簡單通用木馬分析術(shù)

為了防止木馬對真實的系統(tǒng)造成破壞，因此需要將其調(diào)入虛擬機(jī)中執(zhí)行，同時切斷虛擬機(jī)的網(wǎng)絡(luò)連接，防止其從網(wǎng)上下載更多的“幫手”。常用的虛擬機(jī)種類各異，例如VirtualBox、VMware Workstation、Virtual PC等。本例中使用的是簡單易用的Virtual PC這款虛擬機(jī)軟件。為了發(fā)現(xiàn)木馬的行蹤，需要使用 File Monitor、Regshot、IceSword等工具，分別對文件和注冊表的變動信息進(jìn)行監(jiān)控，同時對發(fā)現(xiàn)的木馬進(jìn)行清除。

當(dāng)然，您也可以使用Registry Monitor、SUNDY等監(jiān)控工具。

首先，在虛擬機(jī)中打開Windows XP系 統(tǒng)，將捕獲的木馬服務(wù)器端程序放置到該虛擬機(jī)中，先執(zhí)行Regshot，在其主界面（如圖1所示）中點擊按鈕菜單“建立快照A”→“全部注冊表”項，對整個注冊表拍攝快照。之后啟動FileMon，在其主界面中點擊“Ctrl+E”鍵，執(zhí)行文件監(jiān)控動作。為了便于觀察，最好點擊菜單“選項”→“字體”項，將字體大小設(shè)置為8，這樣可以清晰地查看監(jiān)控內(nèi)容。布置好監(jiān)控環(huán)境后，執(zhí)行木馬服務(wù)器端程序“services.exe”，眨眼間木馬執(zhí)行完畢。在FileMon主界面中點擊工具欄上第三個按鈕，停止監(jiān)控動作。點擊菜單“文件”→“保存”項，將監(jiān)控信息保存為獨立的文件。

圖1 監(jiān)控文件活動信息

圖2 為注冊表拍攝快照

在 RegShot主 界 面（如圖2所示）中點擊按鈕菜單“建立快照B”→“全部注冊表”按鈕菜單，對注冊表再次拍攝快照。然后點擊“比較快照”按鈕，對木馬運(yùn)行前后的注冊表快照進(jìn)行檢測比較，過濾出注冊表的所有變動信息，默認(rèn)的報告文件存儲在“%SYSTEMDRIVE%Hive”文件夾中。

當(dāng)然，也可以在Regshot主界面中的“報告保存文件夾”欄中進(jìn)行修改。

進(jìn)入該文件夾，可以看到，Regshot生 成 了 HTML格式的報告文件，以及“Report.1.RedoReg.txt” 和“Report.1.UndoReg.txt”文件，前者包含注冊表中所有數(shù)據(jù)更改信息。

通過對Regshot報告文件的分析，可以發(fā)現(xiàn)木馬對注冊表進(jìn)行的所有操作信息，包括新增了15個子健、刪除了8個鍵值名、增加了30個鍵值名、修改了5個鍵值名等。在其中可以看到，木馬在注冊表中相關(guān)啟動項中添加了可疑程序，這樣可以在系統(tǒng)啟動時自動激活木馬。

在“HKEY_LOCAL_MACHINESOFTWAREM i c r o s o f tW i n d o w sCurrentVersionExplorerAdvancedFolderHiddenSHOWALL”分支下對和查看隱藏文件相關(guān)的項目進(jìn)行了修改，讓用戶無法開啟隱藏文件顯示功能等。打開FileMon提供的文件活動監(jiān)控信息，可以看到，其內(nèi)容比較復(fù)雜，為了簡便起見，可以使用記事本搜索“Create”、“Write”、“Delete”等關(guān)鍵信息，找出和木馬程序相關(guān)的新建、修改和刪除文件記錄。

經(jīng)過耐心細(xì)致的分析，發(fā)現(xiàn)該木馬文件的主要文件分別存放到了“C:WindowsIME”文件夾和各盤符根目錄下的“Cache.dt”文件夾中。同時，在各盤的根目錄下創(chuàng)建了“Autorun.inf”文件，當(dāng)用戶雙擊盤符時就會激活木馬。此外，木馬還在“C:Windowssystem”文件夾中新建了“ncscv32.exe”、“runouce.exe”、“tgnyget.dll”等文件。打開任務(wù)管理器，果然發(fā)現(xiàn)了“ncscv32.exe”、“runouce.exe”等可疑進(jìn)程信息。當(dāng)手工結(jié)束“runouce.exe”進(jìn)程后，發(fā)現(xiàn)其又自動運(yùn)行了?？磥?，一定有宿主進(jìn)程在背后為其提供支持。啟動 FileMon，點 擊 菜 單“選項”→“過濾/高亮”項，在過濾窗口的“包含”欄中輸入“runouce.exe”，對其活動進(jìn)行監(jiān)視，發(fā)現(xiàn)當(dāng)該進(jìn)程被關(guān)閉后，Explorer.exe進(jìn)程將其重啟啟動?？磥?，一定是該木馬在Explore.exe進(jìn)程中插入了DLL模塊，來自動激活木馬進(jìn)程。在CMD窗口中執(zhí)行“tasklist /m”命令，檢測各進(jìn)程模塊使用信息，果然，在Explorer.exe進(jìn)程中發(fā)現(xiàn)了“tgnyget.dll”模塊的身影。由此可見，該DLL模塊一定是插入到了Explorer.exe進(jìn)程中了。在磁盤根目錄下找到“Autorun.inf”文件，其內(nèi)容為：

可以看到，木馬在驅(qū)動器右鍵菜單中添加了名為“打開(O)”項目來迷惑大家，當(dāng)雙擊盤符后，其根目錄的“Cache.dt”文件夾中的“cache1.bat”文件就會被激活，該文件經(jīng)過加密處理，無法直接查閱其內(nèi)容。如果直接進(jìn)入“Cache.dt”文 件 夾，當(dāng) 雙 擊“1.{208D2C60-3AEA-1069-A2D7-08002B30309D }”文件夾時，會引導(dǎo)到網(wǎng)上鄰居窗口，從而達(dá)到隱蔽木馬文件的目的。了解了木馬的以上伎倆后，將以上“Report.1.UndoReg.txt”文件復(fù)制出來，并更名為“Report.1.Undo.Reg”文件。打開入侵的電腦，在開機(jī)時按下F8鍵，將系統(tǒng)引導(dǎo)到安全模式下，使用IceSword將木馬進(jìn)程“svchost.exe”清除，該程序位于“C:WindowsIME”文件夾中。并根據(jù)分析數(shù)據(jù)，將“C:WindowsIME” 文件夾中的所木馬文件全部刪除。使用IceSword將插入到“explorer.exe” 進(jìn) 程 中的“tgnyget.dll”卸載。然后將“C:Windowssystem”文件夾中的“ncscv32.exe”、“runouce.exe”、“tgnyget.dll”等木馬文件刪除。之后刪除各盤根目錄下的“Cache.dt”文件夾中的所有內(nèi)容，刪除“Autorun.inf”文件。再運(yùn)行復(fù)制過來的“Report.1.Undo.Reg”文件，將木馬對注冊表進(jìn)行的所有改動信息全部清除，之后重啟系統(tǒng)，木馬就徹底驅(qū)逐出去了。