|
[推荐]灰鸽子木马来源追踪
到这里我们就可以获取出放木马者的基本信息了,我这个木马作者配置文件的相关信息如下:
***********************************************************************************
Config
10395
softck.oicp.net
8b4ca58172880bbb
$(ProgramFiles)\message\message.exe
83
服装纺织
服装纺织
8000
0
1
0
1
1
1
1
COM+ Server
COM+ Server
传输客户端和服务器之间的 NET SEND 和 Alerter 服务消息。此服务与 Windows Messenger 无关。如果服务停止
0
1080
guest
huigezi
0
8080
0
***********************************************************************************
我连了一下放木马者的网上,是用的花生壳,主机还没有开机没连上。
执行到返回后,一路F8看看这里:
004A5DA2 . /75 13 JNZ SHORT 004A5DB7
004A5DA4 . |6A 40 PUSH 40 ; /Style = MB_OK|MB_ICONASTERISK|MB_APPLMODAL
004A5DA6 . |68 D05E4A00 PUSH 004A5ED0 ; |Title = "提示"
004A5DAB . |68 D85E4A00 PUSH 004A5ED8 ; |Text = "灰鸽子远程控制服务端安装成功!"
004A5DB0 . |6A 00 PUSH 0 ; |hOwner = NULL
004A5DB2 . |E8 DD19F6FF CALL 00407794 ; \MessageBoxA
004A5DB7 > \A1 BC894A00 MOV EAX,DWORD PTR DS:[4A89BC]
004A5DBC . 8038 00 CMP BYTE PTR DS:[EAX],0
004A5DBF . 74 0E JE SHORT 004A5DCF
004A5DC1 . 803D 90BF4A00>CMP BYTE PTR DS:[4ABF90],0
004A5DC8 . 75 05 JNZ SHORT 004A5DCF
004A5DCA . E8 79F2FFFF CALL 004A5048
004A5DCF > 6A 00 PUSH 0 ; /ExitCode = 0
004A5DD1 . E8 5E10F6FF CALL 00406E34 ; \ExitProcess
004A5DD6 . EB 53 JMP SHORT 004A5E2B
004A5DD8 > E8 B7D5FFFF CALL <ChkOS> ; 这里判断操作系统是否为NT
004A5DDD . 3C 01 CMP AL,1
004A5DDF . 75 45 JNZ SHORT <isWin9x>
004A5DE1 . C605 84BF4A00>MOV BYTE PTR DS:[4ABF84],1
004A5DE8 . A1 188D4A00 MOV EAX,DWORD PTR DS:[4A8D18]
004A5DED . 8038 01 CMP BYTE PTR DS:[EAX],1
004A5DF0 . 75 2D JNZ SHORT 004A5E1F
004A5DF2 . A1 9C8F4A00 MOV EAX,DWORD PTR DS:[4A8F9C]
004A5DF7 . 8B00 MOV EAX,DWORD PTR DS:[EAX]
004A5DF9 . E8 5EF0F5FF CALL 00404E5C
004A5DFE . 8B15 E48C4A00 MOV EDX,DWORD PTR DS:[4A8CE4] ; message.004ABF50
004A5E04 . 8902 MOV DWORD PTR DS:[EDX],EAX ; message.004ABF50
004A5E06 . A1 E48C4A00 MOV EAX,DWORD PTR DS:[4A8CE4]
004A5E0B . C740 04 90554>MOV DWORD PTR DS:[EAX+4],004A5590
004A5E12 . A1 E48C4A00 MOV EAX,DWORD PTR DS:[4A8CE4] ; 如果是WinNT系统则启动服务
004A5E17 . 50 PUSH EAX ; /pServiceTable = message.004ABF50
004A5E18 . E8 CF2AFBFF CALL 004588EC ; \StartServiceCtrlDispatcherA
004A5E1D . EB 0C JMP SHORT 004A5E2B
004A5E1F > E8 28F6FFFF CALL 004A544C
……
看看都有些什么吧:- ).
004A5E58 . FFFFFFFF DD FFFFFFFF
004A5E5C . 0F000000 DD 0000000F
004A5E60 . 77 77 77 2E 6>ASCII "www.huigezi.net",0
004A5E70 . 49 45 78 70 6>ASCII "IExplore.exe",0
004A5E7D 00 DB 00
004A5E7E 00 DB 00
004A5E7F 00 DB 00
004A5E80 . 56 49 50 32 2>ASCII "VIP2.0_MUTEX",0
004A5E8D 00 DB 00
004A5E8E 00 DB 00
004A5E8F 00 DB 00
004A5E90 . FFFFFFFF DD FFFFFFFF
004A5E94 . 04000000 DD 00000004
004A5E98 . 2E 4E 45 57 0>ASCII ".NEW",0
004A5E9D 00 DB 00
004A5E9E 00 DB 00
004A5E9F 00 DB 00
004A5EA0 . 53 6F 66 74 5>ASCII "SoftWare\Microso"
004A5EB0 . 66 74 5C 57 6>ASCII "ft\Windows\Curre"
004A5EC0 . 6E 74 56 65 7>ASCII "ntVersion\Run",0
如果是直接用OD运行程序的程序,程序就会先获取相关配置信息,然后如果是WinNT系统则启动相关服务,然后自己自身退出。好了,到这里就比较简单的分析出放木马者的信息,因为我自已连不上放木马者的网站,再则对灰鸽子的配置也不懂,因此就此打住,如果你有兴趣的话,可以联系我得到目标文件。下面是大概的清理方法(我的系统重做了,因此只写我自己记得的部分):
删除进程中的iexplorer进程(我从来不用IE上网的),停止服务里的COM+ server服务,然后删除服务,删除相关文件。
| 手把手教你破解灰鸽子成为会员!! | 10-05 |
| 手把手教你手脱灰鸽子2007 Beta | 08-14 |
| 零基础制作《武林外传》外挂 (VB | 07-11 |
| 壳,加壳,脱壳,介绍壳的一些基本 | 07-07 |
| 给新手引路-浓缩汇编基础 | 06-29 |
| 妙解破解的原理 | 05-10 |
| 教菜鸟写注册机 | 04-16 |
| 软件破解新手进化篇 | 04-16 |
| [软件破解]破解原理 | 04-14 |
| [软件破解]常见保护的攻击:序列号 | 04-14 |
| 用OllyDbg手脱RLPack V1.17加壳的 | 04-04 |
| PELock v1.0x 脱壳之完美风暴 | 03-28 |
您现在的位置: