修改机码HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\svchost.exe,增加一字串值Debugger,指向ollydbg上述步骤中,前缀(表示视情况而定,*表示可能只需进行一次,中断设定位置依实际状况而有不同。
暂停防毒程式
*执行rundll32 ******.dll RundllInstall以注册此服务
启动services.msc->MS Media Control Center中对应之服务
*设定中断点至010011c9,待dll载入后挂起
run
(设定中断点至dll的ServiceMain,100049b0
设定中断点至dll的StartAddress,10002d10
run
(设定log/中断点至createthread
view->executable modules->kernel32单击右键,选view resource strings,找到createthread,设中断或log
(设定Always trace over system DLLs
设定中断点至 1001261F(加密的呼叫), 10002e90(第一执行绪), 100134DE, (10002e90,) 记忆体中断点(1000f4dc,) (1000f358)
debug->open run trace
view->run trace, 单击右键 log to file
设定该dll为non-system
(run/)trace into
(在waitforsingleobject呼叫时,按暂停再继续,以免被block
...
view->run trace, 单击右键 close log file
ctrl+F2
alt+x
修改机码HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\svchost.exe, 删除其Debugger值以免下次开机时正常进程被载入
移除该服务或设置为手动启动,以免下次开机时被载入
2009年3月28日 星期六
手工查找木马(三)--反组译服务型态挂马
使用ollydbg进行跟踪及反组译服务型态挂马的程序如下:
訂閱:
張貼留言 (Atom)
沒有留言:
張貼留言