news 2026/7/2 7:08:29

木马病毒怎么回事?带你深度分析了解木马病毒!

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
木马病毒怎么回事?带你深度分析了解木马病毒!
一、病毒简介

SHA256:3110f00c1c48bbba24931042657a21c55e9a07d2ef315c2eae0a422234623194

MD5:ae986dd436082fb9a7fec397c8b6e717

SHA1:31a0168eb814b0d0753f88f6a766c04512b6ef03

二、行为分析

老套路,火绒剑监控:

这边可以看见创建了一个exe,又为他设置了注册表自启动;

这里是进行网络链接操作,同时不断获取信息保存文件到本地,这是请求的信息:

general-second.org-help.com/dl_ex1.png?m=000C29AB634E&NOTE=Ni4xIDogMC4wfDV8djEuMAo=

通过微步云沙箱在线进行扫描,结果如下:

三、静态分析

首先查查壳,这里并没有加壳,导入表信息更多是和网络操作有关的函数:

直接拖到IDA分析:

开局创建互斥体防多开,检测之后就到了关键else中:

3.1 sub_4011E0

这里是解密函数名和模块名,随后进行加载,获取地址,那么对于这种情况没有比动态调试更简单的方法了:

那么解密后的结果如下,根据这些函数也大致知道这个木马做了些什么事:

3.2 sub_403600

查看此函数获取路径:

那么此函数就是获取应用程序路径,继续向下看:

显而易见,这里是查看当前程序路径,如果不是自己拷贝的路径,就自我拷贝,然后在注册表设置自启动,运行成功弹窗。

3.3 sub_401580

GetAdaptersInfo:

Next

类型: 结构_IP_ADAPTER_INFO*

指向适配器列表中的下一个适配器的指针。

ComboIndex

类型:DWORD

保留。

AdapterName[MAX_ADAPTER_NAME_LENGTH + 4]

类型: char[MAX_ADAPTER_NAME_LENGTH + 4]

适配器名称的 ANSI 字符串。

Description[MAX_ADAPTER_DESCRIPTION_LENGTH + 4]

类型: char[MAX_ADAPTER_DESCRIPTION_LENGTH + 4]

包含适配器说明的 ANSI 字符串。

AddressLength

类型: UINT

适配器的硬件地址的长度(以字节为单位)。

Address[MAX_ADAPTER_ADDRESS_LENGTH]

类型: BYTE[MAX_ADAPTER_ADDRESS_LENGTH]

表示为 BYTE 数组的适配器的硬件地址。

Index

类型:DWORD

适配器索引。

当禁用并启用适配器或在其他情况下,适配器索引可能会更改,不应被视为持久性。

Type

类型: UINT

适配器类型。 适配器类型的可能值列在 Ipifcons.h 头文件中。

下表列出了适配器类型的常见值,尽管 Windows Vista 及更高版本上可能提供其他值。

Value 含义
MIB_IF_TYPE_OTHER
1
其他类型的网络接口。
MIB_IF_TYPE_ETHERNET
6
以太网网络接口。
IF_TYPE_ISO88025_TOKENRING
9
MIB_IF_TYPE_TOKENRING
MIB_IF_TYPE_PPP
23
PPP 网络接口。
MIB_IF_TYPE_LOOPBACK
24
软件环回网络接口。
MIB_IF_TYPE_SLIP
28
ATM 网络接口。
IF_TYPE_IEEE80211
71
IEEE 802.11 无线网络接口。
注意 此适配器类型在 Windows Vista 及更高版本上返回。 在 Windows Server 2003 和 Windows XP 上,IEEE 802.11 无线网络接口返回 MIB_IF_TYPE_ETHERNET的适配器类型。

DhcpEnabled

类型: UINT

一个选项值,该值指定是否为此适配器启用动态主机配置协议 (DHCP) 。

CurrentIpAddress

类型: PIP_ADDR_STRING

保留。

IpAddressList

类型: IP_ADDR_STRING

与此适配器关联的 IPv4 地址列表表示为 IP_ADDR_STRING 结构的链接列表。 适配器可以分配多个 IPv4 地址。

GatewayList

类型: IP_ADDR_STRING

此适配器的网关的 IPv4 地址,表示为 IP_ADDR_STRING 结构的链接列表。 适配器可以分配多个 IPv4 网关地址。 此列表通常包含此适配器的默认网关的 IPv4 地址的单个条目。

DhcpServer

类型: IP_ADDR_STRING

此适配器的 DHCP 服务器的 IPv4 地址,表示为 IP_ADDR_STRING 结构的链接列表。 此列表包含此适配器的 DHCP 服务器的 IPv4 地址的单个条目。 值为 255.255.255.255 表示无法访问 DHCP 服务器,或者正在达到。

仅当 DhcpEnabled 成员为非零时,此成员才有效。

HaveWins

类型: BOOL

一个选项值,该值指定此适配器是否使用 Windows Internet 名称服务 (WINS) 。

PrimaryWinsServer

类型: IP_ADDR_STRING

主 WINS 服务器的 IPv4 地址,表示为 IP_ADDR_STRING 结构的链接列表。 此列表包含此适配器的主 WINS 服务器 IPv4 地址的单个条目。

仅当 HaveWins 成员为 TRUE 时,此成员才有效。

SecondaryWinsServer

类型: IP_ADDR_STRING

辅助 WINS 服务器的 IPv4 地址表示为 IP_ADDR_STRING 结构的链接列表。 适配器可以分配多个辅助 WINS 服务器地址。

仅当 HaveWins 成员为 TRUE 时,此成员才有效。

LeaseObtained

类型: time_t

获取当前 DHCP 租约的时间。

仅当 DhcpEnabled 成员为非零时,此成员才有效。

LeaseExpires

类型: time_t

当前 DHCP 租约过期的时间。

仅当 DhcpEnabled 成员为非零时,此成员才有效。

那么这里就是获取主机的相关信息,根据后面格式化字符串可推测这里是获取网卡相关信息。

3.4 sub_401770

3.5 sub_402790

3.6 CreateThread

这里进入402520函数,里面有个关键函数402A50:

继续向下就是修改自启动注册表和屏保有关的注册表,拼接请求命令,通过cmd执行:

学习资源

如果你是也准备转行学习网络安全(黑客)或者正在学习,这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你

知识库由360智榜样学习中心独家打造出品,旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力,熟练掌握基础攻防到深度对抗。

1、知识库价值

深度: 本知识库超越常规工具手册,深入剖析攻击技术的底层原理与高级防御策略,并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等,提供了独到的技术视角和实战验证过的对抗方案。

广度: 面向企业安全建设的核心场景(渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营),本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点,是应对复杂攻防挑战的实用指南。

实战性: 知识库内容源于真实攻防对抗和大型演练实践,通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。

2、 部分核心内容展示

360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式,既夯实基础技能,更深入高阶对抗技术。

360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式,既夯实基础技能,更深入高阶对抗技术。

内容组织紧密结合攻防场景,辅以大量真实环境复现案例、自动化工具脚本及配置解析。通过策略讲解、原理剖析、实战演示相结合,是你学习过程中好帮手。

1、网络安全意识

2、Linux操作系统

3、WEB架构基础与HTTP协议

4、Web渗透测试

5、渗透测试案例分享

6、渗透测试实战技巧

7、攻防对战实战

8、CTF之MISC实战讲解

3、适合学习的人群

一、基础适配人群

  1. 零基础转型者‌:适合计算机零基础但愿意系统学习的人群,资料覆盖从网络协议、操作系统到渗透测试的完整知识链‌;
  2. 开发/运维人员‌:具备编程或运维基础者可通过资料快速掌握安全防护与漏洞修复技能,实现职业方向拓展‌或者转行就业;
  3. 应届毕业生‌:计算机相关专业学生可通过资料构建完整的网络安全知识体系,缩短企业用人适应期‌;

二、能力提升适配

1、‌技术爱好者‌:适合对攻防技术有强烈兴趣,希望掌握漏洞挖掘、渗透测试等实战技能的学习者‌;

2、安全从业者‌:帮助初级安全工程师系统化提升Web安全、逆向工程等专项能力‌;

3、‌合规需求者‌:包含等保规范、安全策略制定等内容,适合需要应对合规审计的企业人员‌;

因篇幅有限,仅展示部分资料,完整版的网络安全学习资料已经上传CSDN,朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/6/30 10:12:17

告别CUDA报错:预置镜像一键运行AI分类器

告别CUDA报错:预置镜像一键运行AI分类器 引言 作为一名算法工程师,最头疼的莫过于换了新电脑后面对各种CUDA版本冲突、依赖库不兼容的问题。特别是当项目紧急需要恢复分类服务时,传统的手动配置环境往往需要耗费数小时甚至更长时间。这时候…

作者头像 李华
网站建设 2026/6/26 17:42:25

开发者福利:免费 .frii.site 子域名,一分钟申请即用

开发者福利:免费 .frii.site 子域名,一分钟申请即用前言在学习 Web 开发、部署项目、测试 API 或者搭建个人 Demo 时,一个可访问的域名往往是必需品。但很多同学不想为测试环境额外花钱,或者只是临时用一下,这时候免费…

作者头像 李华
网站建设 2026/6/26 17:42:24

WordPress网站模板设计完整指南

为什么WordPress是网站模板设计的最佳系统选择在当今数字化时代,选择合适的内容管理系统对于网站建设至关重要。经过多年的实践经验,WordPress无疑是网站模板设计领域中最优秀的系统之一。作为全球超过43%网站的驱动力量,WordPress凭借其灵活性、可扩展性和用户友好性,成为了从…

作者头像 李华
网站建设 2026/6/26 17:42:27

托管数据中心提供商的职责范围与界限

托管数据中心究竟提供什么服务?简单来说,托管提供商为用户提供受控的设施环境——安全的空间以及可靠的电力、冷却、物理安全和网络运营商连接,让用户可以安装和运行自己的服务器、存储和网络设备,而无需自建数据中心。同样重要的…

作者头像 李华
网站建设 2026/6/29 5:00:29

AI分类器边缘部署预演:云端模拟各类终端,成本降低60%

AI分类器边缘部署预演:云端模拟各类终端,成本降低60% 引言:边缘AI部署的痛点与云端仿真方案 在物联网(IoT)领域,AI分类器的边缘部署正成为行业标配。想象一下,一个智能安防摄像头需要实时识别人脸,一个工…

作者头像 李华
网站建设 2026/6/26 17:42:28

AI分类模型微调秘籍:低成本获得领域专家

AI分类模型微调秘籍:低成本获得领域专家 引言:当律师遇上AI分类器 想象一下,你是一位每天要处理上百份法律文书的律师。合同、诉状、证据材料像雪片一样飞来,光是分类归档就要耗去大半天时间。传统做法是雇佣助理手动分类&#…

作者头像 李华