一个小木马,已手动能实现程序,自动化过程有点问题?

wym_2007 2008-10-23 09:23:48
本人做信息安全,现有个小马,发现为xxx.exe格式,双击显示图片;实际在双击过程中它自动在windows下建立一个隐藏文件,然后把真正的exe放在改文件下,并且进程中多出spoolsv.exe,手动可以找到改exe路径
问题:如何通过xxx.exe,找到真正的exe呢?createProcess能否实现呢? 有时一个木马隐藏更加深,比如通过3个以上中间文件隐蔽自己,我觉得两个实现,写递归就可以? 请高人指点?
...全文
124 8 打赏 收藏 转发到动态 举报
写回复
用AI写文章
8 条回复
切换为时间正序
请发表友善的回复…
发表回复
wym_2007 2008-10-24
  • 打赏
  • 举报
回复
没有理解我意思呀 算了也不表达了 自己解决了~!
WinEggDrop 2008-10-23
  • 打赏
  • 举报
回复
[Quote=引用楼主 wym_2007 的帖子:]
本人做信息安全,现有个小马,发现为xxx.exe格式,双击显示图片;实际在双击过程中它自动在windows下建立一个隐藏文件,然后把真正的exe放在改文件下,并且进程中多出spoolsv.exe,手动可以找到改exe路径
问题:如何通过xxx.exe,找到真正的exe呢?createProcess能否实现呢? 有时一个木马隐藏更加深,比如通过3个以上中间文件隐蔽自己,我觉得两个实现,写递归就可以? 请高人指点?
[/Quote]

ReadDirectoryChangesW()监视windows下目录和子目录,监视所有新建文件项(文件修改,文件删除等操作不做监视).够简单方便了吧.
wym_2007 2008-10-23
  • 打赏
  • 举报
回复
xxx.exe是双击后只能看到显示图片,我看到的spoolv.exe是通过一些网络工具才找到的
现在目的是如何自动的获得spoolv.exe? 我已经hook xxx.exe的,现在目的是hook spoolv.exe。
野男孩 2008-10-23
  • 打赏
  • 举报
回复
嗯,hook NtCreateProcess也行吧

不过都有xxx.exe了,分析一下xxx.exe生成spoolv.exe文件的那部分代码不就行了吗。
nooning 2008-10-23
  • 打赏
  • 举报
回复
进程没有递归,只要继承

你可以HOOK住一些创建进程的函数,ntcreatesection 比较合适

然后你就可以在新进程时把自己加载进去,每一步都写日志你就知道是谁开了谁
wym_2007 2008-10-23
  • 打赏
  • 举报
回复
up!!!!
wym_2007 2008-10-23
  • 打赏
  • 举报
回复
filemon不熟悉,好像有源码,我去学习学习;但是还是希望有高人来,提点vc实现的思路,谢谢
jacklzw88 2008-10-23
  • 打赏
  • 举报
回复
filemon
该软件是游戏软件,主要用于捉弄人 1、远程文件操作:包括创建、上传、下载、复制、删除文件或目录、打开文件(提供了四中不同的打开方式??正常方式、最大化、最小化和隐藏方式)等多项文件操作功能; 2、远程关机、重启、睡眠,拨号控制,光驱控制,注册表锁定,鼠标锁定,键盘锁定,对桌面图标、任务栏等锁定和隐藏等系统控制; 3、更改系统墙纸、分辨率、颜色、主机名、创建网络共享等系统配置功能; 4、获取计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据; 5、对按键监视、剪切板监视、文件操作监视、任务监视和终止以及直接的屏幕监视和控制; 6、口令获取:上网密码,用户登陆密码,以星星出现过的密码,以及“Password”,“密码”,“登陆”,“口令”,“连接”,“帐号”,“用户”,“login”,“account”,“connect”等敏感字符进行获取,内存和CPU利用率也并不高。 7、短信息发送:以四种常用图标向被控端发送简短信息; 8、点对点聊天:与被控端进行点对点聊天交谈; 9、骷髅、地震、乱屏等耍人操作; 10、命令提示符操作:对DIR、NET VIEW等什么的Command命令操作; 11、注册表操作:主键的浏览、增删、重命名和对键值的读写等所有注册表操作功能; 12、EXE处理器:帮你的木马瞒天过海,帮你的EXE文件进行捆绑,加密,更换图标; 13、服务断配置:可更改端口、密码IP通知采用Email通知和客户端内置服务器侍待两种通知方式,Email通知将你的动态IP和密码星星等发走,采用静态IP通知5分钟刷新一次; 14、增加系统安全性,用户需要密码才能访问,可自动卸载,重新加载 15、新版单一采用TCP/IP协议传输,没用到UDP协议,消除了服务端在Win2k/NT下的不稳定情况 一些问题: 1、自动搜索:计算机自动扫描指定端口下的IP,该服务器程序指定端口为8011,又分高级搜索和低级搜索 2、低级搜索:在指定C类子网下扫描IP,用时短,显示中木马的计算机 3、高级搜索:穷举所有IP,用时长,显示中木马的计算机 4、因为要等待对方响应,根据你搜索的网大小定致延时 5、退出会终止搜索并把列表中的IP地址列在IP列表中,未保存 6、屏幕跟踪时,按键盘、鼠标相当对方按键盘鼠标,完全模拟,采用了JPEG图象传输适合Internet传输 7、IP列表中,读入记录可把保存的IP列举出来 8、IP列表中,保存记录可把列表中的IP保存进文件 9、IP列表中,清空记录删除文件记录 10、IP列表中,删除记录可在文件中删除该条记录 11、IP列表中,双击列表可自动把IP列入连接IP上 12、如用新建文件夹、复制、粘贴等,可能有影射错误,可用文件自动刷新,注册表同理,建议手动刷新 13、更换计算机名字要下次重启才有效 14、文件管理器中注意底下的当前目录可能和你左边的目录树不同,这没有错,因为数据未接收完时你按键 太多了 15、对键值的新建或删除不会自动刷新,请重新展开根键 16、 更换墙纸 命令无效,这个问题的可能性太多了,较常见的原因是被监控端的桌面设置为 按WEB页查看 17、二进制修改支持到0x200的偏移量修改 18、IP通知,分Email通知(动态IP适用)和内置IP服务侍待器(局域网适用),不需要Email通知请清空SMTP和Email 19、更改了配置采用重载服务断后立即有效 20、由于采用防DES复杂加密技术,EXE加密器如果采用随机码加密则运行解密时会慢点 21、加密后的程序只不过是来帮木马、病毒之类的瞒天过海,运行后当然会原形毕露,也只能做到这一步 22、所以要先配置服务端后再进行EXE捆绑才有效 23、配置服务断程序端口请用1024-65535之间的端口,以免冲突 24、由于2.1之后版本的内核和方法都完全改了,支持对2.1后的版本在线升级服务

18,356

社区成员

发帖
与我相关
我的任务
社区描述
VC/MFC 网络编程
c++c语言开发语言 技术论坛(原bbs)
社区管理员
  • 网络编程
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告
暂无公告

试试用AI创作助手写篇文章吧