网络安全与实践 网络安全实验 网页挂马分析实践参考(下).pdf

18网站挂马分析（下篇）

拿出PEiD，看这个可执行文件的加壳情况，得出的结论是它是用Delphi写的。这个结论可

信么？高手可能会使用修改OEP特征的方法来“A”一下我们的PEiD，使其判断失效。

先不管这个，打开专门为破解Delphi程序而准备的利器：DeDe。分析成功，但却没有得到

什么有用的信息。不过它至少证明它真的是用Delphi编写的。但这里我们关注的焦点不是用什

么语言和工具写的，而是看它有没有被加壳。

用W32DAsm反汇编这个exe文件，然后下意识地看一下“串式参考”：

gototry

#32770

(T@

,T@

.1

:\AutoRun.inf

:try

[AutoRun]

open=

\programfiles\internetexplorer\IEXPLORE.EXE

0813

3烂怱VQ嬝媠咑u3离j

60000

advapi32.dll

Alletdel.bat

AutoRun.inf

Button

ChangeServiceConfig2A

ChangeServiceConfig2W

cmd/cdate

cmd/cdate1981-01-12

del

del%0

drivers/klif.sys

Error

FPUMaskValue

/kl/0.exe

/kl/1.exe

/kl/10.exe

/kl/11.exe

/kl/12.exe

/kl/13.exe

/kl/14.exe

/kl/15.exe

/kl/16.exe

/kl/17.exe

/kl/18.exe

/kl/19.exe

/kl/2.exe

/kl/3.exe

/kl/4.exe

/kl/5.exe

/kl/6.exe

/kl/7.exe

/kl/8.exe

/kl/9.exe

IE执行保护

IEXPLORE.EXE

IE执行保护

ifexist

Kernel32.dll

NoDriveTypeAutoRun

ntdll.dll

QueryServiceConfig2A

QueryServiceConfig2W

S@

serdst.exe

shell\Auto\command=

shellexecute=

SOFTWARE\Borland\Delphi\RTL

Software\Microsoft\Windows\CurrentVersion\Poli

Telephotsgoogle

U嬱兡餝VW3繳h訹@

U嬱筧

U嬱伳SVW?

ZwUnmapViewOfSection

刌@

銼@

婦$鰼

媩$(?

燬@

擮@

确定

媆$?搡?婼婥t?燖

瑞星卡卡上网安全助手-IE防漏墙

为即插即用设备提供支持

圷@

允许

允许执行

从上面我们可以做如下推断：

1.这个程序可能生成一个叫Alletdel.bat的批处理文件，这个文件中有一个标签叫try，

批处理文件会不断的执行这个标签下一行的命令，命令内容可能是判断文件存在性，更改系统日

期，删除某些文件（证据：gototry，:try，Alletdel.bat，cmd/cdate，cmd/c

date1981-01-12，del，del%0，ifexist）

2.这个程序可能在磁盘根目录下生成自动运行的文件，以求用户不小心时启动程序（证据：

:\AutoRun.inf，[AutoRun]open=，AutoRun.inf，shell\Auto\command=）

3.这个程序要对IE、注册表、服务和系统文件动点手脚（证据：advapi32.dll，

drivers/klif.sys，\programfiles\internetexplorer\IEXPLORE.EXE，IE执行保护，

IEXPLORE.EXE，Software\Microsoft\Windows\CurrentVersion\Poli），Kernel32.dll，

SOFTWARE\Borland\Delphi\RTL，ChangeServiceConfig2A，ChangeServiceConfig2W，

QueryServiceConfig2A，QueryServiceConfig2W）

4.这个程序有一定的防系统保护软件的能力（证据：瑞星卡卡上网安全助手-IE防漏墙，

允许，允许