圖 4. 使用含有惡意代碼的參數(shù)執(zhí)行含有 0day 漏洞的文件
3�����、由于 science.exe對輸入的參數(shù)沒有檢查�,當(dāng)輸入的參數(shù)長度過長時���,造成棧溢出
圖 5. 漏洞細節(jié):由于軟件解析參數(shù)時沒有校驗長度�����,導(dǎo)致緩沖區(qū)溢出
圖6.漏洞利用細節(jié):精心構(gòu)造最后三字節(jié)數(shù)據(jù)精確定位跳轉(zhuǎn)執(zhí)行ShellCode
圖 7.ShellCode 的自解密算法
圖8. ShellCode的功能是讀取并解密Config.dat文件��,直接在內(nèi)存中加載執(zhí)行
圖9.創(chuàng)建一個系統(tǒng)服務(wù)�����,服務(wù)對應(yīng)的鏡像文件為science.exe���,并帶有惡意參數(shù)
木馬通過創(chuàng)建服務(wù)來實現(xiàn)永久地駐留在用戶電腦中,實現(xiàn)長期地監(jiān)控�����。完成服務(wù)創(chuàng)建后��,即完成了木馬的安裝過程���,為了隱蔽運行不被用戶發(fā)覺���,木馬服務(wù)啟動后會以創(chuàng)建傀儡進程的方式注入到svchost.exe進程中,在該進程中連接C&C服務(wù)器���,連接成功后黑客便可通過該木馬監(jiān)視用戶桌面��、竊取用戶任意文件����、記錄用戶鍵盤輸入、竊取用戶密碼���、打開攝像頭和麥克風(fēng)進行監(jiān)視監(jiān)聽等���。從而實現(xiàn)遠程控制目標(biāo)計算機的目的。
