1、程序安装安装完程序,就等于做好了准备,接下来看Gh0st的界面,如图所示:常见的功能有获金泫险缋取被控制端主机硬盘资料傻疑煜阖信息:利用本系统可列举被控计算机所有硬盘上的所有目录和文件信息,远程文件操作,键盘记录,摄像头,远程桌面,命令行控制,服务等。
2、PEID查壳接下来就要对这个Gh0st.exe查看软件的信息。打开PEID工具,从下面我们可以看到无壳。
3、软件无壳同时,我们还要对这个Server.exe查看其软件的信息。从下面我们可以看到软件无壳。软件无壳很好判断,关键就看那个查壳的位置信息。
4、静态分析查完壳发现软竭惮蚕斗件没壳,(如果有壳还要进行脱壳,这里不说脱壳)壳),静态分析Server.exe,用OLL鳔柩寞泷YDBG分析Server.exe文件,其中EP=00001EDBFO=000012D8,知道这个信息就可以了。
5、动态分析软件的动态分析是指使用IDA工具,在静态分析之后,动态可以调试,大家知道这个过程就可以了,具体的细节找资料学习一下。
6、监控进程因为这是一个木马程序的简单分析,所以我们最后还要记得对其进行PCTView监控进程,这样我们可以对其行为做出判断。
