1、程序安装
安装完程序,就等于做好了准备,接下来看Gh0st的界面,如图所示:常见的功能有获取被控制端主机硬盘资料信息:利用本系统可列举被控计算机所有硬盘上的所有目录和文件信息,远程文件操作,键盘记录,摄像头,远程桌面,命令行控制,服务等。
2、 PEID查壳
接下来就要对这个Gh0st.exe查看软件的信息。打开PEID工具,从下面我们可以看到无壳。
3、软件无壳
同时,我们还要对这个Server.exe查看其软件的信息。从下面我们可以看到软件无壳。软件无壳很好判断,关键就看那个查壳的位置信息。
4、静态分析
查完壳发现软件没壳,(如果有壳还要进行脱壳,这里不说脱壳)壳),静态分析Server.exe, 用OLLYDBG分析Server.exe文件,其中EP=00001EDB FO=000012D8,知道这个信息就可以了。
5、动态分析
软件的动态分析是指使用IDA工具,在静态分析之后,动态可以调试,大家知道这个过程就可以了,具体的细节找资料学习一下。
6、监控进程
因为这是一个木马程序的简单分析,所以我们最后还要记得对其进行PCT View监控进程 ,这样我们可以对其行为做出判断。
