木马的调试与分析

Question

我有兴趣使用 OllyDbg 之类的工具来检查可能具有类似特洛伊木马特征的程序。

有谁知道有关如何安全地执行此操作的任何好的教程？

基本上，该程序是视频游戏的“机器人”，但我怀疑它有后门和/或会将其收集的信息（例如密码）上传到远程服务器。

我想找到它尝试连接的 URL 或 IP，阻止它这样做，等等，所以我想这比典型的程序“破解”更具体一些；我最感兴趣的是找出它可能正在做的基于网络的事情，然后阻止它们，或者欺骗它认为它已经成功了。

另外，我很好奇如何窥探加密的网络流量。如何确定程序用于加密其通过网络发送的内容的加密密钥和算法？ （我问，因为我有兴趣创建一个第三方客户端来模拟与游戏服务器的通信，并且如果不知道如何发现正在使用的密钥，我就无法做到这一点）

Answer 1

您可以使用虚拟机（例如VirtualBox）安全地运行“恶意软件”。您可以使用 Process Explorer 来查看该进程的具体功能（注册表/磁盘访问等）。

虚拟机还允许您创建其中安装的操作系统的快照，因此您可以通过单击按钮轻松地将所有内容返回到已知状态（即运行恶意软件之前）。

至于窥探网络，我不知道该怎么做。我想现有的网络嗅探工具可以在虚拟机本身内部使用，但我从未这样做过，所以我不知道该使用什么——其他人将不得不填写......

Answer 2

1. 可疑木马的名称是什么？

2. swiftarchitect.com 上有一篇文章介绍了允许远程控制服务器的特定木马的操作详细信息：

请参阅：受到攻击的服务器病毒