一个木马的分析.docx

《一个木马的分析.docx》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、一个木马的分析第一次详细分析木马，不足之处请见谅。这个木马一共，是个比较简单的程序，所以分析起来也不是很难。下面开始正式分析。这是程序的主题函数，一进来就是三个初始化的，然后就是一个大的循环，程序就是在这个循环之中不停的运行着。跟进第一个:函数首先创建了一个变量，用于存放创建的互斥对象句柄。[],就是将创建的互斥句柄传送到中。这里是:创建了一个名为的互斥对象。然后调;用得到错误码，这里加入程序已经有一份实例在运行了，则这个互斥对象就是创建过了的，就是得到错误代码为的值。通过查询发现含义是.所以这样就防止了木马程序同时打开

2、了多份。当返回值是的时候，调用退出程序。总结来说这个就是检查程序是否已经打开，要是打开过了就退出。1/5,,;"";;[],,调用退出程序.检查的。进入的，由于这个函数代码过多，就不贴详细的代码了。函数定义了两个局部字符串数组，(这里是分析给出的名字)和一个文件指针。函数先将这两个数组用零填充，然后调用得到当前程序的完整路径，并将结果存放在中。在调用并将结果存放在中。可以获取系统文件夹，这里他的参数值是。（用户）本地设置应用程序数据。即如果以身份登录获得的是路径。然后调用这个函数在的后面加上。然后比较和是否相同，不同则

3、把自身复制到中，最后运行复制过去的文件，自身退出。总体来讲第二个就是路径.进入的,这个函数就是实现程序的开机运行，手法也很简单。就是在注册表中创建键值。位置在，键值叫做，其迷惑作用。．下面我们进入这个木马的核心程序。大循环。的,,;;;;;申请内存[],;内存首地址存到局部变量里[],'edom',[],'',[],'',[],'';向中填充（注意顺序）2/5;;向追加当前系统用户名，并返回用户名长度,,;始终保持指向字符串的末尾;;获取计算机名，并追加到中，返回计算机名长度[]此时内容为""[];关键;;[];程序首先

4、构造了一个字符串（表示生成的数据），然后调用的函数。这个函数是构造了一个网络请求，并向指定的网站发送请求。用到的函数有，，，，。用抓包软件可以分析出我电脑上的数据.:::::（为我电脑上的用户名）此时对方并未返回数据，可能只是需要向服务器一下数据而已。到此这个大函数的任务完成，于是返回。然后进入的函数。40143F,,;;;;申请缓冲区[],[];;""调用数据的函数3/5[];;处理命令;;[];40143F这个函数也只有两个重点处，调用处的函数，这个函数刚刚用过，传入两个参数，函数将服务器返回的数据存放在第一个参数中

5、，第二个参数仅仅是需要的数据。:::::这是的数据，参数变成了，但是服务器什么也没返回。所以返回数据只能之际分析程序了。下面我们进入处理服务器返回数据的函数。4/5这是这个函数的流程图。接收到的命令有三种！，！，！。当命令为！，调用处的函数，就是调用退出程序。当命令为！，先调用处的函数，再调用处的函数。当命令为！，调用处的函数。处的函数是清楚开机运行的注册表信息。处的函数：从参数中分解出需要下载的文件字符串和下载后存储的文件名，然后调用下载文件，再调用运行它，都是常规的手法。到此这个函数的功能叶介绍玩了。返回到最开始的大

6、循环中，;调用函数，程序先挂起分钟，然后再循环。总体来说这个程序的功能是比较简单的，就是到指定的网站上接受相应的命令，在做出相应的处理。只不过在这个杀软看守很严的年代已经没有它的存活空间了，第一次分析木马，有些简单了，哈哈。5/5