AgoBot 僵尸网络研究笔记（一）

AgoBot 僵尸网络研究笔记

由于工作需要，着手分析一个AgoBot的开源的程序，一些收获或许和大家分享

作者：青青子衿
email：anzijin@sina.com

一、08年2月28日

1、 源代码分以下几块：
Agobot3 Source AgoBot 主体源代码， 重点分析这块的代码
Scanner Source 程序内应该包含了一个扫描器模块
DDOS Source 实现DDOS攻击的模块
Shellcode Source 计算机漏洞利用模块
Redirect Source 这个模块的作用还不清楚
3 rd Party Source 第三方开发的模块放到这里，在这里除了可选择加载的插件模块外，还有一些第三方的模块是程序必须加载的。
2、 主题模块中各类之间的关系：
3、 Main函数，
Main函数在mainctrl.cpp 文件中，通过预处理指令实现可在window和在linux平台上该程序都可以编译成功。
在window平台上调用：
int WINAPI WinMain ( HINSTANCE hInstance , HINSTANCE hprev , PSTR cmdline , int ishow )

在linux平台下调用：
int main ( int argc , char ** argv )

无论在哪个平台，调用哪个函数，最终会调用 CMainCtrl 类的全局 变量 g_cMainCtrl 中的 Main成员函数，
g_cMainCtrl . Main ( cmdline , NULL ); //在Windows平台下的调用。
int iRetVal = g_cMainCtrl . Main ( szArgv , argv [0]); //在Linux平台下的调用。
所以整个AgoBot 软件的起始点在 mainctrl.cpp文件中 ：
(1) 定义一个全局变量 g_cMainCtrl ，类型为 CMainCtrl 。
(2) 在主函数中调用该变量的成员函数
int CMainCtrl :: Main ( const char * szCmdLine , const char * szArgv0 )
来实现启动整个程序。
4、 了解 CMainCtrl 类，带着3中的疑问我们有必要了解一下 CMainCtrl 的实现。有一下内容组成：
（1） 成员变量,其中蓝色部分为程序自定义类所定义的变量，其余的是两个bool型的变量，如下： 程序自定义的这些类还需要进一步去分析。
CCommands m_cCommands ;
CCmdLine m_cCmdLine ;
CConsDbg m_cConsDbg ; //负责记录程序运行过程的日志文件
CBot m_cBot ;
CMac m_cMac ;
CCVar m_cCVar ;
CInstaller m_cInstaller ;
CDownloader m_cDownloader ;
CScanner m_cScanner ;
CScannerAuto m_cScannerAuto ;
CIRC m_cIRC ;
CSendFile m_cSendFile ;
CIdentD m_cIdentD ;
CDDOS m_cDDOS ;
CRSALib m_cRSALib ;
CRedirect m_cRedirect ;
CCDKeyGrab m_cCDKeyGrab ;
CRSLControl m_cRSLControl ;

bool m_bRunning ;
CString m_sUserName ;
CString m_sNameVerStr ;
CString m_sArgv0 ;
bool m_bIdentD_Running ;

bool m_bCanSpamAOL ;

list < CThread *> m_lCanJoin ;
（2） CMainCtrl 类的构造函数
int MainCtrl ();
主要实现的功能是，获取程序目前的一些状态，对程序进行初始化，对程序中正在运行的线程进行终止操作
（3）成员函数
int Main ( const char * szCmdLine , const char * szArgv0 );
在标题5中做重点讲述

5、 实现配置功能的源文件，
在帮助文件faq.html中有这样的内容：
[2.1] How to configure ?
Copy /configs/config-sample.cpp to /config.cpp. Edit the file to configure the bot.
可见关于BOT的配置信息是保存在源代码的config.cpp文件中的，所以需要先对对源码中的config.cpp文件进行分析
（未完）