木马病毒分析

基本概念

木马病毒是计算机黑客用于远程控制计算机的程序，将控制程序寄生于被控制的计算机系统中，里应外合，对被感染木马病毒的计算机实施操作。一般的木马病毒程序主要是寻找计算机后门，伺机窃取被控计算机中的密码和重要文件等。可以对被控计算机实施监控、资料修改等非法操作。木马病毒具有很强的隐蔽性，可以根据黑客意图突然发起攻击

计算机木马病毒是指隐藏在正常程序中的一段具有特殊功能的恶意代码，是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。

原理

木马病毒通常是基于计算机网络的，是基于客户端和服务端的通信、监控程序。客户端的程序用于黑客远程控制，可以发出控制命令，接收服务端传来的信息。服务端程序运行在被控计算机上，一般隐藏在被控计算机中，可以接收客户端发来的命令并执行，将客户端需要的信息发回，也就是常说的木马程序。

种类

1. 网游木马
2. 网银木马
3. 下载类
4. 代理类
5. FTP木马

6. 通讯软件类

   • 发送消息型
   • 盗号型
   • 传播自身型

7. 网页点击类

特征

隐蔽性、欺骗性、顽固性、危害性

传播方式

木马病毒的传播方式比较多，主要有：
（1）利用下载进行传播，在下载的过程中进入程序，当下载完毕打开文件就将病毒植入到电脑中；
（2）利用系统漏洞进行传播，当计算机存在漏洞，就成为木马病毒攻击的对象；
（3）利用邮件进行传播，很多陌生邮件里面就掺杂了病毒种子，一旦邮件被打开，病毒就被激活；
（4）利用远程连接进行传播；
（5）利用网页进行传播，在浏览网页时会经常出现很多跳出来的页面，这种页面就是病毒驻扎的地方；
（6）利用蠕虫病毒进行传播等。

伪装方式

修改图标、捆绑文件、出错显示、定制端口、自我销毁、木马更名

木马防范

检测和寻找木马隐藏的位置、防范端口、删除可疑程序、安装防火墙、健全网站和网络游戏的管理、防范意识

云沙箱木马检测

微步

动态行为检测、威胁情报检测、多引擎检测、云文件检测、定制化检测，

奇安信

样本分析

https://www.52pojie.cn/forum-32-2.html

msf生成的木马分析

样本信息：
文件: C:\ts4yqj4\1709112706.exe
大小: 194048 bytes
修改时间: 2024/03/20
MD5: b05eee61f528fe95b812edc6b9c89978
SHA1: bff4d76f63588b89c778f34c839b640b75aecc53
CRC32: 5016C0EE

1.查壳
工具：detect it easy

2.IDA进行分析
IDA下载地址：https://down.52pojie.cn/Tools/Disassemblers/IDA_Pro_v8.3_Portable.zip

逆向CS生成exe木马

cs生产后门


CS生成的exe其实是一个loder，也就是加载器，加载器加载里面的shellcode来运行主要功能，所以我们进行逆向分析的时候也分成两个步骤：外层loder分析和内层shellcode分析。、
1.外层loder分析
查壳

无壳。接下来扔进IDA进行静态分析。

main函数这里调用了两个函数之后调用了一个Sleep，跟进27F0发现没什么东西，我们直接看1840