银狐木马分析与溯源技术教学文档<\/h1>

一、恶意软件分析基础<\/h2>

1.1 银狐木马概述<\/h3>

银狐木马是近年来活跃的恶意程序，具有以下特征：<\/p>

隐蔽性强，采用多种隐蔽技术<\/li>
传播渠道多样（邮件附件、恶意链接、捆绑软件）<\/li>
攻击目标广泛（个人用户、企业、关键基础设施）<\/li>

功能包括信息窃取、后门植入、僵尸网络构建<\/li> <\/ul>

1.2 样本基本信息分析<\/h3>

文件名称：setup.exe（伪装成合法软件）<\/li>
文件格式：PE32可执行文件<\/li>
文件大小：532KB<\/li>
编译时间：2024年10月19日<\/li>

传播途径：钓鱼邮件附件<\/li> <\/ul>

二、静态分析技术详解<\/h2>

2.1 入口点分析<\/h3>

__int64<\/span> wmain<\/span>()
<\/span><\/span>{
<\/span><\/span>    SetUnhandledExceptionFilter(TopLevelExceptionFilter);
<\/span><\/span>    HWND hWnd =<\/span> GetConsoleWindow();
<\/span><\/span>    ShowWindow(hWnd, 0<\/span>); \/\/ 隐藏控制台窗口
<\/span><\/span><\/span><\/span>    \/\/ 创建主线程执行恶意功能
<\/span><\/span><\/span><\/span>    hObject =<\/span> CreateThread(0<\/span>, 0<\/span>, sub_14000A440, 0<\/span>, 0<\/span>, 0<\/span>);
<\/span><\/span>    WaitForSingleObject(hObject, 0xFFFFFFFF<\/span>);
<\/span><\/span>    return<\/span> 0<\/span>;
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>2.2 配置解析机制<\/h3>
函数sub_140008750<\/code>负责配置解析：<\/p>

从注册表HKEY_CURRENT_USER\Console<\/code>读取IpDate<\/code>值<\/li>
解析配置字符串：|0:db|0:lk|0:hs|0:ld|0:ll|0:hb|0:pj|9.11.5202:zb|0.1:bb|<\/code><\/li>
时间解码：5202→2025年11月9日（混淆技术）<\/li>
<\/ul>
2.3 网络通信模块分析<\/h3>
函数sub_140003390<\/code>实现TCP连接建立：<\/p>
2.3.1 套接字创建与配置<\/h4>
\/\/ 创建TCP套接字
<\/span><\/span><\/span><\/span>v6 =<\/span> socket(2<\/span>, 1<\/span>, 6<\/span>); \/\/ AF_INET, SOCK_STREAM, IPPROTO_TCP
<\/span><\/span><\/span><\/span>
<\/span><\/span>\/\/ DNS解析
<\/span><\/span><\/span><\/span>hostbyname =<\/span> gethostbyname(lpMultiByteStr);
<\/span><\/span>
<\/span><\/span>\/\/ 设置目标地址
<\/span><\/span><\/span><\/span>name.sa_family =<\/span> 2<\/span>; \/\/ AF_INET
<\/span><\/span><\/span><\/span>*<\/span>(_WORD *<\/span>)name.sa_data =<\/span> htons(hostshort); \/\/ 端口号
<\/span><\/span><\/span><\/span>*<\/span>(_DWORD *<\/span>)&<\/span>name.sa_data[2<\/span>] =<\/span> **<\/span>(_DWORD **<\/span>)hostbyname-><\/span>h_addr_list; \/\/ IP地址
<\/span><\/span><\/span><\/span>
<\/span><\/span>\/\/ 建立连接
<\/span><\/span><\/span><\/span>connect(s, &<\/span>name, 16<\/span>);
<\/span><\/span><\/code><\/pre>2.3.2 套接字优化参数<\/h4>

接收缓冲区：256KB（0x40000）<\/li>
发送缓冲区：256KB<\/li>
发送超时：30秒<\/li>
保持连接：启用（180秒保持，5秒间隔）<\/li>
<\/ul>
2.4 关键字符串分析<\/h3>
在.rdata段发现的重要字符串：<\/p>
recv sn=%lu              \/\/ 接收序列号
input ack: sn=%lu rtt=%ld rto=%ld  \/\/ 确认包信息
input psh: sn=%lu ts=%lu \/\/ 推送包数据
input probe              \/\/ 连接探测
input wins: %lu          \/\/ 窗口大小
denglupeizhi             \/\/ 登录配置（中文拼音）
d33f351a4aeea5e608853d1a56661059  \/\/ 可能的MD5哈希
<\/code><\/pre>
三、动态行为分析<\/h2>
3.1 沙箱环境配置要求<\/h3>

操作系统：Windows 10 64位<\/li>
安全设置：关闭杀毒软件和防火墙<\/li>
监控工具：Wireshark网络流量分析<\/li>
<\/ul>
3.2 恶意行为观察<\/h3>


文件操作<\/strong><\/p>

在C盘图片目录创建隐藏文件<\/li>
存储窃取的系统信息（硬件配置、用户账号等）<\/li>
<\/ul>
<\/li>

注册表操作<\/strong><\/p>

修改HKEY_LOCAL_MACHINE\SOFTWARE<\/code>项<\/li>
创建持久化注册表值IpDates_info<\/code><\/li>
<\/ul>
<\/li>

网络行为<\/strong><\/p>

运行后3秒内发起网络连接<\/li>
目标：yk.ggdy.com<\/code>和115.190.102.32:6000<\/code><\/li>
数据传输使用AES加密<\/li>
连接失败时每分钟重试<\/li>
<\/ul>
<\/li>
<\/ol>
四、持久化与配置管理<\/h2>
4.1 注册表持久化技术<\/h3>
\/\/ 打开注册表键
<\/span><\/span><\/span><\/span>RegOpenKeyExW(HKEY_LOCAL_MACHINE, L<\/span>"SOFTWARE"<\/span>, 0<\/span>, 0x102u<\/span>, &<\/span>hKey);
<\/span><\/span>
<\/span><\/span>\/\/ 删除旧值并写入新配置
<\/span><\/span><\/span><\/span>RegDeleteValueW(hKey, L<\/span>"IpDates_info"<\/span>);
<\/span><\/span>RegSetValueExW(hKey, L<\/span>"IpDates_info"<\/span>, 0<\/span>, 3u<\/span>, &<\/span>Src, 0x12A0u<\/span>);
<\/span><\/span><\/code><\/pre>4.2 配置数据结构分析<\/h3>
从注册表提取的配置信息（UTF-16LE编码）：<\/p>

C2服务器IP：115.190.102.32<\/code><\/li>
C2端口：6000<\/code><\/li>
本地监听IP：127.0.0.1<\/code><\/li>
本地端口：80<\/code>（模拟HTTP服务）<\/li>
版本号：1.0<\/code><\/li>
配置日期：2025.11.9<\/code><\/li>
功能开关：多个1<\/code>值（启用各种功能）<\/li>
<\/ul>
五、溯源分析技术<\/h2>
5.1 域名溯源<\/h3>
发现的后门域名：yk.ggdy.com<\/code><\/p>

需要进一步WHOIS查询<\/li>
DNS解析记录分析<\/li>
历史IP关联分析<\/li>
<\/ul>
5.2 IP地址分析<\/h3>

恶意IP：115.190.102.32<\/code><\/li>
地理位置查询<\/li>
历史活动分析<\/li>
<\/ul>
5.3 代理溯源技术详解<\/h3>
5.3.1 代理类型与溯源可能性<\/h4>



代理类型<\/th>
匿名性<\/th>
溯源难度<\/th>
关键因素<\/th>
<\/tr>
<\/thead>


免费公共代理<\/td>
极低<\/td>
容易<\/td>
可能泄露真实IP，多数留存日志<\/td>
<\/tr>

付费普通VPN<\/td>
中等<\/td>
中等<\/td>
服务商留存日志，配合执法<\/td>
<\/tr>

无日志VPN<\/td>
较高<\/td>
困难<\/td>
真正无日志服务商难以溯源<\/td>
<\/tr>

Tor网络<\/td>
极高<\/td>
极难<\/td>
多层加密，单节点无完整信息<\/td>
<\/tr>
<\/tbody>
<\/table>
5.3.2 执法溯源流程<\/h4>

获取代理IP<\/strong>：从攻击日志中获取使用的代理IP<\/li>
法律程序<\/strong>：向代理服务商发出执法文书<\/li>
日志调取<\/strong>：获取连接日志（真实IP、时间戳）<\/li>
运营商查询<\/strong>：通过真实IP查询用户信息<\/li>
最终定位<\/strong>：结合其他证据确定攻击者身份<\/li>
<\/ol>
5.3.3 IP泄露途径<\/h4>
即使使用代理，仍可能通过以下方式暴露真实IP：<\/p>

DNS泄露<\/strong>：代理不转发DNS查询请求<\/li>
WebRTC泄露<\/strong>：浏览器功能直接暴露真实IP<\/li>
操作失误<\/strong>：登录绑定真实信息的账户<\/li>
工具后门<\/strong>：恶意代理工具内置信息收集功能<\/li>
<\/ul>
六、安全防护与处置<\/h2>
6.1 即时防护措施<\/h3>
# 域名拦截（防火墙规则）<\/span>
<\/span><\/span>block domain yk.ggdy.com
<\/span><\/span>block IP 115.190.102.32
<\/span><\/span>
<\/span><\/span># 进程终止<\/span>
<\/span><\/span>taskkill \/f \/im sys_update.dat
<\/span><\/span>
<\/span><\/span># 注册表清理<\/span>
<\/span><\/span>reg delete "HKEY_LOCAL_MACHINE\SOFTWARE"<\/span> \/v "IpDates_info"<\/span> \/f
<\/span><\/span>reg delete "HKEY_CURRENT_USER\Console"<\/span> \/v "IpDate"<\/span> \/f
<\/span><\/span><\/code><\/pre>6.2 检测指标（IOC）<\/h3>
网络指标<\/strong><\/p>

恶意域名：yk.ggdy.com<\/code><\/li>
恶意IP：115.190.102.32:6000<\/code><\/li>
本地检测：127.0.0.1:80<\/code>异常监听<\/li>
<\/ul>
文件指标<\/strong><\/p>

文件路径：C:\Users\Public\Documents\sys_update.dat<\/code><\/li>
注册表路径：HKEY_LOCAL_MACHINE\SOFTWARE\IpDates_info<\/code><\/li>
<\/ul>
行为指标<\/strong><\/p>

异常TCP连接（端口6000）<\/li>
注册表自启动项修改<\/li>
隐藏文件创建操作<\/li>
<\/ul>
6.3 长期防护策略<\/h3>


终端安全加固<\/strong><\/p>

定期系统补丁更新<\/li>
安装正规杀毒软件<\/li>
用户安全意识培训<\/li>
<\/ul>
<\/li>

网络防护增强<\/strong><\/p>

DNS安全防护系统部署<\/li>
网络流量异常检测<\/li>
威胁情报平台集成<\/li>
<\/ul>
<\/li>

安全监测能力<\/strong><\/p>

终端行为审计<\/li>
网络连接监控<\/li>
实时告警机制<\/li>
<\/ul>
<\/li>
<\/ol>
七、CTF相关技术拓展<\/h2>
7.1 选修方向建议<\/h3>

区块链安全<\/strong>：智能合约漏洞、交易分析<\/li>
工控安全<\/strong>：PLC编程、协议分析<\/li>
AI对抗<\/strong>：模型安全、对抗样本<\/li>
应急响应<\/strong>：事件处理、证据保全<\/li>
<\/ol>
7.2 分析工具推荐<\/h3>

静态分析：IDA Pro、Ghidra、PEiD<\/li>
动态分析：Wireshark、Process Monitor、API Monitor<\/li>
内存分析：Volatility、Rekall<\/li>
逆向工程：OllyDbg、x64dbg<\/li>
<\/ul>

本教学文档基于真实银狐木马样本分析，提供了从基础分析到高级溯源的完整技术路线，适用于网络安全学习和CTF竞赛准备。<\/em><\/p>

代理类型<\/th>	匿名性<\/th>	溯源难度<\/th>	关键因素<\/th> <\/tr> <\/thead>
免费公共代理<\/td>	极低<\/td>	容易<\/td>	可能泄露真实IP，多数留存日志<\/td> <\/tr>
付费普通VPN<\/td>	中等<\/td>	中等<\/td>	服务商留存日志，配合执法<\/td> <\/tr>
无日志VPN<\/td>	较高<\/td>	困难<\/td>	真正无日志服务商难以溯源<\/td> <\/tr>
Tor网络<\/td>	极高<\/td>	极难<\/td>	多层加密，单节点无完整信息<\/td> <\/tr> <\/tbody> <\/table> 5.3.2 执法溯源流程<\/h4> 获取代理IP<\/strong>：从攻击日志中获取使用的代理IP<\/li> 法律程序<\/strong>：向代理服务商发出执法文书<\/li> 日志调取<\/strong>：获取连接日志（真实IP、时间戳）<\/li> 运营商查询<\/strong>：通过真实IP查询用户信息<\/li> 最终定位<\/strong>：结合其他证据确定攻击者身份<\/li> <\/ol> 5.3.3 IP泄露途径<\/h4> 即使使用代理，仍可能通过以下方式暴露真实IP：<\/p> DNS泄露<\/strong>：代理不转发DNS查询请求<\/li> WebRTC泄露<\/strong>：浏览器功能直接暴露真实IP<\/li> 操作失误<\/strong>：登录绑定真实信息的账户<\/li> 工具后门<\/strong>：恶意代理工具内置信息收集功能<\/li> <\/ul> 六、安全防护与处置<\/h2> 6.1 即时防护措施<\/h3> # 域名拦截（防火墙规则）<\/span> <\/span><\/span>block domain yk.ggdy.com <\/span><\/span>block IP 115.190.102.32 <\/span><\/span> <\/span><\/span># 进程终止<\/span> <\/span><\/span>taskkill \/f \/im sys_update.dat <\/span><\/span> <\/span><\/span># 注册表清理<\/span> <\/span><\/span>reg delete "HKEY_LOCAL_MACHINE\SOFTWARE"<\/span> \/v "IpDates_info"<\/span> \/f <\/span><\/span>reg delete "HKEY_CURRENT_USER\Console"<\/span> \/v "IpDate"<\/span> \/f <\/span><\/span><\/code><\/pre>6.2 检测指标（IOC）<\/h3> 网络指标<\/strong><\/p> 恶意域名：yk.ggdy.com<\/code><\/li> 恶意IP：115.190.102.32:6000<\/code><\/li> 本地检测：127.0.0.1:80<\/code>异常监听<\/li> <\/ul> 文件指标<\/strong><\/p> 文件路径：C:\Users\Public\Documents\sys_update.dat<\/code><\/li> 注册表路径：HKEY_LOCAL_MACHINE\SOFTWARE\IpDates_info<\/code><\/li> <\/ul> 行为指标<\/strong><\/p> 异常TCP连接（端口6000）<\/li> 注册表自启动项修改<\/li> 隐藏文件创建操作<\/li> <\/ul> 6.3 长期防护策略<\/h3> 终端安全加固<\/strong><\/p> 定期系统补丁更新<\/li> 安装正规杀毒软件<\/li> 用户安全意识培训<\/li> <\/ul> <\/li> 网络防护增强<\/strong><\/p> DNS安全防护系统部署<\/li> 网络流量异常检测<\/li> 威胁情报平台集成<\/li> <\/ul> <\/li> 安全监测能力<\/strong><\/p> 终端行为审计<\/li> 网络连接监控<\/li> 实时告警机制<\/li> <\/ul> <\/li> <\/ol> 七、CTF相关技术拓展<\/h2> 7.1 选修方向建议<\/h3> 区块链安全<\/strong>：智能合约漏洞、交易分析<\/li> 工控安全<\/strong>：PLC编程、协议分析<\/li> AI对抗<\/strong>：模型安全、对抗样本<\/li> 应急响应<\/strong>：事件处理、证据保全<\/li> <\/ol> 7.2 分析工具推荐<\/h3> 静态分析：IDA Pro、Ghidra、PEiD<\/li> 动态分析：Wireshark、Process Monitor、API Monitor<\/li> 内存分析：Volatility、Rekall<\/li> 逆向工程：OllyDbg、x64dbg<\/li> <\/ul> 本教学文档基于真实银狐木马样本分析，提供了从基础分析到高级溯源的完整技术路线，适用于网络安全学习和CTF竞赛准备。<\/em><\/p>

银狐木马分析与溯源技术教学文档<\/h1>

一、恶意软件分析基础<\/h2>

二、静态分析技术详解<\/h2>

2.3 网络通信模块分析<\/h3> 函数sub_140003390<\/code>实现TCP连接建立：<\/p>

三、动态行为分析<\/h2>

四、持久化与配置管理<\/h2>

五、溯源分析技术<\/h2>

5.3 代理溯源技术详解<\/h3>

六、安全防护与处置<\/h2>

七、CTF相关技术拓展<\/h2>

2.3 网络通信模块分析<\/h3>
函数`sub_140003390<\/code>实现TCP连接建立：<\/p>`