黑客实例讲解木马的分析方法！

时间：01-16 来源：eNet硅谷动力点击：

找出它到底监听了哪个端口。使用fport可以轻松的实现这一点。在命令行中运行fport.exe，可以看到：

C:toolfport>fportFPort v1.33 - TCP/IP Process to Port MapperCopyright 2000 by Foundstone, Inc.http://www.foundstone.comPid Process　　　Port Proto Path584 tcpsvcs　-> 7　　 TCP C:WINNTSystem32tcpsvcs.exe584 tcpsvcs　-> 9　　 TCP C:WINNTSystem32tcpsvcs.exe584 tcpsvcs　-> 13　　TCP C:WINNTSystem32tcpsvcs.exe584 tcpsvcs　-> 17　　TCP C:WINNTSystem32tcpsvcs.exe584 tcpsvcs　-> 19　　TCP C:WINNTSystem32tcpsvcs.exe836 inetinfo　-> 80　　TCP C:WINNTSystem32inetsrvinetinfo.exe408 svchost　-> 135 TCP C:WINNTsystem32svchost.exe836 inetinfo　-> 443 TCP C:WINNTSystem32inetsrvinetinfo.exe8　　 System　 -> 445 TCP464 msdtc　 -> 1025 TCP C:WINNTSystem32msdtc.exe684 MSTask　 -> 1026 TCP C:WINNTsystem32MSTask.exe584 tcpsvcs　-> 1028 TCP C:WINNTSystem32tcpsvcs.exe836 inetinfo　-> 1029 TCP C:WINNTSystem32inetsrvinetinfo.exe8　　 System　 -> 1030 TCP464 msdtc　 -> 3372 TCP C:WINNTSystem32msdtc.exe1176 DIAGCFG　-> 6267 TCP C:WINNTSystem32DIAGCFG.EXE~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 注意这行！！！836 inetinfo　-> 7075 TCP C:WINNTSystem32inetsrvinetinfo.exe584 tcpsvcs　-> 7　　 UDP C:WINNTSystem32tcpsvcs.exe584 tcpsvcs　-> 9　　 UDP C:WINNTSystem32tcpsvcs.exe584 tcpsvcs　-> 13　　UDP C:WINNTSystem32tcpsvcs.exe584 tcpsvcs　-> 17　　UDP C:WINNTSystem32tcpsvcs.exe584 tcpsvcs　-> 19　　UDP C:WINNTSystem32tcpsvcs.exe584 tcpsvcs　-> 68　　UDP C:WINNTSystem32tcpsvcs.exe408 svchost　-> 135 UDP C:WINNTsystem32svchost.exe8　　 System　 -> 445 UDP228 services　-> 1027 UDP C:WINNTsystem32services.exe836 inetinfo　-> 3456 UDP C:WINNTSystem32inetsrvinetinfo.exe

我们可以清楚的看到，木马程序监听在TCP的6267号端口上了。我们到目前为止就可以说掌握了"广外女生"这个木马在我们系统中的全部动作了，现在我们可以轻而易举的查杀它了。

三、查杀

经过前面的分析我们已经了解了"广外女生"这种木马的工作方式，现在我们就来清除它。下面就是彻底清除"广外女生"的方法，注意：这个步骤的次序不能颠倒，否则可能无法完全清除掉此木马。

1.按"开始"菜单，选择"运行"，输入regedit，按确定。打开下面键值：

HKEY_LOCAL_MACHINESOFTWAREClassesexefileshellopencommand

但是先不要修改，因为如果这时就修改注册表的话，DIAGCFG.EXE进程仍然会立刻把它改回来的。

2.打开"任务管理器"，找到DIAGCFG.EXE这个进程，选中它，按"结束进程"来关掉这个进程。注意，一定也不要先关进程再打开注册表管理器，否则执行regedit.exe时就又会启动DIAGCFG.EXE。

3.把

HKEY_LOCAL_MACHINESOFTWAREClassesexefileshellopencommand

的键值由原来的C:WINNTSystem32DIAGCFG.EXE "%1" %*改为"%1" %*。

4.这时就可以删除C:WINNTSystem32目录下的DIAGCFG.EXE了。切记万万不可首先删除这个文件，否则的话就无法再系统中运行任何可执行文件了。由于我们下面还打算进一步深入分析这个木马，所以现在不删除它，而是把它拷贝到其他的目录以便研究。

四、深入研究

我们已经知道了"广外女生"的基本工作原理、启动流程以及如何彻底清除它了，但是还有一点我们没有彻底弄清楚，那就是它是如何对付"天网防火墙"或"金山毒霸"的。要深入了解这一点，我们必须要去看"广外女生"的代码，这个木马并没有公布源代码，但是我们仍然可以通过反汇编它来看个究竟。

"广外女生"的服务器端只有96K，显然是使用了压缩软件进行了加壳的，我们首先就要确定它到底加了什么壳。通过使用FileInfo这个小工具就可以侦测出来。现在我们就把前面分析过的那个DIAGCFG.EXE复制到FileInfo的目录下，然后在命令行下fi.exe，然后按回车，就会显示：

　　FileInfo v2.45a (c) 1997-2001 from JUN-06-2001FileInfo v2.45a (c) 1997-2001 by Michael Hering - herinmi@tu-cottbus.deC:TOOLFI═─*ASPack v1.06b A.Solodovnikov .data　　 DIAGCFG.EXE .....98304 01.01.1997aPack v0.98/0.99 (Jibz) {short} ....... EXETOOLS.COM .......895 10.11.2000 !aPack v0.98/0.99 (Jibz) ............... FI.EXE　....135458 06.06.2001 !...................................... FILE_ID.DIZ ......1088 06.06.2001 !?7-bit text ........................... REG.BAT　.......280 06.06.2001 !...................................... SUMMER.KEY　　.......157 06.06.2001 !* detected 4/6 files in 110 ms──═ FileInfo summary ═──── Date: Mi,01.01.1997 ─ Time: 21:32:15 ─scan path: C:TOOLFIfile mask: *.*all size: 236182 Bytes = 230 KB　　 4/6 files in 110 ms (18.33 ms/file)

上一篇：光缆线路自动监测系统分析
下一篇：玻璃上硅光波导的制备

黑客木马服务器防火墙相关文章：

栏目分类