恶意代码分析（社会培训）冗余资源 恶意代码分析（社会培训）冗余资源 冰河病毒源码分析.pptx

知识点：冰河病毒源码分析 一、简介 该软件主要用于远程监控，具体功能包括: 1．自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）； 2．记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息； 3．获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据； 4．限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制； 一、简介 5．远程文件操作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件（提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式）等多项文件操作功能； 6．注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能； 7．发送信息：以四种常用图标向被控端发送简短信息； 8．点对点通讯：以聊天室形式同被控端进行在线交谈。 二、程序实现 在VB中,可以使用Winsock控件来编写网络客户/服务程序,实现方法如下(其中,G_Server和G_Client均为Winsock控件): （1）服务端: 　　G_Server.LocalPort=7626(冰河的默认端口,可以改为别的值) G_Server.Listen(等待连接) （2）客户端: 　　G_Client.RemoteHost=ServerIP(设远端地址为服务器地址) G_Client.RemotePort=7626 二、程序实现 　　(在这里可以分配一个本地端口给G_Client, 如果不分配, 计算机将会自动分配一个, 建议让计算机自动分配) 　　G_Client.Connect (调用Winsock控件的连接方法) 　　一旦服务端接到客户端的连接请求ConnectionRequest,就接受连接 　　Private Sub G_Server_ConnectionRequest(ByVal requestID As Long) 　　G_Server.Accept requestID 　　End Sub 　　 二、程序实现 客户机端用G_Client.SendData发送命令,而服务器在G_Server_DateArrive事件中接受并执行命令(几乎所有的木马功能都在这个事件处理程序中实现) 　　如果客户断开连接,则关闭连接并重新监听端口 　　Private Sub G_Server_Close() 　　G_Server.Close (关闭连接) 　　G_Server.Listen (再次监听) 　　End Sub 　　其他的部分可以用命令传递来进行，客户端上传一个命令，服务端解释并执行命令...... 二、程序实现 （3）控制　　 对冰河的主要功能进行简单的概述,主要是使用Windows API函数 　　 1.远程监控(控制对方鼠标、键盘，并监视对方屏幕) 　　keybd_event 模拟一个键盘动作 　　mouse_event 模拟一次鼠标事件　　mouse_event(dwFlags,dx,dy,cButtons,dwExtraInfo) 　　dwFlags: 　　MOUSEEVENTF_ABSOLUTE 指定鼠标坐标系统中的一个绝对位置。 　　 二、程序实现 MOUSEEVENTF_MOVE 移动鼠标 　　MOUSEEVENTF_LEFTDOWN 模拟鼠标左键按下 　　MOUSEEVENTF_LEFTUP 模拟鼠标左键抬起 　　MOUSEEVENTF_RIGHTDOWN 模拟鼠标右键按下 　　MOUSEEVENTF_RIGHTUP 模拟鼠标右键按下 　　MOUSEEVENTF_MIDDLEDOWN 模拟鼠标中键按下 　　MOUSEEVENTF_MIDDLEUP 模拟鼠标中键按下 　　dx,dy: MOUSEEVENTF_ABSOLUTE中的鼠标坐标 二、程序实现 2.记录各种口令 3.获取系统信息 　　a.取得计算机名 GetComputerName 　　b.更改计算机名 SetComputerName 　　c.当前用户 GetUserName函数 　　d.系统路径 Set FileSystem0bject=CreateObject(Scripting.FileSystemObject) (建立文件系统对象) Set SystemDir = FileSystem0bject.getspeci