电子取证：木马后门的追踪分析
SRAT木马分析
仅以此教程，送给那些整天服务器上到处挂马的朋友。

每当我们拿下一个服务器的时候，要怎样保持对该服务器的长久霸占呢？很多朋友首先会想到的肯定是远控木马，无论是批量抓鸡，还是其他什么方式，你植入在该计算机中的木马，都会暴漏你的行踪。

信息取证的方式有很多，首先我说下最简单的两种方式：（此文章网上早就有了，只不过是自己实践以后，贴出来警醒某些人的。

）
一、网关嗅探，定位攻击者踪迹
网关嗅探定位，是利用攻击者要进行远程控制，必须与被控端建立连接的原理，木马会反弹连接到攻击者的IP地址上，说简单些，就是攻击者当前的上网IP地址上。

例如我们在主控端先配置一个远控马，IP地址我填写的是自己的动态域名：
动态域名：
我的公网IP：
主控机的IP地址为：192.168.1.29
被控主机的IP地址为：192.168.1.251（虚拟机）
在被控主机上，我们可以利用一款小工具《哑巴嗅探器》来进行分析，该工具体积小，比较稳定，中文界面，具体用法我就不介绍了。

打开哑巴分析器，对被控主机进行数据分析：
通过上图，我们可以清楚的看到，源IP地址110.119.181.X，正在访问192.168.1.251的被控主机，并且在访问对方的8800端口，而110.119.181.X的主机为主控机，当你的木马与肉鸡相连的时候，可以直接暴漏攻击者当前的上网地址，锁定地理位置，进行定位追踪。

二、分析木马服务端程序进行取证：
无论是什么远控马，其程序代码中都会携带控制端的IP地址、域名或FTP地址信息，以便于主控端进行反弹连接。

大部分的木马程序所包含的反弹信息都是未加密的，通过对后门木马进行源代码数据分析，
可以提取出相关的IP地址、域名或FTP信息，定位攻击者的地理位置。

进行木马分析时，可以使用Wsyscheck，打开工具后，切换到安全检查---端口状态选项卡：
从上图我们可以看到，进程为IEXPLORE，PID值为1552，该进程一直试图连接IP地址为：192.168.1.29的远程主机，并且一直在试图访问该主机的8000端口。

我们也可以通过进程管理来锁定危险文件，打开进程管理，会看到如下图示：
图中，黑色为正常文件，红色为没有厂商信息的文件，紫色为危险文件。

如果木马伪装了微软文件授权，我们可以通过“软件设置”—“检验微软文件签名”的功能，来检测所有进程和加载模块的微软文件签名。

上图，我们可以清晰的看到，在IEXPLORE.EXE的进程下，有一个名为pkgqhmoz.dll的文件，微软文件校验的结果是“NO PASS”，而该进程被标记为紫色，检查其他标有紫色的进程中，发现都有该dll文件存在，我们将其提取出来，进行分析。

我们可以通过010editor这款软件打开该dll文件，进行分析，打开后，我们发现，在文件尾部数据，有很多的1F字串，这个1F就是木马地址解密的KEY密钥：
选中所有的1F字串，选择菜单---工具---操作---二进制异或命令，
在弹出的设置中，选择数据类型为“无符号字节”，操作数为1F，类型为十六进制，然后点击确定。

解密后，我们可以清晰的看到该木马所连接的动态域名信息、木马类型以及所连接的端口。

可以通过ping动态域名，来解析攻击者的IP 地址。