手工分离捆绑及清除木马（原创，转载请注明） bbs.ikaka.com

黯恋之殇 - 2009-10-25 17:13:00

手工分离捆绑及清除木马

黯♂恋之殇

QQ:1007566569

（如果看不到图片请下载附件或到我的QQ空间浏览（顺便踩踩..O(∩_∩)O~）

你好\(^o^)/~，自己好不容易找到一个合意的好软件，但又不知道有没有被捆绑了木马，要是有，自己的电脑就成了别人的肉鸡（即被木马操控者完全控制）到时游戏账号被盗不说，隐私被曝光了就坏了…我在一些“黑客群”（他们自称的）里看到他们的截图，他们利用木马来控制对方的电脑，开启摄像头，进行视频监测，呃，说白了，要是你的摄像头对着你的脸，那么他们就能看到你的脸….当然这也只有无聊的骇客会做这些事（事实上，有N多类似的无聊骇客）要是那个软件捆绑了一个很变态的病毒，那你就准备被格盘吧……..
呃，我知道你在想些什么，杀毒软件！对吧，那玩意，我不敢去否认它们，但也不会太信任它们，至于为什么我会这样说，因为杀毒软件的查杀技术实在有点被动，不能查杀新变种的木马….在我的QQ空间的日志中一篇《再次请你们不要太依赖杀毒软件》有详细说明及有视频证明，若大家有兴趣可以去看看…（网上有关于分离被捆绑正常文件的文章及视频教程，大部分都是靠软件去查和强行分离...这中方法准确率也就只有20%可以成功吧，当然也有手工直接剥离代码来实现分离，我试过..这些方法只对低级的捆绑软件有点用...下面的方法可以高达99%的准确率分离，前提是工具没问题，此作品属于原创作品，转载请注明..谢了哈！）
为了让你们更全面的理解，我自己配置一个木马再捆绑到“C语言函数大全”里面（模拟骇客），下面是木马的配置信息（木马就用上兴吧，主流木马，并且具有再生能力），见图1

图1
左边的是木马可以从配置信息看到,中间是正常文件，右边是捆绑文件，见图2，
图2
然后直接删除左边两个，把捆绑过后的文件改为正常软件的名字并发布这个软件。好了，骇客这边做好了。

我们在网上恰好找到“C语言函数大全”这个软件，但又不知道有没捆绑了木马，但这个软件实在是太需要了，所以我们要进行对它分析（杀软对经过免杀处理的木马不起作用）。现在我们要准备三个软件，进程执法官、文件监控系统、影子系统（如果系统配置允许的话建议安装虚拟机…）。然后在“我的电脑”→“工具”→“文件夹选项”→“查看”中把“隐藏受保护文件的操作系统文件（推荐）”、“隐藏已知文件类型的扩展名”勾上并选中“显示所有文件和文件夹”见图0

图0
再开启影子系统后，运行进程执法官，我这就以进程执法官1.02（黯♂恋之殇破解版）为例，然后进入系统控制→监控设置（左上角）见图3

图3
，在“执法官进程监控对象”、“普通进程”、“网络进程”里面的全部勾上（监视以下本机端口的链接就不需要勾上了）见图4

图4
，按确定。再运行文件监控系统（我这就用“黯♂恋之殇改进版”的吧）（进程执法官会提示），进入文件监控系统设置，把“监控文件的新建”、“监控文件的删除”勾上，见图5

图5
，按应用之后点X…见图6

图6
，然后在监控区域选择全盘监控，见图7，

图7
，开启监控，图8

图8
再回到进程执法官把监控信息“全部清空”见图9

图9
好了，全部设置完了（在设置期间最好不要运行其他的软件）。现在就运行C语言函数那个怀疑被捆绑了木马的文件吧，要注意屏幕右下角会有执法官的提示哦。郁闷，运行的好快….来不及截图了，见图10

图10
，在图10中可以看到，c语言函数大全正常运行，但木马也同时运行了，在进程执法官的监控信息可以看到，见图11

图11
同时，骇客那边上兴客户端也有上线提示..见图12（因为测试，所以我填了127.0.0.1的IP）

图12
这意味着，现在那名骇客可以完全的控制我们了…..我们也知道这个软件是被捆绑了木马，所以要立即采取行动，先立即结束掉这个软件所建立的进程，软件本身的进程不能结束,我们只要结束和“calc.exe”进程就行了，这里要说明一下，一定要先结束“calc.exe”不然“IEXOLORE.EXE”进程结束了还会再次运行（我们找到了木马文件也会具有再生功能）见图13

图13
结束掉后，骇客那边的也就不能再控制我们的电脑了…见图14

图14

捆绑软件的原理是把两个文件合并变为一个文件，当我们第一次运行了捆绑文件时，它把体内的两个文件释放到某个目录，然后再同时运行那两个文件，当第二次运行它时，它首先会检测那个目录有没有这两个文件，若是有就直接调用而不再释放，这就导致了类似文件监控系统的软件完全检测不出来，所以我们在第一次运行捆绑软件的时候就要分析了，失误了就只能重启之后再次重新分析（这也就是为什么要影子系统的缘故了）。
了解了捆绑软件的原理我们就先分析一下“C语言函数大全”这个软件释放了那些文件，看看“文件监控系统”的记录，见图15

图15
“文件监控系统”显示，这个被捆绑了木马的软件新建了9个文件，但又删除了4个文件，见图16

图16
因为新建了9个又删除了4个，所以事实上是新建了5个，我们分析记录，看看哪些新建了又删除可的文件，类似图17的记录，我们把它们删掉（考虑到木马会自删除，所以我们不能删掉扩展名是“.exe”的）。
图17
好了，见过分析整理后记录如下见图18

图18
它先释放了两个名为“Kban0.exe”和“Kban1.exe”可执行文件，之后就是释放临时文件了（扩展名为*.tmp *.log *.gid *.chk *.old等等都是临时文件）说明了它合并了两个可执行文件（即捆绑）那么，肯定一个就是正常文件，一个是木马文件了，因为大多数木马都会自删除，我们看看下面的记录，“Kban1.exe”被删除了见图19，我们可以认定“Kban1.exe”是木马文件了

图19
由图18知道，它是先运行“Kban0.exe”这个正常文件，在运行“Kban1.exe”这个木马文件，那么图18的第三个的临时文件就应该是正常文件所释放的临时文件了，名字可看出“C语言函数大全.EXE-04ADF748.pf”。第四个的名字“KBAN1.EXE-2D68740C.pf”也已经说明是“Kban1.exe”所释放的临时文件。那么我先到这个目录看看，选中它右击→打开所在目录如图20

图20
找到它，查看它的属性你会发现，这个正常的软件会比那个捆绑过的软件小见图21
（左边为捆绑过的软件，右边为正常软件）

图21
那么我们就先把“Kban0.exe”这个正常文件复制到可以保存的存储介质里面（因为开启影子系统后文件不能保存），捆绑的文件分离完成了。接下来我们要做的是怎样彻底删除掉这个木马，虽然我们有影子系统，但以后我们要是在没有影子系统的情况下中了这个木马，要是不删掉它就会很惨…
经过上面对记录的分析，我们知道在记录的第4、5、6、8是木马运行后的释放文件行为。删掉其它无用的记录以下就是木马新建文件与自删除的记录了，

其中第3条为木马自删除行为，它总共在不同的系统目录里释放了两个可执行文件“C语言函数.exe”、 “-C语言函数.exe” 我们先把第一个释放的文件记下来，然后在“开始”→“运行”里面输入“regedet”打开注册表：“编辑”→“查找”把那个文件的名字输入并把“查看”里面的“值”、“数据”的勾去掉后按“查找下一个”，如图

然后就会找到这个，
这个服务启动项是木马文件写入进去的，这样就能达到电脑重启后能够自动运行的目的…..好了，注册表搞定了，剩下的那两个释放的文件就直接删掉吧！（关于注册表这步建议用注册表监控类的软件，这样更准确）
木马清除完成！若还是觉得不够详细的话，请告诉我哈我会做个与这篇文章相对应的视频教程``````````（工具本人QQ空间有哈，另外本人愿和各位网络安全技术人员做朋友，本人17岁，在校学生）

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; 360SE)

附件: 手工检测捆绑木马.rar

瑞星卡卡安全论坛