手工分离捆绑及清除木马(原创,转载请注明)
手工分离捆绑及清除木马
黯♂恋之殇
QQ:1007566569
(如果看不到图片请下载附件或到我的QQ空间浏览(顺便踩踩..O(∩_∩)O~)
你好\(^o^)/~,自己好不容易找到一个合意的好软件,但又不知道有没有被捆绑了木马,要是有,自己的电脑就成了别人的肉鸡(即被木马操控者完全控制)到时游戏账号被盗不说,隐私被曝光了就坏了…我在一些“黑客群”(他们自称的)里看到他们的截图,他们利用木马来控制对方的电脑,开启摄像头,进行视频监测,呃,说白了,要是你的摄像头对着你的脸,那么他们就能看到你的脸….当然这也只有无聊的骇客会做这些事(事实上,有N多类似的无聊骇客)要是那个软件捆绑了一个很变态的病毒,那你就准备被格盘吧…….. 呃,我知道你在想些什么,杀毒软件!对吧,那玩意,我不敢去否认它们,但也不会太信任它们,至于为什么我会这样说,因为杀毒软件的查杀技术实在有点被动,不能查杀新变种的木马….在我的QQ空间的日志中一篇《再次请你们不要太依赖杀毒软件》有详细说明及有视频证明,若大家有兴趣可以去看看…(网上有关于分离被捆绑正常文件的文章及视频教程,大部分都是靠软件去查和强行分离...这中方法准确率也就只有20%可以成功吧,当然也有手工直接剥离代码来实现分离,我试过..这些方法只对低级的捆绑软件有点用...下面的方法可以高达99%的准确率分离,前提是工具没问题,此作品属于原创作品,转载请注明..谢了哈!)为了让你们更全面的理解,我自己配置一个木马再捆绑到“C语言函数大全”里面(模拟骇客),下面是木马的配置信息(木马就用上兴吧,主流木马,并且具有再生能力),见图1 图1左边的是木马可以从配置信息看到,中间是正常文件,右边是捆绑文件,见图2, 图2然后直接删除左边两个,把捆绑过后的文件改为正常软件的名字并发布这个软件。好了,骇客这边做好了。
我们在网上恰好找到“C语言函数大全”这个软件,但又不知道有没捆绑了木马,但这个软件实在是太需要了,所以我们要进行对它分析(杀软对经过免杀处理的木马不起作用)。现在我们要准备三个软件,进程执法官、文件监控系统、影子系统(如果系统配置允许的话建议安装虚拟机…)。然后在“我的电脑”→“工具”→“文件夹选项”→“查看”中把“隐藏受保护文件的操作系统文件(推荐)”、“隐藏已知文件类型的扩展名”勾上并选中“显示所有文件和文件夹”见图0 图0再开启影子系统后,运行进程执法官,我这就以进程执法官1.02(黯♂恋之殇破解版)为例,然后进入系统控制→监控设置(左上角)见图3图3,在“执法官进程监控对象”、“普通进程”、“网络进程”里面的全部勾上(监视以下本机端口的链接就不需要勾上了)见图4图4,按确定。再运行文件监控系统(我这就用“黯♂恋之殇 改进版”的吧)(进程执法官会提示 ),进入文件监控系统设置,把“监控文件的新建”、“监控文件的删除”勾上,见图5图5,按应用之后点X…见图6图6,然后在监控区域选择全盘监控,见图7,图7,开启监控,图8图8再回到进程执法官把监控信息“全部清空”见图9图9好了,全部设置完了(在设置期间最好不要运行其他的软件)。现在就运行C语言函数那个怀疑被捆绑了木马的文件吧,要注意屏幕右下角会有执法官的提示哦。郁闷,运行的好快….来不及截图了,见图10图10,在图10中可以看到,c语言函数大全正常运行,但木马也同时运行了,在进程执法官的监控信息可以看到,见图11图11同时,骇客那边上兴客户端也有上线提示..见图12(因为测试,所以我填了127.0.0.1的IP)
图12这意味着,现在那名骇客可以完全的控制我们了…..我们也知道这个软件是被捆绑了木马,所以要立即采取行动,先立即结束掉这个软件所建立的进程,软件本身的进程不能结束,我们只要结束和“calc.exe”进程就行了,这里要说明一下,一定要先结束“calc.exe”不然“IEXOLORE.EXE”进程结束了还会再次运行(我们找到了木马文件也会具有再生功能)见图13图13结束掉后,骇客那边的也就不能再控制我们的电脑了…见图14图14捆绑软件的原理是把两个文件合并变为一个文件,当我们第一次运行了捆绑文件时,它把体内的两个文件释放到某个目录,然后再同时运行那两个文件,当第二次运行它时,它首先会检测那个目录有没有这两个文件,若是有就直接调用而不再释放,这就导致了类似文件监控系统的软件完全检测不出来,所以我们在第一次运行捆绑软件的时候就要分析了,失误了就只能重启之后再次重新分析(这也就是为什么要影子系统的缘故了)。了解了捆绑软件的原理我们就先分析一下“C语言函数大全”这个软件释放了那些文件,看看“文件监控系统”的记录,见图15图15 “文件监控系统”显示,这个被捆绑了木马的软件新建了9个文件,但又删除了4个文件,见图16 图16因为新建了9个又删除了4个,所以事实上是新建了5个,我们分析记录,看看哪些新建了又删除可的文件,类似图17的记录,我们把它们删掉(考虑到木马会自删除,所以我们不能删掉扩展名是“.exe”的)。 图17好了,见过分析整理后记录如下 见图18图18它先释放了两个名为“Kban0.exe”和“Kban1.exe”可执行文件,之后就是释放临时文件了(扩展名为*.tmp *.log *.gid *.chk *.old等等都是临时文件)说明了它合并了两个可执行文件(即捆绑)那么,肯定一个就是正常文件,一个是木马文件了,因为大多数木马都会自删除,我们看看下面的记录,“Kban1.exe”被删除了见图19,我们可以认定“Kban1.exe”是木马文件了图19由图18知道,它是先运行“Kban0.exe”这个正常文件,在运行“Kban1.exe”这个木马文件,那么图18的第三个的临时文件就应该是正常文件所释放的临时文件了,名字可看出“C语言函数大全.EXE-04ADF748.pf”。第四个的名字“KBAN1.EXE-2D68740C.pf”也已经说明是“Kban1.exe”所释放的临时文件。那么我先到这个目录看看,选中它右击→打开所在目录 如图20图20 找到它,查看它的属性 你会发现,这个正常的软件会比那个捆绑过的软件小 见图21
(左边为捆绑过的软件,右边为正常软件) 图21那么我们就先把“Kban0.exe”这个正常文件复制到可以保存的存储介质里面(因为开启影子系统后文件不能保存),捆绑的文件分离完成了。接下来我们要做的是怎样彻底删除掉这个木马,虽然我们有影子系统,但以后我们要是在没有影子系统的情况下中了这个木马,要是不删掉它就会很惨…经过上面对记录的分析,我们知道在记录的第4、5、6、8是木马运行后的释放文件行为。删掉其它无用的记录以下就是木马新建文件与自删除的记录了,其中第3条为木马自删除行为,它总共在不同的系统目录里释放了两个可执行文件“C语言函数.exe”、 “-C语言函数.exe” 我们先把第一个释放的文件记下来,然后 在“开始”→“运行”里面输入“regedet”打开注册表:“编辑”→“查找”把那个文件的名字输入 并把“查看”里面的“值”、“数据”的勾去掉后按“查找下一个”,如图然后就会找到这个, 这个服务启动项是木马文件写入进去的,这样就能达到电脑重启后能够自动运行的目的…..好了,注册表搞定了,剩下的那两个释放的文件就直接删掉吧!(关于注册表这步建议用注册表监控类的软件,这样更准确)木马清除完成!若还是觉得不够详细的话,请告诉我哈 我会做个与这篇文章相对应的视频教程``````````(工具本人QQ空间有哈,另外本人愿和各位网络安全技术人员做朋友,本人17岁,在校学生)用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; 360SE)