银狐木马文件痕迹分析技术文档

银狐木马文件痕迹分析技术文档 一、前言 银狐木马（又名Winos或ValleyRAT）是一种多阶段加载的恶意软件，其中Winos4.0版本流传范围最广。本文档详细分析银狐木马在受害主机上留下的文件相关痕迹，为安全分析人员提供完整的取证指导。 二、木马架构概述 银狐木马采用多阶段上线流程： shellcode加载器 - 初始执行模块 上线模块 - 建立与C&C服务器的连接 登录模块 - 核心命令处理模块 三、文件痕迹详细分析 3.1 内存加载DLL机制 注册表位置： 32位被控端： HKEY_CURRENT_USER\Console\0 64位被控端： HKEY_CURRENT_USER\Console\1 存储结构： 键名：DLL文件的MD5哈希值 数据：固定大小的DLL信息结构体 + DLL二进制数据 目的：减少网络流量传输，实现内存加载 3.2 备注与分组功能 注册表存储位置： 备注信息： HKEY_CURRENT_USER\Network GROUP 分组信息： HKEY_CURRENT_USER\Network REMARK 编码格式： UTF-16-LE编码 3.3 上线信息配置 永久C&C配置： 注册表路径： HKEY_CURRENT_USER\Console IpDate 存储内容：主控端IP地址、端口号、通信协议 3.4 键盘记录功能 记录机制： 使用DirectInput API进行自动键盘记录 离线记录开关： HKEY_CURRENT_USER\key open 数据存储： 文件路径： CSIDL_COMMON_APPDATA （通常为C:\ProgramData） 文件名： DisplaySessionContainers.log 3.5 Rootkit隐藏技术 驱动模块特征： 驱动文件保存路径： CSIDL_COMMON_APPDATA\23423.txt 驱动服务名称： kernelquick 启动方式：创建系统驱动服务，设置为自动运行 隐藏功能： 隐藏指定进程、文件、目录、注册表项 开机自动注入shellcode到DWM.exe进程 技术来源：基于开源项目hidden修改 持久化机制： 注册表项：设置隐藏和保护对象配置 Shellcode注入： HKEY_LOCAL_MACHINE\SOFTWARE IpDates 注入目标：DWM.exe进程 四、取证提取方法 4.1 自动化提取脚本 建议使用Python编写自动化dump脚本，一次性提取所有相关痕迹： 注册表键值提取 文件系统痕迹收集 内存数据捕获 4.2 关键取证点总结 注册表取证： HKEY_ CURRENT_ USER\Console\0 和 \1 HKEY_ CURRENT_ USER\Network GROUP 和 REMARK HKEY_ CURRENT_ USER\Console IpDate HKEY_ CURRENT_ USER\key open HKEY_ LOCAL_ MACHINE\SOFTWARE IpDates 文件系统取证： C:\ProgramData\DisplaySessionContainers.log CSIDL_ COMMON_ APPDATA\23423.txt 进程取证： DWM.exe进程内存分析 kernelquick驱动服务检测 五、溯源分析价值 通过对上述痕迹的分析，可以获取： C&C服务器地址和通信方式 攻击者设置的备注和分组信息 键盘记录的攻击证据 Rootkit隐藏技术的具体实现 完整的攻击时间线和行为模式 六、防御建议 监控相关注册表键的异常修改 检查DWM.exe进程的异常行为 关注System32目录下的可疑驱动文件 建立ProgramData目录的文件监控机制 实施注册表关键位置的访问控制 本文档基于银狐木马实际分析数据整理，为恶意软件分析提供完整的技术参考。