瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 菜鸟学堂 » 手工分离捆绑及清除木马(原创,转载请注明)
黯恋之殇 - 2009-10-25 17:13:00

手工分离捆绑及清除木马


黯♂恋之殇


QQ:1007566569


(如果看不到图片请下载附件或到我的QQ空间浏览(顺便踩踩..O(∩_∩)O~)



  你好\(^o^)/~,自己好不容易找到一个合意的好软件,但又不知道有没有被捆绑了木马,要是有,自己的电脑就成了别人的肉鸡(即被木马操控者完全控制)到时游戏账号被盗不说,隐私被曝光了就坏了我在一些“黑客群”(他们自称的)里看到他们的截图,他们利用木马来控制对方的电脑,开启摄像头,进行视频监测,呃,说白了,要是你的摄像头对着你的脸,那么他们就能看到你的脸….当然这也只有无聊的骇客会做这些事(事实上,有N多类似的无聊骇客)要是那个软件捆绑了一个很变态的病毒,那你就准备被格盘吧……..
  呃,我知道你在想些什么,杀毒软件!对吧,那玩意,我不敢去否认它们,但也不会太信任它们,至于为什么我会这样说,因为杀毒软件的查杀技术实在有点被动,不能查杀新变种的木马….在我的QQ空间的日志中一篇《再次请你们不要太依赖杀毒软件》有详细说明及有视频证明,若大家有兴趣可以去看看网上有关于分离被捆绑正常文件的文章及视频教程,大部分都是靠软件去查和强行分离...这中方法准确率也就只有20%可以成功吧,当然也有手工直接剥离代码来实现分离,我试过..这些方法只对低级的捆绑软件有点用...下面的方法可以高达99%的准确率分离,前提是工具没问题,此作品属于原创作品,转载请注明..谢了哈
为了让你们更全面的理解,我自己配置一个木马再捆绑到“C语言函数大全”里面(模拟骇客),下面是木马的配置信息(木马就用上兴吧,主流木马,并且具有再生能力),见图1

                  1
左边的是木马可以从配置信息看到,中间是正常文件,右边是捆绑文件,见图2
              2
然后直接删除左边两个,把捆绑过后的文件改为正常软件的名字并发布这个软件。好了,骇客这边做好了。


我们在网上恰好找到“C语言函数大全”这个软件,但又不知道有没捆绑了木马,但这个软件实在是太需要了,所以我们要进行对它分析(杀软对经过免杀处理的木马不起作用)。现在我们要准备三个软件,进程执法官、文件监控系统、影子系统(如果系统配置允许的话建议安装虚拟机)。然后在“我的电脑”→“工具”→“文件夹选项”→“查看”中把“隐藏受保护文件的操作系统文件(推荐)”、“隐藏已知文件类型的扩展名”勾上并选中“显示所有文件和文件夹”见图0

          0
再开启影子系统后,运行进程执法官,我这就以进程执法官1.02(黯♂恋之殇破解版)为例,然后进入系统控制→监控设置(左上角)见图3

3
,在“执法官进程监控对象”、“普通进程”、“网络进程”里面的全部勾上(监视以下本机端口的链接就不需要勾上了)见图4

4
,按确定。再运行文件监控系统(我这就用“黯♂恋之殇 改进版”的吧)(进程执法官会提示 ),进入文件监控系统设置,把“监控文件的新建”、“监控文件的删除”勾上,见图5

5
,按应用之后点X…见图6

6
,然后在监控区域选择全盘监控,见图7

7
,开启监控,图8

8
再回到进程执法官把监控信息“全部清空”见图9

9
好了,全部设置完了(在设置期间最好不要运行其他的软件)。现在就运行C语言函数那个怀疑被捆绑了木马的文件吧,要注意屏幕右下角会有执法官的提示哦。郁闷,运行的好快….来不及截图了,见图10

10
,在图10中可以看到,c语言函数大全正常运行,但木马也同时运行了,在进程执法官的监控信息可以看到,见图11

11
同时,骇客那边上兴客户端也有上线提示..见图12(因为测试,所以我填了127.0.0.1IP



12
这意味着,现在那名骇客可以完全的控制我们了…..我们也知道这个软件是被捆绑了木马,所以要立即采取行动,先立即结束掉这个软件所建立的进程,软件本身的进程不能结束,我们只要结束和“calc.exe”进程就行了,这里要说明一下,一定要先结束“calc.exe”不然“IEXOLORE.EXE”进程结束了还会再次运行(我们找到了木马文件也会具有再生功能)见图13

13
结束掉后,骇客那边的也就不能再控制我们的电脑了见图14

14

捆绑软件的原理是把两个文件合并变为一个文件,当我们第一次运行了捆绑文件时,它把体内的两个文件释放到某个目录,然后再同时运行那两个文件,当第二次运行它时,它首先会检测那个目录有没有这两个文件,若是有就直接调用而不再释放,这就导致了类似文件监控系统的软件完全检测不出来,所以我们在第一次运行捆绑软件的时候就要分析了,失误了就只能重启之后再次重新分析(这也就是为什么要影子系统的缘故了)。
了解了捆绑软件的原理我们就先分析一下“C语言函数大全”这个软件释放了那些文件,看看“文件监控系统”的记录,见图15

15
  “文件监控系统”显示,这个被捆绑了木马的软件新建了9个文件,但又删除了4个文件,见图16

                  16
因为新建了9个又删除了4个,所以事实上是新建了5个,我们分析记录,看看哪些新建了又删除可的文件,类似图17的记录,我们把它们删掉(考虑到木马会自删除,所以我们不能删掉扩展名是“.exe”的)。
17
好了,见过分析整理后记录如下  见图18

18
它先释放了两个名为“Kban0.exe”和“Kban1.exe”可执行文件,之后就是释放临时文件了(扩展名为*.tmp *.log *.gid *.chk *.old等等都是临时文件)说明了它合并了两个可执行文件(即捆绑)那么,肯定一个就是正常文件,一个是木马文件了,因为大多数木马都会自删除,我们看看下面的记录,“Kban1.exe”被删除了见图19,我们可以认定“Kban1.exe”是木马文件了

19
由图18知道,它是先运行“Kban0.exe”这个正常文件,在运行“Kban1.exe”这个木马文件,那么图18的第三个的临时文件就应该是正常文件所释放的临时文件了,名字可看出“C语言函数大全.EXE-04ADF748.pf”。第四个的名字“KBAN1.EXE-2D68740C.pf”也已经说明是“Kban1.exe”所释放的临时文件。那么我先到这个目录看看,选中它右击→打开所在目录 如图20


20
  找到它,查看它的属性 你会发现,这个正常的软件会比那个捆绑过的软件小 见图21
(左边为捆绑过的软件,右边为正常软件)

                    21
那么我们就先把“Kban0.exe”这个正常文件复制到可以保存的存储介质里面(因为开启影子系统后文件不能保存),捆绑的文件分离完成了。接下来我们要做的是怎样彻底删除掉这个木马,虽然我们有影子系统,但以后我们要是在没有影子系统的情况下中了这个木马,要是不删掉它就会很惨
经过上面对记录的分析,我们知道在记录的第4568是木马运行后的释放文件行为。删掉其它无用的记录以下就是木马新建文件与自删除的记录了,

其中第3条为木马自删除行为,它总共在不同的系统目录里释放了两个可执行文件“C语言函数.exe”、 -C语言函数.exe 我们先把第一个释放的文件记下来,然后 在“开始”→“运行”里面输入“regedet”打开注册表:“编辑”→“查找”把那个文件的名字输入 并把“查看”里面的“值”、“数据”的勾去掉后按“查找下一个”,如图

然后就会找到这个,
这个服务启动项是木马文件写入进去的,这样就能达到电脑重启后能够自动运行的目的…..好了,注册表搞定了,剩下的那两个释放的文件就直接删掉吧!(关于注册表这步建议用注册表监控类的软件,这样更准确)
木马清除完成!若还是觉得不够详细的话,请告诉我哈  我会做个与这篇文章相对应的视频教程``````````(工具本人QQ空间有哈,另外本人愿和各位网络安全技术人员做朋友,本人17岁,在校学生)

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; 360SE)

附件: 手工检测捆绑木马.rar
最硬的石头 - 2009-10-25 23:26:00
:kaka9: 真的这样看很不方便,还是将图片插进来吧
兰色贝雷帽 - 2009-10-25 23:32:00
同感
︶ㄣ紫se - 2009-11-3 12:45:00
该用户帖子内容已被屏蔽
梦幻の星oо - 2009-11-4 21:16:00
我也觉得做个教程 大家都好看一些
1
查看完整版本: 手工分离捆绑及清除木马(原创,转载请注明)