警惕无形的威胁：专业解读木马病毒的侵入手段

在数字化时代的浪潮中，技术的双刃剑特性愈发凸显。那些看似遥不可及的高科技犯罪，实际上正逐渐渗透到我们的日常生活中。在众多安全威胁中，木马病毒尤其引人关注，因为它们能在无声无息中窃取敏感信息、控制系统操作，甚至威胁国家安全。

2022年，某地的网络安全警察在处理一宗涉嫌非法控制计算机信息系统的案件中，截获了一个隐蔽的木马程序。本文将详细介绍这一案例，揭示鉴定专家如何运用先进的技术手段，揭秘这些隐蔽而又破坏性极强的网络威胁。

01

木马简介

木马，作为恶意软件的一种，它狡猾地隐藏在普通程序中，一旦运行，便可对计算机系统造成严重破坏。它们通过各种手段传播，常见的有电子邮件、下载链接等，而用户往往在毫无察觉的情况下中招。本案中，警方在现场勘查时就发现了这样一个看似普通却潜藏危险的exe程序文件。

02

实例分析

要揭开木马的真面目，仅凭表面现象是远远不够的。这需要深入其内部，通过专业的技术手段进行静态和动态分析。由于篇幅原因，本实例只做部分分析，重在思路和方法。

静态分析就是对木马程序的代码进行分析。静态分析主要分为以下两类：

使用Exeinfo PE发现该程序的加固类型为“nsPack”。部分结果如下图所示：

使用工具“Nspack Stripper”对文件“备份.exe”进行脱壳，运行完成后得到文件“备份un.exe”。部分内容如下图所示：

使用IDA加载上述文件“备份un.exe”，查看Imports（在程序中引入其他模块或库）函数的内容，可以看到都是引入了ShellExecuteA（运行一个外部程序，或者打开一个已注册的文件、打开一个目录、打印文件等等功能）、RegOpenKeyExA（打开指定的注册表项）、RegCloseKey（关闭指定注册表项的句柄）、CreateThread（建立新的线程）等函数。Imports函数部分内容如下图所示：

接下来就是对每个函数进行搜索，找到该函数在代码中调用的位置并分析其具体执行的操作，这里我以ShellExecuteA函数为例。

搜索字符串“ShellExecuteA”，跳转到ShellExecuteA函数被调用的位置，发现该程序在运行的过程中会通过调用Windows API“ShellExecuteA”对程序“C:windowsmscb.exe”和“C:windowsnasm.exe”进行执行。搜索结果如下图所示：

部分代码如下图所示：

动态分析是指在木马执行的情况下利用程序调试工具对木马实施跟踪和观察，来确定木马的工作过程和目的。

在Windows 10虚拟机中对程序“备份.exe”进行功能复现，并使用Process Monitor在运行过程中对注册表、文件系统以及进程变化进行监控，用于追踪程序“备份.exe”被执行后在本地计算机进行的操作。部分监控过程如下图所示：

逐个分析Process Monitor监听的五大模块，这里仅列举其中该程序执行的部分操作。主进程“备份.exe”的进程PID为4812。如下图所示：

对远程桌面的注册表进行了编辑。如下图所示：

在win10系统目录下创建了一个“apphelp.d11”文件。如下图所示：

在目录“C:Windows”目录下创建了“wault.exe”文件并进行了写入操作。如下图所示：

通过动静态分析结合的分析方式可知，程序“备份.exe”在被执行后能够自释放文件，并能够主动执行释放出的文件，结合该程序对注册表、Windows服务进行的修改操作，将自身稳固的扎根于宿主计算机内，在宿主机用户不知情的情况下，实施对宿主机的恶意行为。

在对诸如木马这类恶意软件的鉴别过程中，鉴定专家通常采用静态分析与动态分析的综合方法。

静态分析涉及使用各种逆向工程工具，要求分析师不仅要精通这些工具，还需要对系统调用有深入的了解。这包括熟悉操作注册表、网络通信和文件操作等方面的知识。

动态分析则侧重于使用系统监控工具，实时观察恶意程序在运行过程中对系统造成的影响，包括文件系统、网络通信、进程行为，以及系统配置的变化等多个方面。

这两种方法的结合不仅可以深入揭示恶意软件的内部机制和行为模式，还为提升恶意软件检测系统和防御策略的准确性和效率奠定了基础。通过这种全面的技术分析，我们能够更有效地识别潜在的安全威胁，并采取适当的预防措施，为网络空间构筑更加坚固的安全屏障。