一个木马的简单分析 Mu PCshare（已删源文件）

Ssking · 发表于 2015-4-12 21:34

本帖最后由 Ssking 于 2015-4-14 16:01 编辑

Pcshare，2008年的风靡一时的一个远控，采用Rootkit技术隐藏，作者编程技术之深
我分析之简单，前所未有，直接截图，看起来很简单。没复制汇编代码
未入CALL细跟，有些API函数太过于粗糙，大家线下跟测试功能版本PCshare，我只分析作用，具体代码用于装逼！
下面上图，是我初步分析这个木马的行为

首先我把这个木马分离，穿山甲+附加数据的处理
处理完毕后Peid载入，VC的程序，直接OD载入

这个木马有检测系统，我直接StrongOD隐藏创建超级用户

这个程序的几个重要操作：
注入S
注册表的大量读写，来获取注册表的权限
采用Rootkit技术隐藏，未驱动生成，直接隐藏
在System下生成serives.exe来控制整个电脑的操作
分析代码到某个地方时，金山毒霸直接提示内存报毒，说明会将代码写入内存

连接一个ip，来自江西（具体IP屏蔽）
调用很少的CALL来实现大量操作

去掉壳子和保护的木马可以直接用OD分析出大量的信息，大家可以直接查看自带注释来分析木马

丶andy · 发表于 2015-4-12 21:51

楼主好叼膜拜啊！！

让导弹飞 · 发表于 2015-4-12 21:51

这远控源码百度一下就出来了，最终版的，作者已经不更了。

Ssking · 发表于 2015-4-12 21:52

让导弹飞发表于 2015-4-12 21:51
这远控源码百度一下就出来了，最终版的，作者已经不更了。

我只是一个爱好者，分析而已，我在帖子中也说了，2008的版本。2008年风靡的，现在早就不行不行的了

蚯蚓翔龙 · 发表于 2015-4-12 22:24

感觉好高大上

随便su · 发表于 2015-4-12 22:53

好高大上的样子

帐号		自动登录	找回密码
密码			注册[Register]

[PC样本分析] 一个木马的简单分析 Mu PCshare（已删源文件）

免费评分

个人中心