簡單通用木馬分析術

為了防止木馬對真實的系統造成破壞，因此需要將其調入虛擬機中執行，同時切斷虛擬機的網絡連接，防止其從網上下載更多的“幫手”。常用的虛擬機種類各異，例如VirtualBox、VMware Workstation、Virtual PC等。本例中使用的是簡單易用的Virtual PC這款虛擬機軟件。為了發現木馬的行蹤，需要使用 File Monitor、Regshot、IceSword等工具，分別對文件和注冊表的變動信息進行監控，同時對發現的木馬進行清除。

當然，您也可以使用Registry Monitor、SUNDY等監控工具。

首先，在虛擬機中打開Windows XP系 統，將捕獲的木馬服務器端程序放置到該虛擬機中，先執行Regshot，在其主界面（如圖1所示）中點擊按鈕菜單“建立快照A”→“全部注冊表”項，對整個注冊表拍攝快照。之后啟動FileMon，在其主界面中點擊“Ctrl+E”鍵，執行文件監控動作。為了便于觀察，最好點擊菜單“選項”→“字體”項，將字體大小設置為8，這樣可以清晰地查看監控內容。布置好監控環境后，執行木馬服務器端程序“services.exe”，眨眼間木馬執行完畢。在FileMon主界面中點擊工具欄上第三個按鈕，停止監控動作。點擊菜單“文件”→“保存”項，將監控信息保存為獨立的文件。

圖1 監控文件活動信息

圖2 為注冊表拍攝快照

在 RegShot主 界 面（如圖2所示）中點擊按鈕菜單“建立快照B”→“全部注冊表”按鈕菜單，對注冊表再次拍攝快照。然后點擊“比較快照”按鈕，對木馬運行前后的注冊表快照進行檢測比較，過濾出注冊表的所有變動信息，默認的報告文件存儲在“%SYSTEMDRIVE%Hive”文件夾中。

當然，也可以在Regshot主界面中的“報告保存文件夾”欄中進行修改。

進入該文件夾，可以看到，Regshot生 成 了 HTML格式的報告文件，以及“Report.1.RedoReg.txt” 和“Report.1.UndoReg.txt”文件，前者包含注冊表中所有數據更改信息。

通過對Regshot報告文件的分析，可以發現木馬對注冊表進行的所有操作信息，包括新增了15個子健、刪除了8個鍵值名、增加了30個鍵值名、修改了5個鍵值名等。在其中可以看到，木馬在注冊表中相關啟動項中添加了可疑程序，這樣可以在系統啟動時自動激活木馬。

在“HKEY_LOCAL_MACHINESOFTWAREM i c r o s o f tW i n d o w sCurrentVersionExplorerAdvancedFolderHiddenSHOWALL”分支下對和查看隱藏文件相關的項目進行了修改，讓用戶無法開啟隱藏文件顯示功能等。打開FileMon提供的文件活動監控信息，可以看到，其內容比較復雜，為了簡便起見，可以使用記事本搜索“Create”、“Write”、“Delete”等關鍵信息，找出和木馬程序相關的新建、修改和刪除文件記錄。

經過耐心細致的分析，發現該木馬文件的主要文件分別存放到了“C:WindowsIME”文件夾和各盤符根目錄下的“Cache.dt”文件夾中。同時，在各盤的根目錄下創建了“Autorun.inf”文件，當用戶雙擊盤符時就會激活木馬。此外，木馬還在“C:Windowssystem”文件夾中新建了“ncscv32.exe”、“runouce.exe”、“tgnyget.dll”等文件。打開任務管理器，果然發現了“ncscv32.exe”、“runouce.exe”等可疑進程信息。當手工結束“runouce.exe”進程后，發現其又自動運行了。看來，一定有宿主進程在背后為其提供支持。啟動 FileMon，點 擊 菜 單“選項”→“過濾/高亮”項，在過濾窗口的“包含”欄中輸入“runouce.exe”，對其活動進行監視，發現當該進程被關閉后，Explorer.exe進程將其重啟啟動。看來，一定是該木馬在Explore.exe進程中插入了DLL模塊，來自動激活木馬進程。在CMD窗口中執行“tasklist /m”命令，檢測各進程模塊使用信息，果然，在Explorer.exe進程中發現了“tgnyget.dll”模塊的身影。由此可見，該DLL模塊一定是插入到了Explorer.exe進程中了。在磁盤根目錄下找到“Autorun.inf”文件，其內容為：

可以看到，木馬在驅動器右鍵菜單中添加了名為“打開(O)”項目來迷惑大家，當雙擊盤符后，其根目錄的“Cache.dt”文件夾中的“cache1.bat”文件就會被激活，該文件經過加密處理，無法直接查閱其內容。如果直接進入“Cache.dt”文 件 夾，當 雙 擊“1.{208D2C60-3AEA-1069-A2D7-08002B30309D }”文件夾時，會引導到網上鄰居窗口，從而達到隱蔽木馬文件的目的。了解了木馬的以上伎倆后，將以上“Report.1.UndoReg.txt”文件復制出來，并更名為“Report.1.Undo.Reg”文件。打開入侵的電腦，在開機時按下F8鍵，將系統引導到安全模式下，使用IceSword將木馬進程“svchost.exe”清除，該程序位于“C:WindowsIME”文件夾中。并根據分析數據，將“C:WindowsIME” 文件夾中的所木馬文件全部刪除。使用IceSword將插入到“explorer.exe” 進 程 中的“tgnyget.dll”卸載。然后將“C:Windowssystem”文件夾中的“ncscv32.exe”、“runouce.exe”、“tgnyget.dll”等木馬文件刪除。之后刪除各盤根目錄下的“Cache.dt”文件夾中的所有內容，刪除“Autorun.inf”文件。再運行復制過來的“Report.1.Undo.Reg”文件，將木馬對注冊表進行的所有改動信息全部清除，之后重啟系統，木馬就徹底驅逐出去了。