图 4. 使用含有恶意代码的参数执行含有 0day 漏洞的文件
3、由于 science.exe对输入的参数没有检查,当输入的参数长度过长时,造成栈溢出
图 5. 漏洞细节:由于软件解析参数时没有校验长度,导致缓冲区溢出
图6.漏洞利用细节:精心构造最后三字节数据精确定位跳转执行ShellCode
图 7.ShellCode 的自解密算法
图8. ShellCode的功能是读取并解密Config.dat文件,直接在内存中加载执行
图9.创建一个系统服务,服务对应的镜像文件为science.exe,并带有恶意参数
木马通过创建服务来实现永久地驻留在用户电脑中,实现长期地监控。完成服务创建后,即完成了木马的安装过程,为了隐蔽运行不被用户发觉,木马服务启动后会以创建傀儡进程的方式注入到svchost.exe进程中,在该进程中连接C&C服务器,连接成功后黑客便可通过该木马监视用户桌面、窃取用户任意文件、记录用户键盘输入、窃取用户密码、打开摄像头和麦克风进行监视监听等。从而实现远程控制目标计算机的目的。
