1 2 下一页 我一直以为Share是一只server/client端的木马,仔细分析之后,我发觉我错了。在我运行Share木马之前,我把我的注册表以及所有硬盘上的文件数量、结构用一个监控软件DiskState记录了起来,这个监控软件据说使用了128bit MD5的技术来捕获所有文件的状态,只要一增加、减少、修改和替换任何文件,这个软件就会把改变了的情况给我指出来。准备妥当后,我把share.exe运行了一下,系统看起来好像毫无反应,我马上使用Dllshow(内存进程察看软件)观看内存进程,嗯,没有任何变化,我想,一般木马都会马上在内存驻留的,可能它修改了硬盘上的文件吧。接着用DiskState比较运行share.exe前后的记录,显示windows\applog里面的目录的一些文件和system.dat、user.dat文件起了变化,并没有其他文件的增加和修改。这里我要告诉大家的是,applog目录里面存放了所有应用程序函数和程序调用的情况,而system.dat和user.dat则是组册表的组成文件。我把applog目录里面的share.lgc打开来观看,它的调用过程如下:(篇幅太长,只把关键的调用列出)
o c15625a0 92110 "C:\WINDOWS\SYSTEM\OLEAUT32.DLL"
o c1561d40 c1000 "C:\WINDOWS\SYSTEM\OLE32.DLL"
o c1553520 6000 "C:\WINDOWS\SYSTEM\INDICDLL.DLL"
o c15d4fd0 2623 "C:\WINDOWS\WIN.INI"
o c15645b0 8000 "C:\WINDOWS\SYSTEM\SVRAPI.DLL"
o c1554190 f000 "C:\WINDOWS\SYSTEM\MPR.DLL"
o c154d180 a1207 "C:\WINDOWS\SYSTEM\USER.EXE"
o c1555ef0 13000 "C:\WINDOWS\SYSTEM\MSNET32.DLL"
我很奇怪,为什么不见MSWINSCK.OCX或WSOCK2.VXD的调用呢?因为如果木马想要进行网络通讯,是会使用一些socket调用的。接着我再观察注册表的变化,在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanMan下面,多了几个键值,分别是CJT_A$、CJT_C$、CJT_D$、CJT_E$、CJT_F$,其内部键值如下:1 2 下一页 |
