黑客常用兵器之木马篇

核心提示： “前辈我这里第一次运行Share后，系统好像没有动静，黑客常用兵器之木马篇(8)，使用Dllshow（内存进程察看软件）观看内存进程，似乎也没有太大的变化，”“好像在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCu

“前辈我这里第一次运行Share后，系统好像没有动静，使用Dllshow（内存进程察看软件）观看内存进程，似乎也没有太大的变化。一般木马都会马上在内存驻留的，或许此木马修改了硬盘上的文件。”

“好，那么你就接着用DiskState比较运行share.exe前后的记录。”

“程序显示windowsapplog里面的目录的一些文件和system.dat、user.dat文件起了变化，并没有其他文件的增加和修改。”

“系统中的applog目录里面存放了所有应用程序函数和程序调用的情况，而system.dat和user.dat则是组册表的组成文件。你把applog目录里面的share.lgc打开来观看，它的调用过程是什么？”

“调用过程如下：

c15625a0 92110 "C:WINDOWSSYSTEMOLEAUT32.DLL"

c1561d40 c1000 "C:WINDOWSSYSTEMOLE32.DLL"

c1553520 6000 "C:WINDOWSSYSTEMINDICDLL.DLL"

c15d4fd0 2623 "C:WINDOWSWIN.INI"

c15645b0 8000 "C:WINDOWSSYSTEMSVRAPI.DLL"

c1554190 f000 "C:WINDOWSSYSTEMMPR.DLL"

c154d180 a1207 "C:WINDOWSSYSTEMUSER.EXE"

c1555ef0 13000 "C:WINDOWSSYSTEMMSNET32.DLL"

但是为什么前辈我们看不到MSWINSCK.OCX或WSOCK2.VXD的调用呢？如果木马想要进行网络通讯，是会使用一些socket调用的。”

“那么接着你再观察注册表的变化。”

“好像在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionNetworkLanMan下面，多了几个键值，分别是CJT_A$、CJT_C$、CJT_D$、CJT_E$、CJT_F$，其内部键值如下：