绑在软件安装程序上,下载后,只要运行这些程序,木马就会自动安装。
现在有专门的捆绑软件,可以把不同功能的软件捆绑在—起。
1.1.2木马的隐藏方式。
鉴于木马的危害性'很多人对木马知识还是有—定了解的'这对木马的传播起了一定的抑制作用。
为了使木马不被发现,木马配置程序会采用诸如修改图标,捆绑文件,定制端口,自我销毁等伪装手段,黑客开发了多种功能来伪装木马。
以达到降低用户警觉欺骗用户的目的,下面介绍一下常见的几种伪装手段。
a修改图标。
服务器的图标必须能够迷惑目标电脑的主人。
如果木马的图标看上去象是系统文件,电脑的主人就不会轻易地删除他。
另外在E—mail的附件中,木马设计者们将木马服务端程序的图标改成HTML,TXT、ZIP等各种文件的图标,这样就有相当大的迷惑性现在这种木马很常见。
b.捆绑文件。
为了启动木马,最容易下手的地方是三个,注册表、win.ini、system.ini,电脑启动的时候,需要装载这三个文件。
还有替换windows启动程序装载的,例如schoolbus 1.60版本。
以上木马的启动方式都属于非捆绑方式,大部分木马是使用这几种方式启动的。
常见木马技术和手动检测方法
常见木马技术和手动检测方法2篇标题一:常见木马技术木马技术是黑客利用的一种非法手段,通过在目标主机上植入木马程序,以获取非法掌控权和窃取敏感信息。
下面将介绍一些常见的木马技术。
第一种常见的木马技术是远控木马。
远控木马是指黑客通过互联网远程连接到目标主机,并可以通过该木马程序完全操控这台主机。
远控木马具有隐蔽性强、控制能力广泛等特点,能够实现多种恶意动作,如窃取机密文件、监视用户行为等。
第二种常见的木马技术是键盘记录木马。
键盘记录木马通过记录用户在键盘上的操作,包括输入的账号、密码等敏感信息。
当用户输入账号密码时,键盘记录木马会将这些信息上传给黑客。
这种木马技术通常会潜伏在系统内核中,很难被发现和清除。
第三种常见的木马技术是反向连接木马。
反向连接木马是指木马程序主动连接到黑客控制的服务器上,以获取指令并发送被监控的敏感信息。
相比于传统的远程连接木马,反向连接木马具有更强的隐蔽性和稳定性。
第四种常见的木马技术是网页木马。
网页木马是指黑客通过在网页上插入木马脚本,使访问该网页的用户受到木马程序的感染。
网页木马通常通过浏览器漏洞进行攻击,一旦用户访问了被植入木马的网页,木马程序就能够在用户主机上执行恶意操作。
第五种常见的木马技术是邮件木马。
邮件木马是指黑客通过发送带有恶意附件或链接的邮件,诱骗用户点击下载或访问,从而感染用户的主机。
邮件木马常常伪装成重要文件或信息,以此引诱用户打开附件或访问链接。
总结起来,常见的木马技术包括远控木马、键盘记录木马、反向连接木马、网页木马和邮件木马。
这些木马技术都具有不同的攻击方式和特点,对个人和组织的信息安全构成了严重威胁。
标题二:手动检测方法面对日益复杂的木马攻击,手动检测成为了保护个人和组织信息安全的重要环节。
下面将介绍一些常用的手动检测方法。
第一种手动检测方法是端口扫描。
通过使用端口扫描工具,可以扫描目标主机上开放的端口,从而发现是否有可疑的端口。
一些木马程序常常会监听特定的端口,因此端口扫描可以有效帮助检测木马的存在。
广外女生使用教程
广外女生使用广外女生使用教程教程教程日期:2012-9-6 作者:网络人编辑gxh广外女生广外女生,这个名字相信大家都听说过吧。
那什么是广外女生呢?我先给大家简单介绍一下,广外女生,是广东外语外贸大学广外女生网络小组的处女作。
与国内最著名的网络人远程控制软件类似,作为一个远程控制软件它可以运行于WIN98,WIN98SE,WINME,WINNT,WIN2000或已经安装Winsock2.0的Win95/97上。
它的基本功能有以下:文件管理文件管理方面有上传,下载,删除,改名,设置属性,建立文件夹和运行指定文件等功能;注册表操作注册表操作注册表操作方面:全面模拟WINDOWS 的注册表编辑器,让远程注册表编辑工作有如在本机上操作一样方便;屏幕控制屏幕控制方面:可以自定义图片的质量来减少传输的时间,在局域网或高网速的地方还可以全屏操作对方的鼠标及键盘,就像操纵自己的计算机一样;远程任务远程任务远程任务管理方面,可以直观地浏览对方窗体,随意杀掉对方窗体或其中的控件;其他功能其他功能其他功能还有邮件IP 通知等。
上面的是广外女生1.53B自带的说明文件的一部分,下载了广外女生1.53B,经过一个多小时(本来5分钟即可搞定,后来发生一个致命错误)的测试,现将试用手记一一述来!首先用Ghost2002把C盘数据备份一下,RegSnap 给系统“照”一张相,下载广外女生1.53B,里面只有一个文件gwg.exe,大小429824,发现是用Borland Delphi编写的,用ASPack 2.11加壳压缩,打开主程序见图1:图1服务端设置中,本人其它一切按默认设置,就是有一项“其他要关闭的窗口名称关键字”中,选择添加,出现如上面对话框,填 入ram(因为本人系统自启动项中使用了内存优化软件Ram Idle,所以填入ram,没想到这个ram,就是致命错误,发生了许多 怪事!)然后按“生成服务端”按钮,弹出对话框:(图2)图2 图3 图4在广外女生1.53B的目录下,生成了一个117K左右的文件GDUFS.exe,引用了Flash的图标,程序用ASPack 2.11加壳压缩!见图3。
黑客常用的攻击方法-木马
主要内容
木马实施攻击的步骤
3. 启动木马 被动地等待木马或者是捆绑木马的程序被执行 自动拷贝到windows系统文件下中,并修改系统注册表启动 项 4. 建立连接 服务器端安装了木马 双方均在线 5. 远程控制 最终的目的
主要内容
例1:木马演示实验
正确配置服务器是关键!
主要内容
1.木马的定义
2.木马的分类
主要内容
传说中的木马(Trojan horse)
传说:木马(Trojan)这个名字来源
于古希腊传说(荷马史诗中木马计 的故事,Trojan一词的本意是特洛 伊的,即代指特洛伊木马,也就是木 马计的故事)
总结:里应外合
主要内容
1.木马的定义
2.木马的分类
3.木马的攻击步骤
4.木马的隐藏与伪装
5.木马的检测与清除
木马的检测与清除主要内容主要内容1文件的位置2文件的属性3捆绑到其他文件上4文件的名字5文件的扩展名6文件的图标木马未运行时的隐藏与伪装主要内容主要内容木马运行时的隐藏与伪装?木马运行中的隐藏与伪装1在任务栏里隐藏2在任务管理器里隐藏3隐藏端口主要内容1
计算机病毒
信息学院:刘丽
计算机病毒(Virus)
3.木马的攻击步骤
4.木马的隐藏与伪装
5.木马的检测与清除
主要内容
木马未运行时的隐藏与伪装
(1)文件的位置 (2)文件的属性 (3)捆绑到其他文件上 (4)文件的名字 (5)文件的扩展名 (6)文件的图标
主要内容
木马运行时的隐藏与伪装
• 木马运行中的隐藏与伪装
–(1) 在任务栏里隐藏 –(2) 在任务管理器里隐藏 –(3)隐藏端口
主要内容
1.木马的定义
常见病毒端口
常见病毒端口xglangzi发表于: 2007-03-09 08:18 来源:转载 X度:0 浏览:(1081)评论:(0)收藏 | 复制地址 | [举报此文章] | 大中小 | 引用删除修改以下各种木马及未授权被安装的远程控制软件均由于您没有正确的设置您的管理员密码造成的。
请先检查系统中所有帐号的口令是否设置的足够安全。
口令设置要求:1.口令应该不少于8个字符;2.不包含字典里的单词、不包括姓氏的汉语拼音;3.同时包含多种类型的字符,比如o大写字母(A,B,C,..Z)o小写字母(a,b,c..z)o数字(0,1,2,…9)o标点符号(@,#,!,$,%,& …)注意:下文中提到的相关路径根据您的操作系统版本不同会有所不同,请根据自己的系统做相应的调整Win98系统:c:\Windows c:\Windows\systemWinnt和Win2000系统:c:\Winnt c:\Winnt\system32Winxp系统:c:\Windows c:\Windows\system32根据系统安装的路径不同,目录所在盘符也可能不同,如系统安装在D盘,请将C:\Windows改为D:\Windows依此类推大部分的木马程序都可以改变默认的服务端口,我们应该根据具体的情况采取相应的措施,一个完整的检查和删除过程如下例所示:例:113端口木马的清除(仅适用于Windows系统):这是一个基于irc聊天室控制的木马程序。
1.首先使用netstat -an命令确定自己的系统上是否开放了113端口2.使用fport命令察看出是哪个程序在监听113端口例如我们用fport看到如下结果:Pid Process Port Proto Path392svchost->113TCP C:\WinNT\system32\vhos.exe我们就可以确定在监听在113端口的木马程序是vhos.exe而该程序所在的路径为c:\Winnt\system32下。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
最近又有一种新的国产木马出现了,它有个好听的名字,叫做“广外女生”。
这个木马是广东外语外贸大学“广外女生”网络小组的作品,它可以运行于WIN98,WIN98SE,WINME,WINNT,WIN2000或已经安装Winsock2.0的Win95/97上。
与以往的木马相比,它具有体积更小、隐藏更为巧妙的特点。
可以预料,在将来的日子里它会成为继“冰河”之后的又一流行的木马品种。
由于“广外女生”这个木马的驻留、启动的方法比较具有典型性,下面我就通过对这种新型木马的详细分析过程来向大家阐述对一般木马的研究方法。
下面的测试环境为Windows2000中文版。
一、所需工具1.RegSnap v2.80 监视注册表以及系统文件变化的最好工具2.fport v1.33 查看程序所打开的端口的工具3.FileInfo v2.45a 查看文件类型的工具4.ProcDump v1.6.2 脱壳工具5.IDA v4.0.4 反汇编工具二、分析步骤一切工具准备就绪了,我们开始分析这个木马。
一般的木马的服务器端一旦运行之后都会对注册表以及系统文件做一些手脚,所以我们在分析之前就要先对注册表以及系统文件做一个备份。
首先打开RegSnap,从file菜单选new,然后点OK。
这样就对当前的注册表以及系统文件做了一个记录,一会儿如果木马修改了其中某项,我们就可以分析出来了。
备份完成之后把它存为Regsnp1.rgs。
然后我们就在我们的电脑上运行“广外女生”的服务器端,不要害怕,因为我们已经做了比较详细的备份了,它做的手脚我们都可以照原样改回来的。
双击gdufs.exe,然后等一小会儿。
如果你正在运行着“天网防火墙”或“金山毒霸”的话,应该发现这两个程序自动退出了,很奇怪吗?且听我们后面的分析。
现在木马就已经驻留在我们的系统中了。
我们来看一看它究竟对我们的做了哪些操作。
重新打开RegSnap,从file菜单选new,然后点OK,把这次的snap结果存为Regsnp2.rgs。
从RegSnap的file菜单选择Compare,在First snapshot中选择打开Regsnp1.rgs,在Second snapshot中选择打开Regsnp2.rgs,并在下面的单选框中选中Show modifiedkey names and key values。
然后按OK按钮,这样RegSnap就开始比较两次记录又什么区别了,当比较完成时会自动打开分析结果文件Regsnp1-Regsnp2.htm。
看一下Regsnp1-Regsnp2.htm,注意其中的:Summary info:Deleted keys: 0Modified keys: 15New keys : 1意思就是两次记录中,没有删除注册表键,修改了15处注册表,新增加了一处注册表。
再看看后边的:File list in C:\WINNT\System32\*.*Summary info:Deleted files: 0Modified files: 0New files : 1New filesdiagcfg.exe Size: 97 792 , Date/Time: 2001年07月01日23:00:12--------------Total positions: 1这一段话的意思就是,在C:\WINNT\System32\目录下面新增加了一个文件diagcfg.exe,这个文件非常可疑,因为我们在比较两次系统信息之间只运行了“广外女生”这个木马,所以我们有理由相信diagcfg.exe就是木马留在系统中的后门程序。
不信的话你打开任务管理器看一下,会发现其中有一个DIAGCFG.EXE的进程,这就是木马的原身。
但这个时候千万不要删除DIAGCFG.EXE,否则系统就无法正常运行了。
木马一般都会在注册表中设置一些键值以便以后在系统每次重新启动时能够自动运行。
我们再来看看Regsnp1-Regsnp2.htm中哪些注册表项发生了变化,凭借经验应该注意到下面这条了:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\@Old value: String: ""%1" %*"New value: String: "C:\WINNT\System32\DIAGCFG.EXE "%1" %*"这个键值由原来的"%1" %*被修改为了C:\WINNT\System32\DIAGCFG.EXE "%1" %*,因为其中包含了木马程序DIAGCFG.EXE所以最为可疑。
那么这个注册表项有什么作用呢?它就是运行可执行文件的格式,被改成C:\WINNT\System32\DIAGCFG.EXE "%1" %*之后每次再运行任何可执行文件时都要先运行C:\WINNT\System32\DIAGCFG.EXE这个程序。
原来这个木马就是通过这里做了手脚,使自己能够自动运行,它的启动方法与一般普通木马不太一样,一般的木马是在HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*键里增加一个键值,使自己能够自启动,但这种方法被杀毒软件所熟知了,所以很容易被查杀。
而“广外女生”这个木马就比较狡猾,它把启动项设在了另外的位置。
现在我们已经掌握了这个木马的驻留位置以及在注册表中的启动项,还有重要的一点就是我们还要找出它到底监听了哪个端口。
使用fport可以轻松的实现这一点。
在命令行中运行fport.exe,可以看到:……1176 DIAGCFG-> 6267 TCP C:\WINNT\System32\DIAGCFG.EXE~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 注意这行!!!……我们可以清楚的看到,木马程序监听在TCP的6267号端口上了。
我们到目前为止就可以说掌握了“广外女生”这个木马在我们系统中的全部动作了,现在我们可以轻而易举的查杀它了。
三、查杀经过前面的分析我们已经了解了“广外女生”这种木马的工作方式,现在我们就来清除它。
下面就是彻底清除“广外女生”的方法,注意:这个步骤的次序不能颠倒,否则可能无法完全清除掉此木马。
1.按“开始”菜单,选择“运行”,输入regedit,按确定。
打开下面键值:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\,但是先不要修改,因为如果这时就修改注册表的话,DIAGCFG.EXE进程仍然会立刻把它改回来的。
2.打开“任务管理器”,找到DIAGCFG.EXE这个进程,选中它,按“结束进程”来关掉这个进程。
注意,一定也不要先关进程再打开注册表管理器,否则执行regedit.exe时就又会启动DIAGCFG.EXE。
3.把HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\的键值由原来的C:\WINNT\System32\DIAGCFG.EXE "%1" %*改为"%1" %*。
4.这时就可以删除C:\WINNT\System32\目录下的DIAGCFG.EXE了。
切记万万不可首先删除这个文件,否则的话就无法再系统中运行任何可执行文件了。
由于我们下面还打算进一步深入分析这个木马,所以现在不删除它,而是把它拷贝到其他的目录以便研究。
四、深入研究我们已经知道了“广外女生”的基本工作原理、启动流程以及如何彻底清除它了,但是还有一点我们没有彻底弄清楚,那就是它是如何对付“天网防火墙”或“金山毒霸”的。
要深入了解这一点,我们必须要去看“广外女生”的代码,这个木马并没有公布源代码,但是我们仍然可以通过反汇编它来看个究竟。
“广外女生”的服务器端只有96K,显然是使用了压缩软件进行了加壳的,我们首先就要确定它到底加了什么壳。
通过使用FileInfo这个小工具就可以侦测出来。
现在我们就把前面分析过的那个DIAGCFG.EXE复制到FileInfo的目录下,然后在命令行下fi.exe,然后按回车,就会显示:……FileInfo就已经检测出DIAGCFG.EXE是使用了ASPack v1.06b进行加壳。
知道了它的加密方法我们就可以使用ProcDump来把它脱壳了。
运行ProcDump,点击Unpack按钮,因为我们要脱ASPack v1.06b的壳,所以就在其中选中Aspack<108,然后按OK。
这时它会让你打开要脱壳的文件,我们就选DIAGCFG.EXE,打开。
然后稍微等几秒种后按“确定”,ProcDump就会把DIAGCFG.EXE脱壳,然后会出个对话框要你把脱壳过的文件存盘,我们就把它存为gwns.exe。
注意:这时候,木马又在你的系统上运行了一次,所以必须按照前面的清除步骤重新把它清除掉。
由于前面已经写过清除方法,这里就不再赘述了。
好了,现在我们已经得到了这个木马加壳前的原始文件了,看看脱壳过的gwns.exe,有194k之大,比原来的程序大了一倍还多,这就是加壳软件的功劳了。
现在就可以使用反汇编程序对其进行反汇编,然后看它的汇编程序代码了。
我们就用IDA来反汇编它,顺便说一句,这个IDA是个超强的反汇编工具,是cracker 以及Windows hacker所必备的工具。
下面我们就来看看部分反汇编过的代码:……木马首先加载了kernel32.dll,然后利用GetProcAddress来得到RegisterServiceProcess 这个API的地址,木马首先需要把自己注册为系统服务,这样在Win9x下运行时就不容易被任务管理器发现。
然后它会GetCommandLineA来得到运行参数,如果参数是可执行文件的话就调用Winexec来运行。
……然后木马会查找snfw.exe和kav9x.exe的进程,也就是“天网防火墙”或“金山毒霸”的进程,然后将其杀掉。
下面就是修改木马的注册表启动项,即HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\项,使其能够在每次系统重新启动时能够自行启动。
接下来木马就会初始化Winsock dll,绑定端口,等待木马客户端的连接。
五、总结截止目前为止,我们已经完成了对“广外女生”这个木马程序的全部分析过程,了解了木马的启动、运行机制。