电子取证远控木马之SRAT

liuhou521

作者:New4[D.S.T] http://www.darkst.com

  
前言：
   
SRAT远程控制软件是在灰鸽子之后出现的又一款功能强大的反弹型木马，具备几乎灰鸽子所

有功能并且体积仅有不足200KB，在SRAT发布之后掀起了o(∩_∩)o界

换马狂潮。大部分小菜鸟们都觉得灰鸽子免杀难做并且突破主动防御不易，都选择较新或者有更新活力的

新远控。而SRAT的条件都满足当前大部分小黑的需要，体积小、易免杀、穿透主动防

御能力强。功能强大：文件管理、屏幕监控、超级终端、键盘记录、进程管理、服务管理、窗口管理、插

件管理、注册表管理、音频视频监控，等几乎涉及所有计算机操作的功能使小黑们一旦拥有别无所求！使

得SRAT近期大量被使用和传播，各类免杀版本发布，一条条新的黑色产业链条应此而

生。其强大的键盘记录功能让您的电脑没有任何隐私可言，无论您输入的是中文或者英文以及其他语言都

可以完美记录下来！


上面就是SRAT远控木马的简要介绍下面我来向大家展示一个，通过解密

木马配置信息来取证的方法。


操作环境：Window Xp Sp3（本地局域网中的虚拟机）
使用工具：Wsyscheck（辅助木马查找）、010Editor（16进制编辑器）
推荐工具：SRAT远控专杀工具 V1.0（可辅助查找并

查杀SRAT木马）



首先，我们事先准备了一台虚拟PC(非真实机器)，

并且配置一个新的SRAT木马，并运行植入该计算机中已制造一个木马已经潜伏的环境

，然后我们就可以继续以下的检查是否被种植了SRAT木马的操作！配置信息如图

1和图2。

图1 配置上线地址

图2 配置安装服务端及文件路径
配置完成我们查看一下文件属性，发现木马体积：175KB（如图

3），由于SRAT没有压缩服务端的选项所以我们可以锁定，傀儡计算机中

如果中了SRAT木马其体积也不会超过200K，如果经过加密或者其

他特殊变种后可能会超过体积。而变种不在我们现在讨论的范围内，如果仔细的朋友可能会发现

SRAT远控目录下还有个update目录，看字面的意思就是“升级”的意思

而你打开目录后会发现有两个文件（如图4）：SratInit.exe和

SratMain.dll。大家可以发现这个SratInit.exe的图标和配置出

来的那个服务端图标一模一样！没错这个就是安装服务端的主体，也被专业人士称为

ServerLoader（即服务端加载程序）。主要作用就是用于木马的安装任务，而

SratMain.dll文件就是该木马所有功能的主体了，这个大家看一下体积也就知道了足足有

144KB占据了几乎整个木马的大部分体积。一般这类木马的植入计算机后的一些特性

如自删除都是由ServerLoader完成的，而安装完成之后ServerLoader就不在使用了！以减少被杀毒软件查杀的几率因为它已经没有了安装的特性，也就是说一个杀人犯

他没有带凶器。就算警察（杀毒软件）查到也不一定能给他定罪，然而谁能又知道这看似正常的一个文件

既然是一个能完成潜伏并后台操作的木马？这类的木马我们一般都称为：DLL型木马

它的传播必须有一个ServerLoader程序（EXE），我们在查杀

SRAT木马（DLL型木马）的时候我们只能找它的DLL

文件进行查杀而不是找EXE。因为一般EXE都不存在

了，所以我们下文所说的内容主要都是以讲解其DLL文件为主，请大家留意不要弄错

了！

图3 配置出来SRAT服务端大小

图4 update目录下的文件


查找木马
我们已经运行了SRAT服务端程序，并且确认SRAT已

经正常工作了。如图5，机器已经可以被牧马者操控了！下面请出我们的

Wsyscheck，运行后如图6，现在我们操作选项卡切换到安全检查

，并且点到端口状态我们能看到有一个程序连接到我们控制端默认端口：8800上，如图7，我们这时候记下他的进程PID是3032

。好我们切换到进程管理功能中查找进程PID是3032

的进程发现是一个svchost.exe进程，可能这时候有人要问为什么这么肯定是这个？

这个不是系统进程？我能肯定的说这个是系统进程但它不是正常的系统进程，这时候我们点到这个进程查

看模块路径列表空空如也（如图8），这是为什么？原因是SRAT

木马他伪装了微软文件版权，而Wsyscheck默认设置是将这部分忽略不显示的。我们

只要将软件设置中的 模块、服务简洁显示前面的勾（如图9）去

掉你就能看到被忽略的所有模块了如图10，我们可以发现有一个模块非常奇怪

“c:\program files\common files\microsoft shared\msinfo\nmt6psdo.dll”其文

件名是一些随机字符，并不是一些正常的系统文件命名。通过网上搜索引擎都无法查询到！我们可以确定

这个就是可疑文件（这个我们配置的时候路径选择了msinfo目录所以我能一下判断出

来），我们找到该文件如图11，我们发现和文件版权信息有微软字样并且和我们之前

看的“update目录”下的那个dll文件一样！有人可能说这样找

样本是不是太费力了啊？这个没问题我们给大家准备了更简单的方法。运行SRAT远控

专杀工具 V1.0点扫描木马按钮，如图12，我们的检测工具能在

2秒内查到SRAT木马，并且路径和文件名和我们用

Wsyscheck查找的一模一样。这样大家是不是觉得简单很多了？没问题我们进入下一步如何获

取服务端里的加密信息（取证）！

图5 列出机器上C盘根目录的所有文件

图6 Wsyscheck运行后的截图

图7 发现一条可疑网络连接

图8 模块列表里未显示任何模块

图9 去掉模块、服务简洁显示前面的勾

图10 可以正常显示模块了

图11 木马文件

图12 提示发现SRAT木马


取证木马
我们从机器上取回了SRAT木马样本，下面如何获得里面的配置的域名信

息？下面我们就请出主角010Editor编辑软件，我们用010Editor

打开取回的样本文件：rsPtXa1x.dll。如图13，我们将光标移动

到文件尾部如图14。你可以看到很多1F 1F的数据，现在我们记

下这个1F。（为什么要记得1F这个？这个就是配置信息解密的

Key密钥），我们向上选择带1F的数据，大小约352

字节（可能和实际操作时不同），如图15，我们现在点选工具菜单

>操作>二进制异或，如图16。下面我们设置

，数据类型为：无符号字节，操作数：1F，16进制操作，如图

17，设置解密参数完毕后点确定。这个时候我们在看那一串字符已经被解密了！如图

18，我们可以清晰的看到我们刚刚配置的域名：127.0.0.1端口

：8800，服务名：SRAT_Service，下面的就是通过域名信息追踪

IP了，我就不多介绍了。Ping一下就可以完成IP定位了，到这里我们所有取证过程就完了。

图13 用010Editor打开SRAT木

马样本

图14 文件尾部的数据

图15 选定352字节大小 左右的

数据

图16 二进制异或操作

图 17 解密参数设置

图18 解密后的明文


后记：

到这里我们已经将一个SRAT远控木马的如何查找的过程和取证过程介绍

完毕了，希望大家看完后能举一反三。多多实践找出更多的方法，最后想说一句的是新的刑法已经公布了

，还在玩远控的各位黑友们一定要注意了！


时间：2009/3/14




联系方式：

邮箱：darkstrat@vip.qq.com
网站：
http://www.darkst.com  暗组技术论坛
http://www.fsg2.cn     Blog
http://www.gongxiangziyuan.ys168.com/  工具

箱

小野

沙发!好东西! 看看有后门!


说明：此空间的下载量已经超过了流量限制。 汗 什么下载地址阿??[s:17]

hnsqhuohu

很不错的东西，但还不会用，纯支持了！

pengbosha

东西不错
就是不回用啊

javaluo

zenze怎么看不到图呢？？？？？？？？？？？？？？、太怪了。。。。。。。。。。。

风之凡尘

这是好东西呀，