一、上興遠程控制使用測試
本次實驗是在win XP SP3的虛擬機上完成的。
1.1 木馬的生成
這個軟件的主要原理就是生成一個木馬,並將這個木馬偽裝成一個正常的安裝包,當有人點開它之后,它可以偽裝成進程,服務避免殺毒軟件的查殺,下圖是它的生成界面。
可以看到幾個特征:
1)需要輸入本機的准確IP地址和上線端口號,確定控制信息的回傳
2)可以選擇木馬的運行方式,以及生成程序是否加殼,加殼主要是為了應對破解而進行的
3)可以對文件的樣式,服務類型等信息進行自定義
1.2木馬的控制
本小節介紹一下這個木馬程序都可以實現什么樣的遠程控制。當有中了木馬的主機開機之后,我們所在的客戶端會提示有主機上線,可以對相應主機實現控制。
1)屏幕及鼠標的控制
可以看到受控主機的屏幕,並且還可以控制受控主機的鼠標進行操作
2)命令提示符的控制
完全可以通過命令提示符控制目標主機
3)文件的查看和移動
可以看到我將目標主機中的絕密文件下載到了我的文件夾到我的主機上,成功實現了攻擊
4)音視頻竊聽
遠程控制中同樣提供攝像頭及音頻的控制,可以遠程監視對方的行動,不過虛擬機上無法進行相應的展示
二、上興遠程控制分析
2.1服務器端的靜態分析
1)分析是否有殼
在這里我使用的查殼工具是PEID進行查殼檢驗。
首先分析這個生成的服務器端木馬程序是否有殼,下面這張圖是無殼時的顯示:
可以看到圖中分析出了編寫這個木馬程序所用的語言:delphi語言
當我生成一個有殼的木馬程序進行檢測時,結果如下:
可以看到查殼的結果是Nothing found *,上網查詢結果表示,當前的特征殼庫中沒有找到類似的殼,所以不知道這個殼是什么。
2)靜態反匯編
接着使用IDA pro對木馬程序進行靜態反匯編,查看該木馬的匯編代碼。在這里我直接查看的是不加殼的木馬程序,加殼的木馬程序首先需要去殼破解才能成功的看到其匯編代碼,去殼的破解方法還不怎么會,因此暫時跳過。
