前言
Gh0st木马能够窃取用户电脑中的各类信息,是有名的后门类木马之一,在2008年该木马作者主动公布了其源代码,导致众多不法分子基于此代码修改开发了不同的变种木马。今天分析的其中一种变种:KrisR。
正文
用拿到的KrisR服务端,生成客户端。
看下功能
看一下杀软对于它的检测能力,检测率还是蛮高的
没有加壳,直接导入IDA
回连ip创建的互斥量
设置自启动
初始化
获得的计算机名
进入上线部分
信息收集部分
发送部分
用od运行到send这里
可以看到魔改后的字符串KrisR
看到78 9C,可以得知用的是zlib算法压缩的
之后就能看到上线提示和提示音
收集到的信息也是和之前信息收集的部分可对应
进入功能板块分析
获得磁盘相关信息
屏幕控制
键盘记录
添加用户
远程终端功能
下载更新和执行功能
清空日志功能
利用注册表查询浏览器,创建进程的方法访问网址功能
进程管理功能
枚举窗口
从文件当中匹配信息
对应的功能模块
解决思路:1.查找对应进程 PID2.用命令强制kill掉
原文始发于微信公众号(Th0r安全):Gh0st变种木马KrisR逆向分析
