完整版-木马分析.docxVIP

完整版-木马分析 一个木马的分析 第一次详细分析木马，不足之处请见谅。 这个木马一共4KB，是个比较简单的程序，所以分析起来也不是很难。下面开 始正式分析。 这是程序的主题函数，一进来就是三个初始化的call，然后就是一个大的循环 ，程序就是在这个循环之中不停的运行着。 跟进第一个call: 函数首先创建了一个hObject变量～用于存放创建的互斥对象句柄。mov [ebp+hObject], start proc near eax就是将创建的互斥句柄传送到 call sub_401481hObject中。这里是创建了一个名为 call sub_401092 H1N1Bot的互斥对象。然后调用 call sub_4011AE loc_4014C4: GetLastError得到错误码～这里加 call sub_4013D5 入程序已经有一份实例在运行了～则 call sub_40143F push 0EA60h ; 这个互斥对象就是创建过了的～就是dwMilliseconds 得到错误代码为0B7h的值。通过查 call Sleep 询msdn发现:0b7h含义是Cannot jmp short loc_4014C4 start endp create a file when that file already exists.所以这样就防止了木马程序同时打开了多份。当返回值是0B