黑客实例讲解木马的分析方法！

以前有过一款国产木马，它有个好听的名字，叫做"广外女生"。这个木马是广东外语外贸大学"广外女生"网络小组的作品，它可以运行于WIN98，WIN98SE，WINME，WINNT，WIN2000或已经安装Winsock2.0的Win95/97上。与以往的木马相比，它具有体积更小、隐藏更为巧妙的特点。可以预料，在将来的日子里它会成为继"冰河"之后的又一流行的木马品种。

由于"广外女生"这个木马的驻留、启动的方法比较具有典型性，下面我就通过对这种新型木马的详细分析过程来向大家阐述对一般木马的研究方法。下面的测试环境为Windows2000中文版。

一、所需工具

1.RegSnap v2.80 监视注册表以及系统文件变化的最好工具

2.fport v1.33 查看程序所打开的端口的工具

3.FileInfo v2.45a 查看文件类型的工具

4.ProcDump v1.6.2 脱壳工具

5.IDA v4.0.4 反汇编工具

二、分析步骤

一切工具准备就绪了，我们开始分析这个木马。一般的木马的服务器端一旦运行之后都会对注册表以及系统文件做一些手脚，所以我们在分析之前就要先对注册表以及系统文件做一个备份。

首先打开RegSnap，从file菜单选new,然后点OK。这样就对当前的注册表以及系统文件做了一个记录，一会儿如果木马修改了其中某项，我们就可以分析出来了。备份完成之后把它存为Regsnp1.rgs。

然后我们就在我们的电脑上运行"广外女生"的服务器端，不要害怕，因为我们已经做了比较详细的备份了，它做的手脚我们都可以照原样改回来的。双击gdufs.exe，然后等一小会儿。如果你正在运行着"天网防火墙"或"金山毒霸"的话，应该发现这两个程序自动退出了，很奇怪吗？且听我们后面的分析。现在木马就已经驻留在我们的系统中了。我们来看一看它究竟对我们的做了哪些操作。重新打开RegSnap，从file菜单选new,然后点OK，把这次的snap结果存为Regsnp2.rgs。

从RegSnap的file菜单选择Compare，在First snapshot中选择打开Regsnp1.rgs，在Second snapshot中选择打开Regsnp2.rgs，并在下面的单选框中选中Show modifiedkey names and key values。然后按OK按钮，这样RegSnap就开始比较两次记录又什么区别了，当比较完成时会自动打开分析结果文件Regsnp1-Regsnp2.htm。

看一下Regsnp1-Regsnp2.htm，注意其中的：