[网络安全自学篇] 五十一.恶意样本分析及HGZ木马控制目标服务器

这是作者的网络安全自学教程系列，主要是关于安全工具和实践操作的在线笔记，特分享出来与博友们学习，希望您们喜欢，一起进步。前文讲解了虚拟机基础知识，包括XP操作系统安装、文件共享设置、网络快照及网络设置等，最后分享虚拟机中安装安全软件进行BBS密码抓取的实验。本文将讲解HGZ木马控制服务器的过程，并进行恶意样本分析，结合前两篇文章进行串讲。基础性文章，希望对您有所帮助。

作者作为网络安全的小白，分享一些自学基础教程给大家，主要是关于安全工具和实践操作的在线笔记，希望您们喜欢。同时，更希望您能与我一起操作和进步，后续将深入学习网络安全和系统安全知识并分享相关实验。总之，希望该系列文章对博友有所帮助，写文不易，大神们不喜勿喷，谢谢！如果文章对您有帮助，将是我创作的最大动力，点赞、评论、私聊均可，一起加油喔~

PS：本文参考了安全网站和参考文献中的文章（详见参考文献），并结合自己的经验和实践进行撰写，也推荐大家阅读参考文献。

下载地址：https://github.com/eastmountyxz/NetworkSecuritySelf-study
工具地址：https://github.com/eastmountyxz/Security-Software-Based
软件安全：https://github.com/eastmountyxz/Software-Security-Course

声明：本人坚决反对利用教学方法进行犯罪的行为，一切犯罪行为必将受到严惩，绿色网络需要我们共同维护，更推荐大家了解它们背后的原理，更好地进行防护。

前文学习：
[网络安全自学篇] 一.入门笔记之看雪Web安全学习及异或解密示例
[网络安全自学篇] 二.Chrome浏览器保留密码功能渗透解析及登录加密入门笔记
[网络安全自学篇] 三.Burp Suite工具安装配置、Proxy基础用法及暴库示例
[网络安全自学篇] 四.实验吧CTF实战之WEB渗透和隐写术解密
[网络安全自学篇] 五.IDA Pro反汇编工具初识及逆向工程解密实战
[网络安全自学篇] 六.OllyDbg动态分析工具基础用法及Crakeme逆向
[网络安全自学篇] 七.快手视频下载之Chrome浏览器Network分析及Python爬虫探讨
[网络安全自学篇] 八.Web漏洞及端口扫描之Nmap、ThreatScan和DirBuster工具
[网络安全自学篇] 九.社会工程学之基础概念、IP获取、IP物理定位、文件属性
[网络安全自学篇] 十.论文之基于机器学习算法的主机恶意代码
[网络安全自学篇] 十一.虚拟机VMware+Kali安装入门及Sqlmap基本用法
[网络安全自学篇] 十二.Wireshark安装入门及抓取网站用户名密码（一）
[网络安全自学篇] 十三.Wireshark抓包原理（ARP劫持、MAC泛洪）及数据流追踪和图像抓取（二）
[网络安全自学篇] 十四.Python攻防之基础常识、正则表达式、Web编程和套接字通信（一）
[网络安全自学篇] 十五.Python攻防之多线程、C段扫描和数据库编程（二）
[网络安全自学篇] 十六.Python攻防之弱口令、自定义字典生成及网站暴库防护
[网络安全自学篇] 十七.Python攻防之构建Web目录扫描器及ip代理池（四）
[网络安全自学篇] 十八.XSS跨站脚本攻击原理及代码攻防演示（一）
[网络安全自学篇] 十九.Powershell基础入门及常见用法（一）
[网络安全自学篇] 二十.Powershell基础入门及常见用法（二）
[网络安全自学篇] 二十一.GeekPwn极客大赛之安全攻防技术总结及ShowTime
[网络安全自学篇] 二十二.Web渗透之网站信息、域名信息、端口信息、敏感信息及指纹信息收集
[网络安全自学篇] 二十三.基于机器学习的恶意请求识别及安全领域中的机器学习
[网络安全自学篇] 二十四.基于机器学习的恶意代码识别及人工智能中的恶意代码检测
[网络安全自学篇] 二十五.Web安全学习路线及木马、病毒和防御初探
[网络安全自学篇] 二十六.Shodan搜索引擎详解及Python命令行调用
[网络安全自学篇] 二十七.Sqlmap基础用法、CTF实战及请求参数设置（一）
[网络安全自学篇] 二十八.文件上传漏洞和Caidao入门及防御原理（一）
[网络安全自学篇] 二十九.文件上传漏洞和IIS6.0解析漏洞及防御原理（二）
[网络安全自学篇] 三十.文件上传漏洞、编辑器漏洞和IIS高版本漏洞及防御（三）
[网络安全自学篇] 三十一.文件上传漏洞之Upload-labs靶场及CTF题目01-10（四）
[网络安全自学篇] 三十二.文件上传漏洞之Upload-labs靶场及CTF题目11-20（五）
[网络安全自学篇] 三十三.文件上传漏洞之绕狗一句话原理和绕过安全狗（六）
[网络安全自学篇] 三十四.Windows系统漏洞之5次Shift漏洞启动计算机
[网络安全自学篇] 三十五.恶意代码攻击溯源及恶意样本分析
[网络安全自学篇] 三十六.WinRAR漏洞复现（CVE-2018-20250）及恶意软件自启动劫持
[网络安全自学篇] 三十七.Web渗透提高班之hack the box在线靶场注册及入门知识
[网络安全自学篇] 三十八.hack the box渗透之BurpSuite和Hydra密码爆破及Python加密Post请求（二）
[网络安全自学篇] 三十九.hack the box渗透之DirBuster扫描路径及Sqlmap高级注入用法（三）
[网络安全自学篇] 四十.phpMyAdmin 4.8.1后台文件包含漏洞复现及详解（CVE-2018-12613）
[网络安全自学篇] 四十一.中间人攻击和ARP欺骗原理详解及漏洞还原
[网络安全自学篇] 四十二.DNS欺骗和钓鱼网站原理详解及漏洞还原
[网络安全自学篇] 四十三.木马原理详解、远程服务器IPC$漏洞及木马植入实验
[网络安全自学篇] 四十四.Windows远程桌面服务漏洞（CVE-2019-0708）复现及详解
[网络安全自学篇] 四十五.病毒详解及批处理病毒制作（自启动、修改密码、定时关机、蓝屏、进程关闭）
[网络安全自学篇] 四十六.微软证书漏洞CVE-2020-0601 (上)Windows验证机制及可执行文件签名复现
[网络安全自学篇] 四十七.微软证书漏洞CVE-2020-0601 (下)Windows证书签名及HTTPS网站劫持
[网络安全自学篇] 四十八.Cracer第八期——(1)安全术语、Web渗透流程、Windows基础、注册表及黑客常用DOS命令
[网络安全自学篇] 四十九.Procmon软件基本用法及文件进程、注册表查看
[网络安全自学篇] 五十.虚拟机基础之安装XP系统、文件共享、网络快照设置及Wireshark抓取BBS密码

前文欣赏：
[渗透&攻防] 一.从数据库原理学习网络攻防及防止SQL注入
[渗透&攻防] 二.SQL MAP工具从零解读数据库及基础用法
[渗透&攻防] 三.数据库之差异备份及Caidao利器
[渗透&攻防] 四.详解MySQL数据库攻防及Fiddler神器分析数据包

---

一.虚拟机安装Windows Server

前一篇文章详细讲解虚拟机及Windows XP系统安装，这篇文章将搭建Windows Server 2003服务器，并通过HGZ制作控制目标服务器的目录。这里仅简单讲解Windows Server 2003服务器的流程，如果虚拟机已经安装好的直接跳过。

1.创建虚拟机

(1) 打开虚拟机，点击“文件”->“新建虚拟机”。

(2) 默认选项大家常规选择即可，点击下一步，如下图所示。

(3) 此处选择稍后再安装系统，稍后我们才会将已经下载的镜像文件进行安装。

(4) 选择Microsoft Windows(W)，版本选择Windows Server 2003 Standard Edition，接着点击““下一步”。

(5) 设置虚拟机内存，这里设置为512MB。

(6) 网络类型设置“使用网络地址转换（NAT）”，接着其他选择推荐选项即可。

(7) 选择“使用现有虚拟磁盘”。

从本地选择“Windows 2003.vmdk”文件。

(8) 保持现有格式点击“完成”即可。

---

2.设置Windows Server服务器

接下来我们安装Windows Server 2003操作系统。

(1) 当虚拟机设置完成之后，我们点击“开启此虚拟机”，如下图所示。

(2) 设置完毕之后，开启虚拟机，如下图所示。

(3) 将Windows XP和Windows Server 2003设置为相同的连接方式，比如桥接或NAT模式。

(4) 如果设置第一步的时候没有进行ip设置，那么这两台虚拟机默认就在统一网段内，可以在虚拟机检查看是否在统一个网段中。在CMD中输入ipconfig查看网络连接情况。

• Windows Server 2003：192.168.44.131

• Windows XP系统：192.168.44.130

如果两台虚拟机的IP地址前三个相同，类似如图192.168.44.*，那么就在同一个网段内，如果不在同一个网段内，就需要分别设置ip地址在同一网段了。网上也有很多设置IP的教程，在这就不累赘了。

(5) 接着使用Ping命令保证虚拟机XP系统（攻击者）和Server 2003（受害者）能通信。

(6) 建议恶意样本分析实验在虚拟机中，某些样本还需要断网、断共享等功能。

• 关闭Windows XP防火墙

• 关闭Windows Server 2003防火墙

---

二.虚拟机文件共享设置

如果我们想从主机Windows 10系统传递资料给虚拟机Windows XP系统，或者Windows XP系统和Windows Server 2003系统传递文件，怎么办呢？
这就涉及到主机和虚拟机文件共享的功能。

(1) 首先，安装VMware Tool工具。

(2) 在安装向导中点击“下一步”进行安装。

(3) 选择“典型安装”。

(4) 点击“安装”即可，如下图所示：

安装成功如下图所示。

(5) 设置共享文件夹，先在主机Windows 10系统创建一个虚拟机与主机的共享文件夹，比如“ShareFiles”。

(6) 选择“虚拟机”->“设置”菜单。

(7) 弹出的对话框如下图所示，其中“共享文件夹”默认是禁用的，我们设置为“总是启用”。我们勾选“在Windows客户机中映射为网络驱动器”，并添加我们的共享文件夹。

点击"浏览"，选择主机中共享文件夹的路径。

(8) “启用此共享”必须选上。“只读”可根据需要选择，如果选择，则以后访问实体机的文件夹时，里边所有的内容都不可修改和移动，只能进行访问。这里作者仅选择“启用此共享”，点击完成。

写到这里，主机和虚拟机之间的共享文件夹就设置成功。我们打开磁盘，可以看到虚拟机磁盘多了一个Z盘，它就是共享的文件夹。

然后打开Z盘里面的“ShareFiles”文件夹，可以看到主机复制过去的文件。

---

三.HGZ制作木马

接着我们开始讲解木马制作过程，在Windows 10操作系统中将软件共享给虚拟机系统。

• HGZ：木马制作
• Procmon：进程和注册表分析
• Wireshark：网络流量分析

推荐前文：
[网络安全自学篇] 十二.Wireshark安装入门及抓取网站用户名密码（一）
[网络安全自学篇] 十三.Wireshark抓包原理（ARP劫持、MAC泛洪）及数据流追踪和图像抓取（二）
[网络安全自学篇] 四十九.Procmon软件基本用法及文件进程、注册表查看
[网络安全自学篇] 五十.虚拟机基础之安装XP系统、文件共享、网络快照设置及Wireshark抓取BBS密码

HGZ软件是一款集多种控制方式于一体的木马程序，适用于公司和家庭渗透和管理，其功能十分强大，不但能监视摄像头、键盘记录、监控桌面、文件操作等。还提供了黑客专用功能，如：伪装系统图标、随意更换启动项名称和表述、随意更换端口、运行后自删除、毫无提示安装等，并采用反弹链接这种缺陷设计，使得使用者拥有最高权限，一经破解即无法控制。最终导致被黑客恶意使用。

第一步，下载共享的软件并安装。

第二步，使用HGZ制作木马。
HGZ软件运行如下图所示。左边显示自动上线主机（肉鸡），凡是中木马的肉鸡都会自动上线，木马会主动连接控制方并请求被完全控制。

第三步，我们先要点击“配置服务程序”生成木马。

第四步，IP通常是黑客电脑的IP地址，因为生成的木马需要植入目标，它会自动连接黑客并发送信息，故填写“192.168.44.130”地址。

第五步，在“安装选项”中，通常会勾选“安装成功后自动删除安装文件”选项。而提示安装成功和运行显示图标会暴露恶意软件。

第六步，设置启动项，这里的显示名称设置为“hgz”。

注意，有的木马为什么比较难找？因为我们会将木马服务名称和描述修改，伪装成正常程序所运行的服务。比如服务名称修改为“windows system”，描述信息修改为“system重要进程”。

本地服务查找如下图所示：

第七步，高级选项可以将木马伪装成“IEXPLORE.EXE”进程，这里不加壳。

第八步，接着点击底部的方块，选择所制作木马的保存路径。这里设置为“eastmount_csdn.exe”。

第九步，最后点击“生成服务器”，成功制作木马。

此时，桌面产生了一个“eastmount_csdn.exe”程序，即为我们的木马。

---

四.木马劫持远程主机实验

接下来我们想办法将木马发送给目标主机Windows Server 2003。这里作者直接通过文件共享功能让Windows Server 2003服务器主动下载，但真实场景的木马如何发送给目标也是一个难点，比如之前我们的是通过IPC$漏洞上传的，其他方法包括远程共享漏洞、网站钓鱼、社会工程学、0day漏洞等。

推荐前文：
[网络安全自学篇] 四十三.木马原理详解、远程服务器IPC$漏洞及木马植入实验

第一步，将生成的木马“eastmount_csdn”文件共享给Windows Server 2003。

• 攻击机（黑客）：Windows XP
• 受害机（肉鸡）：Windows Server 2003

第二步，双击木马运行之后，我们的攻击机XP系统可以看到目标主机已经上线。

第三步，由于目标服务器只有C盘，我们现在创建一个“hello.txt”文件，如下图所示。

攻击机XP系统可以下载目标主机的文件，比如“hello.txt”。

第四步，点击“屏幕截获”可以监控目标的屏幕。

点击“传送鼠标和键盘操作”按钮，可以操作目标肉鸡。

第五步，点击“视频语音”可以检测目标的视频和语音，所以大家的麦克风和摄像头一定做好保护措施。

第六步，点击“Telnet”可以进入控制台执行相关操作，比如输入“ipconfig”查看网络，“md xxx”创建文件夹。

再次强调：一定不能通过该方法去控制别人的机器，这是违法行为。本人坚决反对利用教学方法进行犯罪的行为，一切犯罪行为必将受到严惩，绿色网络需要我们共同维护，更推荐大家了解它们背后的原理，虚拟机中测试，更好地进行防护。

---

五.Procmon解析恶意样本进程和注册表

Process Monitor是微软推荐的一款系统监视工具，能够实时显示文件系统、注册表（读写）、网络连接与进程活动的高级工具。它整合了旧的Sysinternals工具、Filemon与Regmon，其中Filemon专门用来监视系统中的任何文件操作过程，Regmon用来监视注册表的读写操作过程。

• Filemon：文件监视器
• Regmon：注册表监视器

推荐前文：
[网络安全自学篇] 四十九.Procmon软件基本用法及文件进程、注册表查看

第一步，打开Procmon软件并检测灰鸽子木马。

第二步，点击filter->filter，设置过滤器。进程名设置为包含“灰鸽子”。

在弹出的对话框中Architecture下拉框，选择Process Name填写要分析的应用程序名字，点击Add添加，最后点击右下角的Apply。

第三步，在灰鸽子远程控制软件点击刷新，然后查看灰鸽子软件相关信息。

输出结果中包括序号、时间点、进程名称、PID、操作、路径、结果、描述等，监控项通常包括文件系统、注册表、进程、剖析事件。

通过分析，我们发现灰鸽子木马在“C:\Windows”目录下生成了一个临时程序，名称为“Hacker.com.cn.exe”。同时，读者可以尝试更深入地分析，去了解该恶意样本究竟加载了哪些DLL、EXE文件，从而实现视频监控、键盘记录、远程连接等。

推荐文章：灰鸽子2008生成木马详细分析 - Ginkgo_Alkaid

由于作者能力有限，后续随着系统安全学习深入，也会尝试逆向分析一些恶意样本。下面的代码是灰鸽子逆向的部分截图，其表示复制文件成“C:\Windows\Hacker.com.cn.exe”。

我们在Procmon软件中选中文件，右键“Jump to”可以查看对应的源文件。

第四步，我们在攻击机中使用Process Mointor监控相关行为。可以看到生成的服务是“IEXPLORE”，如下图所示。

最后，我们通过分析注册表行为发现HGZ木马是通过服务启动的。

注册表中对应“Hacker.com.cn”的字段。

下面是隐藏的“hgz”服务，同时每次开机都会自启动。

思考：如果我们中了灰鸽子木马，将怎么清除呢？
在Windows Server 2003系统进程中关闭“IEXPLORE.EXE”进程，则控制主机Windows XP会自动下线。

如下图所示，肉鸡已经消失。但是重启后又会自动上线，那么，如何才能成功清除了吗？我们需要修改注册表、删除文件等一系列操作。

---

六.Wireshark解析恶意样本网络

流量分析也是恶意样本分析的重要手段。本文采用Wireshark监控灰鸽子木马与控制端的网络通信，包括TCP三次握手连接、被控端与控制端之间的通信过程、流量信息等。

推荐前文：
[网络安全自学篇] 十二.Wireshark安装入门及抓取网站用户名密码（一）

第一步，安装Wirkshark并选择本地网络进行流量监控。

第二步，由于灰鸽子是使用tcp通信的，故将条件设置为tcp，此时可以看到很多抓到的tcp连接的包。

显示的流量信息如下图所示：

同样，我们可以设置“ip.addr==192.168.44.131”查看相关流量信息。

---

七.防御及总结

写到这里，这篇文章就介绍完毕，主要包括三部分内容：

• 虚拟机中制作HGZ木马
• 控制目标服务器
• 通过Procmon分析恶意样本的文件加载及注册表操作
• 通过Wireshark分析恶意样本的流量

HGZ木马整体流程如下：

我们可以采用下列方式进行防御：

• 提高警惕性，别占小便宜，别点击垃圾链接或邮件
• 从官网下载程序，密码设置复杂，防止弱口令（数字大小写符号）爆破
• 设置防火墙、安装杀毒软件，定期杀毒并清理电脑
• 防止社会工程学诱骗或攻击
• 关于软件或系统漏洞，及时关闭远程服务或端口
• 摄像头、麦克风、路由器、网关、服务器等系统漏洞及人为防御
• 恶意样本库建立、黑白名单建立

希望这系列文章对您有所帮助，真的感觉自己技术好菜，要学的知识好多。这是第49篇原创的安全系列文章，从网络安全到系统安全，从木马病毒到后门劫持，从恶意代码到溯源分析，从渗透工具到二进制工具，还有Python安全、顶会论文、黑客比赛和漏洞分享。未知攻焉知防，人生漫漫其路远兮，作为初学者，自己真是爬着前行，感谢很多人的帮助，继续爬着，继续加油！

欢迎大家讨论，是否觉得这系列文章帮助到您！如果存在不足之处，还请海涵。任何建议都可以评论告知读者，共勉~

武汉加油！湖北加油！中国加油！！！

(By:Eastmount 2020-02-26 晚上12点写于贵阳 http://blog.csdn.net/eastmount)

---

参考文献：
[1] 《软件安全》实验之恶意样本行为分析
[2] https://github.com/eastmountyxz/Security-Software-Based
[3] [网络安全自学篇] 十二.Wireshark安装入门及抓取网站用户名密码（一）
[4] [网络安全自学篇] 十三.Wireshark抓包原理（ARP劫持、MAC泛洪）及数据流追踪和图像抓取（二）
[5] [网络安全自学篇] 四十九.Procmon软件基本用法及文件进程、注册表查看
[6] [网络安全自学篇] 五十.虚拟机基础之安装XP系统、文件共享、网络快照设置及Wireshark抓取BBS密码
[7] 恶意软件样本行为分析——灰鸽子为例 - Gokou Ruri
[8] 灰鸽子2008生成木马详细分析 - Ginkgo_Alkaid

---